PDPA (Personal Data Protection Act)

ช่วงต้นเดือนพฤษภาคมที่ผ่านมามีข่าวใหญ่เกี่ยวกับกฎหมายสำคัญฉบับหนึ่งของประเทศ หลายท่านคงได้ทราบข่าวแล้ว สำหรับการเลื่อนบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายฉบับนี้ถูกเลื่อนบังคับใช้มาเป็นครั้งที่ 2 แล้ว จากกำหนดการในการบังคับใช้เดิมนั้นอยู่ในช่วงกลางปี 2563 ซึ่งได้ถูกเลื่อนมา 1 ครั้ง และในปีนี้ก็มีมติคณะรัฐมนตรี ให้กฎหมายฉบับนี้มีผลบังคับใช้เลื่อนออกไปเป็นวันที่ 1 มิถุนายน 2565 เหตุผลหลักในการเลื่อนมาจากสถานการณ์การแพร่ระบาดของโควิด-19 ที่ยังคงรุนแรง และต่อเนื่องในช่วงที่ผ่านมา

ถึงแม้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้ถูกเลื่อนออกไป แต่ในหลายกลุ่มธุรกิจได้ให้ความสำคัญกับกฎหมายฉบับนี้เป็นอย่างมาก ดังจะเห็นได้จากการที่ในหลายภาคส่วนธุรกิจได้มีการเตรียมตัว ดำเนินการโครงการรวมถึงจัดหาเครื่องมือ เพื่อให้องค์กรของตนปฏิบัติตามกฎหมายฉบับนี้ ตลอดช่วง 2 ปีที่ผ่าน อีกส่วนหนึ่งบางองค์การก็มีความจำเป็นที่จะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในฝั่งยุโรปหรือ GDPR นั่นเอง ทั้งนี้ในปัจจุบันในทุกภาคส่วนก็ได้ตระหนักและได้ให้ความสำคัญกับความพยายามขององค์กรที่จะปกป้องข้อมูลส่วนบุคคลและการใช้สิทธิที่เกี่ยวกับข้อมูลส่วนบุคคล (Data Subject Access Right Request : DSAR) ที่เจ้าของข้อมูลส่วนบุคคล (Data Subject) เป็นเจ้าของ ยกตัวอย่างเช่น ช่องทางการใช้สิทธิผ่านบริการยื่นขอใช้สิทธิที่อยู่บนเว็บไซต์ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.)

กฎหมายฉบับนี้เองอยู่ในระหว่างพัฒนากฎหมายลำดับรองรวมไปถึงประกาศที่เกี่ยวข้องเพิ่มเติม แต่ในส่วนภาคเอกชนและภาควิชาการนั้นก็ได้มีการร่วมมือกันและออกแนวปฏิบัติเพื่อเป็นแนวทาง อย่างไรก็ตามการนำแนวปฏิบัติดังกล่าวไปปรับใช้ในแต่ละองค์กรนั้นก็ยังจะต้องใช้ทรัพยากรอีกพอสมควร เนื่องจากมีความจำเป็นที่จะต้องตีความกฎหมายให้ชัดเจนยิ่งขึ้น รวมไปถึงการพิจารณาแนวปฏิบัติเหล่านั้นให้เหมาะสมกับบริบทขององค์กร หากจะสรุปโดยคร่าวในการดำเนินตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น องค์กรมีความจำเป็นที่จะต้องเตรียมการใน 3 ส่วนหลักดังนี้

1. การเตรียมการด้านเอกสารทางกฎหมาย
   เอกสารทางกฎหมายทั้งสัญญา (Contract) หรือเอกสารความยินยอม (Consent) ที่ต้องสอดคล้องกับฐานทางกฎหมาย (Lawful basis) ที่องค์กรเหลือใช้ในแต่ละชุดข้อมูล และครอบคลุมการไหล (Data flow) ของข้อมูลส่วนบุคคลทั้งหมดที่อยู่ภายในองค์กร และนโยบายคุ้มครองข้อมูลส่วนบุคคลที่ต้องถูกระบุอย่างชัดเจนและให้เป็นไปตามบริบทขององค์กร รวมถึงสอดคล้องกับกลุยุทธ์และเป้าหมายขององค์กรเอง

2. การเตรียมการด้านการปฏิบัติตามกฎหมาย
   เมื่อกฎหมายบังคับใช้แล้วมีความจำเป็นอย่างยิ่งในการเตรียมการ ไม่ว่าจะเป็น การรองรับการใช้สิทธิจากเจ้าของข้อมูลส่วนบุคคล (DSAR) การจัดการเหตุด้านความมั่นคงปลอดภัยที่เกี่ยวกับข้อมูลส่วนบุคคลที่องค์กรดูแลอยู่ (Privacy breach management) การเตรียมการบันทึกการประมวลผลข้อมูลส่วนบุคคล เป็นต้น

