เราเชื่อว่ามีอีกหลายๆ องค์กรธุรกิจที่ ‘ไม่พร้อม’ สำหรับ กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่บังคับใช้วันที่ 1 มิถุนายน พ.ศ.. 2565 เป็นกฎหมายที่มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลและยกระดับมาตรฐานให้ทัดเทียมกับหลักปฏิบัติสากล ทำให้องค์กรต่างๆ จะต้องเพิ่มความระมัดระวังในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่มีประเด็นสำคัญ คือ จะต้องได้รับ ‘ความยินยอม’ จากเจ้าของข้อมูล
ก็ดูเหมือนง่ายๆ แต่ภายใต้บทบัญญัติของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลยังมีรายละเอียดอีกมากมายที่องค์กรธุรกิจ และสถานประกอบการต่างๆ จะต้องเข้าใจ โดยในบทความนี้เราจะมีแจกแจงให้ทราบด้วยภาษาที่เข้าใจได้ง่ายที่สุด
กิจกรรมทางธุรกิจ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
นิยามของ ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวตนได้ทั้งทางตรง และข้อมูลที่สามารถระบุตัวบุคคลได้ทางอ้อม แต่ไม่รวมข้อมูลบุคคลที่เสียชีวิต ขณะที่ในมุมขององค์กรธุรกิจที่มีสถานะเป็น ‘นิติบุคคล’ ที่ย่อมต้องมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในหลากหลายกิจกรรม ดังนี้
1.การสมัครงาน และข้อมูลพนักงาน จะเห็นว่าที่ผ่านมาองค์กรธุรกิจต่างๆ มีการเก็บข้อมูลส่วนบุคคลในหลากหลายแบบ ทั้งที่เป็นเอกสาร และไฟล์ข้อมูลดิจิทัล โดยมีการเก็บทั้งข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล์ ฯลฯ และข้อมูลส่วนบุคคลอ่อนไหว เช่น เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ(ลายนิ้วมือ ใบหน้า)
2.การดำเนินธุรกิจ มีการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลคู่ค้า ลูกค้า หรือบุคคลภายนอกเพื่อดำเนินกิจกรรมด้านต่างๆ ขององค์กรธุรกิจ เช่น การจัดซื้อจัดจ้าง การขนส่ง งานวิจัย สถิติ การขายสินค้า บริการ การส่งเสริมการขาย การโฆษณาในรูปแบบต่างๆ หรือกิจกรรมที่หวังผลด้านตลาด
3.การบริหารจัดการธุรกิจ เช่น การประเมินความสามารถในการทำงานของพนักงาน การโปรโมท การให้ออกจากงานหรือเลื่อนตำแหน่ง สวัสดิการพนักงาน การยื่นภาษี ธุรกรรมการเงิน
4.การรักษาความปลอดภัยในสถานประกอบการ เช่น การติดกล้องวงจรปิด หรือกล้อง CCTV
5.การสื่อสาร เช่น การส่งอีเมล การใช้ LINE Group หรือแอปพลิเคชันต่างๆ ภายในออฟฟิศ หรือกับลูกค้า
และอาจจะรวมถึงกิจกรรมอื่นๆ ที่เราไม่ได้กล่าวถึง เพราะเพียงแค่จะหยิบยกมาให้ดูว่าองค์กรธุรกิจต่างๆ ดำเนินกิจกรรมที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผย ‘ข้อมูลส่วนบุคคล’ ในกิจกรรมใดบ้าง โดยกฎหมาย PDPA บังคับการเก็บรวบรวม ใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล จะต้องได้รับความยินยอมจากเจ้าของข้อมูล ไม่ว่าจะเป็นธุรกิจที่อยู่ในประเทศไทย หรือนอกราชอาณาจักรก็ตาม
