5 Tips การรับมือสำหรับธุรกิจ เมื่อ กม.คุ้มครองข้อมูลส่วนบุคคลบังคับใช้

Data Protection

Data Protection ไม่ได้เป็นแค่วาระแห่งชาติ แต่มันคือวาระของโลกไปแล้ว สำหรับประเทศไทยเองเว็บไซต์ราชกิจจานุเบกษาได้ เผยแพร่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ Thailand’s Personal Data Protection Act B.E. 2562 (2019) (PDPA) โดยมีผลบังคับใช้ตั้งแต่วันที่ 28 พ.ค. 62 โดยให้หน่วยงานรัฐและเอกชนทั้งหมดที่เข้าข่ายเป็นทั้งผู้ควบคุมข้อมูลส่วนบุคคล (Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Processor) ของเจ้าของข้อมูลส่วนบุคคล (Data Subject) มีเวลาเตรียมตัว 1 ปี นับตั้งแต่ประกาศลงราชกิจจานุเบกษา ซึ่งทำให้การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูล รวมถึงเจ้าของข้อมูลส่วนบุคคล (Data Subject) มีสิทธิลบหรือให้ทำลายได้เมื่อการเก็บ การใช้ และการเปิดเผย ไม่ชอบด้วยกฎหมายหรือมีการถอนความยินยอม

อย่างไรก็ตามกฎหมายของไทยนั้น มีต้นแบบมาจากกฎหมายการคุ้มครอง ‘สิทธิของข้อมูลส่วนบุคคล’ หรือ General Data Protection Regulation (GDPR) ของสหภาพยุโรป (EU) ซึ่งนับเป็นกฎหมายการคุ้มครองข้อมูลส่วนบุคคลฉบับแรกของโลกที่ครอบคลุมและทันสมัย รวมถึงบทลงโทษค่าปรับที่หนักหน่วงรุนแรงที่สุด

กฎหมายฉบับนี้จึงจำเป็นอย่างมากสำหรับองค์กรทุกองค์กรทั้งรัฐและเอกชน เพราะเป็นกฎหมายที่เขียนขึ้นมาเพื่อช่วยปกป้องข้อมูลทางดิจิทัลของพลเมือง เป็นเครื่องมือยืนยันว่าธุรกิจและรัฐจะใช้ข้อมูลประชาชนอย่างโปร่งใส ปลอดภัย เนื่องจากเกิดเหตุการณ์ละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลขึ้นทั่วโลก สร้างความเสียหายต่อทั้งองค์กรและเจ้าของข้อมูล กฎหมายเกี่ยวกับ ‘Data Protection’ จึงเป็นกลไกที่จะเข้ามากำกับดูแลโดยเฉพาะ ซึ่งไม่ได้ครอบคลุมแค่การนำข้อมูลไปใช้ในแง่การตลาดเท่านั้น แต่ยังรวมถึงข้อมูลรั่วไหลจากการถูกโจมตีและล้วงข้อมูลอีกด้วย

ในฐานะองค์กรแล้ว ถ้าเราอยากรู้ว่าเข้าข่ายที่ต้องทำตามกฎหมายฉบับนี้หรือไม่นั้น วันนี้เรามี 5 Tips ที่จะสามารถให้คุณปฏิบัติตามกฎหมาย PDPA ของไทยได้

Tip 1 รู้ว่าข้อมูลอยู่ที่ไหนบ้าง อะไรที่เข้าข่าย

หากยังนึกไม่ออกละก็ ลองทำเช็กลิสต์ดู อาทิ ข้อมูลพื้นฐานอย่างข้อมูลคนในตะกร้าสมัครงาน ข้อมูลของพนักงานในบริษัทเรา ฐานข้อมูลลูกค้า หรือแม้แต่รายชื่อผู้รับจดหมายจากบริษัท เมื่อคุณทราบแล้วว่าบริษัทคุณมีข้อมูลอะไรและอยู่ที่ไหนบ้างจากนั้นมันก็จะง่าย เพื่อปกป้องข้อมูลเหล่านั้นตามกฎหมาย

