ความเป็นส่วนตัว (Privacy) ถือเป็นสิทธิขั้นพื้นฐานของมนุษย์มาอย่างยาวนาน ในอดีตการเรียกร้องความเป็นส่วนตัวจะมุ่งเน้นไปที่ความเป็นส่วนตัวทางกายภาพ (Physical Privacy) หมายถึงสิทธิอันชอบธรรมในการอยู่อย่างสันโดดและปลอดภัยจากการรบกวนจากบุคคลภายนอก เช่น บุคคลอื่น องค์กร หรือแม้กระทั่งหน่วยงานจากภาครัฐ แต่เมื่อเข้าสู่ยุคแห่งการสื่อสารข้อมูลระหว่างกันผ่านทางระบบเครือข่ายคอมพิวเตอร์และเครือข่ายอินเทอร์เน็ต ข้อมูลส่วนบุคคลจึงหลั่งไหลเข้าไปอยู่บนระบบมากขึ้น ทำให้เกิดความต้องการความส่วนตัวด้านสารสนเทศ (Information Privacy) และรวมไปถึงความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Personal Data Privacy)

เจ้าของข้อมูล (Data Subject) จะต้องมีสิทธิและเสรีภาพอย่างเต็มที่ต่อข้อมูลของตนที่จะให้บุคคลอื่นหรือองค์กรต่าง ๆ นำข้อมูลไปใช้ตามความยินยอม (Consent) ที่อนุญาตเท่านั้น เพื่อรักษาความเป็นส่วนตัว ผลประโยชน์ และปกป้องความเสียหายที่อาจเกิดขึ้นกับตนเอง ซึ่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act – PDPA) ที่จะมีผลบังคับใช้ในกลางปี 2564 นี้ จะเป็นเครื่องมือที่จะทำให้ปัจเจกบุคคลมั่นใจได้ว่า ข้อมูลของตนที่อนุญาตให้องค์กรนำไปใช้มีการบริหารจัดการอย่างเหมาะสมและมีระบบการป้องกันข้อมูลที่น่าเชื่อถือและปลอดภัย

การที่องค์กรจัดเก็บและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ปฏิบัติตาม พ.ร.บ. ถือว่าเป็นการละเมิดสิทธิของเจ้าของข้อมูล และองค์กรจะกลายเป็นผู้กระทำความผิดทั้งทางแพ่งและทางอาญาตามบทลงโทษของกฎหมาย ดังนั้นก่อนที่ พ.ร.บ. จะมีผลบังคับใช้อย่างจริงจัง องค์กรต่าง ๆ ควรทบทวนขั้นตอนพื้นฐานเพื่อเตรียมความพร้อมและแสดงความรับผิดชอบในการให้ความดูแลข้อมูลส่วนบุคคลและปฏิบัติตามกฎระเบียบอย่างเคร่งครัด ดังนี้

5 ขั้นตอนพื้นฐานในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

1. จัดตั้งและมอบหมายหน้าที่ให้บุคลากรหรือหน่วยงานเข้ามาดูแลอย่างชัดเจน ตามข้อกำหนดใน พ.ร.บ.
2. ค้นหาและจัดกลุ่มข้อมูลส่วนบุคคลอย่างเป็นระบบ (Data Discovery and Classification)
3. จัดทำขั้นตอนและระบบการปกป้องข้อมูล (Data Protection)
4. จัดทำระบบป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention)
5. จัดทำระบบบริหารจัดการข้อมูลส่วนบุคคล (Personal Data Management) 

1.  จัดตั้งและมอบหมายหน้าที่ให้บุคลากรหรือหน่วยงานเข้ามาดูแลอย่างชัดเจน ตามข้อกำหนดใน พ.ร.บ. ฯตรวจเช็คให้ชัดเจนว่าองค์กรมีผู้ดูแลความพร้อมในส่วนของผู้เกี่ยวข้องตาม พ.ร.บ. แล้วหรือยัง ซึ่งได้แก่

