หลายคนอาจจะเคยเห็นข้อความที่เด้งขึ้นมาในหน้าจอโทรศัพท์ของเรา เมื่อมีการเปิดใช้งานแอปพลิเคชัน ซึ่งเป็นข้อความในการขอความยินยอมจากผู้ใช้งานในการให้ข้อมูลส่วนตัวกับผู้ให้บริการ นี่เป็นหนึ่งในวิธีการปกป้องสิทธิ์ทางข้อมูลของทุกคน และต่อจากนี้กระบวนการเหล่านี้เองก็จะยิ่งเข้มข้นขึ้นและเป็นไปตามมาตราฐานสากล เนื่องจากการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งย่อมาจาก Personal Data Protection Act กำลังจะเริ่มมีผลบังคับใช้จริงแล้วในวันที่ 1 มิถุนายน 2565 นี้แล้ว 

เพื่อให้ทุกคนเข้าใจในเรื่องการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลอย่างถูกต้องตามหลัก PDPA มากขึ้น ICHI ผู้ให้ความรู้ด้าน Digital Solution จึงนำข้อมูลที่น่าสนใจมาแบ่งปันโดยมี อ.ดร.นพ.นวนรรน ธีระอัมพรพันธ์  นักวิชาการด้านสารสนเทศสุขภาพ รองคณบดีฝ่ายปฏิบัติการ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี ม.มหิดล คณะกรรมการผู้ทรงคุณวุฒิ ด้านการคุ้มครองส่วนบุคคล มาให้ข้อมูลด้าน PDPA และ Privacy Notice แบบเข้าใจง่ายและใช้งานได้จริงกับทุกคน 

เร่งปรับองค์กรให้ทัน PDPA ปิดทุกช่องว่างระหว่างองค์กรกับกฏหมาย 

อ.ดร.นพ.นวนรรน ได้อธิบายเรื่อง PDPA ในเบื้องต้นว่า PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคลล เป็นการว่าด้วยเรื่องหลักการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะเป็นมาตรการกำหนดการคุ้มครอง หลักการนำไปใช้ หรือการประกันข้อมูล โดยมีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เข้ามาช่วยในการยกระดับการใช้งานบนยุคดิจิทัล เพื่อให้การดูแลข้อมูลของผู้ใช้งานในประเทศไทยมีมาตรฐานมากขึ้น โดย PDPA ยังถือเป็นเรื่องที่ค่อนข้างใหม่ในสังคมไทย แต่ก็มีความจำเป็นที่จะต้องสร้างความเข้าใจและปรับใช้ให้ทันสำหรับแต่ละองค์กร 

“เมื่อองค์กร และกระบวนการเกิดขึ้นมาก่อน PDPA ก็แปลว่ามันจะมี Gap โดยธรรมชาติ ที่อาจจะมีกฎหมายหลักการใหม่ขึ้นมา แล้วเรายังมองไม่ครบ” 

เนื่องจากองค์กรนั้นเกิดขึ้นก่อนกฏหมาย PDPA ทำให้อาจจะมีช่องว่างที่ต้องเร่งปรับ ดังนั้นองค์กรจะต้องกลับมาพิจารณากระบวนการทำงานภายในองค์กรที่มีการดำเนินงานมาก่อน ทั้งการเก็บรวบรวมข้อมูล การนำไปใช้ และนำไปเปิดเผย โดยต้องคำนึงถึงความถูกต้องที่ต้องสอดคล้องเป็นไปตามหลัก PDPA และจะต้องมองหาสิ่งที่ต้องปรับปรุงหรือควรทำความเข้าใจเพิ่มเติม อาจหาที่ปรึกษาผู้ที่เชี่ยวชาญในด้าน PDPA มาช่วยงานในส่วนนี้ 

อ.ดร.นพ.นวนรรน เสริมว่า “สิ่งที่เราจะได้เห็นเรียกว่า ‘Gap’ หรือช่องโหว่ของการทำงาน ที่มาจากการดำเนินการที่มาก่อนกฎหมายเกิด ซึ่งทำให้อาจเกิดช่องโหว่ที่องค์กรต้องรีบปิด หรือหาทางออกร่วมกันให้ถูกต้องตามหลัก PDPA”

“Gap ที่ว่า หรือช่องโหว่ที่เกิดขึ้นในที่นี้ คือช่องโหว่ที่เกิดจากการที่องค์กร และกระบวนการเกิดขึ้นมาก่อน PDPA ซึ่งสิ่งเหล่านั้นอาจเข้าข่ายผิดหลักกฎหมาย เป็นเพราะที่ผ่านมา เราทำเพราะกฎหมายไม่ได้บอกว่ามันผิดกฎหมาย เราก็ทำในแบบที่คิดว่าควรจะเป็น แต่ว่าแบบนั้นอาจจะไม่ตรงตามหลักการในยุคที่ปัจจุบันที่มีกฎหมายว่าหลักไว้แล้ว 

