PDPA
COVID-19
Marketing
20.04.2022
ตรวจสอบความพร้อม 11 หลักการ 7 ขั้นตอน เตรียมองค์กรทำตามกรอบ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
1 มิถุนายน 2565 เป็นต้นไป พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ในมาตราที่เลื่อนการบังคับใช้ออกมา 2 ปี จะเริ่มมีผล แม้จะเหลือเวลาอีกเพียงไม่กี่เดือน แต่ก็สามารถเร่งดำเนินการให้องค์กรปฏิบัติตาม พ.ร.บ. ได้ไม่ยาก โดย นายกำพล ศรธนะรัตน์ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) และที่ปรึกษาด้าน Digital Transformation สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และประธานชมรม DPO ได้ให้หลักการ แนวทาง ตลอดจนขั้นตอนการปฏิบัติ ไว้ในที่นี้
หลักการสำคัญต่อการเตรียมความพร้อมขององค์กรเพื่อให้ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอ้างอิงตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม แนะนำ ประกอบด้วย 2 มิติหลัก คือ 1. ข้อกำหนดในกฎหมาย 2. แนวปฏิบัติที่ดีหรือ Best Practices ซึ่งผู้บริหารองค์กรควรจะต้องรู้และปฏิบัติ ทั้งนี้ 2 มิติ มีสาระสำคัญทั้งหมด 11 ประการ
หลักการ 11 ข้อนำองค์กรสู่การคอมพลายตามกฎหมาย
นายกำพล ขยายความถึงประเด็นสำคัญของแต่ละข้อ เริ่มจากข้อกำหนดตามกฎหมายในเรื่องการแต่งตั้ง DPO ว่า การปฏิบัติตามกฎหมายสามารถจะแต่งตั้งพนักงานภายในองค์กรหรือ Outsource บุคลากรภายนอกก็ได้ โดย DPO นอกจากจะมีภารกิจในการดูแลให้องค์กรมีการคุ้มครองข้อมูลส่วนบุคคลให้ครบถ้วนตามกฎหมายแล้ว ยังต้องทำหน้าที่เป็นผู้ติดต่อประสานงานกับ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) และเจ้าของข้อมูลส่วนบุคคล หรือ Data Subject ด้วย
ส่วนด้านการจัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ต้องระบุถึงวัตถุประสงค์ของการนำข้อมูลไปใช้และการส่งต่อให้กับหน่วยงานอื่นให้ชัดเจน ในแต่ละบริการที่มีการจัดเก็บข้อมูลส่วนบุคคล ในขณะที่การจัดทำบันทึกรายการประมวลผล หรือ ROPA เป็นการจัดทำทะเบียนการใช้ข้อมูลและการประมวลผลข้อมูลในกิจกรรมต่าง ๆ ขององค์กร เพื่อให้องค์กรมีข้อมูลการประมวลผลข้อมูลส่วนบุคคลอย่างครบถ้วน
ด้านการจัดทำเอกสารหรือแบบฟอร์มขอความยินยอม (Consent Form) ในแต่ละประเภทธุรกิจนั้นมีความแตกต่างกัน ซึ่งองค์กรจะต้องจัดทำการขอความยินยอมให้สอดคล้องกับประเภทธุรกิจหากกฎหมายนั้น ๆ
ประการสุดท้าย การจัดทำข้อตกลงการประมวลผล (Data Processing Agreement) ในกรณีที่องค์กรมีการส่งต่อหรือแชร์ข้อมูลส่วนบุคคลของลูกค้าไปให้บุคคลที่สามทำการประมวลผลข้อมูล เช่น จ้างผู้ประมวลผล หรือส่งให้คู่ค้า เป็นต้น
สำหรับแนวปฏิบัติที่ดี (Best Practices) 6 ประการ (จากภาพประกอบ 1) นายกำพล ให้ข้อคิดเห็นไว้ดังนี้ เริ่มจากการจัดตั้งคณะทำงาน PDPA “ควรจะแต่งตั้งจากบุคลากร 3 ฝ่าย คือ ฝ่ายไอที ฝ่ายธุรกิจ (Business) และฝ่ายกฎหมาย เพื่อให้เกิดความเข้าใจในทุกบริบทรอบด้าน ส่วนด้านการสำรวจข้อมูลและจัดทำ Data Inventory มีความสำคัญมากจะต้องเริ่มต้นให้ครบถ้วนเนื่องจากจะมีการเชื่อมโยงกับส่วนอื่น ๆ ต่อไป”
ทั้งนี้ องค์กรต้องเริ่มจากการจัดทำนโยบายให้ชัดเจนพร้อมทั้งมีแนวปฏิบัติซึ่งควรต้องจัดทำเป็นคู่มือเพื่อให้พนักงานทุกฝ่ายขององค์กรเกิดความเข้าใจและมีแนวปฏิบัติตามกฎหมายไปในทิศทางเดียวกัน นอกจากนี้การส่งต่อข้อมูลส่วนบุคคลต้องมีการจัดทำข้อตกลงเพื่อให้การนำไปใช้ตรงตามวัตถุประสงค์ที่แจ้งเจ้าของข้อมูลแต่ต้น
