บริษัทรักษาความปลอดภัย ดูไว้! 10 เรื่อง ‘ต้องทำ’ หากไม่อยากเดือดร้อนจากกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

บริษัทรักษาความปลอดภัย ดูไว้! 10 เรื่อง ‘ต้องทำ’ หากไม่อยากเดือดร้อนจากกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ภายใต้เส้นตายของการบังคับใช้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทำให้องค์กรธุรกิจต่างเร่งปรับตัวเพื่อดำเนินการให้สอดคล้องกับกฎหมายนี้ และอีกหนึ่งธุรกิจที่มีการดำเนินการในลักษณะสุ่มเสี่ยงละเมิดข้อมูลส่วนบุคคลได้ง่าย นั่นคือ บริษัทรักษาความปลอดภัย

แต่ก่อนจะเข้าเรื่องกฎหมาย PDPA เรามาดูกันก่อนว่า ทำไม่ถึงบอกว่า บริษัทรักษาความปลอดภัยเสี่ยงละเมิดกฎหมาย PDPA เพราะเนื่องจากรูปแบบการดำเนินธุรกิจที่เกี่ยวข้องกับการเก็บข้อมูลส่วนบุคคล (Personal Data) และเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) รวมทั้งมาตรการักษาความปลอดภัย บางอย่าง ก็สามารถนำไปสู่กรณีละเมิดที่นำไปสู่การฟ้องร้องดำเนินคดีทั้งในลักษณะทางแพ่ง และความผิดทางอาญาได้ง่าย เช่น

  • บริษัทรักษาความปลอดภัยมีการเก็บข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหวของพนักงาน อาทิ ประวัติอาชญากรรม ลายนิ้วมือ
  • บริษัทรักษาความปลอดภัยมีการติดกล้องวงจรปิดในสถานที่ทำงาน และสถานที่ส่วนบุคคลของลูกค้าที่ให้บริการ
  • บริษัทรักษาความปลอดภัยมีการเก็บและส่งต่อข้อมูลส่วนบุคคลที่มีการจัดเก็บแก่บุคคลที่สาม เช่น ข้อมูลพนักงาน ข้อมูลลูกค้าที่ให้บริการ ซึ่งอาจรวมถึงการเก็บข้อมูลจากบุคคลที่สาม ซึ่งเป็นลักษณะการเก็บจากแหล่งอื่น โดยที่เจ้าของข้อมูลก็อาจจะไม่ทราบ ยกตัวอย่างให้เห็นภาพง่ายๆ อาทิ ข้อมูลลูกบ้านในโครงการ ข้อมูลผู้อยู่อาศัยในคอนโดมิเนียม ข้อมูลพนักงานในบริษัทลูกค้าหรือที่มีผู้ว่าจ้าง ข้อมูลบุคคลทั่วไปที่เข้าชมงานแสดงดนตรี
  • บริษัทรักษาความปลอดภัยเข้าข่ายธุรกิจที่มีการจัดเก็บข้อมูลเป็นจำนวนมาก โดยนิยามของคำว่า ‘ข้อมูลจำนวนมาก’ ในที่นี้อ้างอิงจากกฎหมาย PDPA ที่ระบุว่า บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000 ราย
  • รวมถึงการดำเนินการของบริษัทรักษาความปลอดภัยที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอื่นๆ อาทิ ข้อมูลคู่ค้า –คู่สัญญา

 

ดังนั้นจะเห็นว่า รูปแบบการดำเนินธุรกิจของบริษัทรักษาความปลอดภัยจึงมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลให้หลากหลายกิจกรรม แต่ถึงกระนั้น บริษัทรักษาความปลอดภัยซึ่งจัดตั้งและขออนุญาตดำเนินธุรกิจภายใต้ประมวลกฎหมายแพ่งและพาณิชย์ มีสถานะที่กฎหมายคุ้มครองจากพระราชบัญญัติธุรกิจรักษาความปลอดภัย พ.ศ. 2558 ทำให้การดำเนินการโดยทั่วไปจึงสามารถอ้างอิงว่า เป็นการดำเนินการที่ ถูกต้องและชอบด้วยกฎหมาย ตีความได้ว่า เป็นธุรกิจที่สามารถใช้ ‘ฐานกฎหมาย และ ‘ฐานประโยชน์โดยชอบธรรม ในการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้