• คณะกรรมการป้องกันข้อมูลส่วนบุคคล (Personal Data Protection Committee) ประกอบด้วยบุคลากรจากหลายหน่วยงานที่เกี่ยวข้อง ได้แก่ ผู้บริหารระดับสูง, ฝ่ายกฎหมาย (Legal), ฝ่ายกำกับดูแล (Compliance), ฝ่ายขายและการตลาด (Sales and Marketing), ฝ่ายเทคโนโลยีสารสนเทศ (Information Technology), ฝ่ายต่างประเทศ (International Administration) เป็นต้น
• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคล/นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการจัดเก็บ รวบรวม นำไปใช้ ปรับปรุง หรือเปิดเผย ให้อยู่ภายใต้มาตรการรักษาความปลอดภัยที่เหมาะสม 
• ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคล/นิติบุคลทั้งภายในและภายนอกองค์กร ซึ่งเป็นผู้ที่เก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) คือ กรณีที่องค์กรหรือหน่วยงานมีข้อมูลประมวลผลทั้งข้อมูลส่วนบุคคลหรือข้อมูลอ่อนไหวเป็นปริมาณมาก องค์กรหรือหน่วยงานจำเป็นต้องแต่งตั้งเจ้าหน้าที่ DPO เพื่อทำหน้าที่ประสานงาน ตรวจสอบ ให้คำแนะนำ และดูแลด้านความมั่นคงปลอดภัยของข้อมูลโดยเฉพาะ

2. ค้นหาและจัดกลุ่มข้อมูลส่วนบุคคลอย่างเป็นระบบ (Data Discovery and Classification)

ทำการค้นหาข้อมูลส่วนบุคคลและข้อมูลที่เคลื่อนไหวทั้งหมดที่เก็บอยู่ภายในและภายนอกองค์กรเพื่อจัดการอย่างเป็นระบบ แต่ในกรณีที่ข้อมูลมีปริมาณมากและเพิ่มจำนวนขึ้นอย่างต่อเนื่องตลอดเวลา ควรจะพิจารณาจัดหาเครื่องมือหรือระบบเข้ามาช่วยในการค้นหา คัดแยก และจัดการ การใช้เครื่องมือเข้ามาช่วยในการจัดการข้อมูลที่มีปริมาณเพิ่มขึ้นและการเปลี่ยนแปลงอยู่ตลอดจะช่วยให้องค์กรสามารถปฏิบัติตาม พ.ร.บ. ได้อย่างรวดเร็ว ถูกต้อง และมีประสิทธิภาพมากขึ้น รวมทั้งยังช่วยในการออกแบบระบบรักษาความปลอดภัยของข้อมูลแต่ละกลุ่มได้อย่างเหมาะสม 

3. จัดทำขั้นตอนและระบบการปกป้องข้อมูล (Data Protection)

Data ในยุคดิจิทัลมีบทบาทสำคัญเพิ่มขึ้นมาก จนอาจถือได้ว่า Data ได้กลายเป็นทรัพย์สิน (Asset) ที่สามารถนำไปใช้สร้างประโยชน์ให้กับผู้ที่ครอบครองได้อย่างมหาศาล ตัวอย่างเช่น

• รวบรวมข้อมูลเพื่อนำไปวิเคราะห์และสร้างสินค้าหรือบริการให้ตรงตามความต้องการมากขึ้น 
• นำไปใช้ในการชี้นำหรือเปลี่ยนความคิดที่มีต่อ Brand บุคคล หรือ หน่วยงาน/องค์กร
• นำไปใช้ในโจมตีและสร้างความเสียหายให้กับเจ้าของข้อมูล

