พนักงานคุณพร้อมหรือยัง ? ‘การคุ้มครองข้อมูลส่วนบุคคลในองค์กร’ เรื่องด่วนที่ธุรกิจต้องพร้อมรับความเสี่ยงละเมิดกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : PDPA Thailand

พนักงานคุณพร้อมหรือยัง ? ‘การคุ้มครองข้อมูลส่วนบุคคลในองค์กร’ เรื่องด่วนที่ธุรกิจต้องพร้อมรับความเสี่ยงละเมิดกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : PDPA Thailand

Core Value หรือ ค่านิยมองค์กรที่เป็นเสมือนกรอบความคิดหลักเพื่อสร้าง Mindset ของคนในองค์กรให้มองไปที่ภาพเดียวกัน ทั้งในบางขณะยังเปรียบเป็นอัตลักษณ์เฉพาะ ที่ส่งผลต่อพฤติกรรมบางอย่างของผู้ปฏิบัติงานในองค์กรนั้นๆ หรือจะกล่าวแบบนิยายลึกลับก็คล้ายกับ ‘สะกดจิตหมู่’ เพื่อต้องการที่จะสร้างวัฒนธรรมการ ‘ตระหนักร่วม’ ส่วนสำคัญที่แต่ละองค์กรใช้เป็นเชื้อเพลิงในการสร้าง Passion ในการทำงานให้กับทุกคนในองค์กรได้ เช่น ความสามัคคี ความทันสมัย ความเป็นกันเอง ความมีน้ำใจ ความมุ่งมั่น ความมีอิสระทางความคิดและการแสดงจุดยืน สิ่งเหล่านี้เป็นเรื่องพื้นฐานที่แต่ละองค์กรต้องมี หากยังต้องทำงานกับมนุษย์ซึ่งไม่ใช่เครื่องจักร

 

PDPA เรื่องด่วนที่ธุรกิจต้องเทรนนิ่งพนักงาน

ภายใต้การประกาศใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA (Personal Data Protection Act) ค่านิยม หรือการสร้างวัฒนธรรมขององค์กรธุรกิจ หรือบริษัทต่างๆ จะต้องเพิ่ม ‘ค่านิยมการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร’ เข้าไปด้วย และหากมองในแง่ของกฎหมายและวัตถุประสงค์ในการบังคับใช้ก็เพื่อคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยและเป็นมาตรฐานสากลมากยิ่งขึ้น

ทั้งนี้ ข้อกำหนดของกฎหมาย PDPA กำหนดให้ผู้ควบคุมข้อมูล (Data Controller) รวมถึง ประมวลผลข้อมูล (Data Processor) โดยในที่นี้หมายถึงองค์กร หน่วยงาน สถานประกอบการ หรือบริษัทที่ทำการรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคล จำเป็นต้องกำหนดมาตรการที่เหมาะสม ทั้งในด้านเทคนิคและอุปกรณ์ ตลอดจนการส่งเสริมความรู้ให้กับพนักงานให้มีความรู้ ความเข้าใจ รวมถึงการวางกรอบแนวทางปฏิบัติที่เหมาะสมเพียงพอ เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล ทั้งจากภายนอก และสาเหตุที่เกิดจากบุคลากรภายในที่ทำงาน

ดังนั้น จะเห็นว่า ภายใต้การเดินหน้าบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หลายองค์กรธุรกิจต่างมีมาตรการด้านต่างๆ ในการเตรียมความพร้อมเพื่อให้สอดคล้องต่อกฎหมายใหม่ที่กำลังประกาศใช้

ทว่า กิจกรรมด้านการให้ความรู้พนักงาน การฝึกอบรม และแนวทางปฏิบัติ อาทิ หากเกิดกรณีการละเมิดข้อมูลส่วนบุคคลพนักงานในบริษัทควรทำอย่างไร แจ้งใคร จะป้องกันอย่างไร ซึ่งต้องสร้างค่านิยมองค์กรใหม่ ให้พนักงานทุกคนตระหนักว่า ‘ข้อมูลส่วนบุคคล กฎหมายคุ้มครอง และเป็นสิ่งที่ไม่ควรละเมิด’ แต่หากต้องการนำไปใช้ประโยชน์ ก็ควรจะมีการขออนุญาตจากเจ้าของไม่นำไปใช้นอกเหนือจากวัตถุประสงค์ที่เจ้าของข้อมูลไม่ได้ยินยอม ซึ่งสิ่งเหล่านี้ยังพบเห็นได้ไม่มากนักในสังคมและสถานประกอบการไทย

