JRIT ICHI

ตรวจสอบความพร้อม 11 หลักการ 7 ขั้นตอน เตรียมองค์กรทำตามกรอบ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

1 มิถุนายน 2565 เป็นต้นไป พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ในมาตราที่เลื่อนการบังคับใช้ออกมา 2 ปี จะเริ่มมีผล แม้จะเหลือเวลาอีกเพียงไม่กี่เดือน แต่ก็สามารถเร่งดำเนินการให้องค์กรปฏิบัติตาม พ.ร.บ. ได้ไม่ยาก โดย นายกำพล ศรธนะรัตน์ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) และที่ปรึกษาด้าน Digital Transformation สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และประธานชมรม DPO ได้ให้หลักการ แนวทาง ตลอดจนขั้นตอนการปฏิบัติ ไว้ในที่นี้

หลักการสำคัญต่อการเตรียมความพร้อมขององค์กรเพื่อให้ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอ้างอิงตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม แนะนำ ประกอบด้วย 2 มิติหลัก คือ 1. ข้อกำหนดในกฎหมาย 2. แนวปฏิบัติที่ดีหรือ Best Practices ซึ่งผู้บริหารองค์กรควรจะต้องรู้และปฏิบัติ ทั้งนี้ 2 มิติ มีสาระสำคัญทั้งหมด 11 ประการ

หลักการ 11 ข้อนำองค์กรสู่การคอมพลายตามกฎหมาย

นายกำพล ขยายความถึงประเด็นสำคัญของแต่ละข้อ เริ่มจากข้อกำหนดตามกฎหมายในเรื่องการแต่งตั้ง DPO ว่า การปฏิบัติตามกฎหมายสามารถจะแต่งตั้งพนักงานภายในองค์กรหรือ Outsource บุคลากรภายนอกก็ได้ โดย DPO นอกจากจะมีภารกิจในการดูแลให้องค์กรมีการคุ้มครองข้อมูลส่วนบุคคลให้ครบถ้วนตามกฎหมายแล้ว ยังต้องทำหน้าที่เป็นผู้ติดต่อประสานงานกับ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) และเจ้าของข้อมูลส่วนบุคคล หรือ Data Subject ด้วย

ส่วนด้านการจัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ต้องระบุถึงวัตถุประสงค์ของการนำข้อมูลไปใช้และการส่งต่อให้กับหน่วยงานอื่นให้ชัดเจน ในแต่ละบริการที่มีการจัดเก็บข้อมูลส่วนบุคคล ในขณะที่การจัดทำบันทึกรายการประมวลผล หรือ ROPA เป็นการจัดทำทะเบียนการใช้ข้อมูลและการประมวลผลข้อมูลในกิจกรรมต่าง ๆ ขององค์กร เพื่อให้องค์กรมีข้อมูลการประมวลผลข้อมูลส่วนบุคคลอย่างครบถ้วน

ด้านการจัดทำเอกสารหรือแบบฟอร์มขอความยินยอม (Consent Form) ในแต่ละประเภทธุรกิจนั้นมีความแตกต่างกัน ซึ่งองค์กรจะต้องจัดทำการขอความยินยอมให้สอดคล้องกับประเภทธุรกิจหากกฎหมายนั้น ๆ

ประการสุดท้าย การจัดทำข้อตกลงการประมวลผล (Data Processing Agreement) ในกรณีที่องค์กรมีการส่งต่อหรือแชร์ข้อมูลส่วนบุคคลของลูกค้าไปให้บุคคลที่สามทำการประมวลผลข้อมูล เช่น จ้างผู้ประมวลผล หรือส่งให้คู่ค้า เป็นต้น

