พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act - PDPA)
Slide1

หลายองค์กรธุรกิจอาจจะรู้จักกับ PDPA มาบ้างแล้ว แต่สำหรับใครที่ยังไม่รู้จัก เราจะมาแนะนำให้ทุกคนได้ทราบคร่าวๆ เพื่อทำความเข้าใจและเตรียมตัวองค์กรของเราให้พร้อม พรบ. ฉบับนี้

PDPA ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งตอนนี้กำลังมีบทบาทสำคัญในประเทศไทยเรา โดยจะมีผลบังคับใช้ในวันที่ 28 พฤษภาคม 2563 นี้ พรบ.นี้จะมีผลกับทุกองค์กรที่เก็บข้อมูลของคนไทย และมีบทลงโทษกับองค์กรหรือธุรกิจที่เพิกเฉยหรือไม่สนใจ โดยหากฝ่าฝืนมีทั้งโทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปี และปรับตั้งแต่ 500,000 บาทจนถึง 5,000,000 บาทเลยทีเดียว แต่ทั้งนี้ก็ขึ้นอยู่กับประเภทข้อมูลที่ทำความผิด

ไม่ใช่แต่ในบ้านเราเท่านั้น แต่ในประเทศฝั่งยุโรปมีกฎหมายลักษณะคุ้มครองมานานแล้ว นั่นก็คือ GDPR มีหลากหลายองค์กรที่ต้องโดนปรับเพราะไปละเมิดกับข้อมูลส่วนบุคคลต่าง ๆ มากมาย อาทิเช่น Facebook หรือแม้กระทั่ง Google ก็ตาม

เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของบุคคลจำนวนมาก จนทำให้เกิดความเดือดร้อนและความเสียหายกับเจ้าของข้อมูลส่วนบุคคลนั้นๆ ด้วยความก้าวหน้าของเทคโนโลยีทำให้เกิดการล่วงละเมิดได้โดยง่ายและรวดเร็ว ส่งผลต่อในวงกว้าง จึงต้องมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเกิดขึ้น เพื่อกำหนดหลักเกณฑ์ มาตรการกำกับดูแล และบทลงโทษ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

บทลงโทษของ PDPA ของไทย

เรามาลองดูกันว่าบทลงโทษของ PDPA ของไทยเรานั้นมีอะไรกันบ้าง แต่ขอบอกก่อนว่าบทลงโทษนั้นมีความรุนแรงกว่า GDPR ของยุโรป นั่นก็คือ มีโทษจำคุก ซึ่งกรรมการบริษัทที่ฝ่าฝืนคือผู้รับโทษนี้ ในขณะที่ GDPR มีเฉพาะโทษทางเแพ่งอย่างเดียวเท่านั้น

โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท

โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง

โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

และเพื่อเป็นการป้องกัน เรามาลองดูแนวทางการปฎิบัติ 3 ขั้นตอน ดังนี้

1. เข้าข่ายหรือไม่

2. ถ้าเข้าข่ายจะต้องทำอย่างไร

3. เตรียมรับมือ แม้ว่าจะไม่เข้าข่ายอย่างไร

    1. ดูว่าองค์กรของเราเข้าข่ายหรือไม่

ถ้าองค์กรหรือธุรกิจของคุณมีการดำเนินการ 3 แบบนี้ถือว่าเข้าข่าย

มีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล ตัวอย่าง เช่น ระบบมีการเก็บรายชื่อลูกค้าเป็น Excel หรือ file ใดๆ ก็ตาม

เป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใดๆ ตามคำสั่งของผู้ควบคุมข้อมูล ซึ่งเรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล

หากองค์กรของคุณดำเนินธุรกิจนอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย

Slide3
Slide4

    2. กรณีเข้าข่าย

เริ่มจากการพิจารณาข้อมูลส่วนบุคคลตามที่ระบุใน พรบ.นี้มีความหมายที่กว้างมากทั้งทางตรงและทางอ้อม ซึ่งข้อมูลเหล่านี้สามารถระบุความเป็นตัวตนของแต่ละบุคคลได้ เช่น

– หมายเลขโทรศัพท์
– ที่อยู่
– อีเมล
– หมายเลขบัตรประจำตัวประชาชน
– รูปถ่าย
– ข้อมูลพันธุกรรม
– ข้อมูลชีวภาพ

