- อ่านนโยบายการปกป้องข้อมูลส่วนบุคคลของดีแทคได้ที่นี่
- พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลจะส่งผลกระทบต่อกระบวนการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล
- พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลไม่ได้เกี่ยวโยงกับประเด็นด้านความปลอดภัยของข้อมูล เท่านั้น แต่ยังรวมถึงการใช้ข้อมูลให้เป็นไปตามวัตถุประสงค์อีกด้วย ทำให้การฝึกอบรมพนักงานเพื่อสร้างความรู้ความเข้าใจที่ถูกต้องจึงเป็นสิ่งจำเป็น
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) จะมีผลบังคับในวันที่ 1 มิถุนายน 2565 นี้ พ.ร.บ. ฉบับดังกล่าวเป็นประเด็นที่ถูกหยิบยกขึ้นมาพูดคุยบ่อยครั้งในภาคส่วนธุรกิจและองค์กรต่างๆ ของไทย เนื่องจากหลายบริษัทนั้นมีความกังวลเกี่ยวกับการเตรียมความพร้อมและการวางกฎระเบียบและนโยบายต่างๆ เพื่อรองรับกับการบังคับใช้ รวมทั้งผลกระทบที่อาจเกิดขึ้นต่อการรักษาข้อมูลความลับทางการค้าของธุรกิจต่างๆ
มนตรี สถาพรกุล ผู้เชี่ยวชาญการดูแลข้อมูลส่วนบุคคลของดีแทค ได้ร่วมกับ ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล แห่งคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ และรับขวัญ ชลดำรงค์กุล ผู้ร่วมก่อตั้งบริษัท easyPDPA ในการแบ่งปันความรู้และมุมมองบนเวทีเสวนาซึ่งจัดขึ้นเนื่องในวันรพี ณ ศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง ในหัวข้อ ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคล และประเด็นที่เกี่ยวข้องกับทรัพย์สินทางปัญญา’
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะมีผลบังคับใช้กับทั้งองค์กรภาครัฐและเอกชน โดยพ.ร.บ. ดังกล่าวมีความคล้ายคลึงกับกฎหมาย General Data Protection Regulation (GDPR) ซึ่งสหภาพยุโรปประกาศใช้ไปแล้วในปี 2561 อย่างไรก็ดี คณะรัฐมนตรีได้มีมติขยายเวลาการบังคับใช้พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลในบางหมวดออกไป เพื่อให้หน่วยงานทั้งภาครัฐและเอกชนได้มีโอกาสจัดเตรียมทรัพยากรภายในองค์กร รวมทั้งช่วยลดภาระค่าใช้จ่ายและบรรเทาความเดือดร้อนที่อาจเกิดขึ้นอันเนื่องจากการแพร่ระบาดของโควิด-19
“องค์กรต่างๆ ควรใช้เวลาในช่วงนี้ หาวิธีแปลกฎหมายดังกล่าวให้เป็นรูปธรรม ทั้งในด้านนโยบายและมาตรการควบคุมดูแลต่างๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล การคุ้มครองข้อมูลส่วนบุคคลนั้นมีอะไรซับซ้อนกว่าการรักษาความปลอดภัยของข้อมูลที่เป็นความลับ ทั้งนี้ การเป็นพาร์ทเนอร์กับเทเลนอร์ ผู้มีความคุ้นเคยเกี่ยวกับกฎหมาย GDPR อยู่แล้ว ทำให้เรามีข้อได้เปรียบในจุดนี้ แต่ผมยอมรับว่ามันเป็นเรื่องที่ต้องใช้เวลา” มนตรีอธิบาย
ในระหว่างการเสวนา วิทยากรได้หยิกยกประเด็นเรื่องพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และผลกระทบในเรื่องทรัพย์สินทางปัญญา ขึ้นมาอภิปราย ทั้งนี้ มนตรีมองว่าการบังคับใช้พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งให้สิทธิเจ้าของข้อมูลในการขอเข้าถึงข้อมูลส่วนบุคคลจากบริษัทหรือองค์กรผู้ควบคุมข้อมูลส่วนบุคคล โดยทั่วไปแล้วไม่ควรจะส่งผลกระทบต่อการรักษาความลับทางการค้าของบริษัท
“พ.ร.บ. ฉบับนี้ช่วยกำหนดสิทธิในฐานะเจ้าของข้อมูลให้มีความชัดเจนขึ้น กล่าวคือ องค์กรซึ่งเป็นผู้ควบคุมข้อมูล ต้องใช้ข้อมูลตามวัตถุประสงค์และขอบเขตที่กำหนดไว้เท่านั้น และผู้บริโภคมีสิทธิในการเข้าถึงมาตรการเยียวยา ในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล สิ่งนี้นับเป็นความท้าทายของธุรกิจและองค์กรทั้งขนาดเล็กใหญ่” เขากล่าว