 

ข้อมูลส่วนบุคคล ธุรกิจพึงใช้อย่างระมัดระวัง

ปัญหาแรกของเจ้าของธุรกิจ พนักงานทราบหรือยังว่า ‘ข้อมูลส่วนบุคคล’ เป็นสินทรัพย์ที่กฎหมายคุ้มของความเป็นเจ้าของ และแน่นอนว่า แต่ละบริษัท ย่อมต้องมีข้อมูลพนักงาน ข้อมูลคู่ค้า ข้อมูลลูกค้า ตลอดจนข้อมูลต่างๆ ที่สามารถระบุตัวตนบุคคลได้ทั้งทางตรง เช่น ชื่อ รูปถ่าย เลขบัตรประจำตัว เลขบัญชีธนาคาร เลขภาษี ทะเบียนรถ เบอร์มือถือ อีเมล ไอดีไลน์ ไอดีเฟซบุ๊ก ลายนิ้วมือ ม่านตา ประวัติสุขภาพ ประวัติอาชญากรรม ข้อมูลพันธุกรรม และที่ระบุได้ทางอ้อม เช่น ที่อยู่ที่บ้าน ที่ทำงาน IP address, MAC address, Cookie ID วันเกิด เป็นต้น ที่เมื่อประกอบกับข้อมูลอื่นหรือสืบค้นย้อนกลับจะทำให้ระบุตัวตนของเจ้าของได้

โดยที่ผ่านมาจะเห็นว่าแต่ละบริษัทมีการเก็บข้อมูลต่าง ๆ เหล่านี้ไว้อย่างมากมายเพื่อใช้ประโยชน์ด้านการติดต่อสื่อสาร และกิจกรรมทางธุรกิจ
แต่ตามที่ระบุในข้างต้นว่า ภายใต้กฎหมาย PDPA ไม่เพียงมีเป้าหมายเพื่อคุ้มครองสิทธิ แต่ยังมีการกำหนดโทษทั้งทางแพ่ง อาญา และมีโทษทางปกครอง ซึ่งผู้ละเมิดอาจจะมีสิทธิ์ติดคุก 1 ปีและค่าปรับสูงสุด 5 ล้านบาท ยังไม่รวมค่าสินไหมทดแทนกรณีมีการฟ้องร้องเรียกว่าเสียหาย

ยกตัวอย่างที่เห็นได้ชัด อาทิ กรณี Big tech ของโลกทั้ง Google และ Facebook ก็เคยโดนโทษปรับเป็นเงินจำนวนมากจากการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป หรือ GDPR(General Data Protection Regulation) มาแล้ว ซึ่ง กฎหมาย PDPA ก็มีบรรทัดฐานเดียวกัน

 

สร้างค่านิยมใหม่ ‘ตระหนักรู้ ตระหนักใช้’ ข้อมูลส่วนบุคคลในองค์กร

ทุกคนเป็นเจ้าของข้อมูลส่วนบุคคลและมีกฎหมายคุ้มครอง ด้วยเหตุนี้ แนวทางในการสร้าง ‘ความตระหนักรู้’ ในการรวบรวม ใช้ หรือเผยแพร่ ภายในองค์กรธุรกิจจึงเป็นสิ่งที่หลีกเลี่ยงไม่ได้ การแก้ปัญหาเบื้องต้นในที่นี้ ธุรกิจอาจจะทำได้โดยการจัด Corporate Training เพื่อสื่อสารภายในด้านองค์ความรู้กฎหมาย PDPA ให้กับพนักงานภายในบริษัทตั้งแต่ ความรู้ทั่วไป จนถึงระดับที่มีความรู้ ความเข้าใจเฉพาะด้านได้เป็นอย่างดี และอาจจะดูที่ความเหมาะสมของการเทรนนิ่งตามแต่บทบาทหน้าที่ของพนักงานในตำแหน่งต่าง ๆ รวมทั้งการมี Core Value เพื่อผลักดันให้เป็น ค่านิยมที่พนักงานทุกคนจะต้องให้ความสำคัญ

