Personal Data Protection Act in Thailand Blog

PwC แนะองค์กรเตรียมพร้อมรับมือ “กม. คุ้มครองข้อมูลส่วนบุคคล” ตั้งแต่วันนี้

โดย วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC ประเทศไทย
8 ตุลาคม 2562

นางสาว วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC ประเทศไทย กล่าวว่า ภาครัฐและเอกชนที่ทำงานเกี่ยวกับ ‘ข้อมูลส่วนบุคคล’ ต้องเตรียมความพร้อมด้านระบบและบุคลากรสำหรับการปฎิบัติตามเงื่อนไขของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Thailand’s Personal Data Protection Act B.E. 2562 (2019): PDPA) หรือ ‘พีดีพีเอ’ ที่จะมีผลบังคับใช้ในวันที่ 28 พฤษภาคม 2563 ตั้งแต่ตอนนี้ โดยสาระสำคัญและแนวทางในการปฏิบัติตามกฎหมายฉบับนี้ มีตั้งแต่ประเด็นเรื่องของการขอความยินยอม การเก็บรวบรวม การใช้ ไปจนถึงการเปิดเผยข้อมูลส่วนบุคคล ที่ต้องได้รับการยินยอมจากเจ้าของข้อมูล และต้องแจ้งวัตถุประสงค์ในการนำข้อมูลมาใช้ให้เจ้าของทราบ นอกจากนี้ ยังต้องมีมาตรการรักษาความปลอดภัยของข้อมูล และให้สิทธิเจ้าของข้อมูลในการขอเคลื่อนย้าย ลบ ทำลาย หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลอีกด้วย

“กฎหมายฉบับนี้กระทบกับธุรกิจไทยทุกรายอย่างหลีกเลี่ยงไม่ได้ เพราะนิยามของคำว่าข้อมูลส่วนบุคคลนั้น หมายรวมถึงข้อมูลของพนักงานทุก ๆ รายในองค์กร สำหรับธุรกิจที่จะได้รับผลกระทบมากหน่อย น่าจะเป็นธุรกิจประเภท B2C หรือธุรกิจที่มุ่งเน้นการบริการให้กับลูกค้าหรือผู้บริโภคโดยตรง เช่น ธนาคารและสถาบันการเงิน ธุรกิจผู้ให้บริการทางด้านสุขภาพ ธุรกิจที่เกี่ยวกับโซเชียลมีเดีย ธุรกิจทางด้านสื่อสารและออนไลน์ คลาวด์คอมพิวติ้ง และอื่น ๆ ทั้งนี้ เพราะธุรกิจเหล่านี้มีการจัดเก็บข้อมูลของลูกค้าเป็นจำนวนมากไม่ว่าจะเป็นชื่อ-นามสกุล บัตรประชาชน เบอร์โทรศัพท์ พฤติกรรมหรือลักษณะของการใช้บริการ ไปจนถึงข้อมูลที่เกี่ยวข้องอื่น ๆ”

อย่างไรก็ดี มาจนถึงวันนี้ องค์กรขนาดใหญ่ของไทยหลายแห่ง ได้เริ่มเตรียมความพร้อมด้านระบบและสร้างความรู้ ความเข้าใจให้แก่พนักงานไปบ้างแล้วในระดับหนึ่ง แต่ก็ยังน่าเป็นห่วงว่า มีองค์กรไทยอีกจำนวนมากที่ยังไม่รู้ตัวว่า ธุรกิจของตนจะได้รับผลกระทบและต้องปฏิบัติตามข้อกฎหมายดังกล่าว ดังนั้น จึงอยากแนะนำให้องค์กรที่เพิ่งรู้ตัว หันมาปฏิบัติตามกฎหมายดังกล่าว ตั้งแต่วันนี้ โดยสิ่งแรกที่ต้องทำคือ อ่านกฏหมายให้เข้าใจอย่างละเอียดและวิเคราะห์ผลกระทบที่จะเกิดขึ้นกับองค์กร สิ่งสำคัญอันดับแรกที่ผู้ประกอบการและผู้บริหารต้องทำความเข้าใจคือ ความหมายของข้อมูลส่วนบุคคลว่าหมายถึงอะไร และข้อมูลประเภทไหนถือว่า เป็นข้อมูลที่ต้องได้รับการคุ้มครอง เช่น ชื่อ-นามสกุล วัน เดือน ปีเกิด หมายเลขบัตรประชาชน เบอร์โทรศัพท์มือถือ หมายเลขบัตรเครดิต ข้อมูลสุขภาพ และอื่น ๆ