สำหรับแนวปฏิบัติที่ดี (Best Practices) 6 ประการ (จากภาพประกอบ 1) นายกำพล ให้ข้อคิดเห็นไว้ดังนี้ เริ่มจากการจัดตั้งคณะทำงาน PDPA “ควรจะแต่งตั้งจากบุคลากร 3 ฝ่าย คือ ฝ่ายไอที ฝ่ายธุรกิจ (Business) และฝ่ายกฎหมาย เพื่อให้เกิดความเข้าใจในทุกบริบทรอบด้าน ส่วนด้านการสำรวจข้อมูลและจัดทำ Data Inventory มีความสำคัญมากจะต้องเริ่มต้นให้ครบถ้วนเนื่องจากจะมีการเชื่อมโยงกับส่วนอื่น ๆ ต่อไป”
ทั้งนี้ องค์กรต้องเริ่มจากการจัดทำนโยบายให้ชัดเจนพร้อมทั้งมีแนวปฏิบัติซึ่งควรต้องจัดทำเป็นคู่มือเพื่อให้พนักงานทุกฝ่ายขององค์กรเกิดความเข้าใจและมีแนวปฏิบัติตามกฎหมายไปในทิศทางเดียวกัน นอกจากนี้การส่งต่อข้อมูลส่วนบุคคลต้องมีการจัดทำข้อตกลงเพื่อให้การนำไปใช้ตรงตามวัตถุประสงค์ที่แจ้งเจ้าของข้อมูลแต่ต้น

สิ่งสำคัญอีกประการคือการสร้างความตระหนักรู้โดยการอบรมให้กับพนักงานตลอดจนลูกค้าซึ่งเป็นเจ้าของข้อมูลที่เรียกว่า Data Subject และต้องมีการกำกับดูแลและตรวจสอบอย่างสม่ำเสมอ เพื่อให้แนวปฏิบัติดำเนินการไปได้อย่างครบถ้วนตามที่กฎหมายกำหนด
“หากองค์กรใดยังดำเนินการไม่เสร็จสมบูรณ์ สิ่งสำคัญที่จะต้องเร่งทำก่อนกฎหมายมีผลบังคับใช้คือ 5 Check list ตามข้อกำหนดของกฎหมาย ประกอบด้วย แต่งตั้ง DPO, จัดทำ Privacy Notice, จัดทำ ROPA, จัดทำ Consent form และจัดทำ Data Processing Agreement ซึ่งทั้ง 5 เป็นข้อกำหนดในมาตรา 41, 23, 39, 19 และ 41 ตามลำดับ” นายกำพล กล่าว

นายกำพล เน้นย้ำว่า “หัวใจแห่งความสำเร็จของการจัดการ Data คือ ต้องจัดทำจัดเก็บ ระบุที่มา การใช้ข้อมูลให้ครบถ้วนทุกขั้นตอน และทุกส่วนที่มีข้อมูลส่วนบุคคล ซึ่งนั่นคือ การจัดทำ Data Inventory ที่จะเป็นรากฐานสำคัญนำไปสู่การทำ ROPA หรือทะเบียนการประมวลผลข้อมูลในกิจกรรมต่าง ๆ โดย ROPA จะเชื่อมโยงกับการเก็บ Log รวมทั้งนำไปสู่การจัดทำ Data Flow”

ภาคปฏิบัติ 7 ขั้นตอน “รู้-ทำ นำสู่ความสำเร็จ”

นายกำพล กล่าวว่า การลงมือในภาคปฏิบัติ เริ่มจากหัวใจแห่งความสำเร็จซึ่งก็คือการจัดการ Data โดยขั้นตอนที่ 1 จัดทำแผนผังข้อมูลส่วนบุคคล (Data Flow) จากนั้นขั้นตอนที่ 2 กำหนดหน้าที่ของบุคคลและฐานกฎหมายที่ใช้ จำเป็นจะต้องแจกแจงรายละเอียดให้ชัดเจนต่อการใช้ข้อมูลในแต่ละกิจกรรม โดยต้องระบุชื่อผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูล ของแต่ละกิจกรรมให้ชัดเจน

ขั้นตอนที่ 3 จัดทำเอกสารสำคัญเพื่อให้มีผลบังคับใช้ได้ตามกฎหมาย ได้แก่ Privacy Policy, Privacy Notice, รวมไปถึงเอกสารหรือข้อความการขอความยินยอม (Consent form) ต่างๆ ทั้งในรูปเอกสารกระดาษ (Hard Copy) และเอกสารอิเล็กทรอนิกส์ (Soft Copy) เช่น ข้อความแจ้งการเก็บ Cookie ในเว็บไซต์ ฯลฯ