ในขณะเดียวกัน ยังต้องสร้างค่านิยมใหม่ คือการ ‘ตระหนักใช้’ ในที่นี้หมายรวมถึงการรวบรวบ ใช้ และเผยแพร่ ตั้งแต่ กระบวนการได้มาซึ่งข้อมูล การจัดเก็บ จนไปถึงการนำไปใช้ประโยชน์ จะต้องได้รับความยินยอมจากเจ้าของข้อมูล หรือมีฐานทางกฎหมายที่เหมาะสม กำหนดวัตถุประสงค์ในการจัดเก็บข้อมูล ระยะเวลาในการจัดเก็บ และทำลาย วางมาตรการทางด้านเทคนิค และความปลอดภัยข้อมูลป้องกันการละเมิด การไม่ให้พนักงานที่ไม่มีส่วนเกี่ยวข้องสามารถเข้าถึงข้อมูลส่วนบุคคลภายในได้ ยกเว้นว่าจะได้รับอนุญาตเท่านั้น พื้นฐานเหล่านี้ก็เพื่อป้องกันความเสี่ยงที่บริษัทจะเกิดการละเมิดข้อมูลส่วนบุคคลอันจะนำมาซึ่งความยุ่งยากอีกมากในอนาคต

 

แนะกำหนดตัวบุคคลเพื่อเป็น ‘เสาหลักด้าน PDPA’ ในบริษัท

ว่ากันตามกฎหมาย PDPA อาจมีหลายธุรกิจที่ต้องมีการแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) คือต้องเป็นธุรกิจที่เป็นผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูล ที่มีข้อมูลส่วนบุคคลไม่น้อยกว่า 5 หมื่นราย/ปี หรือมีข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive data) ไม่น้อยกว่า 5 พันราย/ปี หรือธุรกิจที่มีการรวบรวม ใช้ เผยแพร่ ข้อมูลส่วนบุคคลอย่างเป็นประจำและต้องเนื่อง ซึ่งหากธุรกิจของคุณเข้าเกณฑ์ดังกล่าว ก็ต้องมีการจัดตั้งตำแหน่ง DPO ที่จะได้รับความคุ้มครองตามกฎหมาย

แต่หากเป็นธุรกิจรายขนาดเล็กและขนาดกลาง ที่ยังไม่ถึงขั้นต้องเพิ่มตำแหน่ง DPO แต่มีแนวโน้ม หรือมองว่ามีความสุ่มเสี่ยงและอ่อนไหวต่อการละเมิดข้อมูลส่วนบุคคล ก็อาจจะมีการเพิ่มบุคลากรในบางตำแหน่งได้เช่นกัน อาทิ ‘เจ้าหน้าที่ช่วยประสานด้านข้อมูลส่วนบุคคล’ ที่มีหน้าที่ในการวางแนวปฏิบัติในการจัดการข้อมูลส่วนบุคคลในบริษัทให้สอดคล้องกับหลักกฎหมาย และค่านิยมการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร รวมทั้งการกำหนดแผนงานป้องกันความเสี่ยง และการดำเนินการในกรณีเกิดการละเมิดซึ่งตามกฎหมายจะต้องแจ้งการละเมิดภายในไม่เกิน 72 ชั่วโมง

ดังนั้น การมีพนักงานที่มีหน้าที่ในการดูแลและจัดการความเสี่ยงด้าน PDPA จึงมีความสำคัญมากต่อการทำธุรกิจในยุคใหม่ ซึ่งอย่างที่บอกว่าในหลายประเทศทั่วโลกมีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมาก่อนแล้ว อาทิ สหภาพยุโรป สหราชอาณาจักร และสหรัฐอเมริกาและได้เกิดกรณีฟ้องร้องเรื่องการละเมิดข้อมูลส่วนบุคคลในองค์กรธุรกิจหลายๆ ราย และในไม่ช้าภาพเหล่านั้นจะเกิดขึ้นในประเทศไทยด้วย และด้วยเหตุนี้ ย่อหน้าสุดท้ายจึงต้องถามย้ำอีกว่า

“บริษัทคุณอาจพร้อมแล้ว …แต่พนักงานของคุณพร้อมหรือยัง?”

Share :