ภายใต้เส้นตายของการบังคับใช้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทำให้องค์กรธุรกิจต่างเร่งปรับตัวเพื่อดำเนินการให้สอดคล้องกับกฎหมายนี้ และอีกหนึ่งธุรกิจที่มีการดำเนินการในลักษณะสุ่มเสี่ยงละเมิดข้อมูลส่วนบุคคลได้ง่าย นั่นคือ ‘บริษัทรักษาความปลอดภัย’
แต่ก่อนจะเข้าเรื่องกฎหมาย PDPA เรามาดูกันก่อนว่า ทำไม่ถึงบอกว่า บริษัทรักษาความปลอดภัยเสี่ยงละเมิดกฎหมาย PDPA เพราะเนื่องจากรูปแบบการดำเนินธุรกิจที่เกี่ยวข้องกับการเก็บข้อมูลส่วนบุคคล (Personal Data) และเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) รวมทั้งมาตรการักษาความปลอดภัย ‘บางอย่าง’ ก็สามารถนำไปสู่กรณีละเมิดที่นำไปสู่การฟ้องร้องดำเนินคดีทั้งในลักษณะทางแพ่ง และความผิดทางอาญาได้ง่าย เช่น
- บริษัทรักษาความปลอดภัยมีการเก็บข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหวของพนักงาน อาทิ ประวัติอาชญากรรม ลายนิ้วมือ
- บริษัทรักษาความปลอดภัยมีการติดกล้องวงจรปิดในสถานที่ทำงาน และสถานที่ส่วนบุคคลของลูกค้าที่ให้บริการ
- บริษัทรักษาความปลอดภัยมีการเก็บและส่งต่อข้อมูลส่วนบุคคลที่มีการจัดเก็บแก่บุคคลที่สาม เช่น ข้อมูลพนักงาน ข้อมูลลูกค้าที่ให้บริการ ซึ่งอาจรวมถึงการเก็บข้อมูลจากบุคคลที่สาม ซึ่งเป็นลักษณะการเก็บจากแหล่งอื่น โดยที่เจ้าของข้อมูลก็อาจจะไม่ทราบ ยกตัวอย่างให้เห็นภาพง่ายๆ อาทิ ข้อมูลลูกบ้านในโครงการ ข้อมูลผู้อยู่อาศัยในคอนโดมิเนียม ข้อมูลพนักงานในบริษัทลูกค้าหรือที่มีผู้ว่าจ้าง ข้อมูลบุคคลทั่วไปที่เข้าชมงานแสดงดนตรี
- บริษัทรักษาความปลอดภัยเข้าข่ายธุรกิจที่มีการจัดเก็บข้อมูลเป็นจำนวนมาก โดยนิยามของคำว่า ‘ข้อมูลจำนวนมาก’ ในที่นี้อ้างอิงจากกฎหมาย PDPA ที่ระบุว่า บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000 ราย
- รวมถึงการดำเนินการของบริษัทรักษาความปลอดภัยที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอื่นๆ อาทิ ข้อมูลคู่ค้า –คู่สัญญา
ดังนั้นจะเห็นว่า รูปแบบการดำเนินธุรกิจของบริษัทรักษาความปลอดภัยจึงมีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลให้หลากหลายกิจกรรม แต่ถึงกระนั้น บริษัทรักษาความปลอดภัยซึ่งจัดตั้งและขออนุญาตดำเนินธุรกิจภายใต้ประมวลกฎหมายแพ่งและพาณิชย์ มีสถานะที่กฎหมายคุ้มครองจากพระราชบัญญัติธุรกิจรักษาความปลอดภัย พ.ศ. 2558 ทำให้การดำเนินการโดยทั่วไปจึงสามารถอ้างอิงว่า เป็นการดำเนินการที่ ‘ถูกต้องและชอบด้วยกฎหมาย’ ตีความได้ว่า เป็นธุรกิจที่สามารถใช้ ‘ฐานกฎหมาย’ และ ‘ฐานประโยชน์โดยชอบธรรม’ ในการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้