หลังจากนั้น ต้องทราบว่า องค์กรของตนเองมีการจัดเก็บข้อมูลที่ยกตัวอย่างไว้ข้างต้นหรือไม่ ถ้ามี การจัดเก็บดังกล่าว ได้รับอนุญาตจากเจ้าของข้อมูลอย่างเป็นทางการหรือไม่ มีการนำไปใช้ หรือส่งต่อภายในองค์กรและนอกองค์กรหรือไม่อย่างไร เช่น ให้ข้อมูลแก่พันธมิตรทางธุรกิจ ธนาคาร หรืออื่น ๆ ซึ่งข้อมูลส่วนบุคคลนี้ ไม่ใช่แค่ข้อมูลของลูกค้าเท่านั้น แต่รวมถึงข้อมูลพนักงานและข้อมูลของบุคคลที่สามที่องค์กรมีการจัดเก็บไว้ด้วย เช่น ข้อมูลของคู่ค้าทางธุรกิจ ร้านค้า ซัพพลายเออร์ และอื่น ๆ นอกจากนี้ องค์กรต้องมีกระบวนการต่าง ๆ ตามที่กฏหมายกำหนด เช่น การขออนุญาต หรือแจ้งเจ้าของข้อมูลให้ทราบหากข้อมูลนั้น ๆ มีการรั่วไหล

 

“จำเป็นอย่างยิ่งที่องค์กรต้องมีการแต่งตั้งคณะทำงาน เพื่อช่วยผลักดันให้การปฏิบัติตามเงื่อนไขของกฎหมายเป็นไปอย่างถูกต้อง โดยคณะทำงานที่ว่านี้ ควรประกอบไปด้วยตัวแทนจากแต่ละฝ่ายงานที่เกี่ยวข้องไม่ว่าจะเป็นฝ่ายกฎหมาย ฝ่ายไอที ฝ่ายรักษาความปลอดภัยของข้อมูล ฝ่ายปฏิบัติการ รวมไปถึงฝ่ายที่มีปฏิสัมพันธ์กับลูกค้า เช่น ตัวแทนจำหน่าย ฝ่ายการตลาด และลูกค้าสัมพันธ์ ซึ่งทุก ๆ ฝ่ายงานขององค์กรที่กล่าวมา ล้วนมีความสำคัญต่อการปฏิบัติตามกฎหมายอย่างมากและไม่ควรปล่อยให้เรื่องนี้เป็นหน้าที่ของฝ่ายใดฝ่ายหนึ่ง ยิ่งไปกว่านั้น ควรจัดให้มีระบบการบริหาร จัดการ และปกป้องข้อมูลอย่างเหมาะสมทั้งในแง่ขั้นตอนการทำงานของคนและเทคโนโลยี”