 ซึ่ง PDPA วางโดยยึดหลักการที่มีมาตรฐานตามสากล แปลว่าเรื่องบางเรื่องจะเป็นเรื่องใหม่ในปัจจุบัน ซึ่งบางทีอาจจะต้องมาปรับให้เหมาะสมกับสิ่งที่เรามีในปัจจุบัน  โดยจากกฎหมายวาง กับสิ่งที่เราทำอยู่ มันมีส่วนไหนที่แตกต่างกัน”

PDPA ไม่ใช่งานของฝ่ายใดฝ่ายหนึ่งแต่ต้องใช้ความร่วมมือจากหลายฝ่าย

การใช้งาน PDPA ถือเป็นเรื่องเร่งด่วน เนื่องจากกำลังจะมีการบังคับใช้ในเร็ววันนี้ องค์กรควรเร่งจัดตั้งทีมในการดำเนินการ เนื่องจากงานในส่วนนี้ไม่สามารถทำได้เพียงคนเดียวแต่ต้องพึ่งพาความรู้จากหลากหลายฝ่าย บางหน่วยงานอาจจะมองว่า PDPA คืองานของแผนก IT เพราะคิดว่าเป็นเรื่องของระบบดิจิทัล แน่นอนว่า IT อาจจะเข้ามาช่วยในการสร้างหน้าตาของแพลตฟอร์มได้ แต่ไม่อาจเจาะลึกถึงเรื่องข้อมูลที่ต้องการเก็บหรือการนำไปใช้งานว่าต้องการส่วนไหน อย่างไรบ้าง ในขณะที่บางที่มองว่า PDPA เป็นเรื่องของกฏหมายเท่านั้น ถึงแม้จะมีส่วนจริงแต่ก็ต้องการความรู้จากส่วนอื่น ๆ  มาสนับสนุนเช่นระบบจากทีม IT ในการสร้างแพลตฟอร์มที่ใช้เก็บข้อมูล 

ซึ่งนี่เป็นการชี้ให้เห็นว่า PDPA ไม่ใช่เรื่องของหน่วยงานใดหน่วยงานหนึ่งแต่ต้องการความร่วมมือจากหลานฝ่ายในหลายส่วน เช่น บางหน่วยงานเป็นแหล่งดูแล เก็บรวบรวมข้อมูล บางหน่วยงานต้องพัฒนาโปรแกรม หรือบางหน่วยงานเป็นส่วนที่ต้องใช้ข้อมูลส่วนบุคคล

“แต่ละองค์กรจึงควรระบุตามหน้าที่รับผิดชอบตามความเหมาะสม กำหนดแผนกไหนต้องรับผิดชอบอะไรบ้าง และจัดตั้งทีมเพื่อนั่งหาทางออกร่วมกัน หาช่องโหว่ที่เกิดขึ้น และแก้ปัญหาไปด้วยกัน นั่นคือหลักคร่าว ๆ ที่ผมจะมอง ซึ่งแต่ละองค์กรก็จะมีแนวทางที่ไม่เหมือนกัน”

แนะข้อควรระวังในการจัดเก็บข้อมูลขององค์กรให้ถูกต้อง 

อีกหนึ่งเรื่องสำคัญของการใช้ PDPA คือเรื่องของ Privacy Notice หรือ การประกาศความเป็นส่วนตัว ซึ่งเป็นการแจ้งเตือนถึงข้อกำหนดของการเก็บรวบรวม การนำไปใช้ และการเปิดเผยข้อมูลให้กับเจ้าของข้อมูลได้ทราบถึงขอบเขตการใช้งาน เพื่อเป็นอันเข้าใจร่วมกัน 

อ.ดร.นพ.นวนรรน กล่าวว่า “การที่เราเอาข้อมูลไปเปิดเผย ไปใช้งานในเรื่องอื่น ๆ ในบางกรณีกฎหมายก็จะวางหลักไว้ว่า ให้สามารถนำไปใช้ตามวัตถุประสงค์ที่เราได้แจ้งไว้กับเจ้าตัวเท่านั้น หรือ Privacy Notice คือแจ้งกับเจ้าตัวว่า เราเก็บอะไร จะมีการนำไปใช้อะไรบ้าง หรือจะเก็บไว้นานแค่ไหน ซึ่งถ้าเราไม่ได้แจ้งเขา แล้วมีการนำไปทำอย่างอื่น มันอาจจะผิดกฎหมาย PDPA ที่มีการคุ้มครองในส่วนนี้ ฉะนั้นองค์กรต้องกลับมาทบทวนว่าอะไรสามารถทำ ได้ หรืออะไรที่ไม่สามารถทำได้แล้ว”

