PDPA
COVID-19
05.05.2022
ปรับองค์กรให้ทัน ตามหลัก PDPA
ปัจจุบันเรื่องของกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีบทบาท และเป็นเรื่องที่สังคมให้ความสนใจเป็นอย่างมาก ซึ่งทุกองค์กรจำเป็นที่จะต้องเรียนรู้ ทำความเข้าใจ และนำไปปรับใช้ภายในองค์กรอย่างเหมาะสม โดยการนำไปใช้ในองค์กรให้เหมาะสมนั้น มีหลากหลายมิติที่หลายฝ่ายในองค์กรจำเป็นที่จะต้องหาทางออกร่วมกัน เพื่อนำหลักกฎหมาย PDPA ไปใช้อย่างถูกต้อง และเกิดประโยชน์สูงสุด
อ.ดร.นพ.นวนรรน ธีระอัมพรพันธ์ นักวิชาการด้านสารสนเทศสุขภาพ รองคณบดีฝ่ายปฏิบัติการ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี ม.มหิดล คณะกรรมการผู้ทรงคุณวุฒิ ด้านการคุ้มครองส่วนบุคคล ได้อธิบาย PDPA ในเบื้องต้นว่า PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคลล ว่าด้วยเรื่องหลักการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะเป็นมาตรการกำหนดการคุ้มครอง หลักการนำไปใช้ หรือการประกันข้อมูล
โดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จะมีช่วยในการยกระดับการใช้งานบนยุคดิจิทัล เพื่อให้การดูแลข้อมูลของผู้ใช้งานในประเทศไทยมีมาตรฐานมากขึ้น
แม้เรื่องของ PDPA จะเรื่องที่ค่อนข้างใหม่สำหรับสังคม และองค์กร แต่ก็ถือเป็นเรื่องสำคัญ และเร่งด่วนที่องค์กรต้องทำความเข้าใจ และปรับนำไปปรับใช้
“เมื่อองค์กร และกระบวนการเกิดขึ้นมาก่อน PDPA ก็แปลว่ามันจะมี Gap โดยธรรมชาติ ที่อาจจะมีกฎหมายหลักการใหม่ขึ้นมา แล้วเรายังมองไม่ครบ”
อ.ดร.นพ.นวนรรน ได้อธิบายเพิ่มเติมว่า การที่องค์กรเกิดมาก่อนกฎหมาย PDPA สิ่งที่องค์กรควรเริ่มดำเนินการคือ การกลับมาพิจารณากระบวนการทำงานภายในองค์กรที่มีการดำเนินงานมาก่อน ทั้งการเก็บรวบรวมข้อมูล การนำไปใช้ และนำไปเปิดเผย ซึ่งต้องคำนึงถึงความถูกต้องที่ต้องสอดคล้องเป็นไปตามหลัก PDPA
ที่สำคัญต้องมองหาว่ามีสิ่งไหนที่ต้องปรับปรุง ทำความเข้าใจเพิ่มเติม หรืออาจเป็นการมองหาที่ปรึกษาจากผู้เชี่ยวชาญในเรื่องดังกล่าว ซึ่งในขั้นตอนการพิจารณานี้ อ.ดร.นพ.นวนรรน เสริมว่า สิ่งที่เราจะได้เห็นเรียกว่า ‘Gap’ หรือช่องโหว่ของการทำงาน ที่มาจากการดำเนินการที่มาก่อนกฎหมายเกิด ซึ่งทำให้อาจเกิดช่องโหว่ที่องค์กรต้องรีบปิด หรือหาทางออกร่วมกันให้ถูกต้องตามหลัก PDPA
“Gap ที่ว่า หรือช่องโหว่ที่เกิดขึ้นในที่นี้ คือช่องโหว่ที่เกิดจากการที่องค์กร และกระบวนการเกิดขึ้นมาก่อน PDPA ซึ่งสิ่งเหล่านั้นอาจเข้าข่ายผิดหลักกฎหมาย เป็นเพราะที่ผ่านมา เราทำเพราะกฎหมายไม่ได้บอกว่ามันผิดกฎหมาย เราก็ทำในแบบที่คิดว่าควรจะเป็น แต่ว่าแบบนั้นอาจจะไม่ตรงตามหลักการในยุคที่ปัจจุบันที่มีกฎหมายว่าหลักไว้แล้ว
ซึ่ง PDPA วางโดยยึดหลักการที่มีมาตรฐานตามสากล แปลว่าเรื่องบางเรื่องจะเป็นเรื่องใหม่ในปัจจุบัน ซึ่งบางทีอาจจะต้องมาปรับให้เหมาะสมกับสิ่งที่เรามีในปัจจุบัน โดยจากกฎหมายวาง กับสิ่งที่เราทำอยู่ มันมีส่วนไหนที่แตกต่างกัน”