แต่ถึงอย่างนั้น ผู้ประกอบธุรกิจรักษาความปลอดภัยจะต้องทราบว่า กฎหมายไทยให้น้ำหนักที่ ‘เจตนา’ และ‘การตีความ’ จากพฤติการณ์ที่เกิดขึ้น ดังนั้นแม้ฐานกฎหมาย และฐานประโยชน์โดยชอบธรรมในการดำเนินกิจกรรมทางธุรกิจจะอนุญาตให้ทำได้ แต่หากการดำเนินการนั้น เกิดขึ้นในลักษณะที่กฎหมาย ‘ขีดเส้นใต้’ ไว้ ไม่ว่าจะเป็น ในลักษณะจงใจ หรือประมาทเลินเล่อก็ตาม ซึ่งจะไม่เพียงแค่ผิดกฎหมายอาญา ถูกฟ้องร้องเรียกค่าสินไหมจากคดีแพ่ง และอาจจะโดนโทษทางปกครองจากกฎหมาย PDPA ร่วมด้วย
มาดูกัน! บริษัทรักษาความปลอดภัย (อาจจะ) ทำผิดกฎหมาย PDPA ลักษณะใดบ้าง
- ข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหว เกิดการรั่วไหล หรือมีการนำข้อมูลดังกล่าวไปใช้ในวัตถุประสงค์อื่นๆ โดยเฉพาะข้อมูลอาชญากรรม หรือข้อมูลการต้องโทษของพนักงานที่เสี่ยงต่อการก่อให้เกิดความเกลียดชัง เสียชื่อเสียง เสียสิทธิ หรือได้รับการปฏิบัติอย่างไม่เป็นธรรมได้
- ติดกล้องวงจรปิดโดยไม่ได้จัดทำ CCTV Notice เพื่อแจ้งให้ทราบว่าบริษัทได้มีการติดกล้องวงจรปิดเพื่อประโยชน์ในด้านต่างๆ
- มีการเก็บข้อมูลส่วนบุคคลจากแหล่งอื่น หรือส่งต่อข้อมูลส่วนบุคคลแก่บุคคลที่สาม หรือส่งต่อข้อมูลไปต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
- ตรวจสอบข้อมูลอาชญากรรมด้วยตนเอง หรือทำโดยที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้การยินยอม
- เก็บข้อมูลส่วนบุคคลของพนักงาน ลูกค้า คู่สัญญา รวมถึงบุคคลภายนอกเป็นจำนวนมาก ก็เข้าข่ายลักษณะการเก็บข้อมูลส่วนบุคคลที่ ‘เกินความจำเป็น’ อาจนำไปสู่การรั่วไหลหรือละเมิดได้ง่าย
- ไม่มีมาตรการในการรักษาความปลอดภัยของข้อมูลที่เหมาะสมกับความเสี่ยง
- การเก็บข้อมูลเป็นจำนวนมาก แต่ไม่ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภายในองค์กร (DPO)
![](https://pdpathailand.com/wp-content/uploads/2022/07/23-01-642x1024.jpg)
10 เรื่องที่บริษัทรักษาความปลอดภัย ‘ต้องทำ’ หากไม่อยากเดือดร้อนจากกฎหมาย PDPA
1.ข้อตกลงความยินยอม (Consent) ในการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหว แก่ ผู้สมัครงาน พนักงาน ตลอดจนบุคลากรที่เกี่ยวข้อง
2.นโยบายความเป็นส่วนตัว (Privacy Policy) และประกาศความเป็นส่วนตัว (Privacy Notice)หากธุรกิจมีเว็บไซต์ที่มีการจัดเก็บคุกกี้ (Cookie) จะต้องทำ Cookie Policy ด้วย
3.บันทึกรายการข้อมูลส่วนบุคคล (Record of Processing Activities :RoPA) เช่น วัตถุประสงค์ แหล่งที่เก็บ ใช้หรือเปิดเผยข้อมูลส่วนบุคคล การเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม
4. จัดทำป้าย CCTV Notice และคำประกาศเกี่ยวกับความเป็นส่วนตัวในการใช้กล้องวงจรปิด (CCTV Privacy Notice) เพื่อแจ้งให้ทราบว่าบริษัทได้มีการติดกล้องวงจรปิดเพื่อประโยชน์ในด้านต่างๆ
5.แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) บริษัทที่เก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลเป็นจำนวนมาก หรือดำเนินกิจกรรมที่มีความเสี่ยงต่อการละเมิดหรือเสี่ยงละเมิดกฎหมาย PDPA ระบุว่าจะต้องแต่งตั้ง DPO ภายในองค์กร หรือบุคคลภายนอกที่มีคุณสมบัติตรงตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลรับรอง
6.จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล หากองค์กรธุรกิจคุณมีการแบ่งบันหรือส่งต่อข้อมูลส่วนบุคคลให้กับคู่ค้าหรือบุคคลภายนอก จะต้องมีการจัดทำข้อตกลงในการใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
7. ดำเนินการด้านสิทธิแก่เจ้าของข้อมูลส่วนบุคคล บริษัทรักษาความปลอดภัยจะต้องมีการจัดทำระบบเพื่อการเข้าถึงข้อมูลส่วนบุคคลเพื่อประโยชน์แก่เจ้าของข้อมูลในด้านการเข้าถึง และใช้สิทธิ ขอให้แก้ไข ระงับ ลบทำลาย หรือยกเลิกคำยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยผ่านช่องทางที่เข้าถึงได้ง่าย และสะดวก
8.รักษาความปลอดภัยของข้อมูลส่วนบุคคล โดยบริษัทจะต้องดำเนินการด้านการทั้งด้านอุปกรณ์และเจ้าหน้าที่เพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมกับความเสี่ยง
9.ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA (Data Protection Impact Assessment) โดยจัดทำแบบประเมินโดยการสำรวจและวิเคราะห์ข้อมูลส่วนบุคคลเพื่อประเมินความเสี่ยงที่ธุรกิจอาจจะต้องเจอในรูปแบบต่างๆ
10. ปรับปรุง ทบทวน หรือแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคลอยู่เสมอ เพื่อให้การดำเนินกิจกรรมของบริษัทและเงื่อนไขต่างๆ ได้มีการอัปเดตข้อมูลอยู่เสมออันจะนำไปสู่มาตรการป้องกันความเสี่ยงละเมิดกฎหมาย PDPA อย่างเหมาะสม
อย่างไรก็ตาม บริษัทรักษาความปลอดภัย ควรระลึกอยู่เสมอว่า ‘ข้อมูลส่วนบุคคลควรเก็บเท่าที่จำเป็นต้องใช้’ เพราะไม่เพียงเป็นต้นทุนทางธุรกิจ แต่บางขณะก็อาจจะเป็น ‘หายนะ‘ ของธุรกิจได้เช่นกัน บริษัทจึงควรมีการจัดเก็บข้อมูลส่วนบุคคลที่เหมาะสมและจำเป็นตามกิจกรรม รวมทั้งการจัดทำข้อมูลให้เป็น ‘นิรนาม’ ในกรณีที่ข้อมูลนั้นยังมีความจำเป็นต้องจัดเก็บอยู่แต่อาจจะไม่ต้องมีรายละเอียดที่สามารถระบุตัวตนของบุคคลนั้นได้ ก็เป็นอีกแนวทางที่ควรดำเนินการ เพื่อให้การกิจกรรมของบริษัทรักษาความปลอดภัยมีมาตรฐานตามกฎหมาย PDPA ซึ่งมองว่าเกิดประโยชน์ทั้งในมุมของบริษัทและลูกค้าผู้ใช้บริการอีกด้วย