สิ่งสำคัญอีกประการคือการสร้างความตระหนักรู้โดยการอบรมให้กับพนักงานตลอดจนลูกค้าซึ่งเป็นเจ้าของข้อมูลที่เรียกว่า Data Subject และต้องมีการกำกับดูแลและตรวจสอบอย่างสม่ำเสมอ เพื่อให้แนวปฏิบัติดำเนินการไปได้อย่างครบถ้วนตามที่กฎหมายกำหนด
“หากองค์กรใดยังดำเนินการไม่เสร็จสมบูรณ์ สิ่งสำคัญที่จะต้องเร่งทำก่อนกฎหมายมีผลบังคับใช้คือ 5 Check list ตามข้อกำหนดของกฎหมาย ประกอบด้วย แต่งตั้ง DPO, จัดทำ Privacy Notice, จัดทำ ROPA, จัดทำ Consent form และจัดทำ Data Processing Agreement ซึ่งทั้ง 5 เป็นข้อกำหนดในมาตรา 41, 23, 39, 19 และ 41 ตามลำดับ” นายกำพล กล่าว
นายกำพล เน้นย้ำว่า “หัวใจแห่งความสำเร็จของการจัดการ Data คือ ต้องจัดทำจัดเก็บ ระบุที่มา การใช้ข้อมูลให้ครบถ้วนทุกขั้นตอน และทุกส่วนที่มีข้อมูลส่วนบุคคล ซึ่งนั่นคือ การจัดทำ Data Inventory ที่จะเป็นรากฐานสำคัญนำไปสู่การทำ ROPA หรือทะเบียนการประมวลผลข้อมูลในกิจกรรมต่าง ๆ โดย ROPA จะเชื่อมโยงกับการเก็บ Log รวมทั้งนำไปสู่การจัดทำ Data Flow”
ภาคปฏิบัติ 7 ขั้นตอน “รู้-ทำ นำสู่ความสำเร็จ”
นายกำพล กล่าวว่า การลงมือในภาคปฏิบัติ เริ่มจากหัวใจแห่งความสำเร็จซึ่งก็คือการจัดการ Data โดยขั้นตอนที่ 1 จัดทำแผนผังข้อมูลส่วนบุคคล (Data Flow) จากนั้นขั้นตอนที่ 2 กำหนดหน้าที่ของบุคคลและฐานกฎหมายที่ใช้ จำเป็นจะต้องแจกแจงรายละเอียดให้ชัดเจนต่อการใช้ข้อมูลในแต่ละกิจกรรม โดยต้องระบุชื่อผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูล ของแต่ละกิจกรรมให้ชัดเจน
ขั้นตอนที่ 3 จัดทำเอกสารสำคัญเพื่อให้มีผลบังคับใช้ได้ตามกฎหมาย ได้แก่ Privacy Policy, Privacy Notice, รวมไปถึงเอกสารหรือข้อความการขอความยินยอม (Consent form) ต่างๆ ทั้งในรูปเอกสารกระดาษ (Hard Copy) และเอกสารอิเล็กทรอนิกส์ (Soft Copy) เช่น ข้อความแจ้งการเก็บ Cookie ในเว็บไซต์ ฯลฯ
ขั้นตอนที่ 4 บริหารจัดการข้อมูลตามวงจรชีวิต (Data Life Cycle Management) เป็นส่วนที่เชื่อมโยงกับขั้นตอน 1 เมื่อข้อมูลเข้ามาใหม่ ต้องรู้ที่มาและระบุผู้รับผิดชอบ การเก็บการใช้ข้อมูล ไปจนถึงข้อมูลหมดอายุเลิกใช้ก็จะต้องทำการลบข้อมูลออกจากระบบ
ขั้นตอนที่ 5 ปรับระบบไอทีให้รองรับสอดคล้องต่อรายละเอียดต่าง ๆ และขั้นตอนในการจัดเก็บข้อมูลของแต่ละบริการ ตลอดจนสิทธิในการเข้าถึงข้อมูล ทั้งนี้ นายกำพล เสริมว่า “การปรับระบบไอทียังต้องคำนึกถึงเรื่อง Digital Transformation ไปพร้อมกันด้วย”
ขั้นตอนที่ 6 แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) องค์กรเลือกได้ทั้งพนักงานภายในองค์กร หรือภายนอกองค์กร และขั้นตอนที่ 7 สร้างความตระหนักรู้ โดยจัดอบรมให้ความรู้เพื่อสร้างความตระหนักให้แก่ผู้บริหาร พนักงานภายในองค์กร ผู้รับจ้างประมวลผล รวมไปถึงลูกค้า
รู้ประเด็นสำคัญในบทลงโทษตามกฎหมาย
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในส่วนของความผิดนั้นแบ่งออกเป็น 3 ส่วนคือ ความรับผิดทางแพ่ง โทษทางปกครอง และโทษอาญา
ความรับผิดทางแพ่ง (มาตรา 77-78) คิดจากค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ แต่ไม่เกินสองเท่าของสินไหมทดแทนที่แท้จริง
