ธุรกิจเตรียมพร้อมรับมือ กฏหมายคุ้มครองข้อมูลส่วนบุคคล

หลายท่านอาจเคยทราบมาบ้างว่า ประเทศไทยจะมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Thailand’s Personal Data Protection Act B.E. 2562 (2019): PDPA) ที่จะมีผลบังคับใช้มาในวันที่ 28 พฤษภาคม 2563 โดยสาระสำคัญและแนวทางในการปฏิบัติตามกฎหมายฉบับนี้ มีตั้งแต่ประเด็นเรื่องของการขอความยินยอม การเก็บรวบรวม การใช้ ไปจนถึงการเปิดเผยข้อมูลส่วนบุคคล ที่ต้องได้รับการยินยอมจากเจ้าของข้อมูล และต้องแจ้งวัตถุประสงค์ในการนำข้อมูลมาใช้ให้เจ้าของทราบ ทั้งยังต้องมีมาตรการรักษาความปลอดภัยของข้อมูล และให้สิทธิเจ้าของข้อมูลในการขอเคลื่อนย้าย ลบ ทำลาย หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลอีกด้วย

ไม่พลาดทุกข้อมูล ข่าวสารที่น่าสนใจ อย่าลืมกดไลก์ Facebook bangkokbanksme 

นางสาว วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC ประเทศไทย กล่าวว่า นับเป็นเรื่องที่ธุรกิจควรเตรียมพร้อมและปรับตัว เพราะกฎหมายฉบับนี้กระทบกับธุรกิจไทยทุกรายอย่างหลีกเลี่ยงไม่ได้ เพราะนิยามของคำว่าข้อมูลส่วนบุคคลนั้น หมายรวมถึงข้อมูลของพนักงานทุก ๆ รายในองค์กร

สำหรับธุรกิจที่จะได้รับผลกระทบมากหน่อย คาดว่าเป็นธุรกิจประเภท B2C หรือธุรกิจที่มุ่งเน้นการบริการให้กับลูกค้าหรือผู้บริโภคโดยตรง เช่น ธนาคารและสถาบันการเงิน ธุรกิจผู้ให้บริการทางด้านสุขภาพ ธุรกิจที่เกี่ยวกับโซเชียลมีเดีย ธุรกิจทางด้านสื่อสารและออนไลน์ คลาวด์คอมพิวติ้ง และอื่น ๆ ทั้งนี้ เพราะธุรกิจเหล่านี้มีการจัดเก็บข้อมูลของลูกค้าเป็นจำนวนมากไม่ว่าจะเป็นชื่อ-นามสกุล บัตรประชาชน เบอร์โทรศัพท์ พฤติกรรมหรือลักษณะของการใช้บริการ ไปจนถึงข้อมูลที่เกี่ยวข้องอื่น ๆ

ดังนั้น ภาครัฐและเอกชนที่ทำงานเกี่ยวกับ ‘ข้อมูลส่วนบุคคล’ ต้องเตรียมความพร้อมด้านระบบและบุคลากรสำหรับการปฏิบัติตามเงื่อนไขของ

อย่างไรก็ดี มาจนถึงวันนี้ องค์กรขนาดใหญ่ของไทยหลายแห่ง ได้เริ่มเตรียมความพร้อมด้านระบบและสร้างความรู้ ความเข้าใจให้แก่พนักงานไปบ้างแล้วในระดับหนึ่ง แต่ก็ยังน่าเป็นห่วงว่ามีองค์กรไทยอีกจำนวนมากที่ยังไม่รู้ตัวว่า ธุรกิจของตนจะได้รับผลกระทบและต้องปฏิบัติตามข้อกฎหมายดังกล่าว ดังนั้นจึงอยากแนะนำให้องค์กรที่เพิ่งรู้ตัว หันมาปฏิบัติตามกฎหมายดังกล่าวตั้งแต่วันนี้

สิ่งที่ต้องทำก่อน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ประกาศใช้

อ่านกฎหมายให้เข้าใจและวิเคราะห์ผลกระทบ : สิ่งสำคัญอันดับแรกที่ผู้ประกอบการและผู้บริหารต้องทำความเข้าใจคือ ความหมายของข้อมูลส่วนบุคคลว่าหมายถึงอะไร และข้อมูลประเภทไหนถือว่า เป็นข้อมูลที่ต้องได้รับการคุ้มครอง เช่น ชื่อ-นามสกุล วัน เดือน ปีเกิด หมายเลขบัตรประชาชน เบอร์โทรศัพท์มือถือ หมายเลขบัตรเครดิต ข้อมูลสุขภาพ และอื่น ๆ

ตรวจสอบการจัดเก็บข้อมูลลูกค้าลักษณะใดบ้าง : ต้องทราบว่า องค์กรของตนเองมีการจัดเก็บข้อมูลที่ยกตัวอย่างไว้ข้างต้นหรือไม่ ถ้ามี การจัดเก็บดังกล่าว ได้รับอนุญาตจากเจ้าของข้อมูลอย่างเป็นทางการหรือไม่ มีการนำไปใช้ หรือส่งต่อภายในองค์กรและนอกองค์กรหรือไม่อย่างไร เช่น ให้ข้อมูลแก่พันธมิตรทางธุรกิจ ธนาคาร หรืออื่น ๆ ซึ่งข้อมูลส่วนบุคคลนี้ ไม่ใช่แค่ข้อมูลของลูกค้าเท่านั้น แต่รวมถึงข้อมูลพนักงานและข้อมูลของบุคคลที่สามที่องค์กรมีการจัดเก็บไว้ด้วย เช่น ข้อมูลของคู่ค้าทางธุรกิจ ร้านค้า ซัพพลายเออร์ และอื่น ๆ นอกจากนี้ องค์กรต้องมีกระบวนการต่าง ๆ ตามที่กฎหมายกำหนด เช่น การขออนุญาต หรือแจ้งเจ้าของข้อมูลให้ทราบหากข้อมูลนั้น ๆ มีการรั่วไหล

