พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือที่เรามักได้ยินชื่อย่อกันว่า PDPA นั้นได้ถูกประกาศออกมาตั้งแต่ 27 พฤษภาคม 2562 โดยมีแผนบังคับใช้ในวันที่ 27 พฤษภาคม 2563 แต่เพราะการระบาดของ COVID-19 ทำให้การบังคับใช้เลื่อนมาเป็นวันที่ 1 มิถุนายน 2564 และเลื่อนไปเป็น 1 มิถุนายน 2565 เพื่อให้มีเวลาเตรียมพร้อม ดังนั้น ไปดู 6 แนวทางเบื้องต้นไว้ใช้สำหรับปรับองค์กรเพื่อรับมือกับกฎหมาย PDPA กันว่ามีอะไรบ้าง
กฎหมาย PDPA คืออะไร
กฎหมาย PDPA (Personal Data Protection Act) เรียกได้ว่าถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป โดยมีวัตถุประสงค์ไม่ให้องค์กรนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม เพราะที่ผ่านมามีการล่วงละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น เช่น การครอบครองเบอร์โทรศัพท์โดยการซื้อฐานข้อมูลมาจากที่อื่นและโทรไปหาโดยที่ไม่มีการรับรู้จากเจ้าของเบอร์โทรศัพท์นั้น โดยที่เราไม่รู้ตัว หรือไม่ได้ยินยอมให้องค์กรเก็บข้อมูล เป็นต้น
ซึ่งกฎหมาย PDPA นี้ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ ทั้งนี้ องค์กรใดก็ตาม หากไม่ปฏิบัติตาม PDPA ก็จะมีบทลงโทษ ดังนี้
ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท
6 ข้อแนะนำปรับองค์กรรับ PDPA
แน่นอนว่าการไม่ปฏิบัติตามกฎหมาย PDPA ไม่ใช่แค่ต้องได้รับโทษ แต่ยังทำให้ ความน่าเชื่อถือ ขององค์กรต่อ คู่ค้า และ ลูกค้า นั้นลดลง ซึ่งนั่นแปลว่าอาจถูกคู่แข่งที่มีความพร้อมกว่าชิงความได้เปรียบไป ดังนั้น องค์กรธุรกิจต่าง ๆ จำเป็นอย่างยิ่งที่จะต้องเร่งปรับตัวให้มีกระบวนการจัดเก็บและจัดการกับข้อมูลที่สอดคล้องต่อข้อกฎหมาย สร้างความเชื่อมั่น และดำเนินธุรกิจต่อไปได้อย่างมั่นคง โดยมีแนวทางในการปรับตัวเบื้องต้น 6 ข้อ ด้วยกัน
ผู้บริหารและพนักงานต้องศึกษาข้อมูลอย่างจริงจัง : PDPA ไม่ใช่เรื่องไกลตัวอีกต่อไป เพราะเรื่องของ ข้อมูล เป็นเรื่องที่ผู้บริโภคเองก็ให้ความตื่นตัว ดังนั้น ทั้งผู้บริหารและพนักงานต้องให้ความสำคัญและเร่งทำความเข้าใจต่อตัวบทกฎหมายพร้อมนำมาวิเคราะห์ปรับใช้ในธุรกิจ รวมถึงผลกระทบต่าง ๆ
รู้ทุกซอกมุมเกี่ยวกับข้อมูลทั่วทั้งองค์กร : การจะรักษาของที่อยู่ภายในให้ปลอดภัย ไม่หลุดรั่วไปเป็นของคนอื่น ก็ต้องรู้ก่อนว่ามีอะไรเก็บอยู่ที่ไหนบ้าง ข้อมูลส่วนไหนเกี่ยวข้องกับ PDPA บ้าง ซึ่งปัจจุบันองค์กรต้องบริหารจัดการข้อมูลหลายรูปแบบจากหลากหลายแหล่ง ทั้งข้อมูลแบบที่มีโครงสร้าง (structured) เช่น ระบบฐานข้อมูลต่าง ๆ และแบบไม่มีโครงสร้าง (unstructured) ซึ่งมาในรูปของไฟล์ที่ใช้งานกันทั่วไป ทั้งหมดนี้ทำให้การจัดระเบียบให้เป็นระบบเพื่อวางแผนจัดการต่อไป
ปรับเปลี่ยนกระบวนการในการจัดเก็บ จัดการ และใช้งานข้อมูล : เมื่อธุรกิจต้องทำการวิเคราะห์เชิงลึกถึงกระบวนการต่าง ๆ ของข้อมูลแล้ว ต่อไปก็ต้องจัดการ จัดเก็บ และการใช้งานข้อมูลในส่วนธุรกิจของตนเองให้มีประสิทธิภาพและมีระเบียบยิ่งขึ้น มีการแบ่งประเภทความสำคัญของข้อมูล แบ่งกลุ่มข้อมูลส่วนบุคคลออกจากข้อมูลทั่วไป และเลือกใช้วิธีการในการจัดเก็บหรือจัดการข้อมูลนั้น ๆ อย่างเหมาะสม และอย่าลืมเสริมระบบซิเคียวริตี้
แจ้ง Privacy Policy ให้เจ้าของข้อมูลส่วนบุคคลทราบ : องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย โดยแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ
ประเมินความเสี่ยงและวางแผนรับมือในกรณีข้อมูลรั่วไหล : ประเมินความเสี่ยง เพื่อจะได้เน้นไปที่พื้นที่เสี่ยงมากเสี่ยงน้อย และควรวางแผนล่วงหน้าว่าหากเกิดเหตุการณ์ที่ไม่คาดคิด เช่น เตรียมหลักฐานต่าง ๆ ชัดเจนหากเกิดกรณีที่ข้อมูลรั่วไหล เพื่อบรรเทาความเสียหายและแสดงความรับผิดชอบต่อเจ้าของข้อมูลส่วนบุคคลนั้น ๆ อย่างเหมาะสม
ติดตามข้อกฎหมายอย่างต่อเนื่อง : จากนี้ข้อกฎหมายเกี่ยวกับ PDPA ต้องมีการเปลี่ยนแปลงไปอย่างต่อเนื่อง ทั้งกฎหมายลูกหรือประกาศจากหน่วยงานต่าง ๆ ที่เกี่ยวข้องกับการบังคับใช้ รวมถึงตัวอย่างของการตัดสินคดีความในชั้นศาล ธุรกิจจึงควรติดตามข่าวสารเหล่านี้อย่างต่อเนื่อง เพื่อนำมาปรับใช้กับองค์กรให้ดียิ่งขึ้น
แม้ว่าการบังคับใช้กฎหมาย PDPA จะใกล้เข้ามาแล้ว แต่เชื่อว่าตอนนี้คงจะไม่สายเกินไปที่จะปรับตัวเพื่อรองรับกฎหมาย PDPA เพื่อสร้างความมั่นใจให้กับคู่ค้าและลูกค้า รวมถึงเพื่อไม่ให้องค์กรต้องทำผิดกฎหมายโดยไม่รู้ตัวอีกด้วย