แต่ถึงอย่างนั้น ผู้ประกอบธุรกิจรักษาความปลอดภัยจะต้องทราบว่า กฎหมายไทยให้น้ำหนักที่ เจตนา และ‘การตีความ’ จากพฤติการณ์ที่เกิดขึ้น ดังนั้นแม้ฐานกฎหมาย และฐานประโยชน์โดยชอบธรรมในการดำเนินกิจกรรมทางธุรกิจจะอนุญาตให้ทำได้ แต่หากการดำเนินการนั้น เกิดขึ้นในลักษณะที่กฎหมาย ขีดเส้นใต้ ไว้ ไม่ว่าจะเป็น ในลักษณะจงใจ หรือประมาทเลินเล่อก็ตาม ซึ่งจะไม่เพียงแค่ผิดกฎหมายอาญา ถูกฟ้องร้องเรียกค่าสินไหมจากคดีแพ่ง และอาจจะโดนโทษทางปกครองจากกฎหมาย PDPA ร่วมด้วย

 

มาดูกัน! บริษัทรักษาความปลอดภัย (อาจจะ) ทำผิดกฎหมาย PDPA ลักษณะใดบ้าง

  • ข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหว เกิดการรั่วไหล หรือมีการนำข้อมูลดังกล่าวไปใช้ในวัตถุประสงค์อื่นๆ โดยเฉพาะข้อมูลอาชญากรรม หรือข้อมูลการต้องโทษของพนักงานที่เสี่ยงต่อการก่อให้เกิดความเกลียดชัง เสียชื่อเสียง เสียสิทธิ หรือได้รับการปฏิบัติอย่างไม่เป็นธรรมได้
  • ติดกล้องวงจรปิดโดยไม่ได้จัดทำ CCTV Notice เพื่อแจ้งให้ทราบว่าบริษัทได้มีการติดกล้องวงจรปิดเพื่อประโยชน์ในด้านต่างๆ
  • มีการเก็บข้อมูลส่วนบุคคลจากแหล่งอื่น หรือส่งต่อข้อมูลส่วนบุคคลแก่บุคคลที่สาม หรือส่งต่อข้อมูลไปต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
  • ตรวจสอบข้อมูลอาชญากรรมด้วยตนเอง หรือทำโดยที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้การยินยอม
  • เก็บข้อมูลส่วนบุคคลของพนักงาน ลูกค้า คู่สัญญา รวมถึงบุคคลภายนอกเป็นจำนวนมาก ก็เข้าข่ายลักษณะการเก็บข้อมูลส่วนบุคคลที่ เกินความจำเป็น อาจนำไปสู่การรั่วไหลหรือละเมิดได้ง่าย
  • ไม่มีมาตรการในการรักษาความปลอดภัยของข้อมูลที่เหมาะสมกับความเสี่ยง
  • การเก็บข้อมูลเป็นจำนวนมาก แต่ไม่ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภายในองค์กร (DPO)

10 เรื่องที่บริษัทรักษาความปลอดภัย ต้องทำ หากไม่อยากเดือดร้อนจากกฎหมาย PDPA  

1.ข้อตกลงความยินยอม (Consent) ในการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหว แก่ ผู้สมัครงาน พนักงาน ตลอดจนบุคลากรที่เกี่ยวข้อง

2.นโยบายความเป็นส่วนตัว (Privacy Policy) และประกาศความเป็นส่วนตัว (Privacy Notice)หากธุรกิจมีเว็บไซต์ที่มีการจัดเก็บคุกกี้ (Cookie) จะต้องทำ Cookie Policy ด้วย