ขั้นตอนที่ 4 บริหารจัดการข้อมูลตามวงจรชีวิต (Data Life Cycle Management) เป็นส่วนที่เชื่อมโยงกับขั้นตอน 1 เมื่อข้อมูลเข้ามาใหม่ ต้องรู้ที่มาและระบุผู้รับผิดชอบ การเก็บการใช้ข้อมูล ไปจนถึงข้อมูลหมดอายุเลิกใช้ก็จะต้องทำการลบข้อมูลออกจากระบบ

ขั้นตอนที่ 5 ปรับระบบไอทีให้รองรับสอดคล้องต่อรายละเอียดต่าง ๆ และขั้นตอนในการจัดเก็บข้อมูลของแต่ละบริการ ตลอดจนสิทธิในการเข้าถึงข้อมูล ทั้งนี้ นายกำพล เสริมว่า “การปรับระบบไอทียังต้องคำนึกถึงเรื่อง Digital Transformation ไปพร้อมกันด้วย”

ขั้นตอนที่ 6 แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) องค์กรเลือกได้ทั้งพนักงานภายในองค์กร หรือภายนอกองค์กร และขั้นตอนที่ 7 สร้างความตระหนักรู้ โดยจัดอบรมให้ความรู้เพื่อสร้างความตระหนักให้แก่ผู้บริหาร พนักงานภายในองค์กร ผู้รับจ้างประมวลผล รวมไปถึงลูกค้า

รู้ประเด็นสำคัญในบทลงโทษตามกฎหมาย

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในส่วนของความผิดนั้นแบ่งออกเป็น 3 ส่วนคือ ความรับผิดทางแพ่ง โทษทางปกครอง และโทษอาญา

ความรับผิดทางแพ่ง (มาตรา 77-78) คิดจากค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ แต่ไม่เกินสองเท่าของสินไหมทดแทนที่แท้จริง

โทษทางปกครอง (มาตรา 82-87) หากองค์กรไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ์ ไม่จัดทำบันทึกรายการหรือ ROPA ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO รวมถึงไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของ DPO มีโทษปรับไม่เกินหนึ่งล้านบาท

โทษปรับจะเพิ่มขึ้นได้ถึงไม่เกินสามล้านบาท หากมีการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ไม่แจ้งวัตถุประสงค์การใช้งานใหม่ เก็บข้อมูลเกินความจำเป็น ขอความยินยอมที่เป็นการหลอกลวงให้เข้าใจผิด ไม่จัดให้มีการรักษาความปลอดภัยที่เหมาะสม ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย ไม่ตั้งตัวแทนในราชอาณาจักร และหากมีการเก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย โทษปรับจะเพิ่มขึ้นเป็นไม่เกินห้าล้านบาท

ส่วนโทษอาญา ตามมาตรา 79-81 ผู้ควบคุมข้อมูลส่วนบุคคล ใช้หรือเปิดเผยข้อมูลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือผิดจากวัตถุประสงค์ที่แจ้งไว้ หรือโอนข้อมูลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย เป็นเหตุให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท และหากใช้เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น เพิ่มโทษจำคุกเป็นไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งล้านบาท

ทั้งหมดนี้เป็นข้อมูลที่จะช่วยคลายความกังวลให้แก่ผู้บริหารองค์กร และผู้คุ้มครองข้อมูลส่วนบุคคลได้บ้าง ซึ่งสามารถนำแผนปฏิบัติที่ดำเนินการอยู่มา Check list ให้สอดคล้องกับทั้งข้อกำหนดในกฎหมายที่จะต้องทำให้ครบ และแนวทางปฏิบัติ หรือ Best Practices ตลอดจนขั้นตอนการลงมือปฏิบัติ ซึ่งเชื่อว่าเป็นประโยชน์ต่อองค์กรเพื่อทำให้อยู่ในกรอบของกฎหมายได้ไม่ยาก

                                                                                                 #####

1. Classmethod Thailand Co., Ltd.
2. Sansan, Inc.