หลายท่านอาจเคยทราบมาบ้างว่า ประเทศไทยจะมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Thailand’s Personal Data Protection Act B.E. 2562 (2019): PDPA) ที่จะมีผลบังคับใช้มาในวันที่ 28 พฤษภาคม 2563 โดยสาระสำคัญและแนวทางในการปฏิบัติตามกฎหมายฉบับนี้ มีตั้งแต่ประเด็นเรื่องของการขอความยินยอม การเก็บรวบรวม การใช้ ไปจนถึงการเปิดเผยข้อมูลส่วนบุคคล ที่ต้องได้รับการยินยอมจากเจ้าของข้อมูล และต้องแจ้งวัตถุประสงค์ในการนำข้อมูลมาใช้ให้เจ้าของทราบ ทั้งยังต้องมีมาตรการรักษาความปลอดภัยของข้อมูล และให้สิทธิเจ้าของข้อมูลในการขอเคลื่อนย้าย ลบ ทำลาย หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลอีกด้วย
ไม่พลาดทุกข้อมูล ข่าวสารที่น่าสนใจ อย่าลืมกดไลก์ Facebook bangkokbanksme
นางสาว วิไลพร
ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC ประเทศไทย
กล่าวว่า นับเป็นเรื่องที่ธุรกิจควรเตรียมพร้อมและปรับตัว เพราะกฎหมายฉบับนี้กระทบกับธุรกิจไทยทุกรายอย่างหลีกเลี่ยงไม่ได้
เพราะนิยามของคำว่าข้อมูลส่วนบุคคลนั้น หมายรวมถึงข้อมูลของพนักงานทุก ๆ
รายในองค์กร
สำหรับธุรกิจที่จะได้รับผลกระทบมากหน่อย
คาดว่าเป็นธุรกิจประเภท B2C หรือธุรกิจที่มุ่งเน้นการบริการให้กับลูกค้าหรือผู้บริโภคโดยตรง
เช่น ธนาคารและสถาบันการเงิน ธุรกิจผู้ให้บริการทางด้านสุขภาพ
ธุรกิจที่เกี่ยวกับโซเชียลมีเดีย ธุรกิจทางด้านสื่อสารและออนไลน์ คลาวด์คอมพิวติ้ง
และอื่น ๆ ทั้งนี้
เพราะธุรกิจเหล่านี้มีการจัดเก็บข้อมูลของลูกค้าเป็นจำนวนมากไม่ว่าจะเป็นชื่อ-นามสกุล
บัตรประชาชน เบอร์โทรศัพท์ พฤติกรรมหรือลักษณะของการใช้บริการ
ไปจนถึงข้อมูลที่เกี่ยวข้องอื่น ๆ
ดังนั้น ภาครัฐและเอกชนที่ทำงานเกี่ยวกับ
‘ข้อมูลส่วนบุคคล’ ต้องเตรียมความพร้อมด้านระบบและบุคลากรสำหรับการปฏิบัติตามเงื่อนไขของ
อย่างไรก็ดี มาจนถึงวันนี้ องค์กรขนาดใหญ่ของไทยหลายแห่ง ได้เริ่มเตรียมความพร้อมด้านระบบและสร้างความรู้ ความเข้าใจให้แก่พนักงานไปบ้างแล้วในระดับหนึ่ง แต่ก็ยังน่าเป็นห่วงว่ามีองค์กรไทยอีกจำนวนมากที่ยังไม่รู้ตัวว่า ธุรกิจของตนจะได้รับผลกระทบและต้องปฏิบัติตามข้อกฎหมายดังกล่าว ดังนั้นจึงอยากแนะนำให้องค์กรที่เพิ่งรู้ตัว หันมาปฏิบัติตามกฎหมายดังกล่าวตั้งแต่วันนี้
สิ่งที่ต้องทำก่อน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
ประกาศใช้
อ่านกฎหมายให้เข้าใจและวิเคราะห์ผลกระทบ :
สิ่งสำคัญอันดับแรกที่ผู้ประกอบการและผู้บริหารต้องทำความเข้าใจคือ
ความหมายของข้อมูลส่วนบุคคลว่าหมายถึงอะไร และข้อมูลประเภทไหนถือว่า
เป็นข้อมูลที่ต้องได้รับการคุ้มครอง เช่น ชื่อ-นามสกุล วัน เดือน ปีเกิด
หมายเลขบัตรประชาชน เบอร์โทรศัพท์มือถือ หมายเลขบัตรเครดิต ข้อมูลสุขภาพ และอื่น ๆ
ตรวจสอบการจัดเก็บข้อมูลลูกค้าลักษณะใดบ้าง : ต้องทราบว่า
องค์กรของตนเองมีการจัดเก็บข้อมูลที่ยกตัวอย่างไว้ข้างต้นหรือไม่ ถ้ามี
การจัดเก็บดังกล่าว ได้รับอนุญาตจากเจ้าของข้อมูลอย่างเป็นทางการหรือไม่
มีการนำไปใช้ หรือส่งต่อภายในองค์กรและนอกองค์กรหรือไม่อย่างไร เช่น
