อย่างที่ทุกคนทราบกันดีว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งย่อมาจาก Personal Data Protection Act ซึ่งเลื่อนการใช้งานมากว่าสองปี กำลังจะเริ่มมีผลบังคับใช้จริงแล้วในวันที่ 1 มิถุนายน 2565 เป็นต้นไป หรือพูดได้ว่าในอีกไม่กี่เดือนข้างหน้านี้เอง ถึงแม้จะดูระยะเวลาไม่นานแต่ก็ยังพอมีเวลาให้ทุกหน่วยงานธุรกิจได้เตรียมพร้อมรับมือเพื่อปรับองค์กรให้สามารถปฏิบัติตามข้อกฏหมายใหม่ได้ 

ทาง ICHI ผู้ให้ความรู้ด้าน Digital Solution จึงขอเป็นผู้ช่วยทุกธุรกิจโดยชวน คุณกำพล ศรธนะรัตน์ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) และที่ปรึกษาด้าน Digital Transformation สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และประธานชมรม DPO มาแนะนำหลักการ แนวทางและขั้นตอนการปฏิบัติให้ทุกคนได้ทราบเพื่อเตรียมพร้อมรับ PDPA ได้อย่างถูกต้อง 

คุณกำพล ศรธนะรัตน์ 

2 แนวทางสำคัญที่องค์กรควรรู้

สำหรับแนวทางสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA อ้างอิงตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ประกอบด้วย 2 แนวทางหลักที่องค์กรควรให้ความสนใจ 

1. ข้อกำหนดในกฎหมาย 

2. แนวปฏิบัติที่ดีหรือ Best Practices 

ซึ่งทั้ง 2 แนวทางนี้นี้มีหลักการสำคัญในการปฏิบัติทั้งหมดดังภาพ 

การปรับใช้หลักการข้อกำหนดตามกฎหมายในองค์กรเพื่อพาธุรกิจสู่การทำตามกติกาอย่างถูกต้อง

ข้อ 1 การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) หรือ DPO สามารถแต่งตั้งได้ทั้งจากบุคคลในองค์กรหรือสามารถจ้างบุคคลภายนอกในการเข้ามาทำหน้าที่ก็ได้ โดยหน้าที่ของการทำงาน DPO จะต้องดูแลองค์กรในการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย และยังต้องทำหน้าที่เป็นผู้ติดต่อประสานงานกับ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) และเจ้าของข้อมูลส่วนบุคคล หรือ Data Subject ด้วย

ข้อ 2 ด้านการการจัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ในการที่จะจัดเก็บข้อมูลนั้น องค์กรจะต้องระบุถึงวัตถุประสงค์ของการนำข้อมูลไปใช้และการส่งต่อให้กับหน่วยงานอื่นให้ชัดเจน 

ข้อ 3 การจัดทำบันทึกรายการประมวลผล หรือ ROPA กรณีการทำ ROPA จะต้องจัดทำทะเบียนการใช้ข้อมูลและการประมวลผลข้อมูลในกิจกรรมต่าง ๆ ขององค์กร เพื่อให้องค์กรมีข้อมูลการประมวลผลข้อมูลส่วนบุคคลอย่างครบถ้วน

ข้อ 4 การจัดทำเอกสารหรือแบบฟอร์มขอความยินยอม (Consent Form) เมื่อต้องการข้อมูลผู้ใช้งานองค์กรจะต้องจัดทำการขอความยินยอมให้สอดคล้องกับประเภทธุรกิจและกฎหมายนั้น ๆ 

ข้อ 5 การจัดทำข้อตกลงการประมวลผล (Data Processing Agreement) ต้องมีการจัดทำข้อตกลงการประมวลผลในกรณีที่องค์กรมีการส่งต่อหรือแชร์ข้อมูลส่วนบุคคลของลูกค้าไปให้บุคคลที่สามทำการประมวลผลข้อมูล เช่น จ้างผู้ประมวลผล หรือส่งให้คู่ค้า เป็นต้น 

สร้าง Best Practices ให้องค์กรและเสริมความเข้าใจในกฎหมายให้ทุกฝ่าย  

สำหรับแนวปฏิบัติที่ดี (Best Practices) 6 ข้อ คุณกำพลให้ความเห็นว่าต้องมีการจัดตั้งคณะทำงาน PDPA “ควรจะแต่งตั้งจากบุคลากร 3 ฝ่าย คือ ฝ่ายไอที ฝ่ายธุรกิจ (Business) และฝ่ายกฎหมาย เพื่อให้เกิดความเข้าใจในทุกบริบทรอบด้าน ส่วนด้านการสำรวจข้อมูลและจัดทำ Data Inventory มีความสำคัญมากจะต้องเริ่มต้นให้ครบถ้วนเนื่องจากจะมีการเชื่อมโยงกับส่วนอื่น ๆ ต่อไป”

โดยองค์กรควรมีการจัดทำนโยบายที่ชัดเจนและมีคู่มือให้กับพนักงานทุกฝ่ายเพื่อจะสร้างความเข้าใจและแนวทางปฏิบัติที่มีความคล้ายคลึงกัน อีกทั้งควรให้ความสำคัญกับเรื่องของการส่งต่อข้อมูลส่วนบุคคลที่จะต้องมีการจัดทำข้อตกลงเพื่อให้การนำไปใช้ตรงตามวัตถุประสงค์ที่แจ้งเจ้าของข้อมูล นอกจากนี้ควรมีความให้ความรู้กับพนักงานและลูกค้า และต้องมีการกำกับดูแลและตรวจสอบอย่างสม่ำเสมอ เพื่อให้แนวปฏิบัติดำเนินการไปได้อย่างครบถ้วนตามที่กฎหมายกำหนด

