PDPA

COVID-19

05.05.2022

【PDPA】ปรับองค์กรให้ทัน ตามหลัก PDPA

ปรับองค์กรให้ทัน ตามหลัก PDPA

ปัจจุบันเรื่องของกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีบทบาท และเป็นเรื่องที่สังคมให้ความสนใจเป็นอย่างมาก ซึ่งทุกองค์กรจำเป็นที่จะต้องเรียนรู้ ทำความเข้าใจ และนำไปปรับใช้ภายในองค์กรอย่างเหมาะสม โดยการนำไปใช้ในองค์กรให้เหมาะสมนั้น มีหลากหลายมิติที่หลายฝ่ายในองค์กรจำเป็นที่จะต้องหาทางออกร่วมกัน เพื่อนำหลักกฎหมาย PDPA ไปใช้อย่างถูกต้อง และเกิดประโยชน์สูงสุด

อ.ดร.นพ.นวนรรน ธีระอัมพรพันธ์ นักวิชาการด้านสารสนเทศสุขภาพ รองคณบดีฝ่ายปฏิบัติการ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี ม.มหิดล คณะกรรมการผู้ทรงคุณวุฒิ ด้านการคุ้มครองส่วนบุคคล ได้อธิบาย PDPA ในเบื้องต้นว่า PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคลล ว่าด้วยเรื่องหลักการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะเป็นมาตรการกำหนดการคุ้มครอง หลักการนำไปใช้ หรือการประกันข้อมูล

โดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จะมีช่วยในการยกระดับการใช้งานบนยุคดิจิทัล เพื่อให้การดูแลข้อมูลของผู้ใช้งานในประเทศไทยมีมาตรฐานมากขึ้น

แม้เรื่องของ PDPA จะเรื่องที่ค่อนข้างใหม่สำหรับสังคม และองค์กร แต่ก็ถือเป็นเรื่องสำคัญ และเร่งด่วนที่องค์กรต้องทำความเข้าใจ และปรับนำไปปรับใช้

“เมื่อองค์กร และกระบวนการเกิดขึ้นมาก่อน PDPA ก็แปลว่ามันจะมี Gap โดยธรรมชาติ ที่อาจจะมีกฎหมายหลักการใหม่ขึ้นมา แล้วเรายังมองไม่ครบ”

อ.ดร.นพ.นวนรรน ได้อธิบายเพิ่มเติมว่า การที่องค์กรเกิดมาก่อนกฎหมาย PDPA สิ่งที่องค์กรควรเริ่มดำเนินการคือ การกลับมาพิจารณากระบวนการทำงานภายในองค์กรที่มีการดำเนินงานมาก่อน ทั้งการเก็บรวบรวมข้อมูล การนำไปใช้ และนำไปเปิดเผย ซึ่งต้องคำนึงถึงความถูกต้องที่ต้องสอดคล้องเป็นไปตามหลัก PDPA

ที่สำคัญต้องมองหาว่ามีสิ่งไหนที่ต้องปรับปรุง ทำความเข้าใจเพิ่มเติม หรืออาจเป็นการมองหาที่ปรึกษาจากผู้เชี่ยวชาญในเรื่องดังกล่าว ซึ่งในขั้นตอนการพิจารณานี้ อ.ดร.นพ.นวนรรน เสริมว่า สิ่งที่เราจะได้เห็นเรียกว่า ‘Gap’ หรือช่องโหว่ของการทำงาน ที่มาจากการดำเนินการที่มาก่อนกฎหมายเกิด ซึ่งทำให้อาจเกิดช่องโหว่ที่องค์กรต้องรีบปิด หรือหาทางออกร่วมกันให้ถูกต้องตามหลัก PDPA

“Gap ที่ว่า หรือช่องโหว่ที่เกิดขึ้นในที่นี้ คือช่องโหว่ที่เกิดจากการที่องค์กร และกระบวนการเกิดขึ้นมาก่อน PDPA ซึ่งสิ่งเหล่านั้นอาจเข้าข่ายผิดหลักกฎหมาย เป็นเพราะที่ผ่านมา เราทำเพราะกฎหมายไม่ได้บอกว่ามันผิดกฎหมาย เราก็ทำในแบบที่คิดว่าควรจะเป็น แต่ว่าแบบนั้นอาจจะไม่ตรงตามหลักการในยุคที่ปัจจุบันที่มีกฎหมายว่าหลักไว้แล้ว