ซึ่งก่อนหน้านี้ ‘กฎหมาย’ ไม่ได้บังคับใช้ แต่ในเร็วๆ นี้ ข้อมูลส่วนบุคคลจะเป็นสิ่งที่ธุรกิจทำได้เพียง ‘ยืมใช้’ เท่านั้น ไม่ใช่ทรัพย์สินขององค์กรธุรกิจอีกต่อไป และมีบทลงโทษผู้ละเมิดหรือทำผิดทั้งทางแพ่ง อาญา และโทษทางปกครอง ดังนั้น PDPA จึงเป็นเรื่องที่ ‘อ่อนไหว’ ต่อองค์กรธุรกิจอย่างมาก
ธุรกิจคุณเป็น ‘อะไร’ ภายใต้กฎหมาย PDPA
แต่ก่อนจะรู้ และตั้งรับเพื่อปรับองค์กรธุรกิจให้สอดคล้องกับบทบัญญัติในกฎหมาย PDPA ผู้ประกอบการ หรือเจ้าขององค์กรธุรกิจจะต้องทราบ ‘สถานะ’ ก่อนว่า มีการดำเนินการที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอะไรบ้าง ซึ่งตามกฎหมายระบุไว้ 2 สถานะที่เกี่ยวข้องโดยตรง คือ
1.ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคล หรือนิติบุคคลที่มีอำนาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งอย่างที่กล่าวในตอนต้นว่า หากธุรกิจมีกิจกรรมตามที่ระบุในข้างต้นก็เข้าข่ายสถานะนี้
2.ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลฯ แต่หากมีการดำเนินกิจกรรมทางธุรกิจตามที่ระบุในข้างต้นที่นอกเหนือจากคำสั่งหรือในนามของผู้ควบคุมข้อมูล ก็จะมีทั้งสองสถานะ คือเป็นทั้ง ผู้ควบคุมข้อมูลฯและ ผู้ประมวลผลข้อมูลฯ
แต่ไม่ว่าสถานะใดก็ตาม กฎหมาย PDPA มาตรา 19 ระบุว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอม เว้นแต่ บทบัญญัติในพระราชบัญญัตินี้ หรือกฎหมายอื่นบัญญัติให้ทำได้
10 เรื่องต้องทำ! ก่อนกฎหมาย PDPA บังคับใช้
1.ความยินยอม (Consent) ยันต์กันภัยใบแรกที่ธุรกิจต้องมี อย่างที่กล่าวในข้างต้นว่าประเด็นสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คือ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะต้องขอความยินยอมจากเจ้าของข้อมูล และต้องทำโดยชัดแจ้ง เป็นหนังสือหรือผ่านระบบดิจิทัล เว้นแต่สภาพไม่อาจขอความยินยอมด้วยวิธีดังกล่าวได้ และต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลเป็นสำคัญ
2.ทำบันทึกรายการข้อมูลส่วนบุคคล (Record of Processing Activities :RoPA) เช่น วัตถุประสงค์ในการเก็บรวมรวบ แหล่งที่เก็บ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลประเภทใดบ้าง มีการกำหนดระยะเวลาเก็บรักษา ทำลาย หรือการทำข้อมูลให้เป็นนิรนาม รวมถึงการทำรายการบันทึกเหตุการณ์ละเมิด ซึ่งบริษัท หรือองค์กรธุรกิจควรจัดทำบันทึกในรูปแบบดิจิทัลเพื่อประโยชน์ในการแก้ไข ระงับ หรือ ลบออกได้โดยง่าย
3.ทำนโยบายความเป็นส่วนตัว (Privacy Policy) และประกาศความเป็นส่วนตัว (Privacy Notice) โดยการแจ้งเจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล รวมถึงการประกาศจากบริษัทหรือองค์กรธุรกิจ โดยมีคำอธิบายเกี่ยวกับการเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล ส่วนนี้หากธุรกิจมีเว็บไซต์ที่มีการจัดเก็บคุกกี้ (Cookie) จะต้องทำ Cookie Policy ด้วย