อ.ดร.นพ.นวนรรน อธิบายเสริมว่า การเริ่มต้นใช้ PDPA ในองค์กรถือเป็นโจทย์เร่งด่วน เนื่องจากกฎหมายมีผลบังคับใช้ สิ่งที่หน่วยงานและองค์กรควรทำคือ จัดตั้งทีมงานเข้ามาร่วมกันดำเนินการ โดยในกระบวนการดังกล่าวนั้น ไม่สามารถเปลี่ยนได้ด้วยคนดียว หรือภายในแผนกเดียว เรื่องของ PDPA ต้องพึ่งพาความรู้จากหลาย ๆ ฝ่าย
ยกตัวอย่างเช่น หลายหน่วยงานอาจจะตีความว่า PDPA เป็นเรื่องของแผนกไอที โดยมอบความรับผิดชอบให้ทางไอทีเพียงฝ่ายเดียว เนื่องจากเข้าใจและมองภาพรวมว่าเกี่ยวกับระบบดิจิทัล ซึ่งทางไอทีเอง อาจสามารถเขียนระบบการใช้งาน และหน้าตาแพลตฟอร์มได้ แต่อาจไม่ทราบเรื่องของความจำเป็น หรือความต้องการข้อมูลจากหน้าบ้านที่ต้องการเก็บข้อมูล หรือต้องนำไปใช้ในส่วนไหนอย่างไร เป็นต้น
หรือบางหน่วยงานอาจมองว่า PDPA เป็นเรื่องของกฎหมายเท่านั้น แน่นอนว่าเราจำเป็นพึ่งพาทีมกฎหมาย เพื่อให้เข้าใจภาษาทางกฎหมายที่ง่ายขึ้น แต่ท้ายที่สุดแล้วทีมกฎหมายก็ต้องพึ่งพาความรู้ ความเข้าใจจากทางไอทีในรูปแบบการใช้งานระบบดิจิทัลเช่นเดียวกัน
หมายความว่า เรื่องของการจัดการ PDPA มีความเกี่ยวข้องกับหลายหน่วยงาน บางหน่วยงานเป็นแหล่งดูแล เก็บรวบรวมข้อมูล บางหน่วยงานต้องพัฒนาโปรแกรม หรือบางหน่วยงานเป็นส่วนที่ต้องใช้ข้อมูลส่วนบุคคล
“แต่ละองค์กรจึงควรระบุตามหน้าที่รับผิดชอบตามความเหมาะสม กำหนดแผนกไหนต้องรับผิดชอบอะไรบ้าง และจัดตั้งทีมเพื่อนั่งหาทางออกร่วมกัน หาช่องโหว่ที่เกิดขึ้น และแก้ปัญหาไปด้วยกัน นั่นคือหลักคร่าว ๆ ที่ผมจะมอง ซึ่งแต่ละองค์กรก็จะมีแนวทางที่ไม่เหมือนกัน”
นอกจากนี้ อ.ดร.นพ.นวนรรน ยังได้กล่าวถึงอีกหนึ่งเรื่องสำคัญของการใช้ PDPA ที่ควรมี คือ Privacy Notice หรือ การประกาศความเป็นส่วนตัว ซึ่งเป็นการแจ้งเตือนถึงข้อกำหนดของการเก็บรวบรวม การนำไปใช้ และการเปิดเผยข้อมูลให้กับเจ้าของข้อมูลได้ทราบถึงขอบเขตการใช้งาน เพื่อเป็นอันเข้าใจร่วมกัน
“การที่เราเอาข้อมูลไปเปิดเผย ไปใช้งานในเรื่องอื่น ๆ ในบางกรณีกฎหมายก็จะวางหลักไว้ว่า ให้สามารถนำไปใช้ตามวัตถุประสงค์ที่เราได้แจ้งไว้กับเจ้าตัวเท่านั้น หรือ Privacy Notice คือแจ้งกับเจ้าตัวว่า เราเก็บอะไร จะมีการนำไปใช้อะไรบ้าง หรือจะเก็บไว้นานแค่ไหน ซึ่งถ้าเราไม่ได้แจ้งเขา แล้วมีการนำไปทำอย่างอื่น มันอาจจะผิดกฎหมาย PDPA ที่มีการคุ้มครองในส่วนนี้ ฉะนั้นองค์กรต้องกลับมาทบทวนว่าอะไรสามารถทำ ได้ หรืออะไรที่ไม่สามารถทำได้แล้ว”
ท้ายที่สุด อ.ดร.นพ.นวนรรน ได้ฝากถึงข้อควรระวังในการจัดเก็บข้อมูลขององค์กร ไว้ด้วยกัน 4 ข้อดังนี้
1. เก็บข้อมูลเท่าที่จำเป็นต้องใช้
หลาย ๆ องค์กรมักจะเก็บข้อมูลเยอะเกินความจำเป็น หรือเป็นการเก็บข้อมูลเผื่อใช้ในอนาคต แต่ในความเป็นจริง การเก็บข้อมูลที่เกินความจำเป็น กลายเป็นว่าความรับผิดชอบ หรือภาระการเก็บข้อมูลก็เพิ่มมากขึ้นเช่นกัน ซึ่งถ้าหากเกิดเหตุข้อมูลรั่วไหล อาจนำไปสู่การชำระค่าเสียหาย หรือการเยียวยาแก่ผู้เสียหายอีกด้วย
2. PDPA ไม่ใช่เรื่องของฝ่ายใดฝ่ายหนึ่ง