4 ข้อควรระวังในการจัดเก็บข้อมูลขององค์กร

1. องค์กรควรเก็บข้อมูลเท่าที่จำเป็นเพื่อลดภาระด้านข้อมูล 

องค์กรควรเก็บข้อมูลเท่าที่จำเป็นต้องใช้ หลายองค์กรมักเก็บข้อมูลมากเกินเพราะมักจะคิดเผื่อในอนาคต แต่ในความเป็นจริงการเก็บข้อมูลที่เกินความจำเป็นถือเป็นว่าความรับผิดชอบ และทำให้เกิดภาระในการเก็บข้อมูลที่เพิ่มมากขึ้นด้วย เช่น อาจเกิดเหตึการรั่วไหลของข้อมูลทำให้ต้องชำระค่าเสียหายหรือการเยียวยาแก่ผู้เสียหายอีกด้วย 

2. PDPA ไม่ใช่เรื่องของฝ่ายใดฝ่ายหนึ่งแต่คือการร่วมมือ 

องค์กรควรทำความเข้าใจในเรื่องของการทำงานในส่วน PDPA ว่าไม่ใช่หน้าที่ของฝ่ายใดฝ่ายหนึ่งแต่ต้องใช้ความรู้จากหลายฝ่ายและต้องทำงานร่วมกัน 

3. ไม่จำเป็นต้องขอคำยินยอม หรือ Consent ในทุกกรณี

หลายองค์กรอาจจะคิดว่าการจะเปิดเผยข้อมูลส่วนบุคคลจำเป็นต้องขอความยินยอมแก่เจ้าของเสมอ แต่ในความเป็นจริงแล้ว การจัดเก็บข้อมูล การนำไปใช้ หรือการเปิดเผยนั้น มีกฎหมายรองรับตามเงื่อนไขอยู่ด้วยกัน 7 ฐานกฎหมาย ว่าด้วยเรื่องฐานปฎิบัติตามกฎหมาย ฐานประโยชน์สำคัญต่อชีวิต ฐานตามอำนาจรัฐ ฐานวิจัย ฐานสัญญา ฐานประโยชน์อันชอบด้วยกฎหมาย และฐานความยินยอม ที่เป็นตัวเลือกสุดท้ายจากการเทียบข้อกำหนดจาก 6 ฐานข้างต้น แต่สำคัญต้องไม่ลืมแจ้งไปยังเจ้าของข้อมูล หรือ Privacy Notice รวมถึงเงื่อนไขอื่นที่เจ้าของต้องรับรู้

4. ไม่จำเป็นต้องมี Transaction Log เสมอไป 

องค์กรไม่จำเป็นจะต้องมีการใช้ Transaction Log หรือการตรวจสอบการดึงข้อมูลเพื่อนำไปในที่ต่าง ๆ จากเจ้าของข้อมูล เช่น เจ้าของสามารถเข้ามาตรวจสอบว่าหน่วยงานที่จัดเก็บข้อมูลส่วนบุคคลของตนเองนั้น ได้นำไปใช้ ที่ไหน เมื่อไร อย่างไรบ้าง เนื่องจากประเทศไทยยังไม่มีกฎหมายบังคับใช้ Transaction Log เพราะใจความสำคัญหลักของ PDPA คือ การวิเคราะห์หลักการเก็บ นำไปใช้ และเปิดเผย ซึ่งมีมาตรการตามกฎหมายที่เกี่ยวข้องที่สามารถตรวจสอบได้อยู่แล้ว การเพิ่มค่าใช้จ่ายสำหรับ Transaction Log Service จึงอาจไม่ใช่เรื่องจำเป็นสำหรับองค์กร

PDPA เรียกได้ว่ามีอีกหลากหลายมิติให้องค์กรได้เรียนรู้และทำความเข้าใจ ทั้งในเรื่องของการเก็บ ใช้ และเปิดเผย ซึ่งต้องมีความระมัดระวังอย่างมากเพื่อประโยชน์ของทั้งลูกค้าและองค์กรเอง สำหรับองค์กรที่กำลังปรับใช้ PDPA ลองศึกษาข้อมูลเพิ่มเติมกันได้ผ่านทาง https://www.jrit-ichi.com/cutting/2022/05/05/1095/

บทความนี้เป็น Advertorial