ใกล้เข้ามาทุกทีสำหรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เพื่อให้แน่ใจว่าองค์กรของท่านมีความพร้อมมากน้อยเพียงใด วันนี้เราได้สรุปเฉพาะประเด็นสำคัญๆ ที่ห้ามพลาดมาให้ ณ ที่นี้แล้ว
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ Thailand’s Personal Data Protection Act B.E. 2562 (PDPA) ถือว่าเป็นวาระแห่งชาติที่กำลังอยู่ในโค้งสุดท้ายก็ว่าได้ เนื่องจากกฎหมายนี้จะมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 27 พ.ค. 2563 เพื่อยกระดับมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคลให้เทียบเท่าข้อบังคับสากลและกฎหมายของต่างประเทศ เช่น GDPR ทั้งนี้พ.ร.บ.ฯ ดังกล่าวเป็นกฎหมายเพื่อใช้บังคับในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตลอดจนสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ทั้งนี้ข้อมูลส่วนบุคคลดังกล่าว หมายถึงข้อมูลซึ่งอยู่ในราชอาณาจักรไทย ไม่ว่าการกระทำนั้นได้กระทำในหรือนอกราชอาณาจักรก็ตาม
ตลอดระยะเวลาเกือบหนึ่งปีที่ผ่านมา ทุกหน่วยงานทั้งภาครัฐและเอกชนต่างเร่งเตรียมความพร้อมในการกำหนดนโยบายและวางมาตรการควบคุมเพื่อคุ้มครองข้อมูลส่วนบุคคลทั้งของลูกค้าและพนักงาน เนื่องจากบทลงโทษสำหรับผู้ที่ฝ่าฝืนจะมีทั้งโทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปีและปรับตั้งแต่ 500,000 – 5,000,000 บาท ดังนั้นเพื่อให้แน่ใจว่าองค์กรของท่านมีความพร้อมมากน้อยเพียงใด วันนี้เราได้สรุปเฉพาะประเด็นสำคัญๆ ที่ห้ามพลาดมาให้ ณ ที่นี้แล้ว
PDPA มีความสำคัญอย่างไร?
กฎหมายฉบับนี้มีความสำคัญอย่างมากสำหรับทุกองค์กรทั้งภาครัฐและเอกชน เพราะเป็นกฎหมายที่เขียนขึ้นมาเพื่อช่วยปกป้องข้อมูลทางดิจิทัลของประชาชน อีกทั้งยังเป็นเครื่องมือยืนยันว่าธุรกิจและรัฐจะใช้ข้อมูลประชาชนอย่างโปร่งใส และปลอดภัย เนื่องจากที่ผ่านมา เราอาจเคยได้เห็นข่าวดังเกี่ยวกับเหตุการณ์ละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่เกิดขึ้นทั่วโลกมากมาย ตัวอย่างเช่น กรณี Facebook แชร์ข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 50 ล้านคนให้บริษัท Cambridge Analytica ในปี 2018 เพื่อวิเคราะห์ความคิดเห็นของประชาชนด้านการเมือง โดยที่ไม่ได้ขอความยินยอมจากผู้ใช้งาน ซึ่งนอกจากจะสร้างความเสียหายต่อทั้งองค์กรในด้านผลประกอบการและด้านความเชื่อมั่นแล้ว ยังสร้างความเสียหายให้กับเจ้าของข้อมูลอีกด้วย
บทลงโทษของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
PDPA จึงเป็นกฏหมายที่จะเข้ามากำกับดูแลการใช้ข้อมูลโดยเฉพาะ ซึ่งครอบคลุมทั้งการนำข้อมูลไปใช้ในการบริหารธุรกิจ รวมไปถึงกรณีข้อมูลรั่วไหลจากการถูกโจมตีและล้วงข้อมูล โดยมีบทลงโทษอย่างเข้มงวดดังนี้
- โทษทางอาญาปรับสูงสุด 5 ล้านบาท/จำคุกสูงสุด 1 ปี
- โทษทางแพ่งจ่ายค่าเสียหายตามจริง รวมถึงค่าสินไหมทดแทน (สูงสุด 2 เท่าของค่าเสียหายตามจริง)
- หากผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือบุคคลซึ่งรับผิดชอบอาจต้องรับผิดด้วย
ใครบ้างที่ต้องปฏิบัติตาม PDPA?