อย่างที่กล่าวไปข้างต้น PDPA จำเป็นที่จะต้องพึ่งพาความรู้ ความเข้าใจ และความร่วมมือกับหลาย ๆ ฝ่าย ดังนั้นทุกหน่วยงานจึงจำเป็นต้องหาทางออกร่วมกัน
3. การขอคำยินยอม หรือ Consent คือทางเลือกข้อสุดท้าย
เนื่องจากหลายหน่วยงานอาจเข้าใจผิดว่าทุกกรณีของการเปิดเผยข้อมูลส่วนบุคคล จำเป็นต้องขอความยินยอมแก่เจ้าของเสมอ แต่ในความเป็นจริงแล้ว การจัดเก็บข้อมูล การนำไปใช้ หรือการเปิดเผยนั้น มีกฎหมายรองรับตามเงื่อนไขอยู่ด้วยกัน 7 ฐานกฎหมาย
ว่าด้วยเรื่อง ฐานปฎิบัติตามกฎหมาย ฐานประโยชน์สำคัญต่อชีวิต ฐานตามอำนาจรัฐ ฐานวิจัย ฐานสัญญา ฐานประโยชน์อันชอบด้วยกฎหมาย และฐานความยินยอม ที่เป็นตัวเลือกสุดท้ายจากการเทียบข้อกำหนดจาก 6 ฐานข้างต้น
และที่สำคัญต้องไม่ลืมแจ้งไปยังเจ้าของข้อมูล หรือ Privacy Notice รวมถึงเงื่อนไขอื่นที่เจ้าของต้องรับรู้
4. Transaction Log ไม่ได้จำเป็นเสมอไป
การใช้ Transaction Log หรือการตรวจสอบการดึงข้อมูลเพื่อนำไปในที่ต่าง ๆ จากเจ้าของข้อมูล เช่น เจ้าของสามารถเข้ามาตรวจสอบว่าหน่วยงานที่จัดเก็บข้อมูลส่วนบุคคลของตนเองนั้น ได้นำไปใช้ ที่ไหน เมื่อไร อย่างไรบ้าง
ซึ่งประเทศไทยยังไม่มีกฎหมายบังคับใช้ Transaction Log เนื่องจากใจความสำคัญหลักของ PDPA คือ การวิเคราะห์หลักการเก็บ นำไปใช้ และเปิดเผย ซึ่งมีมาตรการตามกฎหมายที่เกี่ยวข้องที่สามารถตรวจสอบได้อยู่แล้ว การเพิ่มค่าใช้จ่ายสำหรับ Transaction Log Service จึงอาจไม่ใช่เรื่องจำเป็นสำหรับองค์กร อ.ดร.นพ.นวนรรน กล่าวปิดท้าย
******
【SHOW CASE for PDPA】
บทความนี้เขียนจากการสัมภาษณ์ นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่มุ่งถ่ายทอดจุดเน้น เจตนารมณ์ ตลอดจนหลักคิดของกฎหมาย เพื่อสร้างความเข้าใจ และคลายความกังวลให้แก่องค์กรธุรกิจ โดยคาดหวังว่า หลังจากกฎหมายบังคับใช้จะสร้างสมดุลด้านการใช้ข้อมูลส่วนบุคคลในสังคมไทย หากทุกฝ่ายเกิดความตระหนักและเข้าใจตรงกัน นั่นคือ ประสบความสำเร็จในระดับหนึ่ง
01.04.2022
1 มิถุนายน 2565 เป็นต้นไป พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ในมาตราที่เลื่อนการบังคับใช้ออกมา 2 ปี จะเริ่มมีผล แม้จะเหลือเวลาอีกเพียงไม่กี่เดือน แต่ก็สามารถเร่งดำเนินการให้องค์กรปฏิบัติตาม พ.ร.บ. ได้ไม่ยาก โดย นายกำพล ศรธนะรัตน์ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) และที่ปรึกษาด้าน Digital Transformation สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และประธานชมรม DPO ได้ให้หลักการ แนวทาง ตลอดจนขั้นตอนการปฏิบัติ ไว้ในที่นี้
20.04.2022
ปัจจุบันเรื่องของกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีบทบาท และเป็นเรื่องที่สังคมให้ความสนใจเป็นอย่างมาก ซึ่งทุกองค์กรจำเป็นที่จะต้องเรียนรู้ ทำความเข้าใจ และนำไปปรับใช้ภายในองค์กรอย่างเหมาะสม โดยการนำไปใช้ในองค์กรให้เหมาะสมนั้น มีหลากหลายมิติที่หลายฝ่ายในองค์กรจำเป็นที่จะต้องหาทางออกร่วมกัน เพื่อนำหลักกฎหมาย PDPA ไปใช้อย่างถูกต้อง และเกิดประโยชน์สูงสุด
05.05.2022