7 ตุลาคม 2021

7 แนวทางเชิงรุกที่ธุรกิจต้องเริ่มก่อนการบังคับใช้ PDPA

ในยุค Data First ‘ข้อมูล’ ถือเป็นปัจจัยสำคัญที่ช่วยเพิ่มโอกาสความสำเร็จมาสู่ธุรกิจ หลายองค์กรจึงพยายามรวบรวมข้อมูลไว้ใช้ประโยชน์ให้ได้มากที่สุด ทว่า องค์กรเคยพิจารณาถึงข้อมูลมากมายที่จัดเก็บไว้หรือไม่ว่า ประกอบด้วยข้อมูลประเภทใดและเป็นของใครบ้าง รวมถึงที่ผ่านมา ข้อมูลเหล่านั้นถูกนำไปใช้อย่างเหมาะสม หรือผ่านการยินยอมจากผู้เป็นเจ้าของข้อมูลหรือไม่ ? ซึ่งนี่คือสิ่งสำคัญที่องค์กรในยุคแห่งข้อมูลต้องตระหนักรู้และระวังให้ดี เพราะการบริหารจัดการข้อมูลที่ผิดพลาดหรือการนำข้อมูลไปใช้โดยไม่ได้รับความยินยอมนั้น อาจทำให้องค์กรของคุณมีความผิดฐานละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA โดยไม่รู้ตัว

PDPA คืออะไร และทำไมต้องให้ความสำคัญ ?

‘PDPA: Personal Data Protection Act’ หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 คือ กฎหมายที่มีเจตนารมณ์เพื่อคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ และรับรองสิทธิแก่เจ้าของข้อมูลส่วนบุคคล ตลอดจนกำหนดมาตรการการเยียวยาเจ้าของข้อมูลส่วนบุคคลหากเกิดเหตุละเมิดอย่างเหมาะสม โดยส่งผลตั้งแต่การรวบรวม จัดเก็บ ใช้ และเผยแพร่ข้อมูลส่วนบุคคล ในระดับหน่วยงาน องค์กร ทั้งภาครัฐและเอกชน ซึ่งเป็นกฎหมายที่ผู้ประกอบธุรกิจต้องทำความเข้าใจให้ดี เพราะหากพลาดไปแม้เพียงก้าวเดียวก็อาจสร้างความเสียหายที่มากมายได้

สำหรับข้อมูลส่วนบุคคลตามบทบัญญัติของ PDPA แบ่งออกเป็น 2 ประเภท ได้แก่

  • ข้อมูลส่วนบุคคล เช่น ชื่อ สกุล อายุ เลขบัตรประจำตัวประชาชน 13 หลัก ที่อยู่ เบอร์โทรศัพท์
  • ข้อมูลอ่อนไหว เช่น ศาสนา กรุ๊ปเลือด โรคประจำตัว แนวคิดทางการเมือง

ทำความเข้าใจกับ 7 แนวทางเชิงรุกในการทำ PDPA ที่องค์กรต้องเริ่ม !

การเริ่มต้นทำ PDPA นั้นอาจไม่ใช่เรื่องง่ายนัก และจำเป็นที่จะต้องเริ่มพร้อมกันทั่วทั้งองค์กร แต่ก็เป็นสิ่งที่ทุกองค์กร ‘ต้องทำ’ ซึ่งเริ่มตั้งแต่การสร้างระบบ กำหนดแนวปฏิบัติ และแบ่งหน้าที่ความรับผิดชอบกันอย่างชัดเจน หากยังไม่รู้จะเริ่มอย่างไร มาลองทำตามคำแนะนำจากประสบการณ์ตรงขององค์กรที่เป็นเรือธงในการทำ PDPA อย่าง สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ไปพร้อมกัน


เพื่อแสดงรายละเอียดข้อมูลที่ต้องใช้ โดยเริ่มจากการตอบคำถามให้ได้ว่า ข้อมูลที่รวบรวมไว้จะถูกใช้เพื่อจุดประสงค์ใด ใครเป็นผู้ดูแล และมีวิธีดูแลอย่างไรเพื่อป้องกันข้อมูลรั่วไหล รวมถึงป้องกันการกระทำผิดเกี่ยวกับข้อมูลตามกฎหมาย

 


