Data Protection and Privacy Blog

อย่าชะล่าใจ… กฎหมายคุ้มครองข้อมูลส่วนบุคคลเขย่าโลกธุรกิจ

29  มกราคม 2562
โดย วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC ประเทศไทย

ตัวตนบนโลกออนไลน์ที่เราทิ้งไว้ไม่ว่าจะเป็น ชื่อ-นามสกุล ภาพถ่าย ที่อยู่ เบอร์โทรศัพท์ หรือแม้แต่ข้อมูลส่วนบุคคลอื่นๆ กลายเป็นสิ่งที่มีค่าสำหรับธุรกิจมากขึ้นเรื่อยๆ เพราะบริษัทเหล่านี้ สามารถนำข้อมูลส่วนตัวของเราไปใช้ประโยชน์ในทางการค้าโดยนำไปประมวลผล และวิเคราะห์เพื่อทำการตลาด โฆษณา หรือแม้กระทั่งขายข้อมูลของเราให้แก่ผู้ที่ต้องการ โดยที่เจ้าของข้อมูลอย่างเราๆ อาจไม่เคยทราบเลย นี่จึงเป็นที่มาของกฎหมายเกี่ยวกับการคุ้มครองสิทธิและข้อมูลส่วนบุคคล เช่น กฎหมายไซเบอร์ซิเคียวริตี้ของสาธารณรัฐประชาชนจีน กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหพันธรัฐรัสเซีย และที่กำลังเป็นที่กล่าวถึงอยู่ในเวลานี้คือ กฎหมายคุ้มครองสิทธิและข้อมูลส่วนบุคคล หรือ “จีดีพีอาร์” ของสหภาพยุโรป หรือ “อียู”  (The European Union’s General Data Protection Regulation: GDPR)  ที่เพิ่งมีผลบังคับใช้ไปเมื่อวันที่ 25 พฤษภาคม 2561 ที่ผ่านมา

ล่าสุดประเทศไทยเองได้เดินหน้าผลักดันร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จนกระทั่งล่าสุดเข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) ไปเมื่อช่วงปลายปีที่ผ่านมา โดยแนวทางปฏิบัติของร่างพ.ร.บ. ฉบับนี้ มีหลายส่วนที่คล้ายคลึงกับกฎหมายจีดีพีอาร์ แต่อาจจะมีความแตกต่างกันบ้างในรายละเอียดของข้อกฎหมาย เช่น ข้อกำหนดเวลาการบังคับใช้ บทลงโทษ หรือข้อยกเว้นต่างๆ

โดยสาระสำคัญของกฎหมายฉบับนี้ที่ดิฉันอยากหยิบยกมาเล่าสู่กันฟัง ได้แก่

• การขอความยินยอม การเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับการยินยอมจากเจ้าของข้อมูล โดยต้องมีการยอมรับเป็นลายลักษณ์อักษร หรือ ผ่านทางระบบอิเล็กทรอนิกส์ และเจ้าของต้องมีสิทธิเพิกถอนการยินยอมเมื่อไหร่ก็ได้
• วัตถุประสงค์ในการใช้ข้อมูล ต้องแจ้งเจ้าของข้อมูลถึงวัตถุประสงค์ในการเก็บ ใช้  หรือ เปิดเผย และต้องไม่ใช้ข้อมูลนอกเหนือจากวัตถุประสงค์ที่แจ้ง รวมถึงต้องมีมาตรการความปลอดภัยในการเก็บรักษาข้อมูลนั้นๆ เพื่อป้องกันไม่ให้เกิดการรั่วไหลของข้อมูล
• การรักษาความปลอดภัยของข้อมูล ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลที่ถูกเก็บรักษาในประเทศ หรือกรณีการโอนย้ายข้อมูลไปนอกประเทศ ประเทศปลายทางต้องมีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่เพียงพอ และจะต้องมีการจัดทำรายงานวัดผลการป้องกันข้อมูลตามกฎหมายด้วย
• เจ้าของข้อมูลมีสิทธิในการเข้าถึงข้อมูลของตนเอง โดยเจ้าของมีสิทธิในการเข้าถึง แก้ไข บันทึก ลบ และควบคุมข้อมูลของตนเองที่องค์กรต่างๆ จะนำไปใช้งาน
• บทลงโทษมีทั้งโทษอาญา ทางแพ่ง และทางปกครอง หากมีการฝ่าฝืนมีโทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปี และโทษปรับทางปกครองตั้งแต่ 5 แสนบาทถึง 5 ล้านบาท

