28 มีนาคม 2562
โดย วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC ประเทศไทย
เมื่อวันที่ 28 กุมภาพันธ์ที่ผ่านมา ที่ประชุมสภานิติบัญญัติแห่งชาติ หรือ สนช. มีมติเป็นเอกฉันท์ ให้ความเห็นชอบร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (ฉบับล่าสุด) ไปเป็นที่เรียบร้อยแล้ว โดยร่างพรบ. ฉบับดังกล่าว เมื่อประกาศใช้ในราชกิจจานุเบกษาแล้วให้มีผลบังคับใช้ทันที ยกเว้นเนื้อหาสำคัญที่ว่าด้วยการรวบรวม ใช้ เปิดเผย สิทธิการเข้าถึง การร้องเรียน การรับผิดทางแพ่ง และบทกำหนดโทษที่ให้เวลาหน่วยงานที่เกี่ยวข้องได้เตรียมความพร้อม จึงจะทำให้มีผลหลังจากวันประกาศใช้ร่างกฎหมายแล้ว 1 ปี[1] แต่ก็ถือว่าเป็นระยะเวลาที่ไม่มากนัก เมื่อเปรียบเทียบกับสิ่งที่องค์กรต้องเตรียมตัว
สำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้น เป็นผลมาจากการเปลี่ยนผ่านเข้าสู่ดิจิทัล ซึ่งส่งผลให้มีการล่วงละเมิดสิทธิในข้อมูลส่วนบุคคลเพิ่มมากขึ้น จึงทำให้ภาครัฐต้องมีการคุ้มครองความเป็นส่วนตัวของประชากรในประเทศ ซึ่งถือเป็นส่วนหนึ่งของการรักษาความปลอดภัยของข้อมูล (Data Security) ครอบคลุมข้อมูลส่วนบุคคลประเภทต่างๆ ตั้งแต่ ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ ไปจนถึงอีเมล์ หมายเลขบัตรประจำตัวประชาชน และ อื่นๆ นอกจากนี้ กฎหมายยังคุ้มครองไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม และ ข้อมูลชีวภาพ โดยวันนี้ดิฉันขอหยิบยกสาระสำคัญและแนวทางในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยฉบับนี้ ซึ่งมีการปรับเปลี่ยนไปจากร่างพรบ. คุ้มครองข้อมูลสวนบุคคล (ฉบับเก่า) เล็กน้อย ดังนี้ค่ะ
นอกจากนี้ กฎหมายยังระบุถึงหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคลไว้ชัดเจน โดยหากพูดให้เข้าใจง่ายก็คือ ผู้ควบคุมข้อมูล คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดย มีหน้าที่ในการขอความยินยอม บันทึกและป้องกันไม่ให้มีการละเมิดข้อมูลส่วนบุคคลโดยมิชอบ และต้องมีมาตรการในการเก็บรักษาข้อมูลที่เหมาะสม เป็นต้น
ส่วนผู้ประมวลผลข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคล ที่ทำหน้าที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมทั้งจัดทำบันทึก ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุุคล ยิ่งไปกว่านั้น กฎหมายยังกล่าวถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Privacy Officer) ที่องค์กรจะต้องแต่งตั้งขึ้นมา หากเข้ากรณีดังต่อไปนี้ 1) เป็นหน่วยงานรัฐ 2) เป็นหน่วยงานที่มีข้อมูลส่วนบุคคลจำนวนมาก หรือ 3) มีการใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