ยิ่งไปกว่านั้น ข้อควรระวังเป็นพิเศษในการปฏิบัติตามเงื่อนไขของกฎหมายฉบับนี้คือ การขอความยินยอม การเก็บรวบรวม การใช้ หรือ การเปิดเผยข้อมูลส่วนบุคคล ซึ่งต้องได้รับการยินยอมจากเจ้าของข้อมูล โดยต้องมีการยอมรับเป็นลายลักษณ์อักษรเพื่อเก็บไว้ใช้เป็นหลักฐาน ไม่ว่าจะเป็นในรูปแบบของกระดาษ เอกสาร หรือผ่านทางระบบอิเล็กทรอนิกส์ อย่างไรก็ดี ขอแนะนำให้เก็บแบบสุดท้าย เพราะสามารถติดตามได้ง่าย แต่ต้องระมัดระวังด้วยว่า จะไม่มีการนำข้อมูลไปใช้นอกเหนือจากเรื่องที่ขอความยินยอมจากเจ้าของข้อมูล ยกตัวอย่าง เช่น องค์กรมีการขอและได้รับความยินยอมในการใช้ข้อมูลได้ 3 วัตถุประสงค์ แต่ในความเป็นจริงกลับนำข้อมูลไปใช้มากกว่าที่ได้รับความยินยอม ซึ่งในกรณีนี้ ก็ต้องกลับไปขอการยินยอมเพิ่ม นอกจากนี้ ควรมีการจัดทำกระบวนการรองรับในกรณีที่เจ้าของข้อมูลขอยกเลิกความยินยอม เนื่องจากกฎหมายให้สิทธิกับเจ้าของข้อมูลว่า ถึงแม้จะได้รับความยินยอม แต่ก็สามารถถอนความยินยอมเมื่อไหร่ก็ได้

อย่างไรก็ดี ประเด็นที่น่าเป็นห่วงคือ ระยะเวลาในการเตรียมความพร้อมขององค์กรนั้นมีไม่ถึง 8 เดือนนับจากวันนี้ ขณะที่องค์กรขนาดกลางและขนาดใหญ่ในทวีปยุโรปใช้เวลานานกว่า 2 ปีในการเตรียมตัวสำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR) หรือ ‘จีดีพีอาร์’ ฉะนั้น อยากให้องค์กรไทยบ้านเราอย่ารอช้า เริ่มคิดและดำเนินการปฏิบัติตั้งแต่วันนี้

“อยากย้ำเตือนให้ผู้ประกอบการเร่งประเมินข้อมูลส่วนบุคคลที่องค์กรของตนมีการจัดเก็บไว้ว่า มีประเภทใดบ้าง มีการเก็บ หรือใช้ในส่วนไหนขององค์กร มีการส่งออกนอกองค์กรแบบไม่ได้รับอนุญาต หรือส่งข้ามแผนกบ้างหรือไม่ เพื่อจะได้ทราบความเสี่ยงที่อาจกำลังเผชิญอยู่ และเริ่มปรับปรุงระบบและกระบวนการทำงาน เอกสาร และสัญญาต่าง ๆ ให้ถูกต้อง”

“สุดท้ายการสื่อสารให้พนักงานมีความตระหนักรู้ถึงความสำคัญของการต้องปฏิบัติตามกฎหมายฉบับนี้ จะเป็นหัวใจสำคัญที่ทำให้ทุกคนในองค์กรมีความเข้าใจและทำงานด้วยความไม่ประมาท ซึ่งจะช่วยป้องกันเหตุการณ์ข้อมูลรั่วไหลที่อาจส่งผลกระทบต่อชื่อเสียง ภาพลักษณ์ขององค์กร รวมถึงมีบทลงโทษที่รุนแรงทั้งจำคุกและจ่ายเงินค่าปรับไม่เกิน 500,000 บาทถึง 1 ล้านบาทด้วย”นางสาววิไลพร กล่าวทิ้งท้าย

//จบ//

หมายเหตุ: บทความนี้ถูกเผยแพร่เป็นครั้งแรกเมื่อวันที่ 8 ตุลาคม 2562 ทางหนังสือพิมพ์กรุงเทพธุรกิจ

Contact us

Marketing and Communications

Bangkok, PwC Thailand

Tel: +66 (0) 2844 1000, Ext. 4713-15, 18, 22-24, 26, 28 and 29

Follow us