พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 มีจุดมุ่งหมายเพื่อ กำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของประเทศให้หน่วยงาน ทั้งภาครัฐ เอกชน รวมถึงประชาชนทั่วไป โดยนับเป็นหนึ่งในชุดกฎหมายดิจิทัลเพื่อยกขีดจำกัดความสามารถในการแข่งขันของประเทศไทยให้มีความเข้มแข็ง รวมทั้งเสริมสร้างความเชื่อมั่นให้กับสังคมในการใช้บริการออนไลน์ในชีวิตประจำวัน
ทุกองค์กรจำเป็นต้องทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (ในระดับแตกต่างกัน) มิเช่นนั้นอาจโดนระวางโทษทางปกครองปรับสูงสุด 5 ล้านบาท โทษทางอาญาปรับสูงสุด 1 ล้านบาท หรือจำคุกสูงสุด 1 ปี หรือทั้งจำทั้งปรับ และโทษทางแพ่งที่ต้องชดใช้ค่าเสียหายให้กับเจ้าของข้อมูลส่วนบุคคล และศาลอาจสั่งสินไหมลงโทษเพิ่มได้อีกเป็น 2 เท่า เป็นกฎหมายที่กระเทือนองค์กรต่าง ๆ ได้ไม่น้อยเลยและเพื่อทำตามกฎหมาย PDPA ฉบับนี้ องค์กรต้องปรับตัวกันเยอะมาก ๆ มีทั้งสิ่งที่ต้องทำเพิ่ม และสิ่งที่ต้องเททิ้ง จะเป็นอะไรบ้างไปดูกัน
10 เรื่องที่องค์กร ‘ควรทำ’ เพื่อรองรับกฏหมาย PDPA
- ตั้งคณะทำงาน Data Protection ประกอบด้วยผู้บริหาร และหัวหน้า หรือผู้มีอำนาจในแต่ละแผนก เพื่อช่วยอำนวยความสะดวกให้การจัดการข้อมูล การปรับเปลี่ยนกระบวนการ ตลอดจนเอกสารและระบบต่าง ๆ ให้เป็นไปอย่างราบรื่นและถูกหลักกฎหมาย PDPA
- Data Classification แยก หรือ จำแนก ข้อมูลส่วนบุคคล โดยจะต้องมีการจำแนกแยกการเก็บข้อมูลอย่างเป็นระบบโดยแบ่งข้อมูลออกเป็น 2 ประเภท ได้แก่ ข้อมูลส่วนบุคคล (Personal Data) เเละข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) (PDPA มาตรา 26) และจะได้รู้ด้วยว่าข้อมูลส่วนบุคคลอยู่ตรงไหนบ้าง ไหลจากไหนไปไหน จะได้ดำเนินการคุ้มครองได้อย่างครอบคลุมในสเต็ปถัดไป
- Privacy Policy จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล โดยมีเนื้อหาที่เกี่ยวข้องกับความเป็นส่วนตัวของเจ้าของข้อมูล เนื้อหาที่องค์กรจัดทำต้องมีความชัดเจน ครบถ้วน อาจต้องขอคำปรึกษาจากผู้เชี่ยวชาญด้านกฎหมาย
Privacy Notice สามารถเรียกอีกชื่อนึงว่า “นโยบายความเป็นส่วนตัว” โดยจะแจ้งนโยบายแก่กลุ่มต่าง ๆ ที่เกี่ยวข้อง คือคำประกาศถึงเจ้าของข้อมูลที่กล่าวถึงวิธีการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล
- RoPA (Record of Processing Activities ) คือการบันทึกกิจกรรมที่เกี่ยวกับข้อมูลส่วนบุคคล เพื่อให้เราสามารถเข้าไปตรวจสอบความถูกต้อง และตรวจสอบกิจกรรมการประมวลผลได้อย่างง่าย และเป็นระบบ และหากมีกรณีการละเมิดข้อมูลขึ้นมา หรือได้รับร้องเรียนและมีหน่วยงานกำกับดูแลด้านข้อมูลส่วนบุคคลเข้ามาตรวจสอบ การทำ RoPA ถือเป็นเครื่องมือที่ช่วยพิจารณาลดโทษเนื่องจากเป็นหลักฐานว่าทางบริษัทได้ทำตามกฎหมายแล้ว
- Update สัญญาระหว่างองค์กร กับพนักงาน คู่ค้า ลูกค้า องค์กรจำเป็นต้องมีการอัปเดตสัญญาการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่ว่าจะในฐานะพนักงานภายในองค์กร คู่ค้า หรือลูกค้า เพื่อแลกเปลี่ยนตามวัตถุประสงค์หรือธุรกรรมที่ทำร่วมกัน โดยจำเป็นต้องใช้ข้อมูลส่วนบุคคล และต้องมีการแจ้งว่าทางองค์กรมีมาตรการการคุ้มครองที่เหมาะสมกับเจ้าของข้อมูลแนบกับสัญญาไปด้วย