“หากองค์กรใดยังดำเนินการไม่เสร็จสมบูรณ์ สิ่งสำคัญที่จะต้องเร่งทำก่อนกฎหมายมีผลบังคับใช้คือ 5 Check list ตามข้อกำหนดของกฎหมาย ประกอบด้วย แต่งตั้ง DPO, จัดทำ Privacy Notice, จัดทำ ROPA, จัดทำ Consent form และจัดทำ Data Processing Agreement ซึ่งทั้ง 5 เป็นข้อกำหนดในมาตรา 41, 23, 39, 19 และ 41 ตามลำดับ” คุณกำพล กล่าว 

คุณกำพล ยังเน้นย้ำด้วยว่า “หัวใจแห่งความสำเร็จของการจัดการ Data คือ ต้องจัดทำจัดเก็บ ระบุที่มา การใช้ข้อมูลให้ครบถ้วนทุกขั้นตอน และทุกส่วนที่มีข้อมูลส่วนบุคคล ซึ่งนั่นคือการจัดทำ Data Inventory ที่จะเป็นรากฐานสำคัญนำไปสู่การทำ ROPA หรือทะเบียนการประมวลผลข้อมูลในกิจกรรมต่าง ๆ โดย ROPA จะเชื่อมโยงกับการเก็บ Log รวมทั้งนำไปสู่การจัดทำ Data Flow” 

7 ขั้นตอนควรปฏิบัติ เพื่อเป็นไปตามกรอบ PDPA 

ขั้นตอนที่ 1 เริ่มต้นด้วยการจัดทำแผนผังข้อมูลส่วนบุคคล (Data Flow) 

ขั้นตอนที่ 2 ควรมีการกำหนดหน้าที่ของบุคคลและฐานกฎหมายที่ใช้ โดยระบุรายละเอียดให้ชัดเจนต่อการใช้ข้อมูลในแต่ละกิจกรรม โดยต้องระบุชื่อผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูล ของแต่ละกิจกรรมให้ชัดเจน 

ขั้นตอนที่ 3 มีการจัดทำเอกสารสำคัญเพื่อให้มีผลบังคับใช้ได้ตามกฎหมาย อาทิ Privacy Policy, Privacy Notice รวมไปถึงเอกสารหรือข้อความการขอความยินยอม (Consent form) ต่างๆ ทั้งในรูปแบบเอกสารกระดาษ (Hard Copy) และเอกสารอิเล็กทรอนิกส์ (Soft Copy) เช่น ข้อความแจ้งการเก็บ Cookie ในเว็บไซต์ ฯลฯ

ขั้นตอนที่ 4 ต้องมีการบริหารจัดการข้อมูลแบบ Data Life Cycle Management ซึ่งเป็นส่วนที่เชื่อมโยงกับขั้นตอน 1 เมื่อข้อมูลเข้ามาใหม่ ต้องรู้ที่มาและระบุผู้รับผิดชอบ การเก็บการใช้ข้อมูล ไปจนถึงข้อมูลหมดอายุเลิกใช้ก็จะต้องทำการลบข้อมูลออกจากระบบ 

ขั้นตอนที่ 5 ควรมีการปรับระบบไอทีให้รองรับสอดคล้องต่อรายละเอียดต่าง ๆ และขั้นตอนในการจัดเก็บข้อมูลของแต่ละบริการ ตลอดจนสิทธิในการเข้าถึงข้อมูล โดยการปรับระบบไอทียังต้องคำนึกถึงเรื่อง Digital Transformation ไปพร้อมกันด้วย

ขั้นตอนที่ 6 แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ซึ่งสามารถเป็นทั้งพนักงานภายในองค์กร หรือภายนอกองค์กร 

ขั้นตอนที่ 7 สร้างความรู้และความเข้าใจผ่านการอบรมให้แก่พนักงาน ผู้บริหาร พนักงานภายในองค์กร ผู้รับจ้างประมวลผล รวมไปถึงลูกค้า

บทลงโทษที่จะเกิดขึ้นหากองค์กรละเลย PDPA

PDPA ที่จะมีผลบังคับใช้ในเร็ว ๆ นี้ถือว่ามีความสำคัญและจำเป็นอย่างมากที่องค์กรทั้งหลายควรจะต้องปฏิบัติตาม โดยหากไม่สามารถปฏิบัติตามได้อาจได้รับโทษ ซึ่งแบ่งออกเป็น 3 ส่วนคือ (1) ความรับผิดทางแพ่งซึ่งมีการคิดจากค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ ในขณะที่ (2) โทษทางปกครองเป็นการปรับเงินตามความผิดที่องค์กรก่อ หากองค์กรไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ์ ไม่จัดทำบันทึกรายการหรือ ROPA ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO รวมถึงไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของ DPO และ (3) โทษอาญาที่ว่าด้วยการเปิดเผยข้อมูลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือผิดจากวัตถุประสงค์ที่แจ้งไว้ หรือโอนข้อมูลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมายจะมีการปรับเงินตามที่กำหนด 

นี่คือบทลงโทษที่จะมีผลในเร็วๆ นี้ หากองค์กรไม่สามารถปฏิบัติตามได้ แต่หากได้ปฏิบัติตามกรอบ PDPA และขั้นตอนพร้อมแนวทางที่ทางเราได้ให้ความรู้ไปก็จะช่วยให้องค์กรสามารถทำ Check list ให้สอดคล้องกับทั้งข้อกำหนดในกฎหมายที่จะต้องทำให้ครบ และทำงานได้อย่างมีประสิทธิภาพคลายข้อกังวลใจในการอาจปฏิบัติขัดต่อกฎหมายได้ 

โดยองค์กรและผู้สนใจสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ https://www.jrit-ichi.com/cutting/2022/04/20/1050/

บทความนี้เป็น Advertorial