4.ธุรกิจที่มีข้อมูลจำนวนมากจะต้องแต่งตั้ง DPO คือ การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :DPO)ในองค์กรเพื่อดูแลด้านนี้โดยตรง และเป็นตำแหน่งที่กฎหมายคุ้มครอง และ โดยนิยามของข้อมูลจำนวนมากในที่นี้ คือ มีข้อมูลส่วนบุคคลทั่วไป 50,000 ราย/ปี หรือมีข้อมูลส่วนบุคคลอ่อนไหว 5000 ราย/ปี ซึ่งกฎหมายบังคับว่าจะต้องแต่งตั้ง DPO ซึ่งจะเป็นผู้บริหาร พนักงานในออฟฟิศ หรือบุคคลภายนอกก็ได้แต่ต้องมีคุณสมบัติตรงตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลรับรอง
5.จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล หากองค์กรธุรกิจคุณมีการแบ่งบันหรือส่งต่อข้อมูลส่วนบุคคลให้กับคู่ค้าหรือบุคคลภายนอก จะต้องมีการจัดทำข้อตกลงในการใช้ข้อมูลส่วนบุคคล ซึ่งในอดีตเราจะเห็นว่ามีการลงนามในเอกสาร NDA (Non-Disclosure Agreement) แต่ภายใต้กฎหมาย PDPA บริบทจะมุ่งเน้นที่การรักษาและปกป้องข้อมูลส่วนบุคคลเพื่อป้องกันการละเมิด
6.จัดทำข้อตกลงความเป็นส่วนตัวสำหรับผู้สมัครงานและพนักงาน เพื่อเป็นข้อตกลงตามฐานสัญญาสำหรับผู้สมัครงานที่บริษัทมีการเก็บข้อมูลและต้องแจ้งให้ผู้สมัครงาน รวมถึงพนักงานภายในองค์กรได้รับทราบ ตลอดจนการสร้าง ‘ค่านิยมการคุ้มครองข้อมูลในองค์กร’
7.ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA เป็นรูปแบบของการจัดทำแบบประเมินโดยการสำรวจและวิเคราะห์ข้อมูลส่วนบุคคลเพื่อประเมินความเสี่ยงที่ธุรกิจอาจจะต้องเจอ ที่เรียกกันสั้นๆ ว่า แบบประเมิน DPIA (Data Protection Impact Assessment) รวมทั้งองค์กรธุรกิจและบริษัทยังมีหน้าที่ในการจัดให้มีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสมกับความเสี่ยงและประเภทของข้อมูลด้วย
8.การเข้าถึงสิทธิแก่เจ้าของข้อมูลส่วนบุคคล องค์กรธุรกิจและบริษัทต่างๆ จะต้องมีการจัดทำระบบเพื่อการเข้าถึงข้อมูลส่วนบุคคลเพื่อประโยชน์แก่จาของข้อมูลทั้งในด้านการใช้สิทธิ ขอให้แก้ไข ระงับ หรือยกเลิกการเก็บรวบรวม ใช้ หรือเปิดเผยผ่านช่องทางที่เข้าถึงได้ง่ายและสะดวก
9.ข้อมูลส่วนบุคคล เก็บเท่าที่จำเป็นต้องใช้ จะต้องพึงระลึกไว้เสมอว่า ข้อมูลส่วนบุคคลควรเก็บเท่าที่จำเป็นต้องใช้ เพราะอาจเกิดเป็น ‘ต้นทุนธุรกิจ’ เนื่องจากต้องกำหนดมาตรการ อุปกรณ์ และขั้นตอนทางเทคนิคต่างๆ เพื่อการรักษาข้อมูลส่วนบุคคลให้มีความปลอดภัย แถมยังเสี่ยงต่อการโดนจารกรรมข้อมูล
10.ห้ามเก็บข้อมูลจากแหล่งอื่น ยกเว้นได้มีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลอย่างไม่ล่าช้า ซึ่งตามกฎหมายระบุว่าไม่ควรเกิน 30 วันนับตั้งแต่วันที่มีการเก็บข้อมูล
อย่างไรก็ตาม ประเด็นเรื่องกฎหมาย PDPA กับแง่มุมขององค์กรธุรกิจยังมีอีกหลายด้าน ซึ่งจะต้องมีการวิเคราะห์และตีความตามลักษณ์การดำเนินงานของธุรกิจ ดังนั้นข้อมูลที่กล่าวถึงก่อนนี้ จึงเป็นเพียงแค่กติกาเบื้องต้นที่ทุกสถานประกอบการต้องรับทราบเพื่อปรับเปลี่ยนให้เหมาะสมและสอดคล้องกับกฎหมาย
