10 แนวปฏิบัติสำหรับองค์กร เตรียมพร้อมรับมือ PDPA

ที่ผ่านมา Personal Data Protection Act (PDPA) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้บางส่วนไปแล้ว แต่กำลังจะมีผลบังคับใช้ทั้งฉบับในวันที่ 1 มิ.ย. 2565 ประชาชนทั่วไปไม่ว่าจะอยู่ในฐานะเจ้าของข้อมูล หรือในฐานะผู้ประกอบธุรกิจที่ต้องการนำข้อมูลไปใช้ควรทำความเข้าใจในข้อกฎหมายนี้ให้ดี เพื่อป้องกันไม่ให้เกิดการละเมิดสิทธิและการฟ้องร้อง อันจะนำไปสู่การลงโทษทางกฎหมายอย่างรุนแรง

PDPA คืออะไร?

PDPA คือกฎหมายที่ประเทศไทยกำหนดขึ้นเพื่อคุ้มครองสิทธิของเจ้าของข้อมูล ไม่ให้บริษัทต่างๆ ที่ได้รับข้อมูล นำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลก่อน พรบ.ฉบับนี้ถูกประกาศใช้เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนหรือความเสียหายให้เจ้าของข้อมูลส่วนบุคคล นอกจากนี้ ความก้าวหน้าของเทคโนโลยีในปัจจุบัน ทำให้การเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทำได้ง่าย และรวดเร็ว จึงทำให้เกิดความเสียหายต่อเศรษฐกิจโดยรวมได้ หากไม่มีกฎหมายมาบังคับใช้

ข้อมูลส่วนบุคคลมีอะไรบ้าง?

  1. ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลที่สามารถระบุตัวตนของเจ้าของข้อมูลได้ไม่ว่าทางตรงหรือทางอ้อม
  1. ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) คือข้อมูลส่วนบุคคลที่อาจนำไปสู่การเลือกปฏิบัติอย่างไม่เป็นธรรม 

ข้อมูลเหล่านี้ต้องระมัดระวังเป็นพิเศษในการเก็บรวมรวม และกฎหมายให้การคุ้มครองข้อมูลประเภทนี้เข้มงวดกว่าข้อมูลส่วนบุคคลธรรมดา

ผู้เกี่ยวข้องกับข้อมูลส่วนบุคคล

  • เจ้าของข้อมูล (Data Subject) คือ บุคคลที่ข้อมูลส่วนบุคคลนั้นระบุถึง หรือเป็นเจ้าของข้อมูลนั่นเอง แต่ไม่นับรวมผู้ที่เสียชีวิตไปแล้วและนิติบุคคล
  • ผู้ควบคุมข้อมูล (Data Controller) คือ บุคคลหรือนิติบุคคลผู้มีอำนาจและหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • ผู้ประมวลผลข้อมูล (Data Processor) คือ บุคคลหรือนิติบุคคลผู้ทำหน้าที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูล หรือในนามของผู้ควบคุมข้อมูล ไม่ได้เป็นผู้ตัดสินใจทำการประมวลผลข้อมูลเอง

สิทธิของเจ้าของข้อมูลส่วนบุคคล

แนวทางในการเก็บข้อมูลส่วนบุคคล

ผู้ประกอบธุรกิจหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล จำเป็นต้องแจ้งวัตถุประสงค์ในการเก็บข้อมูลและขอความยินยอมจากเจ้าของข้อมูลก่อน โดยจัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) เพื่ออธิบายและสร้างความเข้าใจในมาตรการปกป้องความเป็นส่วนตัวของข้อมูลให้เจ้าของข้อมูลรับทราบและให้ความยินยอม หัวข้อที่จะต้องระบุในนโยบายความเป็นส่วนตัวมีดังนี้

  1. ข้อมูลส่วนบุคคลที่เก็บรวบรวมมีอะไรบ้าง
  2. วัตถุประสงค์ในการเก็บข้อมูล
  3. ระยะเวลาที่จะเก็บข้อมูล
  4. มาตรการรักษาความปลอดภัยของข้อมูล
  5. การเปิดเผยข้อมูล ผู้ที่ได้รับการเปิดเผยข้อมูลมีใครบ้าง
  6. สิทธิของเจ้าของข้อมูลส่วนบุคคล
  7. ข้อมูลการติดต่อเจ้าหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคล

การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มีข้อควรระวังคือ

  1. ต้องแยกส่วนการขอความยินยอมออกจากข้อความอื่นอย่างชัดเจน เข้าถึงง่าย มีคำอธิบายที่เข้าใจง่าย
  2. ไม่ใช้วิธีการหรือเนื้อหาที่ทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์
  3. เจ้าของข้อมูลสามารถถอนการยินยอมเมื่อใดก็ได้ โดยจะต้องทำได้ง่ายเช่นเดียวกับการให้ความยินยอม 

บทลงโทษหากละเมิดพรบ.คุ้มครองข้อมูลส่วนบุคคล

10 แนวปฏิบัติเพื่อเตรียมความพร้อมสำหรับองค์กร

  1. ตั้งคณะทำงานภายในองค์กร โดยมีเจ้าหน้าที่จากฝ่ายกำหนดนโยบาย ฝ่ายกฎหมาย ฝ่ายไอที และฝ่ายบุคคล เพื่อร่วมกันทำความเข้าใจกฎหมาย

เตรียมแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ให้มีเนื้อหาที่ครอบคลุมเรื่องต่างๆ ดังนี้

  • การกำหนดวัตถุประสงค์ที่ชัดเจน
  • การรวบรวม จัดเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็น
  • การรักษาความปลอดภัยข้อมูล
  • คุณภาพของข้อมูลส่วนบุคคล
  • การมีส่วนร่วมของเจ้าของข้อมูลส่วนบุคคล
  • การเปิดเผยข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมาย
  • ความรับผิดชอบของผู้ทำหน้าที่ควบคุมข้อมูลและประมวลผลข้อมูล

ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล พิจารณาความจำเป็นในการประมวลผลข้อมูล และจัดความเสี่ยงที่จะมีผลกระทบต่อเสรีภาพของบุคคล พร้อมทั้งกำหนดมาตรการคุ้มครองข้อมูลอย่างเหมาะสม

  1. จัดทำ Data Mapping เพื่อตรวจสอบว่าข้อมูลส่วนบุคคลที่แต่ละแผนกได้รับ นำมาใช้ และจัดเก็บ เป็นข้อมูลส่วนบุคคลประเภทใด มีการจัดเก็บอย่างไร และผู้ควบคุมข้อมูลคือใคร แล้วทำระบบบันทึกข้อมูลเพื่อระบุแหล่งที่มา บันทึกทุกกิจกรรมที่เกิดขึ้นกับข้อมูล และแยกแยะข้อมูลตามความเสี่ยงและความร้ายแรงที่อาจเกิดขึ้น
  2. กำหนดนโยบายความเป็นส่วนตัวและวิธีขอความยินยอมที่ชัดเจน เข้าใจง่าย
  3. กำหนดมาตรการรักษาความปลอดภัยด้านสารสนเทศ ป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ ดัดแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย และรักษาความปลอดภัยของข้อมูลทางกายภาพ อุปกรณ์ประมวลผลและอุปกรณ์ที่เกี่ยวข้องจะต้องมีความปลอดภัย เช่น กำหนดเครือข่ายและระบบสื่อสาร จัดการสื่อบันทึกข้อมูล
  4. กำหนดมาตรการกรณีข้อมูลรั่วไหล จัดทำคู่มืออธิบายวิธีป้องกันการละเมิด ตรวจสอบและรายงานผลการละเมิดข้อมูลที่อาจเกิดขึ้น และหากมีข้อมูลรั่วไหลผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
  5. กำกับดูแลและตรวจสอบการดำเนินงานของผู้เกี่ยวข้อง ให้มีการปฏิบัติตามแนวทางที่กำหนด และประเมินความเสี่ยงเป็นประจำ หากพบว่ามีการทำงานที่ไม่สอดคล้องกับกฎหมาย หรือมีความเสี่ยงจะต้องทบทวนหรือปรับปรุงกระบวนการทำงานที่เกี่ยวข้อง ทั้งการจัดเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล
  6.  ฝึกอบรมและสร้างความตระหนักรู้อยู่เสมอ เพื่อให้ผู้เกี่ยวข้องเข้าใจในความรับผิดชอบต่อสิทธิของเจ้าของข้อมูลส่วนบุคคล และผลกระทบที่จะเกิดขึ้นจากการละเมิดนโยบายคุ้มครองข้อมูลส่วนบุคคลขององค์กร
  7.  ออกแบบและพัฒนาระบบโดยคำนึงถึงความปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคล เช่น ใช้การเข้ารหัสข้อมูล ใช้นามแฝง
  8.  แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) ตามกฎหมาย PDPA ได้กำหนดให้องค์กร 3 ประเภทต่อไปนี้ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล และเป็นผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ต้องแต่งตั้ง DPO
    • หน่วยงานรัฐ
    • องค์กรที่ประกอบธุรกิจหลักเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหว เช่น บริษัทที่ประมวลผลข้อมูลการจดจำใบหน้า บริษัทประกัน โรงพยาบาล
    • องค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลจำนวนมาก
  9.  กำหนดมาตรการที่เกี่ยวข้องกับการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (หากมี) ต้องพิจารณาว่าประเทศปลายทางที่รับข้อมูล มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือไม่

การละเมิดข้อมูลส่วนบุคคล นอกจากจะต้องรับบทลงโทษตามกฎหมายแล้ว ยังมีความเสี่ยงที่จะสูญเสียความน่าเชื่อถือของบริษัทอีกด้วย ดังนั้น ผู้ประกอบธุรกิจที่จำเป็นต้องนำข้อมูลส่วนบุคคลไปใช้ หรือแม้แต่แผนกต่างๆ ในบริษัทที่ต้องนำข้อมูลของพนักงานไปประมวลผล จะต้องทำความเข้าใจเกี่ยวกับ PDPA ให้ดี และเตรียมความพร้อมให้องค์กรสามารถป้องกันปัญหาที่จะเกิดขึ้นได้

    wpChatIcon