3.บันทึกรายการข้อมูลส่วนบุคคล (Record of Processing Activities :RoPA) เช่น วัตถุประสงค์ แหล่งที่เก็บ ใช้หรือเปิดเผยข้อมูลส่วนบุคคล การเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม

4. จัดทำป้าย CCTV Notice และคำประกาศเกี่ยวกับความเป็นส่วนตัวในการใช้กล้องวงจรปิด (CCTV Privacy Notice) เพื่อแจ้งให้ทราบว่าบริษัทได้มีการติดกล้องวงจรปิดเพื่อประโยชน์ในด้านต่างๆ

5.แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) บริษัทที่เก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลเป็นจำนวนมาก หรือดำเนินกิจกรรมที่มีความเสี่ยงต่อการละเมิดหรือเสี่ยงละเมิดกฎหมาย PDPA ระบุว่าจะต้องแต่งตั้ง DPO ภายในองค์กร หรือบุคคลภายนอกที่มีคุณสมบัติตรงตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลรับรอง

6.จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล หากองค์กรธุรกิจคุณมีการแบ่งบันหรือส่งต่อข้อมูลส่วนบุคคลให้กับคู่ค้าหรือบุคคลภายนอก จะต้องมีการจัดทำข้อตกลงในการใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

7. ดำเนินการด้านสิทธิแก่เจ้าของข้อมูลส่วนบุคคล บริษัทรักษาความปลอดภัยจะต้องมีการจัดทำระบบเพื่อการเข้าถึงข้อมูลส่วนบุคคลเพื่อประโยชน์แก่เจ้าของข้อมูลในด้านการเข้าถึง และใช้สิทธิ ขอให้แก้ไข ระงับ ลบทำลาย หรือยกเลิกคำยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยผ่านช่องทางที่เข้าถึงได้ง่าย และสะดวก

8.รักษาความปลอดภัยของข้อมูลส่วนบุคคล โดยบริษัทจะต้องดำเนินการด้านการทั้งด้านอุปกรณ์และเจ้าหน้าที่เพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมกับความเสี่ยง

9.ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA (Data Protection Impact Assessment) โดยจัดทำแบบประเมินโดยการสำรวจและวิเคราะห์ข้อมูลส่วนบุคคลเพื่อประเมินความเสี่ยงที่ธุรกิจอาจจะต้องเจอในรูปแบบต่างๆ

10. ปรับปรุง ทบทวน หรือแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคลอยู่เสมอ เพื่อให้การดำเนินกิจกรรมของบริษัทและเงื่อนไขต่างๆ ได้มีการอัปเดตข้อมูลอยู่เสมออันจะนำไปสู่มาตรการป้องกันความเสี่ยงละเมิดกฎหมาย PDPA อย่างเหมาะสม

 

อย่างไรก็ตาม บริษัทรักษาความปลอดภัย ควรระลึกอยู่เสมอว่า ‘ข้อมูลส่วนบุคคลควรเก็บเท่าที่จำเป็นต้องใช้ เพราะไม่เพียงเป็นต้นทุนทางธุรกิจ แต่บางขณะก็อาจจะเป็น หายนะ ของธุรกิจได้เช่นกัน บริษัทจึงควรมีการจัดเก็บข้อมูลส่วนบุคคลที่เหมาะสมและจำเป็นตามกิจกรรม รวมทั้งการจัดทำข้อมูลให้เป็น ‘นิรนาม ในกรณีที่ข้อมูลนั้นยังมีความจำเป็นต้องจัดเก็บอยู่แต่อาจจะไม่ต้องมีรายละเอียดที่สามารถระบุตัวตนของบุคคลนั้นได้ ก็เป็นอีกแนวทางที่ควรดำเนินการ เพื่อให้การกิจกรรมของบริษัทรักษาความปลอดภัยมีมาตรฐานตามกฎหมาย PDPA ซึ่งมองว่าเกิดประโยชน์ทั้งในมุมของบริษัทและลูกค้าผู้ใช้บริการอีกด้วย  

Share :