เมื่อผลกระทบของการนำ Data ไปใช้มีทั้งที่ก่อประโยชน์และสร้างโทษให้กับเจ้าของข้อมูล ผู้คนจึงเริ่มตื่นตัวกับสิทธิการเป็นเจ้าของข้อมูลส่วนบุคคลมากขึ้น ทั่วโลกต่างออกกฎหมายมารองรับการคุ้มครองความเป็นส่วนตัวและความเป็นเจ้าของข้อมูลเพื่อสร้างความมั่นใจว่าองค์กรจะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนการจัดเก็บ และมีระบบจัดเก็บและรักษาความปลอดภัยข้อมูลที่กันไม่ให้ผู้ที่ไม่ได้รับความยินยอมหรือผู้ไม่หวังดีสามารถนำข้อมูลออกไปใช้ได้ ดังนั้นข้อมูลที่จัดเก็บอยู่ในระบบคอมพิวเตอร์จึงจำเป็นต้องมีการปกป้องข้อมูล ไม่ว่าจะเป็นการเข้ารหัส/ถอดรหัสข้อมูล (Data Encryption/Decryption) การสลับข้อมูล (Data Shuffling) หรือการปกปิดหรือปิดบังข้อมูล (Data Masking, Pseudonymize or Anonymize)

4. จัดทำระบบป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention - DLP)

ผลกระทบจากการที่ข้อมูลส่วนบุคคลรั่วไหลออกจากองค์กรนั้นสามารถสร้างความเสียหายให้กับเจ้าของข้อมูลทั้งในด้านความเป็นส่วนตัว ชื่อเสียง หรือแม้กระทั่งทรัพย์สิน และความเสียหายนั้นอาจส่งผลต่อมูลค่าทางธุรกิจขององค์กรที่จัดเก็บข้อมูล เนื่องจากความน่าเชื่อถือของลูกค้าที่มีต่อองค์กรลดลง ดังนั้นองค์กรจึงหลีกเลี่ยงไม่ได้ที่จะต้องมีแผนการบริหารจัดการและป้องกันที่รัดกุม โดยหาวิธีป้องกันการถูกนำข้อมูลออกจากองค์กรทั้งโดยตั้งใจและไม่ตั้งใจ และครอบคลุมถึงข้อมูลที่มีการจัดส่งผ่านสื่อต่าง ๆ (Data in Motion) เช่น การส่งข้อมูลผ่านระบบเครือข่ายภายใน หรือระบบเครือข่ายอินเทอร์เน็ต แล้ว Copy ไปยัง Media อื่นเช่น USB flash drive/HDD Drive หรือ Flash Drive หรือข้อมูลที่อยู่บนเครื่อง Computer, Server, Storage และ On Cloud (Data in Rest)

5. จัดทำระบบบริหารจัดการข้อมูลส่วนบุคคล (Personal Data Management) 

การบริหารจัดการข้อมูลส่วนบุคคล มีส่วนประกอบของงานดังนี้

• การบริหารจัดการสิทธิ์การเข้าถึงข้อมูล (Right of Access) ตั้งแต่การรับคำร้องขอ การยืนยันตัวตน การเก็บรักษา/แก้ไข/ปรับปรุง/ลบข้อมูลที่จำเป็น และการรักษาความปลอดภัย
• การบริหารความยินยอม (Consent Management) เพื่อเก็บรวบรวม นำไปใช้ และเปิดเผยข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลได้แจ้งไว้ จึงต้องมีการจัดทำระบบบริหารความยินยอมแบบครบวงจร ตั้งแต่ขั้นตอนการเริ่มเก็บความยินยอมของลูกค้า การร้องขอ ไปจนถึงขั้นตอนการเพิกถอนความยินยอมของลูกค้าออกจากระบบ 

การปฏิบัติตามขั้นตอนดังกล่าวข้างต้นอาจพบข้อขัดข้องเรื่องการปฏิบัติ พ.ร.บ. อยู่บ้าง แต่การเริ่มดำเนินการเป็นการแสดงความใส่ใจและให้ความเคารพในสิทธิในความเป็นเจ้าของข้อมูลส่วนบุคคลของลูกค้า ซึ่งเป็นก้าวเริ่มต้นที่สำคัญในการสร้างความน่าเชื่อถือให้กับองค์กร และจะนำมาซึ่งความไว้ใจในการเลือกใช้สินค้าและบริการต่อไป

บทความโดย: คุณวรเทพ ว่องธนาการ (ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย) จำกัด