- Consent Form ฟอร์มการขอความยินยอมจากลูกค้า ฟอร์มนี้จะถูกส่งไปยังเจ้าของข้อมูลเพื่อให้ลูกค้าทราบเงื่อนไข และเลือกว่าจะยินยอมให้ทางองค์กรสามารถใช้ข้อมูลฯส่วนไหนบ้าง สำคัญโดยเฉพาะอย่างยิ่งกับการนำข้อมูลไปวิเคราะห์ทางการตลาด
- Cookie consent banner การส่งขอความยินยอม cookie เป็นการขอความยินยอมเพื่อจัดเก็บไฟล์คุกกี้ และข้อมูลต่างๆ จากผู้ใช้งานเว็บไซต์ ซึ่งถือเป็นข้อมูลส่วนบุคคลประเภทหนึ่งที่ เจ้าของเว็บไซต์ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ต้องขอความยินยอมจากเจ้าของข้อมูลตามกฎหมาย PDPA
- Training / Awareness อบรมบุคคลการในองค์กร การฝึกอบรมจะทำให้พนักงานตระหนักรู้ภาพรวมของกฎหมาย PDPA ที่เกี่ยวข้อง นอกจากนี้ยังสามารถปรับรูปแบบการทำงานของแต่ละแผนกให้เข้ากับ PDPA ได้
- ระบบ DSR และช่องทางการขอใช้สิทธิในข้อมูลส่วนบุคคลตามกฎหมาย กฎหมาย PDPA ระบุไว้ให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนบุคคลของตนเอง โดยอาจขอเข้าถึง ระงับ แก้ไข ถอนความยินยอม ฯลฯ องค์กรจำเป็นต้องมีระบบการจัดการการขอใช้สิทธิ (Data Subject Request; DSR) และมีช่องทางให้เจ้าของข้อมูลสามารถส่งคำขอใช้สิทธิได้ทุกเมื่อ จึงถือเป็นการทำตามข้อกำหนด PDPA อย่างมีประสิทธิภาพ
- แต่งตั้ง DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือเรียกสั้น ๆ ว่า DPO (Data Protection Officer) มีหน้าที่สำคัญในการจัดการและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเพื่อช่วยให้องค์กรนั้นสามารถดำเนินงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA อีกทั้งเป็นตำแหน่งที่กฎหมาย PDPA กำหนดให้บางองค์กรที่เข้าเกณฑ์ จะต้องแต่งตั้งเจ้าหน้าที่ DPO ขึ้นด้วย สำหรับเกณฑ์ขององค์กรที่จำเป็นต้องมี DPO คลิก PDPA Focus: องค์กรแบบไหนต้องมี DPO ใช่คุณหรือเปล่า?
10 เรื่องที่องค์กร ‘ควรเท’ ก่อนจะเจ็บหนักจากกฎหมาย PDPA
- เก็บข้อมูลโดยไม่มีฐานทางกฎหมายรองรับ การที่องค์กรจะเก็บรวบรวม หรือนำข้อมูลส่วนบุคคลไป ใช้ หรือเผยแพร่ต่อจำเป็นต้อง พิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล หากไม่มีฐานทางกฎหมายในการเก็บ/ใช้ข้อมูล เมื่อโดนตรวจสอบจะถือว่าเอาข้อมูลส่วนบุคคลมาใช้โดยไม่ชอบ โดยฐานทางกฎหมายในการเอาช้อมูลมาใช้มีอยู่ด้วยกัน 7 ฐานก็คือ ฐานความยินยอม (Consent) ฐานพันธะสัญญา (Contract) ฐานหน้าที่ผูกมัดตามกฎหมาย (Legal Obligation) ฐานประโยชน์ที่สำคัญแห่งชีวิต (Vital Interests) ฐานภารกิจของรัฐ (Public Interest) ฐานประโยชน์อันชอบธรรม (Legitimate Interests) และฐานจดหมายเหตุ/วิจัย/สถิติ (Archives/Research/Statistic) อ่านอย่างละเอียดที่ แนะ 7 ฐานทางกฎหมาย ประมวลผลข้อมูล “ผ่านฉลุย” ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
- เก็บข้อมูลนานเกินความจำเป็น ตามกฏหมาย หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลจำเป็นต้องกำหนดระยะเวลาการทำลายข้อมูลด้วย เนื่องจากข้อมูลส่วนบุคคลเป็นสิ่งที่ยืมมา ดังนั้นเมื่อครบกำหนดหรือบรรลุวัตถุประสงค์ องค์กรจำเป็นจะต้องทำลายทิ้ง
