ดีแทคเน้นย้ำจุดยืนในฐานะผู้นำด้านการดูแลข้อมูลส่วนบุคคล ในเวทีเสวนาพิเศษ ณ ศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง

  • แม้จะมีการประกาศเลื่อนการบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ออกไป แต่ดีแทคก็เน้นย้ำถึงความเร่งด่วนในการเตรียมความพร้อมสำหรับธุรกิจต่างๆ
  • พรบ. คุ้มครองข้อมูลส่วนบุคคลจะส่งผลกระทบต่อกระบวนการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล
  • พรบ. คุ้มครองข้อมูลส่วนบุคคลไม่ได้เกี่ยวโยงกับประเด็นด้านความปลอดภัยของข้อมูล เท่านั้น แต่ยังรวมถึงการใช้ข้อมูลให้เป็นไปตามวัตถุประสงค์อีกด้วย ทำให้การฝึกอบรมพนักงานเพื่อสร้างความรู้ความเข้าใจที่ถูกต้องจึงเป็นสิ่งจำเป็น

แม้จะมีการขยายการบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ออกไปอีกหนึ่งปี แต่พรบ. ฉบับดังกล่าวก็ยังคงเป็นประเด็นที่ถูกหยิบยกขึ้นมาพูดคุยบ่อยครั้งในภาคส่วนธุรกิจและองค์กรต่างๆ ของไทย เนื่องจากหลายบริษัทนั้นมีความกังวลเกี่ยวกับการเตรียมความพร้อมและการวางกฎระเบียบและนโยบายต่างๆ เพื่อรองรับกับการบังคับใช้ รวมทั้งผลกระทบที่อาจเกิดขึ้นต่อการรักษาข้อมูลความลับทางการค้าของธุรกิจต่างๆ 

เพื่อค้นหาคำตอบในประเด็นดังกล่าว คุณมนตรี สถาพรกุล ผู้เชี่ยวชาญการดูแลข้อมูลส่วนบุคคลของดีแทค ได้ร่วมกับ อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล แห่งคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ และคุณรับขวัญ ชลดำรงค์กุล ผู้ร่วมก่อตั้งบริษัท easyPDPA ในการแบ่งปันความรู้และมุมมองบนเวทีเสวนาซึ่งจัดขึ้นเนื่องในวันรพี ณ ศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง ในหัวข้อ ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคล และประเด็นที่เกี่ยวข้องกับทรัพย์สินทางปัญญา’ 

พรบ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งเดิมทีมีการประกาศใช้ในเดือนพฤษภาคม 2563 นั้น จะมีผลบังคับใช้กับทั้งองค์กรภาครัฐและเอกชน โดยพรบ. ดังกล่าวมีความคล้ายคลึงกับกฎหมาย General Data Protection Regulation (GDPR) ซึ่งสหภาพยุโรปประกาศใช้ไปแล้วในปี 2561 อย่างไรก็ดี คณะรัฐมนตรีได้มีมติขยายเวลาการบังคับใช้พรบ. คุ้มครองข้อมูลส่วนบุคคลในบางหมวดออกไปเป็นระยะเวลาหนึ่งปี เพื่อให้หน่วยงานทั้งภาครัฐและเอกชนได้มีโอกาสจัดเตรียมทรัพยากรภายในองค์กร รวมทั้งช่วยลดภาระค่าใช้จ่ายและบรรเทาความเดือดร้อนที่อาจเกิดขึ้นอันเนื่องจากการแพร่ระบาดของโควิด-19

“องค์กรต่างๆ ควรใช้เวลาในช่วงหนึ่งปีนี้ เพื่อหาวิธีแปลกฎหมายดังกล่าวให้เป็นรูปธรรม ทั้งในด้านนโยบายและมาตรการควบคุมดูแลต่างๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล การคุ้มครองข้อมูลส่วนบุคคลนั้นมีอะไรซับซ้อนกว่าการรักษาความปลอดภัยของข้อมูลที่เป็นความลับ ทั้งนี้ การเป็นพาร์ทเนอร์กับเทเลนอร์ ผู้มีความคุ้นเคยเกี่ยวกับกฎหมาย GDPR อยู่แล้ว ทำให้เรามีข้อได้เปรียบในจุดนี้ แต่ผมยอมรับว่ามันเป็นเรื่องที่ต้องใช้เวลา” คุณมนตรีอธิบาย

ในระหว่างการเสวนา วิทยากรได้หยิกยกประเด็นเรื่องพรบ. คุ้มครองข้อมูลส่วนบุคคล และผลกระทบในเรื่องทรัพย์สินทางปัญญา ขึ้นมาอภิปราย ทั้งนี้ คุณมนตรีมองว่าการบังคับใช้พรบ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งให้สิทธิเจ้าของข้อมูลในการขอเข้าถึงข้อมูลส่วนบุคคลจากบริษัทหรือองค์กรผู้ควบคุมข้อมูลส่วนบุคคล โดยทั่วไปแล้วไม่ควรจะส่งผลกระทบต่อการรักษาความลับทางการค้าของบริษัท 

“พรบ. ฉบับนี้ช่วยกำหนดสิทธิในฐานะเจ้าของข้อมูลให้มีความชัดเจนขึ้น กล่าวคือ องค์กรซึ่งเป็นผู้ควบคุมข้อมูล ต้องใช้ข้อมูลตามวัตถุประสงค์และขอบเขตที่กำหนดไว้เท่านั้น และผู้บริโภคมีสิทธิในการเข้าถึงมาตรการเยียวยา ในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล สิ่งนี้นับเป็นความท้าทายของธุรกิจและองค์กรทั้งขนาดเล็กใหญ่” เขากล่าว