Tip 2 ลดข้อมูลที่คุณจัดการ

หลังจากคุณได้ภาพที่ชัดเจนจากการรวบรวบข้อมูลว่า คุณมีข้อมูลอะไรอยู่ในมือบ้าง และมันอยู่ที่ไหนแล้ว ทำไมคุณจึงไม่ควรคิดละว่าข้อมูลเหล่านั้นมันจำเป็นต้องรวบรวมหรือไม่? หนึ่งในหลักการสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลก็คือมาตรา 22 การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล กล่าวโดยย่อหากคุณไม่จำเป็นต้องรวบรวมข้อมูลส่วนบุคคลเฉพาะ อย่ารวบรวมและเก็บรักษาไว้ ตัวอย่างเช่น จุดประสงค์แค่ต้องการทำ Email Marketing บางทีที่อยู่หรือหมายเลขโทรศัพท์ อาจไม่จำเป็นสำหรับการส่งจดหมายข่าวทางอีเมลนั่นเอง

Tip 3 ต้องได้รับความยินยอม

หนึ่งในสิ่งสำคัญเกี่ยวกับกฎหมายการป้องกันข้อมูลส่วนบุคคลก็คือ คุณจะต้องได้รับอนุญาตเท่านั้นก่อนดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล ตามมาตรา 23 ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียดที่จะนำไปใช้ และในมาตรา 25 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หมายความว่าจะต้องได้รับอนุญาตจากเจ้าของข้อมูลเท่านั้นถึงนำไปใช้ได้ โดยต้องแจ้งวัตถุประสงค์ถึงรายละเอียดที่จะนำไปใช้ด้วย

Tip 4 ชี้แจงและเขียนนโยบายที่อ่านง่าย

ภายใต้กฎหมายใหม่ คุณไม่มีสิทธิ์ใช้ภาษากฎหมายที่ตีความยากๆ กับประชาชนได้ เมื่อคุณเขียนนโยบายเพื่อชี้แจงและขออนุญาตเกี่ยวกับการใช้ข้อมูลส่วนบุคคล คุณจะต้องเขียนให้เป็นภาษาที่ง่าย ตามมาตรา 19 ที่ระบุชัดเจนว่า ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว

Tip 5 ต้องเตรียมพร้อมว่าคุณมีทักษะพอในการป้องกันข้อมูลส่วนบุคคล

แม้ว่าคุณจะทำงานในองค์กรขนาดเล็ก แต่การที่คุณต้องวางระบบรักษาความปลอดภัยของข้อมูลที่เพียงพอ และจะต้องมีการจัดทำรายงานวัดผลการป้องกันข้อมูลตามกฎหมายด้วย

ใบรับรองคุณวุฒิ Data Protection Certificate

รู้จักเรามากขึ้น

ใบรับรองคุณวุฒิ Data Protection Certificate โดย ICDL Thailand by DBC จากมูลนิธิ ECDL Foundation คือ โมดูลรับรองทักษะการปกป้องข้อมูลส่วนบุคคลที่ภาคธุรกิจต้องมี ตามข้อกำหนดความรู้ที่จำเป็นเกี่ยวกับแนวคิดและหลักการปกป้องข้อมูล ในเป็นไปตามนโยบายและมาตรการป้องกันข้อมูล โดยเฉพาะเพื่อตอบสนองความต้องการของคนทำงานในองค์กรขนาดเล็กและขนาดใหญ่ที่ต้องจัดการกับข้อมูลส่วนบุคคล ช่วยให้องค์กรมั่นใจได้ว่าพนักงงานมีทักษะที่เหมาะสมเข้าใจถึงสิทธิ์ของตนเองเกี่ยวกับข้อมูลส่วนบุคคล

ในหลายสิบปีที่ผ่านมาเราเก็บข้อมูลลูกค้าหรือรายชื่อผู้รับจดหมายมามหาศาล โดยไม่ได้ใส่ใจกับเรื่องความรับผิดชอบต่อข้อมูลของลูกค้าตามกฎหมายในฐานะ ‘data controller’ และ ‘data processor’ โดยในเฉพาะในองค์กรขนาดเล็กที่ความเชี่ยวชาญในการปกป้องข้อมูลมีน้อยมาก
มูลนิธิ ECDL จึงได้พัฒนาทักษะโมดูลใหม่เกี่ยวกับการปกป้องข้อมูลครอบคลุมทักษะที่สำคัญรวมถึงหลักการของการปกป้องข้อมูลส่วนบุคคลและการปฏิบัติตามการปกป้องข้อมูล ภาพรวมของ GDPR ซึ่งเป็นกฎหมายต้น แบบพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ดีที่สุดฉบับหนึ่งของโลก และประเทศไทยก็นำมาใช้เป็นต้นแบบในการทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
ถึงเวลาแล้วที่จะต้องย้อนกลับไปและถามว่าคุณพร้อมหรือยัง

X