3. การเตรียมการด้านการปกป้องข้อมูลส่วนบุคคล
   ข้อมูลส่วนบุคคลในรูปแบบใดก็ตามไม่ว่าจะ รูปแบบเอกสาร รูปแบบอิเล็กทรอนิกส์ หรือรูปแบบอื่น องค์กรเองมีความจำเป็นจะต้องมีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม โดยพิจารณาผ่านกระบวนการประเมินความเสี่ยงด้านความเป็นส่วนตัว (Data Projection Impact Assessment : DPIA หรือ Privacy Risk) เพื่อมั่นใจได้ข้อมูลส่วนบุคคลที่ดูแลโดยองค์กรอยู่นั้นจะมีความมั่นคงปลอดภัยที่เพียงพอจากการเข้าถึง ประมวลผล เปลี่ยนแปลง หรือแม่กระทั้งการส่งต่อจะต้องถูกดำเนินการจากผู้ที่มีสิทธิในการใช้งานข้อมูลส่วนบุคคลเหล่านั้นเท่านั้น

ที่กล่าวมาข้างต้นนี้เป็นส่วนหนึ่งเท่านั้นที่องค์กรต้องเตรียมการ และเป็นเพียงข้อสรุปเท่านั้น ในการดำเนินการจริงเพื่อให้ปฏิบัติ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น มีการดำเนินการอีกจำนวนมาก รวมไปถึงในหลายองค์กรที่คาดการณ์ว่าจะมีการปฏิบัติงานที่เกิดขึ้นอีกมากหลังจากการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ

เห็นได้จากในหลายองค์กรพิจารณาจัดหาหรือพัฒนาเครื่องมือบริหารจัดการในการดูแลข้อมูลส่วนบุคคลที่องค์กรดูแลอยู่ รวมไปถึงการขอรับรองมาตรฐานด้านการจัดการและการคุ้มครองข้อมูลส่วนบุคคล Privacy Information Management System:PIMS หรือมาตรฐาน ISO/IEC 27701:2019

โดยองค์กรชั้นนำในประเทศนำกรอบการดำเนินการตามาตรฐานนี้มาปรับใช้กับองค์กร รวมไปถึงขอการรับรองมาตรฐาน ปัจจุบันในประเทศไทยนั้นสามารถขอการรับรองในรูปแบบ accredited certification ได้แล้วด้วย นั่นก็แสดงว่ามาตรฐานที่ได้รับความนิยม ถูกพูดถึงในวงกว้างและได้ถูกนำไปปรับใช้กับองค์กรทั่วโลก (ในโอกาสหน้าผู้เขียนจะลงรายละเอียดในส่วนของรูปแบบมาตรฐานแบบaccredited และ non-accredited certification)

โดยผู้เขียนคาดการณ์ว่าในอีกไม่กี่ปีข้างหน้ามาตรฐานนี้จะได้รับความนิยมเป็นอย่างมากในประเทศไทยมาตรฐานฉบับนี้ครอบคลุมเนื้อหาของ GDPR ดังนั้นการดำเนินการตามมาตรฐานนี้จะครอบคลุมกับเนื้อหาที่มีอยู่ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ อาจจะมีบางส่วนที่ตัวมาตรฐานมีเนื้อหาเกินจากกฎหมายของประเทศไทย เช่น Automated decision making ทั้งนี้ก็ขึ้นอยู่กับแต่ละองค์กรจะพิจารณาดำเนินการตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ในรูปแบบใดจะเริ่มจากปฏิบัติตามกฎหมายก่อน หรือจะเริ่มจากการนำกรอบมาตรฐานมาปรับใช้ในองค์กร โดยขึ้นอยู่กับความพร้อมและความชำนาญ ขององค์กร หากองค์กรใดได้รับรองมาตรฐาน ISO/IEC 27001:2013 อยู่แล้ว ก็เป็นเรื่องไม่ยากที่จะต่อยอดไปยังมาตรฐานด้านการดูแลและคุ้มครองข้อมูลส่วนบุคคล ISO/IEC 27701:2019

ทาง Incognito Lab มีทีมที่ปรึกษาที่ประสบการณ์และความชำนาญทั้ง ด้านของมาตรฐาน (standard) ด้านการดูแลความมั่นคงปลอดภัยของข้อมูล (personal data protection) และด้านกฎหมาย (legal) ผ่านการออกแบบ วิเคราะห์ ให้คำปรึกษากับบริษัทชั้นนำในประเทศมาอย่างยาวนาน โดยมาตรฐาน ISO ที่เราให้คำปรึึกษานั้นได้แก่ ISO27001, ISO27701, ISO20000, ISO22301

หากท่านต้องการสอบถามข้อมูลเพิ่มเติมสามารถติดต่อเราได้ที่ [email protected]