ท่านผู้อ่านคงเห็นแล้วว่า การคุ้มครองข้อมูลส่วนบุคคล กลายเป็นแนวโน้มที่ทุกประเทศทั่วโลกให้ความสำคัญและเป็นเรื่องยากที่ผู้ประกอบการจะหลีกเลี่ยงไม่ดำเนินการตามไม่ว่าจะเป็นธุรกิจขนาดเล็ก กลาง หรือใหญ่ และไม่ว่าจะอยู่ในกลุ่มอุตสาหกรรมไหน โดยเฉพาะอย่างยิ่ง ธุรกิจอีคอมเมิร์ซที่มีเครือข่าย หรือทำการตลาดภายนอกประเทศ ยิ่งต้องศึกษาทำความเข้าใจกฎหมายนี้ให้รอบด้านทั้งการคุ้มครองข้อมูล ความปลอดภัยของข้อมูล และ การเปิดเผยข้อมูล โดยล่าสุด PwC ได้จัดทำ Global State of Information Security® Survey 2018 ซึ่งระบุว่า ความท้าทายของการต้องปฏิบัติตามกฎระเบียบข้อบังคับและจริยธรรมทางด้านดิจิทัลที่สำคัญที่สุด 3 อันดับแรก ได้แก่ การต้องตระหนักรู้ถึงการพัฒนาของกฎระเบียบข้อบังคับใหม่ๆ อยู่ตลอดเวลา  (41%) ตามมาด้วยการต้องปฏิบัติตามกฎระเบียบข้อบังคับที่มีอยู่ในปัจจุบันให้ได้ (37%) และสุดท้าย การต้องเตรียมความพร้อมสำหรับกฎระเบียบข้อบังคับที่จะเกิดขึ้นในอนาคต (34%)

เช่นเดียวกับธุรกิจไทย ที่วันนี้ไม่สามารถนิ่งนอนใจได้อีกต่อไป แม้ว่าร่างพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของไทยจะยังไม่มีผลบังคับใช้ แต่ผู้ประกอบการที่กำลังหรือต้องการขยายตลาด ควบรวมกิจการ หรือประกอบธุรกิจในประเทศที่มีกฎหมายจีดีพีอาร์ดังที่กล่าวมา ต้องปฏิบัติตามกฎข้อบังคับนี้อย่างเคร่งครัด ซึ่งวันนี้ดิฉันมีคำแนะนำสำหรับการเตรียมตัวเบื้องต้น ดังนี้

• ศึกษากฎหมายและประเมินผลกระทบต่อธุรกิจ องค์กรต้องทำการสำรวจตัวเองว่า มีการเก็บข้อมูลอะไรจากลูกค้าหรือผู้ใช้งานบ้างหรือไม่อย่างไร และนำข้อมูลเหล่านั้นไปใช้เพื่อวัตถุประสงค์อะไรบ้าง มีการส่งต่อ หรือเปิดเผยข้อมูลที่มีให้กับองค์กรอื่นหรือบุคคลที่สามหรือไม่ และอย่าลืมที่จะประเมินธุรกิจของตนเองด้วยว่า ได้รับผลกระทบด้านใดจากข้อกฎหมายบ้าง
• การขอความยินยอมจากเจ้าของข้อมูล องค์กรต้องมีกระบวนการในการแจ้งวัตถุประสงค์ที่ชัดเจนในการเก็บข้อมูล และขอความยินยอม (Consent) จากเจ้าของข้อมูลนั้นๆ ก่อนที่จะนำข้อมูลเหล่านั้นมาจัดเก็บในฐานข้อมูลของตน นอกจากนี้ ยังต้องมีมาตรการรักษาความปลอดภัยและนโยบายป้องกันข้อมูลส่วนตัวของลูกค้าที่มีประสิทธิภาพ โดยอาจปรึกษาหรือจ้างทีมผู้เชี่ยวชาญให้เข้ามาช่วยดูว่า ได้มีการฝ่าฝืนกฎและข้อบังคับใดไปบ้างหรือเปล่า รวมถึงช่วยจัดทำระบบรักษาความปลอดภัยทางไซเบอร์ หรือจัดทำแผนในการรับมือหากมีการรั่วไหลของข้อมูล

สิ่งที่ดิฉันกล่าวมา เป็นเพียง Checklist เบื้องต้นสำหรับภาคธุรกิจเท่านั้น ส่วนกระบวนการดำเนินงานนั้น อาจมีความซับซ้อนและแตกต่างกันไปตามประเภทของธุรกิจ ตลาด และฐานข้อมูล ซึ่งการมีทีมงานที่มีความเชี่ยวชาญทั้งในด้านกฎหมาย และด้านเทคโนโลยี จะเป็นอีกแนวทางหนึ่งที่จะช่วยให้ผู้ประกอบการจัดการกับความท้าทายในเรื่องนี้ได้อย่างรวดเร็วและมีประสิทธิภาพ ก่อนจากกันไป ดิฉันอยากย้ำให้ธุรกิจไทยเตรียมตัวและตื่นตัวกับร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฉบับนี้ตั้งแต่วันนี้ เพราะนี่ไม่ใช่เรื่องไกลตัวอีกต่อไปแล้ว ยิ่งท่านมีการจัดการความเสี่ยงด้านข้อมูลดีเท่าไหร่ ย่อมส่งผลดีต่อธุรกิจทั้งในด้านชื่อเสียงและภาพลักษณ์ ความปลอดภัย รวมทั้งยังได้รับความไว้วางใจทางด้านดิจิทัล (Digital trust) จากผู้บริโภคไปครองด้วย

                                                                                                                                                                            //จบ//