GDPR – General Data Protection Regulation หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป เป็นกฎหมายที่ได้รับการยอมรับว่าเป็นแม่แบบของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA จึงมีความคล้ายคลึงกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยในองค์รวม ผู้ที่สนใจด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร โดยเฉพาะผู้บริหารระดับสูง เจ้าหน้าที่คุ้มครองข้อมูล หรือผู้ที่ได้รับมอบหมายให้จัดการเรื่องการคุ้มครองข้อมูลส่วนบุคคลประจำองค์กร จึงควรจะต้องศึกษากฎหมายฉบับนี้ด้วยอย่างหลีกเลี่ยงไม่ได้ โดยเฉพาะประเด็นเกี่ยวกับ หลักความรับผิดชอบ
หลักความรับผิดชอบ (Accountability) คืออะไร?
“หลักความรับผิดชอบ” เป็นหนึ่งในหลักการคุ้มครองข้อมูลส่วนบุคคลที่สำคัญตาม GDPR ซึ่งมีอยู่ด้วยกัน 7 ประการ (หรือจำแนกตามการเขียนของ GDPR คือ 6+1 หลักการ) ดังนี้
- หลักความชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส (Lawfulness, Fairness, and Transparency) ข้อมูลส่วนบุคคลต้องถูกประมวลผลอย่างชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส
- หลักการจำกัดวัตถุประสงค์ (Purpose Limitation) ข้อมูลส่วนบุคคลต้องถูกเก็บรวบรวมอย่างมีวัตถุประสงค์ และไม่ถูกใช้ไปในวัตถุประสงค์นอกเหนือจากที่ระบุ
- หลักความถูกต้อง (Accuracy) ข้อมูลส่วนบุคคลต้องถูกเก็บอย่างแม่นยำ และอัปเดตให้ทันสมัยอยู่เสมอ
- หลักการจัดเก็บข้อมูลเท่าที่จำเป็น (Data Minimization) ข้อมูลส่วนบุคคลต้องถูกจัดเก็บเท่าที่เพียงพอ เกี่ยวข้อง และไม่มากเกินความจำเป็นตามวัตถุประสงค์
- หลักการจัดเก็บข้อมูลอย่างจำกัด (Storage Limitation) ข้อมูลส่วนบุคคลต้องมีระยะเวลาการจัดเก็บที่จำกัด และไม่นานเกินความจำเป็นตามวัตถุประสงค์
- หลักการรักษาความสมบูรณ์และความลับ (Integrity and Confidentiality) ข้อมูลส่วนบุคคลต้องถูกประมวลผลโดยคำนึงถึงความมั่นคงปลอดภัยผ่านการใช้เทคโนโลยีและมาตรการที่เหมาะสม
- หลักความรับผิดชอบ (Accountability) เป็นหลักการสุดท้ายที่เพิ่มเติมเข้ามาในมาตราที่ 5(2) ระบุว่าคุณต้องรับผิดชอบดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และมีหลักฐาน/ข้อพิสูจน์ที่แสดงให้เห็นถึงการดำเนินการตามกฎหมาย/หลักการอื่น ๆ ที่กล่าวมาข้างต้นด้วย
หลักความรับผิดชอบ นับเป็นหลักการคุ้มครองข้อมูลส่วนบุคคลพื้นฐานที่จำเป็นต้องปฏิบัติตาม (แม้ไม่ได้มีเขียนระบุเอาไว้ใน PDPA อย่างชัดเจน) เพราะเมื่อเกิดการละเมิดข้อมูลส่วนบุคคล สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานที่ได้รับมอบหมายให้ดูแลคดี จะสามารถตรวจสอบย้อนหลังได้ว่าองค์กรดำเนินการตาม PDPA อย่างไรบ้าง เป็นหลักฐาน/ข้อพิสูจน์ความตั้งใจทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลขององค์กรอย่างเคร่งครัด ซึ่งส่งผลต่อการพิจารณาโทษขององค์กร (ที่อาจลดลง)
นอกจากนั้น คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังมีแนวโน้มที่จะประกาศระเบียบการคุ้มครองข้อมูลส่วนบุคคลของไทยในอนาคตตามแนวทางที่สหภาพยุโรปเคยดำเนินการอีกด้วย เพราะ PDPA มี GDPR เป็นแม่แบบ การเรียนรู้และพยายามดำเนินการอย่างสอดคล้องกับหลัก Accountability จึงมีประโยชน์ ช่วยในการเตรียมตัวคุ้มครองข้อมูลส่วนบุคคลขององค์กร โดยไม่เป็นการเสียเวลาเปล่าอย่างแน่นอน
องค์กรของคุณเตรียมพร้อมคุ้มครองข้อมูลส่วนบุคคล ตามหลักความรับผิดชอบมากแค่ไหน? คิดว่าเพียงพอหรือแล้วหรือยัง?
——————————