องค์กรจะปฏิบัติตาม PDPA ได้อย่างไร

ขอความยินยอม

องค์กรที่เก็บข้อมูลส่วนบุคคลต้องขอความยินยอมอย่างชัดเจนและชัดแจ้งจากเจ้าของข้อมูล

แจ้งเตือนหากมีข้อมูลรั่วไหล

ผู้ควบคุมข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแลและเจ้าของข้อมูลทราบภายใน 72 ชั่วโมง ทันทีที่ได้รับรายงานเกี่ยวกับการรั่วไหลของข้อมูล

จำแนกข้อมูลส่วนบุคคล

องค์กรต้องมีการจำแนกข้อมูลที่อยู่ในขอบเขตข้อมูลส่วนบุคคล เพื่อให้สามารถระบุข้อมูลส่วนบุคคลในกระบวนการทำงานต่างๆ และบริหารจัดการความเสี่ยงของข้อมูลอย่างเหมาะสม

ปฏิบัติตามมาตรฐานความปลอดภัย

องค์กรที่ดำเนินการจัดเก็บข้อมูล ต้องมีแผนงานหรือระบบในการรักษาความมั่นคงปลอดภัยของข้อมูลที่เป็นไปตามมาตรฐานกฎหมาย

แต่งตั้งเจ้าหน้าที่ดูแลความปลอดภัยของข้อมูล (Data Protection Officer)

องค์กรอาจต้องแต่งตั้ง Data Protection Officer ในกรณีที่องค์กรมีข้อมูลอ่อนไหวหรือข้อมูลประมวลผลจำนวนมาก

ในยุคเศรษฐกิจดิจิทัล ธุรกิจจำนวนมากจัดเก็บข้อมูลส่วนบุคคลในรูปแบบต่างๆ และนำข้อมูลเหล่านี้ไปใช้เพื่อออกแบบประสบการณ์ที่ตอบโจทย์สำหรับลูกค้าเฉพาะบุคคล ในขณะเดียวกัน การแพร่ระบาดของโควิด-19 ก็นับเป็นปัจจัยเร่งสำคัญที่ทำให้ปริมาณการใช้งานช่องทางดิจิทัลในประเทศไทยนั้นเพิ่มขึ้นก้าวกระโดด คนจำนวนมากขึ้นหันมาใช้ช่องทางออนไลน์ในการทำงาน รับชมความบันเทิงต่างๆ และซื้อสินค้าบริการ กระนั้น ความนิยมในช่องทางออนไลน์ที่เพิ่มขึ้น ก็อาจนำมาซึ่งภัยคุกคามในเรื่องความเป็นส่วนตัวได้เช่นกัน 

“ปัจจุบันคนไทยมีความเข้าใจเรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคลเยอะขึ้นมาก คนเริ่มตระหนักว่าเฟสบุ๊กไม่ได้ฟรี เริ่มมีลูกค้าโทรหาคอลเซ็นเตอร์ของเราเพื่อถามเกี่ยวกับเรื่องความเป็นส่วนตัว ผมได้ยกประเด็นนี้ออกไปเพื่อให้ความรู้คอลเซ็นเตอร์ของเรา ทั้งเรื่องความเป็นส่วนตัว และพรบ. คุ้มครองข้อมูลส่วนบุคคล” คุณมนตรีเล่า

เขายังชี้ด้วยว่าหลายคนยังสับสนระหว่างแนวคิดเรื่องความเป็นส่วนตัว (privacy) และความปลอดภัย (security) ในขณะที่วัตถุประสงค์หลักของความปลอดภัยนั้นคือการป้องกันข้อมูลรั่วไหล พรบ. คุ้มครองข้อมูลส่วนบุคคลฉบับใหม่นี้ จะเป็นตัวกำหนดแนวทางการใช้และประมวลผลข้อมูลส่วนบุคคล รวมทั้งดูแลควบคุมการเก็บข้อมูลให้อยู่ภายใต้ขอบเขตและวัตถุประสงค์การใช้งาน การสร้างความตระหนักเรื่องความเป็นส่วนตัวและการฝึกอบรมต่างๆ จึงเป็นสิ่งจำเป็นยิ่ง สำหรับพนักงานผู้ซึ่งทำงานในองค์กรที่มีการใช้ ประมวลผล และเก็บรักษาข้อมูลส่วนบุคคล

พนักงานทุกคนที่ดีแทคนั้นจำเป็นต้องเข้ารับการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและมาตรการรักษาความปลอดภัยของข้อมูลในทุกๆ ปี และหากมีการรั่วไหลของข้อมูลเกิดขึ้น บริษัทจะแจ้งให้เจ้าของข้อมูลทราบทันทีที่ได้รับรายงาน พร้อมด้วยแนวทางการเยียวยาสำหรับเจ้าของข้อมูลที่ได้รับผลกระทบ

“ที่ดีแทค เรามีระเบียบและมาตรการต่างๆ ที่เป็นสากลรองรับ เราโปร่งใสกับลูกค้าในการใช้และประมวลผลข้อมูลส่วนบุคคล เรามีทีมงานที่คอยตรวจสอบดูแลเกี่ยวกับการรั่วไหลของข้อมูลตลอดเวลา ทำให้เราสามารถรับมือได้อย่างทันท่วงทีหากมีการรั่วไหลของข้อมูลเกิดขึ้น และป้องกันไม่ให้เกิดความเสียหายในวงกว้าง เราเชื่อว่าการคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นหนึ่งในวิธีการแสดงออกถึงความรับผิดชอบต่อสังคม” คุณมนตรีทิ้งท้าย