ช่วงต้นเดือนพฤษภาคมที่ผ่านมามีข่าวใหญ่เกี่ยวกับกฎหมายสำคัญฉบับหนึ่งของประเทศ หลายท่านคงได้ทราบข่าวแล้ว สำหรับการเลื่อนบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายฉบับนี้ถูกเลื่อนบังคับใช้มาเป็นครั้งที่ 2 แล้ว จากกำหนดการในการบังคับใช้เดิมนั้นอยู่ในช่วงกลางปี 2563 ซึ่งได้ถูกเลื่อนมา 1 ครั้ง และในปีนี้ก็มีมติคณะรัฐมนตรี ให้กฎหมายฉบับนี้มีผลบังคับใช้เลื่อนออกไปเป็นวันที่ 1 มิถุนายน 2565 เหตุผลหลักในการเลื่อนมาจากสถานการณ์การแพร่ระบาดของโควิด-19 ที่ยังคงรุนแรง และต่อเนื่องในช่วงที่ผ่านมา
ถึงแม้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้ถูกเลื่อนออกไป แต่ในหลายกลุ่มธุรกิจได้ให้ความสำคัญกับกฎหมายฉบับนี้เป็นอย่างมาก ดังจะเห็นได้จากการที่ในหลายภาคส่วนธุรกิจได้มีการเตรียมตัว ดำเนินการโครงการรวมถึงจัดหาเครื่องมือ เพื่อให้องค์กรของตนปฏิบัติตามกฎหมายฉบับนี้ ตลอดช่วง 2 ปีที่ผ่าน อีกส่วนหนึ่งบางองค์การก็มีความจำเป็นที่จะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในฝั่งยุโรปหรือ GDPR นั่นเอง ทั้งนี้ในปัจจุบันในทุกภาคส่วนก็ได้ตระหนักและได้ให้ความสำคัญกับความพยายามขององค์กรที่จะปกป้องข้อมูลส่วนบุคคลและการใช้สิทธิที่เกี่ยวกับข้อมูลส่วนบุคคล (Data Subject Access Right Request : DSAR) ที่เจ้าของข้อมูลส่วนบุคคล (Data Subject) เป็นเจ้าของ ยกตัวอย่างเช่น ช่องทางการใช้สิทธิผ่านบริการยื่นขอใช้สิทธิที่อยู่บนเว็บไซต์ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.)
กฎหมายฉบับนี้เองอยู่ในระหว่างพัฒนากฎหมายลำดับรองรวมไปถึงประกาศที่เกี่ยวข้องเพิ่มเติม แต่ในส่วนภาคเอกชนและภาควิชาการนั้นก็ได้มีการร่วมมือกันและออกแนวปฏิบัติเพื่อเป็นแนวทาง อย่างไรก็ตามการนำแนวปฏิบัติดังกล่าวไปปรับใช้ในแต่ละองค์กรนั้นก็ยังจะต้องใช้ทรัพยากรอีกพอสมควร เนื่องจากมีความจำเป็นที่จะต้องตีความกฎหมายให้ชัดเจนยิ่งขึ้น รวมไปถึงการพิจารณาแนวปฏิบัติเหล่านั้นให้เหมาะสมกับบริบทขององค์กร หากจะสรุปโดยคร่าวในการดำเนินตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น องค์กรมีความจำเป็นที่จะต้องเตรียมการใน 3 ส่วนหลักดังนี้
ที่กล่าวมาข้างต้นนี้เป็นส่วนหนึ่งเท่านั้นที่องค์กรต้องเตรียมการ และเป็นเพียงข้อสรุปเท่านั้น ในการดำเนินการจริงเพื่อให้ปฏิบัติ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น มีการดำเนินการอีกจำนวนมาก รวมไปถึงในหลายองค์กรที่คาดการณ์ว่าจะมีการปฏิบัติงานที่เกิดขึ้นอีกมากหลังจากการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ
เห็นได้จากในหลายองค์กรพิจารณาจัดหาหรือพัฒนาเครื่องมือบริหารจัดการในการดูแลข้อมูลส่วนบุคคลที่องค์กรดูแลอยู่ รวมไปถึงการขอรับรองมาตรฐานด้านการจัดการและการคุ้มครองข้อมูลส่วนบุคคล Privacy Information Management System:PIMS หรือมาตรฐาน ISO/IEC 27701:2019
โดยองค์กรชั้นนำในประเทศนำกรอบการดำเนินการตามาตรฐานนี้มาปรับใช้กับองค์กร รวมไปถึงขอการรับรองมาตรฐาน ปัจจุบันในประเทศไทยนั้นสามารถขอการรับรองในรูปแบบ accredited certification ได้แล้วด้วย นั่นก็แสดงว่ามาตรฐานที่ได้รับความนิยม ถูกพูดถึงในวงกว้างและได้ถูกนำไปปรับใช้กับองค์กรทั่วโลก (ในโอกาสหน้าผู้เขียนจะลงรายละเอียดในส่วนของรูปแบบมาตรฐานแบบaccredited และ non-accredited certification)
โดยผู้เขียนคาดการณ์ว่าในอีกไม่กี่ปีข้างหน้ามาตรฐานนี้จะได้รับความนิยมเป็นอย่างมากในประเทศไทยมาตรฐานฉบับนี้ครอบคลุมเนื้อหาของ GDPR ดังนั้นการดำเนินการตามมาตรฐานนี้จะครอบคลุมกับเนื้อหาที่มีอยู่ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ อาจจะมีบางส่วนที่ตัวมาตรฐานมีเนื้อหาเกินจากกฎหมายของประเทศไทย เช่น Automated decision making ทั้งนี้ก็ขึ้นอยู่กับแต่ละองค์กรจะพิจารณาดำเนินการตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ในรูปแบบใดจะเริ่มจากปฏิบัติตามกฎหมายก่อน หรือจะเริ่มจากการนำกรอบมาตรฐานมาปรับใช้ในองค์กร โดยขึ้นอยู่กับความพร้อมและความชำนาญ ขององค์กร หากองค์กรใดได้รับรองมาตรฐาน ISO/IEC 27001:2013 อยู่แล้ว ก็เป็นเรื่องไม่ยากที่จะต่อยอดไปยังมาตรฐานด้านการดูแลและคุ้มครองข้อมูลส่วนบุคคล ISO/IEC 27701:2019
ทาง Incognito Lab มีทีมที่ปรึกษาที่ประสบการณ์และความชำนาญทั้ง ด้านของมาตรฐาน (standard) ด้านการดูแลความมั่นคงปลอดภัยของข้อมูล (personal data protection) และด้านกฎหมาย (legal) ผ่านการออกแบบ วิเคราะห์ ให้คำปรึกษากับบริษัทชั้นนำในประเทศมาอย่างยาวนาน โดยมาตรฐาน ISO ที่เราให้คำปรึึกษานั้นได้แก่ ISO27001, ISO27701, ISO20000, ISO22301
หากท่านต้องการสอบถามข้อมูลเพิ่มเติมสามารถติดต่อเราได้ที่ [email protected]