แม้จะเหลือเวลาอีกไม่นานก่อนการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ในวันที่ 1 มิถุนายน 2565 แต่องค์กรก็สามารถเตรียมตัวให้เป็นไปตามข้อกำหนดให้ทันได้ ในบทความนี้ เราได้สรุปแนวทางและขั้นตอนการปฏิบัติสำหรับองค์กรที่คุณกำพล ศรธนะรัตน์ – Data Protection Officer (DPO) และที่ปรึกษาด้าน Digital Transformation แห่งก.ล.ต. และประธานชมรม DPO ได้แนะนำไว้มาให้ผู้อ่านได้ทราบและนำไปดำเนินการในองค์กรได้ทันที
เปิด Checklist สิ่งที่องค์กรต้องทำ
จากการแนะนำของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม สิ่งที่องค์กรต้องเตรียมความพร้อมตามข้อกำหนดของกฎหมาย PDPA นั้นมีด้วยกันทั้งหมด 5 หัวข้อด้วยกัน โดยหลักการในแต่ละข้อมีสาระสำคัญดังนี้
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ซึ่งสามารถเป็นพนักงานภายในหรือภายนอกองค์กรที่ Outsource มาก็ได้ มีหน้าที่ในการดูแลให้องค์กรมีการคุ้มครองและรักษาควมปลอดภัยของข้อมูลตามกฎหมาย และเป็นผู้ประสานงานกับเจ้าของข้อมูลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) ซึ่งเป็นหน่วยงานกำกับดูแล
- จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ที่ระบุถึงวัตถุประสงค์ในการจัดเก็บข้อมูล การนำไปใช้ และการส่งต่อข้อมูลให้กับหน่วยงานอื่นๆ
- จัดทำ Record of Processing Activities (ROPA) ซึ่งเป็นบันทึกการใช้และประมวลผลข้อมูลทั้งหมดขององค์กรที่สามารถตรวจสอบย้อนหลังได้
- จัดทำเอกสารขอความยินยอมในกรณีที่มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคล (Consent Form) จากเจ้าของข้อมูล ซึ่งเอกสารนี้จะแตกต่างกันออกไปตามประเภทของธุรกิจและการนำไปใช้
- จัดทำข้อตกลงการประมวลผล (Data Processing Agreement) ในกรณีที่มีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคลภายนอกไม่ว่าจะเป็นผู้ที่ได้รับจ้างให้ประมวลผลข้อมูลหรือคู่ค้าที่จะนำข้อมูลไปใช้
ทั้ง 5 ข้อนี้เป็นข้อกำหนดในกฎหมายมาตรา 41, 23, 39, 19 และ 41 ซึ่งเป็นสิ่งที่องค์กรจะต้องเร่งทำก่อนเพื่อให้ทันกำหนดการบังคับใช้ที่จะถึง และนอกเหนือไปจากนี้แล้วกระทรวง DE ยังได้แนะนำ Best Practices อีก 6 ข้อให้ทำควบคู่กันไปด้วย ได้แก่
- จัดตั้งคณะทำงาน PDPA ภายในหน่วยงาน ซึ่งประกอบไปด้วยบุคลากรจากฝ่ายไอที ฝ่ายธุรกิจ และฝ่ายกฎหมายเพื่อทำความเข้าใจในบริบทและออกแบบแนวทางการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลที่เหมาะกับองค์กร
- สำรวจข้อมูลภายในหน่วยงานและจัดทำผังวงจรชีวิตข้อมูลส่วนบุคคล (Data Inventory) เพื่อช่วยให้องค์กรเห็นภาพ ตรวจสอบช่องโหว่และนำไปใช้วางแผนอื่นๆได้ง่าย
- จัดทำนโยบายและแนวปฏิบัติด้านข้อมูลให้เข้าใจร่วมกันทั้งองค์กร ช่วยลดข้อผิดพลาดและทำให้ทุกฝ่ายสามารถทำงานไปในทิศทางเดียวกันได้
- จัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคลในกรณีที่มีการแลกเปลี่ยนและแบ่งปันข้อมูลระหว่างองค์กรเพื่อเป็นแนวทางไว้อ้างอิงและป้องกันองค์กรจากความเสี่ยง
- สร้างความตระหนักรู้และฝึกอบรมเกี่ยวกับข้อมูลและความเป็นส่วนตัวให้กับพนักงานทุกคนในองค์กร รวมไปถึงให้ความรู้กับลูกค้าผู้ใช้บริการ
- กำกับดูแลและตรวจสอบการรักษาความปลอดภัยและขั้นตอนเกี่ยวกับข้อมูลต่างๆอย่างสม่ำเสมอ