องค์กรจะปฏิบัติตาม PDPA ได้อย่างไร
ขอความยินยอม
องค์กรที่เก็บข้อมูลส่วนบุคคลต้องขอความยินยอมอย่างชัดเจนและชัดแจ้งจากเจ้าของข้อมูล
แจ้งเตือนหากมีข้อมูลรั่วไหล
ผู้ควบคุมข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแลและเจ้าของข้อมูลทราบภายใน 72 ชั่วโมง ทันทีที่ได้รับรายงานเกี่ยวกับการรั่วไหลของข้อมูล
จำแนกข้อมูลส่วนบุคคล
องค์กรต้องมีการจำแนกข้อมูลที่อยู่ในขอบเขตข้อมูลส่วนบุคคล เพื่อให้สามารถระบุข้อมูลส่วนบุคคลในกระบวนการทำงานต่างๆ และบริหารจัดการความเสี่ยงของข้อมูลอย่างเหมาะสม
ปฏิบัติตามมาตรฐานความปลอดภัย
องค์กรที่ดำเนินการจัดเก็บข้อมูล ต้องมีแผนงานหรือระบบในการรักษาความมั่นคงปลอดภัยของข้อมูลที่เป็นไปตามมาตรฐานกฎหมาย
แต่งตั้งเจ้าหน้าที่ดูแลความปลอดภัยของข้อมูล (Data Protection Officer)
องค์กรอาจต้องแต่งตั้ง Data Protection Officer ในกรณีที่องค์กรมีข้อมูลอ่อนไหวหรือข้อมูลประมวลผลจำนวนมาก
ในยุคเศรษฐกิจดิจิทัล ธุรกิจจำนวนมากจัดเก็บข้อมูลส่วนบุคคลในรูปแบบต่างๆ และนำข้อมูลเหล่านี้ไปใช้เพื่อออกแบบประสบการณ์ที่ตอบโจทย์สำหรับลูกค้าเฉพาะบุคคล ในขณะเดียวกัน การแพร่ระบาดของโควิด-19 ก็นับเป็นปัจจัยเร่งสำคัญที่ทำให้ปริมาณการใช้งานช่องทางดิจิทัลในประเทศไทยนั้นเพิ่มขึ้นก้าวกระโดด คนจำนวนมากขึ้นหันมาใช้ช่องทางออนไลน์ในการทำงาน รับชมความบันเทิงต่างๆ และซื้อสินค้าบริการ กระนั้น ความนิยมในช่องทางออนไลน์ที่เพิ่มขึ้น ก็อาจนำมาซึ่งภัยคุกคามในเรื่องความเป็นส่วนตัวได้เช่นกัน
“ปัจจุบันคนไทยมีความเข้าใจเรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคลเยอะขึ้นมาก คนเริ่มตระหนักว่าเฟซบุ๊กไม่ได้ฟรี เริ่มมีลูกค้าโทรหาคอลเซ็นเตอร์ของเราเพื่อถามเกี่ยวกับเรื่องความเป็นส่วนตัว ผมได้ยกประเด็นนี้ออกไปเพื่อให้ความรู้คอลเซ็นเตอร์ของเรา ทั้งเรื่องความเป็นส่วนตัว และพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” มนตรีเล่า
เขายังชี้ด้วยว่าหลายคนยังสับสนระหว่างแนวคิดเรื่องความเป็นส่วนตัว (privacy) และความปลอดภัย (security) ในขณะที่วัตถุประสงค์หลักของความปลอดภัยนั้นคือการป้องกันข้อมูลรั่วไหล พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฉบับใหม่นี้ จะเป็นตัวกำหนดแนวทางการใช้และประมวลผลข้อมูลส่วนบุคคล รวมทั้งดูแลควบคุมการเก็บข้อมูลให้อยู่ภายใต้ขอบเขตและวัตถุประสงค์การใช้งาน การสร้างความตระหนักเรื่องความเป็นส่วนตัวและการฝึกอบรมต่างๆ จึงเป็นสิ่งจำเป็นยิ่ง สำหรับพนักงานผู้ซึ่งทำงานในองค์กรที่มีการใช้ ประมวลผล และเก็บรักษาข้อมูลส่วนบุคคล
พนักงานทุกคนที่ดีแทคนั้นจำเป็นต้องเข้ารับการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและมาตรการรักษาความปลอดภัยของข้อมูลในทุกๆ ปี และหากมีการรั่วไหลของข้อมูลเกิดขึ้น บริษัทจะแจ้งให้เจ้าของข้อมูลทราบทันทีที่ได้รับรายงาน พร้อมด้วยแนวทางการเยียวยาสำหรับเจ้าของข้อมูลที่ได้รับผลกระทบ
“ที่ดีแทค เรามีระเบียบและมาตรการต่างๆ ที่เป็นสากลรองรับ เราโปร่งใสกับลูกค้าในการใช้และประมวลผลข้อมูลส่วนบุคคล เรามีทีมงานที่คอยตรวจสอบดูแลเกี่ยวกับการรั่วไหลของข้อมูลตลอดเวลา ทำให้เราสามารถรับมือได้อย่างทันท่วงทีหากมีการรั่วไหลของข้อมูลเกิดขึ้น และป้องกันไม่ให้เกิดความเสียหายในวงกว้าง เราเชื่อว่าการคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นหนึ่งในวิธีการแสดงออกถึงความรับผิดชอบต่อสังคม” เขาทิ้งท้าย