ทั้งหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) รวมถึงจัดตั้งฝ่ายกำกับดูแลผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ที่เป็นบุคคลภายนอก ซึ่งในส่วนนี้อาจแตกต่างกันไปในแต่ละองค์กร

 


โดยพิจารณาให้สอดคล้องกับหลักกฎหมาย และกำหนดเป็นมาตรฐานการใช้ข้อมูลเดียวกัน อาทิ นโยบายความเป็นส่วนตัว (Privacy Policy) เอกสารการขอคำยินยอมจากเจ้าของข้อมูล (Consent Form) ที่ชี้แจงถึงรายละเอียดในการนำข้อมูลไปใช้ ควบคู่กับแนวทางการรักษาและจัดเก็บข้อมูล เพื่อสร้างความมั่นใจแก่เจ้าของข้อมูล (Data Subject)

 


องค์กรต้องมีแนวทางที่ชัดเจนในการเก็บรักษาข้อมูลประเภทต่าง ๆ ภายใต้เป้าหมายหลักนั่นก็คือ การรักษาความปลอดภัยของข้อมูล หรือ Data Security หัวใจสำคัญของ PDPA

 

 


ในส่วนนี้อาจจำเป็นต้องใช้เวลา หรือผู้เชี่ยวชาญให้เข้ามาช่วยดูแล ซ่อมแซม รวมถึงพัฒนาระบบรวบรวมข้อมูลให้มีมาตรฐานและปลอดภัย สร้างความมั่นใจแก่ทุกฝ่าย

 

 


บุคคลสำคัญที่กฎหมายระบุไว้ว่าทุกองค์กรต้องมี โดยจะรับหน้าที่เป็นผู้อำนวยความสะดวกระหว่างองค์กรกับเจ้าของข้อมูลให้เป็นไปอย่างราบรื่น และถูกต้องตามหลักกฎหมาย

 

 


ซึ่งถือเป็นสิ่งที่มีความสำคัญมากที่สุด เพราะหากคนในองค์กรขาดความรู้ความเข้าใจแล้ว ก็ย่อมเป็นไปไม่ได้เลยที่จะก้าวไปสู่ขั้นตอนอื่น ๆ และคงไม่สามารถผลักดันให้การบริหารจัดการข้อมูลส่วนบุคคลอย่างถูกต้องตาม PDPA เกิดผลสำเร็จได้

 

 

เพราะ PDPA ไม่ใช่แค่เทรนด์ หรือ กระแสที่ผ่านมาแล้วผ่านไป แต่คือกฎหมายที่มีผลบังคับใช้ และมีบทลงโทษแก่ผู้ฝ่าฝืน ทั้งทางแพ่ง อาญา และปกครอง ซึ่งในปัจจุบัน PDPA ได้มีผลบังคับใช้ไปแล้วในบางหมวด โดยจะมีการพิจารณาเพิ่มเติมก่อนประกาศใช้ทั้งฉบับ ในวันที่ 31 พฤษภาคม พ.ศ.2565 ช่วงเวลาระหว่างนี้ไม่ใช่ช่วงเวลาแห่งการรอคอย แต่เป็นช่วงเวลาสำคัญที่องค์กรควรเร่งเตรียมความพร้อมในการบริหารจัดการข้อมูลส่วนบุคคลอย่างรอบด้าน สอดรับกับบทบัญญัติของ PDPA เพื่อก้าวสู่การเป็นองค์กรที่มีความมั่นคง สามารถสร้างความเชื่อมั่นแก่ลูกค้าหรือผู้มีส่วนได้ส่วนเสียได้อย่างมีประสิทธิภาพ

ที่มา : งานสัมมนา “PDPA Executive Practices Sharing เผยกลยุทธ์ความสำเร็จการจัดการข้อมูลส่วนบุคคลขององค์กรชั้นนำ” หัวข้อ PDPA ภายใต้สถานการณ์ที่เปลี่ยนไป: จะตั้งรับหรือจะรุก ? โดย  อาจารย์กำพล ศรธนะรัตน์ DPO และที่ปรึกษาด้าน Digital transformation และ ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง อาจารย์คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

….

หลักสูตรอบรม Inhouse Training




Writer

ส่วนสื่อสารองค์กร

ฝ่ายกลยุทธ์และการตลาด
สถาบันเพิ่มผลผลิตแห่งชาติ