หากองค์กรใดสามารถปฏิบัติตามหลักการเหล่านี้ได้ทั้งหมดก็นับว่าพร้อมแล้วสำหรับการบังคับใช้กฎหมายในมาตราที่ถูกเลื่อนการบังคับใช้มาถึง 2 ปีเต็ม
7 ขั้นตอนนำไปสู่การปฏิบัติตาม PDPA อย่างมีประสิทธิภาพ
เมื่อได้ทราบถึงหลักการและสิ่งที่ต้องทำแล้ว คุณกำพลได้แนะนำขั้นตอนอีก 7 ข้อที่องค์กรสามารถนำไปเริ่มลงมือจริงที่จะช่วยให้องค์กรมี Compliance กับ PDPA อย่างสมบูรณ์แบบ
- จัดทำ Data Flow เพื่อดูว่ามีการใช้ข้อมูลในส่วนใด จัดเก็บที่ใด และใช้งานอย่างไรบ้าง เพื่อเป็นแผนผังสำหรับการวางแผนด้านข้อมูลทั้งหมด
- กำหนดหน้าที่และความรับผิดชอบให้กับบุคลากรในองค์กรให้ชัดเจน โดยในการใช้ข้อมูลแต่ละครั้งต้องระบุชื่อผู้ควบคุมข้อมูลและผู้ประมวลผลเสมอ
- จัดทำเอกสารสำคัญทั้งหมดตามที่กฎหมายกำหนด ได้แก่ Privacy Policy, Privacy Notice, และ Consent Form โดยมีทั้งในรูปแบบเอกสารกระดาษและอิเล็กทรอนิกส์เพื่อพร้อมสำหรับการใช้งาน
- บริหารข้อมูลตลอด Data Life Cycles โดยเมื่อมีข้อมูลเข้ามาใหม่หรือมีกิจกรรมที่ใช้ข้อมูลใหม่ ต้องบันทึกใน Data Flow และระบุผู้รับผิดชอบที่เกี่ยวข้องเสมอ ในขั้นตอนนี้รวมถึงการบริหารวันหมดอายุของข้อมูล และการจัดการลบข้อมูลที่เลิกใช้แล้วเมื่อเวลาผ่านไปด้วย
- ปรับระบบ IT ให้สอดคล้องกับการใช้งานและการบริหารข้อมูลตาม PDPA โดยต้องคำนึงถึงความปลอดภัยและสิทธิในการเข้าถึงข้อมูลด้วย
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO เพื่อเป็นผู้ดูแลรวมถึงติดต่อกับผู้ที่เกี่ยวข้องในวงจรการคุ้มครองข้อมูลทั้งหมด
- สร้างความตระหนักรู้ให้กับผู้ที่เกี่ยวข้องกับข้อมูล ตั้งแต่ผู้บริหาร สมาชิกภายในองค์กร ธุรกิจคู่ค้าและผู้รับจ้างประมวลผล รวมไปถึงลูกค้าผู้ใช้บริการ เพื่อให้เกิดความเข้าใจร่วมกันถึงสิทธิและแนวทางในการรักษาความเป็นส่วนตัว
จะเห็นได้ว่าเมื่อแจกแจงออกมาเช่นนี้แนวทางในการดำเนินการก็จะชัดเจนและง่ายต่อการนำไปทำจริงยิ่งขึ้น สำหรับธุรกิจใดที่ยังรู้สึกไม่พร้อมสำหรับการบังคับใช้ PDPA นั้นก็ต้องเปิด Checklist และเร่งดำเนินการกันแล้ว
รู้จักบทลงโทษของ PDPA
ในส่วนของบทลงโทษที่หลายธุรกิจมีความกังวลถึง คุณกำพลเชื่อว่าหากองค์กรมีการเตรียมความพร้อมที่ดีตาม Checklist ที่ได้แนะนำและเข้าใจถึงบทลงโทษก็จะช่วยลดความกังวลไปได้ โดยความผิดจากกฎหมาย PDPA นั้นแบ่งออกเป็น 3 ส่วน ได้แก่ ความรับผิดทางแพ่ง โทษทางปกครอง และโทษอาญา
ความรับผิดทางแพ่ง (มาตรา 77-78) นั้นคิดจากค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของสินไหมนั้น
โทษทางปกครอง (มาตรา 82-87) หากองค์กรไม่ปฏิบัติตามข้อกำหนดของกฎหมาย เช่น ไม่ขอความยินยอมในการใช้ข้อมูล ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูล หรือไม่จัดทำบันทึก ROPA มีโทษปรับไม่เกินหนึ่งล้านบาท
โทษอาญา (มาตรา 79-81) หากผู้ควบคุมข้อมูลใช้หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมหรือผิดจากวัตถุประสงค์ที่แจ้งไว้ เป็นเหตุให้ผู้อื่นเกิดความเสียหาย อาจมีโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกิน 5 แสนบาท หรือในกรณีที่นำข้อมูลไปแสวงหาประโยชน์ที่มิควร มีโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งล้านบาท
ศึกษารายละเอียดและอ่านความคิดเห็นของคุณกำพล ศรธนะรัตน์เพิ่มเติมได้ที่ https://www.jrit-ichi.com/cutting/2022/04/20/1050/