- เอาข้อมูลไปแอบขายต่อ อย่างที่ทราบมาข้างต้น ข้อมูลส่วนบุคคลเป็นสิ่งที่ยืมมาดังนั้นการนำข้อมูลฯไปเผยแพร่ต่อ หรือขายเพื่อทำกำไรถือเป็นสิ่งต้องห้าม ถือว่าเผยแพร่ข้อมูลเพื่อผลประโยชน์ที่ไม่ชอบด้วยกฎหมาย ส่วนนี้โดนโทษหนักแน่ถึงขั้นโดนโทษทางอาญา
- อนุญาตให้ใคร ๆ ในองค์กรก็มีสิทธิการเข้าถึงข้อมูลทางดิจิทัล ข้อมูลส่วนบุคคล คือข้อมูลที่สามารถระบุตัวตนได้ดังนั้นองค์กรจำเป็นต้องจำกัดสิทธิการเข้าถึง เพื่อความปลอดภัย และป้องกันโอกาสข้อมูลส่วนบุคคลหลุดหายหรือถูกละเมิด โดยควรอนุญาตให้เข้าถึงได้เฉพาะผู้ที่เกี่ยวข้องหรือจำเป็นต้องใช้งานข้อมูลนั้นเท่านั้น
- พนักงานมีวัฒนธรรมหละหลวมด้านดูแลข้อมูล การเก็บเอกสารกระดาษแบบไม่ดูแล เช่น วางข้อมูลลูกค้า คู่ค้า ไว้บนโต๊ะใคร ๆ ก็อ่านได้ รวมไปถึงไม่ Log out หน้าจอ เพียงแค่นี้ก็สามารถทำให้ข้อมูลฯหลุด นำไปสู่การฟ้องร้องค่าเสียหายต่อบริษัทได้
- เก็บรวบรวมข้อมูลเกินความจำเป็นที่ต้องใช้ เช่น การที่บริษัทมีการเก็บสำเนาบัตรประชาชน เพื่อความปลอดภัย แต่ในบัตรประชาชนมี ข้อมูลศาสนาบนบัตร ซึ่งถือเป็นข้อมูลส่วนบุคคลประเภทออ่อนไหว และไม่จำเป็นต่อวัตถุประสงค์ในการรวบรวม
- เอาข้อมูลไปใช้เกินวัตถุประสงค์ องค์กรไม่ควรใช้ข้อมูลเกินขอบข่ายวัตถุประสงค์ที่แจ้งไว้แต่แรกเมื่อเก็บรวบรวมข้อมูลส่วนบุคคล เช่น เก็บข้อมูลบัตรประชาชนผู้มาติดต่อ และแจ้งกับเจ้าของข้อมูลว่ามีการจัดเก็บเพื่อความปลอดภัย แต่ในอนาคตกลับมีการเอาไปใช้เสนอขายสินค้า ทั้งนี้ถึงแม้จะมีการขอคความยินยอมแล้วแต่แรก (ในวัตถุประสงค์หนึ่ง) แต่นำไปใช้ผิดวัตถุประสงค์ที่ขอไว้เดิม แบบนี้ก็ถือว่าผิดกฏหมาย PDPA
- Cyber Security ขั้นพื้นฐานไม่อัปเดตให้เหมาะสม ความปลอดภัยทางระบบไซเบอร์ถือเป็นหนึ่งในสิ่งสำคัญของรากฐานความมั่นคงของการรวบรวมข้อมูลฯ เพราะในปัจจุบันการเก็บรวบรวมข้อมูลก็แทบจะอยู่ในฐานข้อมูลไซเบอร์ทั้งสิ้น ดังนั้น การวางระบบCyber Security ให้แข็งแรง และทันสมัยอยู่เสมอเป็นสิ่งที่ไม่ควรมองข้าม
- Reuse กระดาษหรือเอกสารที่มีข้อมูลส่วนบุคคลอยู่มาใช้งาน ถึงแม้บริษัทจะมีนโยบายรักษ์โลก แต่เราไม่สามารถนำกระดาษที่มีข้อมูลส่วนบุคคลมาใช้ต่อได้ ดังนั้นหากกระดาษนั้นมีข้อมูลฯ ทางบริษัทจำเป็นต้องทำลาย หรือทำให้ไม่สามารถระบุตัวตนได้เท่านั้น
- ถ่าย CCTV สถานที่ไม่สมควร และโดยไม่มีการแจ้งเตือน ความปลอดภัยของบริษัทเป็นเรื่องสำคัญ แต่ความเป็นส่วนตัวก็สำคัญไม่แพ้กัน การติดกล้องวงจรปิด หรือ ถ่าย CCTV จำเป็นต้องกำหนดความเหมาะสมในแต่ละสถานที่ รวมถึงจำเป็นต้องติดป้ายแจ้งต่อบุคคลนั้นๆด้วย ไม่อย่างนั้นจะถือว่ามีความผิดโทษฐานละเมิดความเป็นส่วนตัวของผู้ที่ใช้บริการสถานที่
เมื่ออ่านจบ องค์กรคงรู้แล้วนะครับ ว่าสิ่งไหน ‘ควรทำ’ และ ‘ไม่ควรทำ’ ภายใต้กฎหมาย PDPA แนะนำว่าให้ค่อย ๆ ปรับกันไปทีละข้อ ถึงแม้จริง ๆ แล้วยังมีรายละเอียดอีกมากที่องค์กรจะต้องเข้าไปดูแล หากยังไม่เข้าใจ อยากเรียนรู้ หรือกำลังตามหาบริการด้าน PDPA ที่ช่วยให้บริษัทของคุณทำถูกต้องตามกฎหมาย คลิก!