สิ่งที่ดิฉันกล่าวมาข้างต้นเป็นเพียงสาระสำคัญเบื้องต้นของร่างพรบ. ฉบับล่าสุดที่องค์กรและบุคคลทั่วไปต้องไปศึกษาอย่างละเอียด โดยในส่วนของผู้บริหารและผู้ประกอบการ จะเห็นว่า ร่างพรบ. ฉบับนี้ที่กำลังจะถูกบังคับใช้เป็นกฎหมายต่อไป จะส่งผลกระทบต่อทุกส่วนงานขององค์กรที่มีการนำข้อมูลส่วนบุคคลไปใช้ ไม่ว่าจะเป็น ฝ่ายทรัพยากรบุคคล ที่มีการเก็บรักษาข้อมูลของพนักงาน ทั้งข้อมูลการสมัครงาน ข้อมูลด้านสุขภาพ และสัญญาจ้างงาน ก็ต้องได้รับความยินยอม และมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลไว้ชัดเจนด้วยเช่นกัน
นอกจากนี้ ฝ่ายการตลาด ประชาสัมพันธ์และสื่อสารองค์กร ที่เก็บรักษาข้อมูลของลูกค้า หรือมีการส่งจดหมายข่าวสาร หรือกิจกรรมทางการตลาดไปให้ลูกค้า ต่อไปหากลูกค้าไม่ต้องการ หรือต้องการให้ลบข้อมูลของตน ก็ต้องปฏิบัติตาม ยิ่งไปกว่านี้ หน่วยงานส่วนอื่นๆ ภายในองค์กร ไม่ว่าจะเป็น ฝ่ายรักษาความปลอดภัยของข้อมูล ฝ่ายกฎหมาย ฝ่ายไอที หรือ ฝ่ายตรวจสอบภายใน ฯลฯ ก็มีบทบาทสำคัญในการขับเคลื่อนให้องค์กรสามารถปฏิบัติตามข้อกฎหมายได้อย่างถูกต้องและครบถ้วนด้วยเช่นกัน
อ่านมาถึงตรงนี้แล้ว คงจะพอเห็นภาพแล้วนะคะว่า ผลที่จะเกิดขึ้นตามมาภายหลังจากที่กฎหมายถูกบังคับใช้เป็นอย่างไร ดิฉันพูดได้เลยว่า เมื่อกฎหมายฉบับนี้ถูกบังคับใช้ ไม่มีธุรกิจใดที่จะไม่ได้รับผลกระทบ เพราะทุกองค์กรล้วนมีข้อมูลส่วนบุคคลของพนักงานและลูกค้าที่ท่านเก็บรักษาอยู่ ซึ่งในส่วนข้อมูลของลูกค้านั้น ยิ่งบริษัททำการขยายช่องทางออนไลน์ในการสื่อสารกับลูกค้าไม่ว่าจะในรูปแบบเว็บไซต์ หรือ แอปพลิเคชันมากขึ้นเท่าไหร่ ยิ่งทำให้บริษัทอาจต้องเผชิญกับความเสี่ยงในการเก็บข้อมูลของลูกค้ามาโดยที่รู้ตัว หรือไม่รู้ตัวอีกด้วย
แม้ว่าความซับซ้อนในการเตรียมพร้อมไปสู่การปฏิบัติตามกฎหมายใหม่นี้จะมีอยู่มาก แต่สิ่งที่ผู้บริหารและเจ้าของข้อมูลสามารถทำได้เลยนับตั้งแต่วันนี้คือ ทำความความเข้าใจในข้อกฎหมาย รวมถึงสิทธิและหน้าที่ของเราในฐานะต่างๆ ไม่ว่าจะเป็นเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคลในส่วนขององค์กร ต้องมีการทำงานร่วมกันจากทุกฝ่าย รวมถึงมีการสื่อสารให้ลูกค้าและพนักงานได้รับทราบถึงผลกระทบที่อาจจะเกิดขึ้นด้วย ซึ่งแนวทางปฏิบัติตามกฎหมายจะมีประสิทธิภาพหรือไม่นั้น ความเข้าใจอย่างเดียวอาจไม่เพียงพอ ดังนั้น การมีที่ปรึกษาเข้าไปช่วยประเมินผลกระทบ วางกลยุทธ์ในการเตรียมความพร้อม และนำเทคโนโลยีเข้าไปช่วยในการบริหารจัดการข้อมูลอย่างมีประสิทธิภาพ น่าจะช่วยให้องค์กรสามารถรับมือกับข้อกฎหมายฉบับนี้ได้อย่างสัมฤทธิ์ผลมากยิ่งขึ้น
[1] สนช.เสียงเอกฉันท์ ผ่านร่างกม. คุ้มครองข้อมูลส่วนบุคคล, กรุงเทพธุรกิจ
Marketing and Communications
Bangkok, PwC Thailand
Tel: +66 (0) 2844 1000, Ext. 4713-15, 18, 22-24, 26, 28 and 29