แต่งตั้งคณะทำงานเฉพาะ : เพื่อช่วยผลักดันให้การปฏิบัติตามเงื่อนไขของกฎหมายเป็นไปอย่างถูกต้อง โดยคณะทำงานที่ว่านี้ ควรประกอบไปด้วยตัวแทนจากแต่ละฝ่ายงานที่เกี่ยวข้องไม่ว่าจะเป็นฝ่ายกฎหมาย ฝ่ายไอที ฝ่ายรักษาความปลอดภัยของข้อมูล ฝ่ายปฏิบัติการ รวมไปถึงฝ่ายที่มีปฏิสัมพันธ์กับลูกค้า เช่น ตัวแทนจำหน่าย ฝ่ายการตลาด และลูกค้าสัมพันธ์ ซึ่งทุก ๆ ฝ่ายงานขององค์กรที่กล่าวมา ล้วนมีความสำคัญต่อการปฏิบัติตามกฎหมายอย่างมากและไม่ควรปล่อยให้เรื่องนี้เป็นหน้าที่ของฝ่ายใดฝ่ายหนึ่ง ยิ่งไปกว่านั้น ควรจัดให้มีระบบการบริหาร จัดการ และปกป้องข้อมูลอย่างเหมาะสมทั้งในแง่ขั้นตอนการทำงานของคนและเทคโนโลยี

ข้อควรระวังเป็นพิเศษ : ในการปฏิบัติตามเงื่อนไขของกฎหมายฉบับนี้คือ การขอความยินยอม การเก็บรวบรวม การใช้ หรือ การเปิดเผยข้อมูลส่วนบุคคล ซึ่งต้องได้รับการยินยอมจากเจ้าของข้อมูล โดยต้องมีการยอมรับเป็นลายลักษณ์อักษรเพื่อเก็บไว้ใช้เป็นหลักฐาน ไม่ว่าจะเป็นในรูปแบบของกระดาษ เอกสาร หรือผ่านทางระบบอิเล็กทรอนิกส์

อย่างไรก็ดี ขอแนะนำให้เก็บแบบสุดท้าย เพราะสามารถติดตามได้ง่าย แต่ต้องระมัดระวังด้วยว่าจะไม่มีการนำข้อมูลไปใช้นอกเหนือจากเรื่องที่ขอความยินยอมจากเจ้าของข้อมูล ยกตัวอย่าง เช่น องค์กรมีการขอและได้รับความยินยอมในการใช้ข้อมูลได้ 3 วัตถุประสงค์ แต่ในความเป็นจริงกลับนำข้อมูลไปใช้มากกว่าที่ได้รับความยินยอม ซึ่งในกรณีนี้ก็ต้องกลับไปขอการยินยอมเพิ่ม นอกจากนี้ควรมีการจัดทำกระบวนการรองรับในกรณีที่เจ้าของข้อมูลขอยกเลิกความยินยอม เนื่องจากกฎหมายให้สิทธิกับเจ้าของข้อมูลว่า ถึงแม้จะได้รับความยินยอม แต่ก็สามารถถอนความยินยอมเมื่อไหร่ก็ได้

ประเด็นที่น่าเป็นห่วงคือ : ระยะเวลาในการเตรียมความพร้อมขององค์กรนั้นมีไม่มากนัก ขณะที่องค์กรขนาดกลางและขนาดใหญ่ในทวีปยุโรปใช้เวลานานกว่า 2 ปีในการเตรียมตัวสำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR) ดังนั้นอยากให้องค์กรไทยบ้านเราอย่ารอช้า เริ่มคิดและดำเนินการปฏิบัติตั้งแต่วันนี้

สุดท้ายการสื่อสารให้พนักงานมีความตระหนักรู้ถึงความสำคัญของการต้องปฏิบัติตามกฎหมายฉบับนี้ จะเป็นหัวใจสำคัญที่ทำให้ทุกคนในองค์กรมีความเข้าใจและทำงานด้วยความไม่ประมาท ซึ่งจะช่วยป้องกันเหตุการณ์ข้อมูลรั่วไหลที่อาจส่งผลกระทบต่อชื่อเสียง ภาพลักษณ์ขององค์กร รวมถึงมีบทลงโทษที่รุนแรงทั้งจำคุกและจ่ายเงินค่าปรับไม่เกิน 500,000 บาทถึง 1 ล้านบาทด้วย

อ้างอิง : PwC แนะองค์กรเตรียมพร้อมรับมือ “กม. คุ้มครองข้อมูลส่วนบุคคล” ตั้งแต่วันนี้  โดย วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC ประเทศไทย

            : https://www.pwc.com/th/en/pwc-thailand-blogs/blog-20191008.html 

กฎหมายแรงงานใหม่ นายจ้างต้องรู้ 

การทำงานที่ยืดหยุ่น ปัจจัยหลักคนเลือกงาน