เมื่อเทียบกับ GPPR ของยุโรป จะเห็นได้ว่า กฏหมาย PDPA ของประเทศไทยมีบทลงโทษที่รุนแรงกว่า มาดูกันว่าใครบ้างที่มีบทบาทเกี่ยวข้องกับกฏหมาย PDPA
เจ้าของข้อมูล
– ตระหนักในสิทธิของตน เช่น การให้ข้อมูล รับรู้การนำไปใช้ ขอลบข้อมูลเมื่อตนยกเลิกบริการ
ผู้ประกอบการ
– คำนึงถึงแนวทางปฏิบัติตามข้อกำหนดที่จำเป็นและบทบาทผู้มีส่วนเกี่ยวข้อง
– หากบริษัทใหญ่ ควรมีทั้ง Internal audit และ External audit
– แนวทางในการรับมือหากเกิดข้อมูลรั่วไหล
ภาครัฐ
– คำนึงถึงกฏหมายที่เกี่ยวข้อง เช่น กฏหมายธุรกรรม, ธรรมาภิบาลข้อมูล (Data governance)
ประเภทของข้อมูลที่ได้รับความคุ้มครอง
- ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ นั่นหมายรวมถึงข้อมูลของลูกค้า พนักงาน Supplier หุ้นส่วนธุรกิจ เป็นต้น
- ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ได้แก่ ข้อมูล่วนบุคคลเกี่ยวกับเชื้อชาติ หรือเผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลพันธุกรรม/ชีวภาพ เป็นต้น
ความสัมพันธ์ระหว่าง Data Subject, Data Controller และ Data Processor ที่ทุกคนควรทราบ
- Data Subject หรือ เจ้าของข้อมูลส่วนบุคคล ซึ่งได้แก่ พนักงาน ลูกค้า และ ผู้ที่เป็นซัพพลายเออร์ให้กับบริษัท โดยมีหน้าที่เป็นผู้ตัดสินใจในการให้ความยินยอมให้ข้อมูลต่อ Data Controller ซึ่งจะกล่าวถึงในหัวข้อต่อไป
- Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งได้แก่ บริษัท, ผู้ให้บริการ และพนักงานขาย ทำหน้าที่กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูล โดยส่วนมากจะเป็นผู้ขอความยินยอมจาก Data Subject เช่น ผู้ให้บริการเว็บไซต์ต่าง ๆ
- Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล คือ ผู้ประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์และวิธีการของ Data Controller โดยอาจไม่ใช่เพียงแค่การวิเคราะห์หรือจัดการข้อมูลแบบทั่วไปเท่านั้น แต่ให้รวมถึงการบันทึกและจัดเก็บข้อมูลด้วย
หลักการให้ความยินยอม (Consent)
หลายๆองค์กรอาจเริ่มกังวลกว่ากฏหมาย PDPA นี้ จะทำให้ได้ข้อมูลจากลูกค้ายากขึ้นหรือไม่ ซึ่งแน่นอนว่าการได้มาซึ่งข้อมูลส่วนบุคคลนั้น ต้องได้รับการยินยอมการให้ข้อมูลจากเจ้าของข้อมูล โดย การเก็บรวบรวม การใช้ หรือ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับการยินยอมจากเจ้าของข้อมูล โดยต้องมีการยอมรับเป็นลายลักษณ์อักษร หรือ ผ่านทางระบบอิเล็กทรอนิกส์ ซึ่งมีหลักในการให้ความยินยอมดังนี้
- ขอความยินยอมจากเจ้าของข้อมูลในกรณีที่ไม่มีฐานกฎหมายอื่น (Legal basis) ในการเก็บ/รวบรวม/ใช้/ประมวลผลข้อมูลของเจ้าของข้อมูล
- ต้องแจ้งเจ้าของข้อมูลอย่างชัดเจน (informed) วัตถุประสงค์ของการขอข้อมูลต้องไม่คลุมเครือ (Unambiguous) และใช้ ภาษาที่เข้าใจง่าย
- ให้อิสระแก่เจ้าของของมูลในการเลือกว่าจะให้การยินยอมหรือไม่ (Freely Given) และต้องเปิดโอกาสให้มีการถอนความยินยอมได้โดยง่ายเมื่อเจ้าของข้อมูลร้องขอให้ลบ จะต้องดำเนินการอย่างทันที
ดังนั้น ผู้ประกอบการควรจะให้ความสำคัญกับเรื่องนี้ เพราะ PDPA ไม่ได้อยู่แค่ในส่วนของไอที แต่เกี่ยวข้องในทุกส่วนงาน ผู้นำองค์กรจึงควรสร้างการตระหนักรู้ให้พนักงานทุกคน ซึ่งกฏหมายฉบับนี้มีแนวทางในการปฏิบัติตามดังนี้
แนวทางปฏิบัติ 4 ขั้นตอน PDPA ( Personal Data Protection Act)
- Risk Assessment : เพื่อให้แน่ใจว่าการออกแบบและกระบวนการถูกต้องเหมาะสม
- Data Governance : มีข้อมูลอะไร อยู่ที่ไหน ใครเข้าถึงได้บ้าง สิทธิและหน้าที่ความรับผิดชอบที่เกิดขึ้น
- Compliance Management : การบริการคน หลักปฏิบัติ และกฏหมาย ให้มีประสิทธิภาพ มาตราการรับมือเมื่อเกิดข้อมูลรั่วไหล
- Breach Response: วิธีการรับมือและการจัดการเมื่อเกิดภัยคุกคามที่ส่งผลกระทบให้ข้อมูลรั่วไหล
สำหรับองค์กรที่ยังไม่ได้ทำการเตรียมตัว วันนี้ Jib Digital Consult มี 5 ขั้นตอนง่ายๆ ที่เป็นทางลัดในการเตรียมรับ PDPA โค้งสุดท้ายมาฝากดังนี้
- การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน
- จัดการแยกประเภทของข้อมูลส่วนบุคคล ตามหาทำการเช็กลิสต์จัดเก็บอยู่ที่ไหนบ้าง มีอะไรบ้าง มีการขออนุญาตหรือไม่ และถ้าเป็นข้อมูลส่วนบุคคลที่ไม่จำเป็นทำลายอย่างเหมาะสม
- กําหนดประเภทของข้อมูลและมาตรการในการจัดการข้อมูล
- ทบทวนระยะเวลาของการเก็บรักษาข้อมูลและการทําลายข้อมูล
- จัดอบรมด้าน Data Protection ให้กับบุคลากรพนักงานและเจ้าหน้าที่
จะเห็นว่าการสื่อสารให้พนักงานมีความตระหนักรู้ถึงความสำคัญของการต้องปฏิบัติตามกฎหมายฉบับนี้ ป็นหัวใจสำคัญที่ทำให้ทุกคนในองค์กรมีความเข้าใจและทำงานด้วยความไม่ประมาท ซึ่งจะช่วยป้องกันเหตุการณ์ข้อมูลรั่วไหลที่อาจส่งผลกระทบต่อชื่อเสียง ภาพลักษณ์ขององค์กร รวมถึงมีบทลงโทษที่รุนแรงอีกด้วย.