ดีแทคเน้นย้ำจุดยืนในฐานะผู้นำด้านการดูแลข้อมูลส่วนบุคคล

  • อ่านนโยบายการปกป้องข้อมูลส่วนบุคคลของดีแทคได้ที่นี่ 
  • แม้จะมีการขยายเวลาบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ออกไปอีกครั้งจนถึงปี 2565 แต่ดีแทคก็เน้นย้ำถึงความเร่งด่วนในการเตรียมความพร้อมสำหรับธุรกิจต่างๆ
  • พรบ. คุ้มครองข้อมูลส่วนบุคคลจะส่งผลกระทบต่อกระบวนการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล
  • พรบ. คุ้มครองข้อมูลส่วนบุคคลไม่ได้เกี่ยวโยงกับประเด็นด้านความปลอดภัยของข้อมูล เท่านั้น แต่ยังรวมถึงการใช้ข้อมูลให้เป็นไปตามวัตถุประสงค์อีกด้วย ทำให้การฝึกอบรมพนักงานเพื่อสร้างความรู้ความเข้าใจที่ถูกต้องจึงเป็นสิ่งจำเป็น

แม้จะมีการขยายเวลาบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ออกไปอีกครั้งจนถึงเดือนพฤษภาคม 2565 แต่พรบ. ฉบับดังกล่าวก็ยังคงเป็นประเด็นที่ถูกหยิบยกขึ้นมาพูดคุยบ่อยครั้งในภาคส่วนธุรกิจและองค์กรต่างๆ ของไทย เนื่องจากหลายบริษัทนั้นมีความกังวลเกี่ยวกับการเตรียมความพร้อมและการวางกฎระเบียบและนโยบายต่างๆ เพื่อรองรับกับการบังคับใช้ รวมทั้งผลกระทบที่อาจเกิดขึ้นต่อการรักษาข้อมูลความลับทางการค้าของธุรกิจต่างๆ 

มนตรี สถาพรกุล ผู้เชี่ยวชาญการดูแลข้อมูลส่วนบุคคลของดีแทค ได้ร่วมกับ ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล แห่งคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ และรับขวัญ ชลดำรงค์กุล ผู้ร่วมก่อตั้งบริษัท easyPDPA ในการแบ่งปันความรู้และมุมมองบนเวทีเสวนาซึ่งจัดขึ้นเนื่องในวันรพี ณ ศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง ในหัวข้อ ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคล และประเด็นที่เกี่ยวข้องกับทรัพย์สินทางปัญญา’ 

พรบ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งเดิมทีมีการประกาศใช้ในเดือนพฤษภาคม 2563 นั้น จะมีผลบังคับใช้กับทั้งองค์กรภาครัฐและเอกชน โดยพรบ. ดังกล่าวมีความคล้ายคลึงกับกฎหมาย General Data Protection Regulation (GDPR) ซึ่งสหภาพยุโรปประกาศใช้ไปแล้วในปี 2561 อย่างไรก็ดี คณะรัฐมนตรีได้มีมติขยายเวลาการบังคับใช้พรบ. คุ้มครองข้อมูลส่วนบุคคลในบางหมวดออกไป เพื่อให้หน่วยงานทั้งภาครัฐและเอกชนได้มีโอกาสจัดเตรียมทรัพยากรภายในองค์กร รวมทั้งช่วยลดภาระค่าใช้จ่ายและบรรเทาความเดือดร้อนที่อาจเกิดขึ้นอันเนื่องจากการแพร่ระบาดของโควิด-19

“องค์กรต่างๆ ควรใช้เวลาในช่วงนี้ หาวิธีแปลกฎหมายดังกล่าวให้เป็นรูปธรรม ทั้งในด้านนโยบายและมาตรการควบคุมดูแลต่างๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล การคุ้มครองข้อมูลส่วนบุคคลนั้นมีอะไรซับซ้อนกว่าการรักษาความปลอดภัยของข้อมูลที่เป็นความลับ ทั้งนี้ การเป็นพาร์ทเนอร์กับเทเลนอร์ ผู้มีความคุ้นเคยเกี่ยวกับกฎหมาย GDPR อยู่แล้ว ทำให้เรามีข้อได้เปรียบในจุดนี้ แต่ผมยอมรับว่ามันเป็นเรื่องที่ต้องใช้เวลา” มนตรีอธิบาย

ในระหว่างการเสวนา วิทยากรได้หยิกยกประเด็นเรื่องพรบ. คุ้มครองข้อมูลส่วนบุคคล และผลกระทบในเรื่องทรัพย์สินทางปัญญา ขึ้นมาอภิปราย ทั้งนี้ มนตรีมองว่าการบังคับใช้พรบ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งให้สิทธิเจ้าของข้อมูลในการขอเข้าถึงข้อมูลส่วนบุคคลจากบริษัทหรือองค์กรผู้ควบคุมข้อมูลส่วนบุคคล โดยทั่วไปแล้วไม่ควรจะส่งผลกระทบต่อการรักษาความลับทางการค้าของบริษัท 

“พรบ. ฉบับนี้ช่วยกำหนดสิทธิในฐานะเจ้าของข้อมูลให้มีความชัดเจนขึ้น กล่าวคือ องค์กรซึ่งเป็นผู้ควบคุมข้อมูล ต้องใช้ข้อมูลตามวัตถุประสงค์และขอบเขตที่กำหนดไว้เท่านั้น และผู้บริโภคมีสิทธิในการเข้าถึงมาตรการเยียวยา ในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล สิ่งนี้นับเป็นความท้าทายของธุรกิจและองค์กรทั้งขนาดเล็กใหญ่” เขากล่าว