ให้ข้อมูลแก่พันธมิตรทางธุรกิจ ธนาคาร หรืออื่น ๆ ซึ่งข้อมูลส่วนบุคคลนี้
ไม่ใช่แค่ข้อมูลของลูกค้าเท่านั้น
แต่รวมถึงข้อมูลพนักงานและข้อมูลของบุคคลที่สามที่องค์กรมีการจัดเก็บไว้ด้วย เช่น
ข้อมูลของคู่ค้าทางธุรกิจ ร้านค้า ซัพพลายเออร์ และอื่น ๆ นอกจากนี้ องค์กรต้องมีกระบวนการต่าง
ๆ ตามที่กฎหมายกำหนด เช่น การขออนุญาต หรือแจ้งเจ้าของข้อมูลให้ทราบหากข้อมูลนั้น
ๆ มีการรั่วไหล
แต่งตั้งคณะทำงานเฉพาะ : เพื่อช่วยผลักดันให้การปฏิบัติตามเงื่อนไขของกฎหมายเป็นไปอย่างถูกต้อง
โดยคณะทำงานที่ว่านี้
ควรประกอบไปด้วยตัวแทนจากแต่ละฝ่ายงานที่เกี่ยวข้องไม่ว่าจะเป็นฝ่ายกฎหมาย
ฝ่ายไอที ฝ่ายรักษาความปลอดภัยของข้อมูล ฝ่ายปฏิบัติการ
รวมไปถึงฝ่ายที่มีปฏิสัมพันธ์กับลูกค้า เช่น ตัวแทนจำหน่าย ฝ่ายการตลาด
และลูกค้าสัมพันธ์ ซึ่งทุก ๆ ฝ่ายงานขององค์กรที่กล่าวมา ล้วนมีความสำคัญต่อการปฏิบัติตามกฎหมายอย่างมากและไม่ควรปล่อยให้เรื่องนี้เป็นหน้าที่ของฝ่ายใดฝ่ายหนึ่ง
ยิ่งไปกว่านั้น ควรจัดให้มีระบบการบริหาร จัดการ
และปกป้องข้อมูลอย่างเหมาะสมทั้งในแง่ขั้นตอนการทำงานของคนและเทคโนโลยี
ข้อควรระวังเป็นพิเศษ : ในการปฏิบัติตามเงื่อนไขของกฎหมายฉบับนี้คือ
การขอความยินยอม การเก็บรวบรวม การใช้ หรือ การเปิดเผยข้อมูลส่วนบุคคล
ซึ่งต้องได้รับการยินยอมจากเจ้าของข้อมูล
โดยต้องมีการยอมรับเป็นลายลักษณ์อักษรเพื่อเก็บไว้ใช้เป็นหลักฐาน
ไม่ว่าจะเป็นในรูปแบบของกระดาษ เอกสาร หรือผ่านทางระบบอิเล็กทรอนิกส์
อย่างไรก็ดี ขอแนะนำให้เก็บแบบสุดท้าย
เพราะสามารถติดตามได้ง่าย
แต่ต้องระมัดระวังด้วยว่าจะไม่มีการนำข้อมูลไปใช้นอกเหนือจากเรื่องที่ขอความยินยอมจากเจ้าของข้อมูล
ยกตัวอย่าง เช่น องค์กรมีการขอและได้รับความยินยอมในการใช้ข้อมูลได้ 3
วัตถุประสงค์ แต่ในความเป็นจริงกลับนำข้อมูลไปใช้มากกว่าที่ได้รับความยินยอม
ซึ่งในกรณีนี้ก็ต้องกลับไปขอการยินยอมเพิ่ม
นอกจากนี้ควรมีการจัดทำกระบวนการรองรับในกรณีที่เจ้าของข้อมูลขอยกเลิกความยินยอม
เนื่องจากกฎหมายให้สิทธิกับเจ้าของข้อมูลว่า ถึงแม้จะได้รับความยินยอม
แต่ก็สามารถถอนความยินยอมเมื่อไหร่ก็ได้
ประเด็นที่น่าเป็นห่วงคือ : ระยะเวลาในการเตรียมความพร้อมขององค์กรนั้นมีไม่มากนัก ขณะที่องค์กรขนาดกลางและขนาดใหญ่ในทวีปยุโรปใช้เวลานานกว่า 2 ปีในการเตรียมตัวสำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR) ดังนั้นอยากให้องค์กรไทยบ้านเราอย่ารอช้า เริ่มคิดและดำเนินการปฏิบัติตั้งแต่วันนี้
สุดท้ายการสื่อสารให้พนักงานมีความตระหนักรู้ถึงความสำคัญของการต้องปฏิบัติตามกฎหมายฉบับนี้ จะเป็นหัวใจสำคัญที่ทำให้ทุกคนในองค์กรมีความเข้าใจและทำงานด้วยความไม่ประมาท ซึ่งจะช่วยป้องกันเหตุการณ์ข้อมูลรั่วไหลที่อาจส่งผลกระทบต่อชื่อเสียง ภาพลักษณ์ขององค์กร รวมถึงมีบทลงโทษที่รุนแรงทั้งจำคุกและจ่ายเงินค่าปรับไม่เกิน 500,000 บาทถึง 1 ล้านบาทด้วย
อ้างอิง : PwC แนะองค์กรเตรียมพร้อมรับมือ “กม. คุ้มครองข้อมูลส่วนบุคคล” ตั้งแต่วันนี้ โดย วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC ประเทศไทย
: https://www.pwc.com/th/en/pwc-thailand-blogs/blog-20191008.html