ซึ่ง PDPA วางโดยยึดหลักการที่มีมาตรฐานตามสากล แปลว่าเรื่องบางเรื่องจะเป็นเรื่องใหม่ในปัจจุบัน ซึ่งบางทีอาจจะต้องมาปรับให้เหมาะสมกับสิ่งที่เรามีในปัจจุบัน โดยจากกฎหมายวาง กับสิ่งที่เราทำอยู่ มันมีส่วนไหนที่แตกต่างกัน”

อ.ดร.นพ.นวนรรน อธิบายเสริมว่า การเริ่มต้นใช้ PDPA ในองค์กรถือเป็นโจทย์เร่งด่วน เนื่องจากกฎหมายมีผลบังคับใช้ สิ่งที่หน่วยงานและองค์กรควรทำคือ จัดตั้งทีมงานเข้ามาร่วมกันดำเนินการ โดยในกระบวนการดังกล่าวนั้น ไม่สามารถเปลี่ยนได้ด้วยคนดียว หรือภายในแผนกเดียว เรื่องของ PDPA ต้องพึ่งพาความรู้จากหลาย ๆ ฝ่าย

ยกตัวอย่างเช่น หลายหน่วยงานอาจจะตีความว่า PDPA เป็นเรื่องของแผนกไอที โดยมอบความรับผิดชอบให้ทางไอทีเพียงฝ่ายเดียว เนื่องจากเข้าใจและมองภาพรวมว่าเกี่ยวกับระบบดิจิทัล ซึ่งทางไอทีเอง อาจสามารถเขียนระบบการใช้งาน และหน้าตาแพลตฟอร์มได้ แต่อาจไม่ทราบเรื่องของความจำเป็น หรือความต้องการข้อมูลจากหน้าบ้านที่ต้องการเก็บข้อมูล หรือต้องนำไปใช้ในส่วนไหนอย่างไร เป็นต้น

หรือบางหน่วยงานอาจมองว่า PDPA เป็นเรื่องของกฎหมายเท่านั้น แน่นอนว่าเราจำเป็นพึ่งพาทีมกฎหมาย เพื่อให้เข้าใจภาษาทางกฎหมายที่ง่ายขึ้น แต่ท้ายที่สุดแล้วทีมกฎหมายก็ต้องพึ่งพาความรู้ ความเข้าใจจากทางไอทีในรูปแบบการใช้งานระบบดิจิทัลเช่นเดียวกัน

หมายความว่า เรื่องของการจัดการ PDPA มีความเกี่ยวข้องกับหลายหน่วยงาน บางหน่วยงานเป็นแหล่งดูแล เก็บรวบรวมข้อมูล บางหน่วยงานต้องพัฒนาโปรแกรม หรือบางหน่วยงานเป็นส่วนที่ต้องใช้ข้อมูลส่วนบุคคล

“แต่ละองค์กรจึงควรระบุตามหน้าที่รับผิดชอบตามความเหมาะสม กำหนดแผนกไหนต้องรับผิดชอบอะไรบ้าง และจัดตั้งทีมเพื่อนั่งหาทางออกร่วมกัน หาช่องโหว่ที่เกิดขึ้น และแก้ปัญหาไปด้วยกัน นั่นคือหลักคร่าว ๆ ที่ผมจะมอง ซึ่งแต่ละองค์กรก็จะมีแนวทางที่ไม่เหมือนกัน”

นอกจากนี้ อ.ดร.นพ.นวนรรน ยังได้กล่าวถึงอีกหนึ่งเรื่องสำคัญของการใช้ PDPA ที่ควรมี คือ Privacy Notice หรือ การประกาศความเป็นส่วนตัว ซึ่งเป็นการแจ้งเตือนถึงข้อกำหนดของการเก็บรวบรวม การนำไปใช้ และการเปิดเผยข้อมูลให้กับเจ้าของข้อมูลได้ทราบถึงขอบเขตการใช้งาน เพื่อเป็นอันเข้าใจร่วมกัน