องค์กรจะปฏิบัติตาม PDPA ได้อย่างไร

ขอความยินยอม

องค์กรที่เก็บข้อมูลส่วนบุคคลต้องขอความยินยอมอย่างชัดเจนและชัดแจ้งจากเจ้าของข้อมูล

แจ้งเตือนหากมีข้อมูลรั่วไหล

ผู้ควบคุมข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแลและเจ้าของข้อมูลทราบภายใน 72 ชั่วโมง ทันทีที่ได้รับรายงานเกี่ยวกับการรั่วไหลของข้อมูล

จำแนกข้อมูลส่วนบุคคล

องค์กรต้องมีการจำแนกข้อมูลที่อยู่ในขอบเขตข้อมูลส่วนบุคคล เพื่อให้สามารถระบุข้อมูลส่วนบุคคลในกระบวนการทำงานต่างๆ และบริหารจัดการความเสี่ยงของข้อมูลอย่างเหมาะสม

ปฏิบัติตามมาตรฐานความปลอดภัย

องค์กรที่ดำเนินการจัดเก็บข้อมูล ต้องมีแผนงานหรือระบบในการรักษาความมั่นคงปลอดภัยของข้อมูลที่เป็นไปตามมาตรฐานกฎหมาย

แต่งตั้งเจ้าหน้าที่ดูแลความปลอดภัยของข้อมูล (Data Protection Officer)

องค์กรอาจต้องแต่งตั้ง Data Protection Officer ในกรณีที่องค์กรมีข้อมูลอ่อนไหวหรือข้อมูลประมวลผลจำนวนมาก

ในยุคเศรษฐกิจดิจิทัล ธุรกิจจำนวนมากจัดเก็บข้อมูลส่วนบุคคลในรูปแบบต่างๆ และนำข้อมูลเหล่านี้ไปใช้เพื่อออกแบบประสบการณ์ที่ตอบโจทย์สำหรับลูกค้าเฉพาะบุคคล ในขณะเดียวกัน การแพร่ระบาดของโควิด-19 ก็นับเป็นปัจจัยเร่งสำคัญที่ทำให้ปริมาณการใช้งานช่องทางดิจิทัลในประเทศไทยนั้นเพิ่มขึ้นก้าวกระโดด คนจำนวนมากขึ้นหันมาใช้ช่องทางออนไลน์ในการทำงาน รับชมความบันเทิงต่างๆ และซื้อสินค้าบริการ กระนั้น ความนิยมในช่องทางออนไลน์ที่เพิ่มขึ้น ก็อาจนำมาซึ่งภัยคุกคามในเรื่องความเป็นส่วนตัวได้เช่นกัน 

“ปัจจุบันคนไทยมีความเข้าใจเรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคลเยอะขึ้นมาก คนเริ่มตระหนักว่าเฟซบุ๊กไม่ได้ฟรี เริ่มมีลูกค้าโทรหาคอลเซ็นเตอร์ของเราเพื่อถามเกี่ยวกับเรื่องความเป็นส่วนตัว ผมได้ยกประเด็นนี้ออกไปเพื่อให้ความรู้คอลเซ็นเตอร์ของเรา ทั้งเรื่องความเป็นส่วนตัว และพรบ. คุ้มครองข้อมูลส่วนบุคคล” มนตรีเล่า

เขายังชี้ด้วยว่าหลายคนยังสับสนระหว่างแนวคิดเรื่องความเป็นส่วนตัว (privacy) และความปลอดภัย (security) ในขณะที่วัตถุประสงค์หลักของความปลอดภัยนั้นคือการป้องกันข้อมูลรั่วไหล พรบ. คุ้มครองข้อมูลส่วนบุคคลฉบับใหม่นี้ จะเป็นตัวกำหนดแนวทางการใช้และประมวลผลข้อมูลส่วนบุคคล รวมทั้งดูแลควบคุมการเก็บข้อมูลให้อยู่ภายใต้ขอบเขตและวัตถุประสงค์การใช้งาน การสร้างความตระหนักเรื่องความเป็นส่วนตัวและการฝึกอบรมต่างๆ จึงเป็นสิ่งจำเป็นยิ่ง สำหรับพนักงานผู้ซึ่งทำงานในองค์กรที่มีการใช้ ประมวลผล และเก็บรักษาข้อมูลส่วนบุคคล

พนักงานทุกคนที่ดีแทคนั้นจำเป็นต้องเข้ารับการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและมาตรการรักษาความปลอดภัยของข้อมูลในทุกๆ ปี และหากมีการรั่วไหลของข้อมูลเกิดขึ้น บริษัทจะแจ้งให้เจ้าของข้อมูลทราบทันทีที่ได้รับรายงาน พร้อมด้วยแนวทางการเยียวยาสำหรับเจ้าของข้อมูลที่ได้รับผลกระทบ

“ที่ดีแทค เรามีระเบียบและมาตรการต่างๆ ที่เป็นสากลรองรับ เราโปร่งใสกับลูกค้าในการใช้และประมวลผลข้อมูลส่วนบุคคล เรามีทีมงานที่คอยตรวจสอบดูแลเกี่ยวกับการรั่วไหลของข้อมูลตลอดเวลา ทำให้เราสามารถรับมือได้อย่างทันท่วงทีหากมีการรั่วไหลของข้อมูลเกิดขึ้น และป้องกันไม่ให้เกิดความเสียหายในวงกว้าง เราเชื่อว่าการคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นหนึ่งในวิธีการแสดงออกถึงความรับผิดชอบต่อสังคม” เขาทิ้งท้าย