Slide2

โดยแต่ละองค์กรจะต้องดำเนินการต่อไปนี้

1. การเก็บข้อมูล ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น โดยจะต้องแจ้งรายละเอียด และวัตถุประสงค์ของการเก็บข้อมูลให้เจ้าของข้อมูลรับทราบก่อน และต้องได้รับความยินยอมในการใช้ข้อมูลจากเจ้าของข้อมูลเสมอ

2. การเข้าถึงและแก้ไขข้อมูล จะต้องให้สิทธิกับเจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขข้อมูลได้

4. การโอนข้อมูลไปยังต่างประเทศ ประเทศปลายทางจะต้องมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ และจะต้องแจ้งให้เจ้าของข้อมูลทราบเกี่ยวกับมาตรฐานการคุ้มครองนั้นด้วย

5. มีมาตรการการรักษาความปลอดภัยของข้อมูล โดยหากพบว่ามีการรั่วของข้อมูล จะต้องแจ้งเจ้าของข้อมูลทราบโดยเร็วที่สุด

Slide5

ซึ่งสามารถสรุปเป็นแนวทางปฏิบัติ 4 ขั้นตอน PDPA (Personal Data Protection Act) ได้ดังนี้

ประเมินความเสี่ยง ( Risk Assessment )
– เพื่อให้แน่ใจว่าการออกแบบและกระบวนการถูกต้องเหมาะสม

ธรรมาภิบาลข้อมูล ( Data Governance )
– มีข้อมูลอะไร อยู่ที่ไหน ใครเข้าถึงได้บ้าง สิทธิและหน้าที่ความรับผิดชอบที่เกิดขึ้น

การบริการเพื่อให้มีการปฏิบัติตามกฏ ( Compliance Management )
– การบริการคน หลักปฏิบัติ และกฏหมาย ให้มีประสิทธิภาพ

มาตราการรับมือเมื่อเกิดข้อมูลรั่วไหล ( Breach Response )
– วิธีการรับมือและการจัดการเมื่อเกิดภัยคุกคามที่ส่งผลกระทบให้ข้อมูลรั่วไหล

    3. สุดท้ายเรามาดูเรื่องของการจัดเก็บข้อมูลส่วนบุคคลว่าจะต้องทำอย่างไรบ้าง

ทุกองค์กรควรจะให้ความสำคัญกับเรื่องนี้ เพราะ PDPA ไม่ใช่ความรับผิดชอบของหน่วยงานใดหน่วยงานหนึ่งเท่านั้น แต่เกี่ยวข้องในทุกส่วนงาน ไม่ว่าจะเป็น IT, การตลาด, บัญชี, การขาย ดังนั้นจึงควรสร้างความเข้าใจให้พนักงานทุกคนในองค์กรให้ตระหนักในเรื่องนี้ให้มาก

การออกแบบและวางแผนการจัดเก็บข้อมูลส่วนบุคคล

1. Critical Data Protection Program
ระบุขอบเขตการใช้ข้อมูล กำหนดแผนลดความเสี่ยง ตรวจสอบการใช้งานและความปลอดภัย

2. Define
กำหนดข้อมูลส่วนบุคคลที่ต้องการ ระยะเวลาที่จัดเก็บ

3. Discover
ข้อมูลที่เก็บมานั้น มีการใช้งาน หรือโยกย้ายไปที่ส่วนใดบ้าง หมั่นตรวจสอบอย่างต่อเนื่อง

4. Baseline
มาตราการควบคุมความปลอดภัยของข้อมูล

5. Secure
ลำดับความสำคัญของกระบวนการ Transformation, เทคนิคกระบวนการทางธุรกิจ

6. Monitor
กระบวนการเฝ้าระวัง ลดความเสี่ยง ปกป้องข้อมูลอย่างสม่ำเสมอ

Slide6

เรื่อง PDPA ไม่ได้มีเพียงแค่นี้ แต่ยังมีข้อมูลอีกมากมายที่ทุกองค์กรสามารถนำมาเป็นแนวทางและกรณีศึกษา และทุกองค์กรควรหาวิธีการดูแลข้อมูลส่วนบุคคลของลูกค้า ในการเตรียมพร้อมรับกับ พรบ.ฉบับนี้ที่กำลังเกิดขึ้นอีกไม่นาน