โทษทางปกครอง (มาตรา 82-87) หากองค์กรไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ์ ไม่จัดทำบันทึกรายการหรือ ROPA ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO รวมถึงไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของ DPO มีโทษปรับไม่เกินหนึ่งล้านบาท
โทษปรับจะเพิ่มขึ้นได้ถึงไม่เกินสามล้านบาท หากมีการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ไม่แจ้งวัตถุประสงค์การใช้งานใหม่ เก็บข้อมูลเกินความจำเป็น ขอความยินยอมที่เป็นการหลอกลวงให้เข้าใจผิด ไม่จัดให้มีการรักษาความปลอดภัยที่เหมาะสม ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย ไม่ตั้งตัวแทนในราชอาณาจักร และหากมีการเก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย โทษปรับจะเพิ่มขึ้นเป็นไม่เกินห้าล้านบาท
ส่วนโทษอาญา ตามมาตรา 79-81 ผู้ควบคุมข้อมูลส่วนบุคคล ใช้หรือเปิดเผยข้อมูลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือผิดจากวัตถุประสงค์ที่แจ้งไว้ หรือโอนข้อมูลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย เป็นเหตุให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท และหากใช้เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น เพิ่มโทษจำคุกเป็นไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งล้านบาท
ทั้งหมดนี้เป็นข้อมูลที่จะช่วยคลายความกังวลให้แก่ผู้บริหารองค์กร และผู้คุ้มครองข้อมูลส่วนบุคคลได้บ้าง ซึ่งสามารถนำแผนปฏิบัติที่ดำเนินการอยู่มา Check list ให้สอดคล้องกับทั้งข้อกำหนดในกฎหมายที่จะต้องทำให้ครบ และแนวทางปฏิบัติ หรือ Best Practices ตลอดจนขั้นตอนการลงมือปฏิบัติ ซึ่งเชื่อว่าเป็นประโยชน์ต่อองค์กรเพื่อทำให้อยู่ในกรอบของกฎหมายได้ไม่ยาก
#####
【SHOW CASE for PDPA】
บทความนี้เขียนจากการสัมภาษณ์ นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่มุ่งถ่ายทอดจุดเน้น เจตนารมณ์ ตลอดจนหลักคิดของกฎหมาย เพื่อสร้างความเข้าใจ และคลายความกังวลให้แก่องค์กรธุรกิจ โดยคาดหวังว่า หลังจากกฎหมายบังคับใช้จะสร้างสมดุลด้านการใช้ข้อมูลส่วนบุคคลในสังคมไทย หากทุกฝ่ายเกิดความตระหนักและเข้าใจตรงกัน นั่นคือ ประสบความสำเร็จในระดับหนึ่ง
01.04.2022
1 มิถุนายน 2565 เป็นต้นไป พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ในมาตราที่เลื่อนการบังคับใช้ออกมา 2 ปี จะเริ่มมีผล แม้จะเหลือเวลาอีกเพียงไม่กี่เดือน แต่ก็สามารถเร่งดำเนินการให้องค์กรปฏิบัติตาม พ.ร.บ. ได้ไม่ยาก โดย นายกำพล ศรธนะรัตน์ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) และที่ปรึกษาด้าน Digital Transformation สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และประธานชมรม DPO ได้ให้หลักการ แนวทาง ตลอดจนขั้นตอนการปฏิบัติ ไว้ในที่นี้
20.04.2022
ปัจจุบันเรื่องของกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีบทบาท และเป็นเรื่องที่สังคมให้ความสนใจเป็นอย่างมาก ซึ่งทุกองค์กรจำเป็นที่จะต้องเรียนรู้ ทำความเข้าใจ และนำไปปรับใช้ภายในองค์กรอย่างเหมาะสม โดยการนำไปใช้ในองค์กรให้เหมาะสมนั้น มีหลากหลายมิติที่หลายฝ่ายในองค์กรจำเป็นที่จะต้องหาทางออกร่วมกัน เพื่อนำหลักกฎหมาย PDPA ไปใช้อย่างถูกต้อง และเกิดประโยชน์สูงสุด
05.05.2022