“การที่เราเอาข้อมูลไปเปิดเผย ไปใช้งานในเรื่องอื่น ๆ ในบางกรณีกฎหมายก็จะวางหลักไว้ว่า ให้สามารถนำไปใช้ตามวัตถุประสงค์ที่เราได้แจ้งไว้กับเจ้าตัวเท่านั้น หรือ Privacy Notice คือแจ้งกับเจ้าตัวว่า เราเก็บอะไร จะมีการนำไปใช้อะไรบ้าง หรือจะเก็บไว้นานแค่ไหน ซึ่งถ้าเราไม่ได้แจ้งเขา แล้วมีการนำไปทำอย่างอื่น มันอาจจะผิดกฎหมาย PDPA ที่มีการคุ้มครองในส่วนนี้ ฉะนั้นองค์กรต้องกลับมาทบทวนว่าอะไรสามารถทำ ได้ หรืออะไรที่ไม่สามารถทำได้แล้ว”

ท้ายที่สุด อ.ดร.นพ.นวนรรน ได้ฝากถึงข้อควรระวังในการจัดเก็บข้อมูลขององค์กร ไว้ด้วยกัน 4 ข้อดังนี้

1. เก็บข้อมูลเท่าที่จำเป็นต้องใช้
หลาย ๆ องค์กรมักจะเก็บข้อมูลเยอะเกินความจำเป็น หรือเป็นการเก็บข้อมูลเผื่อใช้ในอนาคต แต่ในความเป็นจริง การเก็บข้อมูลที่เกินความจำเป็น กลายเป็นว่าความรับผิดชอบ หรือภาระการเก็บข้อมูลก็เพิ่มมากขึ้นเช่นกัน ซึ่งถ้าหากเกิดเหตุข้อมูลรั่วไหล อาจนำไปสู่การชำระค่าเสียหาย หรือการเยียวยาแก่ผู้เสียหายอีกด้วย

2. PDPA ไม่ใช่เรื่องของฝ่ายใดฝ่ายหนึ่ง
อย่างที่กล่าวไปข้างต้น PDPA จำเป็นที่จะต้องพึ่งพาความรู้ ความเข้าใจ และความร่วมมือกับหลาย ๆ ฝ่าย ดังนั้นทุกหน่วยงานจึงจำเป็นต้องหาทางออกร่วมกัน

3. การขอคำยินยอม หรือ Consent คือทางเลือกข้อสุดท้าย
เนื่องจากหลายหน่วยงานอาจเข้าใจผิดว่าทุกกรณีของการเปิดเผยข้อมูลส่วนบุคคล จำเป็นต้องขอความยินยอมแก่เจ้าของเสมอ แต่ในความเป็นจริงแล้ว การจัดเก็บข้อมูล การนำไปใช้ หรือการเปิดเผยนั้น มีกฎหมายรองรับตามเงื่อนไขอยู่ด้วยกัน 7 ฐานกฎหมาย

ว่าด้วยเรื่อง ฐานปฎิบัติตามกฎหมาย ฐานประโยชน์สำคัญต่อชีวิต ฐานตามอำนาจรัฐ ฐานวิจัย ฐานสัญญา ฐานประโยชน์อันชอบด้วยกฎหมาย และฐานความยินยอม ที่เป็นตัวเลือกสุดท้ายจากการเทียบข้อกำหนดจาก 6 ฐานข้างต้น

และที่สำคัญต้องไม่ลืมแจ้งไปยังเจ้าของข้อมูล หรือ Privacy Notice รวมถึงเงื่อนไขอื่นที่เจ้าของต้องรับรู้

4. Transaction Log ไม่ได้จำเป็นเสมอไป
การใช้ Transaction Log หรือการตรวจสอบการดึงข้อมูลเพื่อนำไปในที่ต่าง ๆ จากเจ้าของข้อมูล เช่น เจ้าของสามารถเข้ามาตรวจสอบว่าหน่วยงานที่จัดเก็บข้อมูลส่วนบุคคลของตนเองนั้น ได้นำไปใช้ ที่ไหน เมื่อไร อย่างไรบ้าง

ซึ่งประเทศไทยยังไม่มีกฎหมายบังคับใช้ Transaction Log เนื่องจากใจความสำคัญหลักของ PDPA คือ การวิเคราะห์หลักการเก็บ นำไปใช้ และเปิดเผย ซึ่งมีมาตรการตามกฎหมายที่เกี่ยวข้องที่สามารถตรวจสอบได้อยู่แล้ว การเพิ่มค่าใช้จ่ายสำหรับ Transaction Log Service จึงอาจไม่ใช่เรื่องจำเป็นสำหรับองค์กร อ.ดร.นพ.นวนรรน กล่าวปิดท้าย

******

【SHOW CASE for PDPA】

RECOMMEND