ความก้าวหน้าทางเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็วมีทั้งผลดีและผลเสีย อย่างที่ทราบกันว่าปัจจุบันแนวโน้มการละเมิดสิทธิในข้อมูลส่วนบุคคลหรือสิทธิความเป็นส่วนตัวมีเพิ่มมากขึ้น อีกทั้งอาชญากรรมทางไซเบอร์เองก็เพิ่มขึ้นเช่นกัน เป็นเหตุผลให้มีการตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ พ.ร.บ.ข้อมูลส่วนบุคคล ขึ้นมา
พ.ร.บ. ข้อมูลส่วนบุคคลส่งผลอะไรบ้าง ? แน่นอนว่าหลักใหญ่ใจความจะคำนึงถึงความปลอดภัยทางข้อมูลของประชาชน ธุรกิจ ไม่ว่าจะขนาดเล็กหรือใหญ่ แต่เมื่อมีการบังคับใช้ สิ่งที่ตามมาคือปรับตัวอย่างมหาศาล เราจะต้องเตรียมความพร้อมอย่างไรเมื่อพ.ร.บ.ดังกล่าวเข้ามามีบทบาทกับชีวิตบ้าง ? มาดูกัน
(ภาพจาก https://medium.com/@chaloemphon.khs)
เตรียมความพร้อมระดับองค์กร รับ พ.ร.บ.คุ้มครองข้อมูลฯ
การจัดการภายในองค์กร
สร้างความรู้ความเข้าใจที่เกี่ยวข้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในบทบาท สิทธิ หน้าที่ ของผู้เกี่ยวข้องต่าง ๆ ในองค์กรได้ทราบ ได้แก่
- ข้อมูลส่วนบุคคล (Personal Subject): ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล, ที่อยู่, เลขบัตรประชาชน, ข้อมูลสุขภาพ, หมายเลขโทรศัพท์, E-mail, ประวัติอาชญากรรม เป็นต้น โดยเจ้าของข้อมูลส่วนบุคคลเรียกว่า Data Subject
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller): บุคคล/นิติบุคคล ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูล ซึ่งก็คือพนักงานในองค์กรที่มีส่วนเกี่ยวข้องกับข้อมูล เช่น พนักงาน HR พนักงานหน่วยจัดซื้อจัดจ้าง พนักงานขาย เป็นต้น
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor): บุคคล/นิติบุคคลที่มีหน้าที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนาม ผู้ควบคุมข้อมูลส่วนบุคคล เช่น พนักงาน ICT หรือ Outsource ที่ทำหน้าที่ประมวลผลข้อมูลให้ เป็นต้น
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO): อาจจะเป็นพนักงานหรือผู้รับจ้างให้บริการตามสัญญา ทำหน้าที่ให้คำแนะนำ ตรวจสอบการดำเนินงาน ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลและประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล
( ภาพจาก https://icdl.online.th/content/2342/)
การวางแผนระดับนโยบายภายในองค์กร
- การรักษาความมั่นคงปลอดภัยไซเบอร์ องค์กรจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศและเครือข่ายคอมพิวเตอร์ที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยมิชอบ
- การตรวจประเมินมาตรฐานการรักษาข้อมูล มีกระบวนการ ตรวจสอบเพื่อติดตาม การกำกับปฏิบัติงานให้เป็นไปตามข้อกำหนดของทางการกฎหมายที่เกี่ยวข้อง โดยสัญญาหรือข้อตกลงเดิมจะถูกทบทวน แก้ไข เพิ่มเติมในเรื่องการคุ้มครองข้อมูลส่วนบุคคล
- นโยบายความเป็นส่วนตัว(Privacy Policy) แนวปฏิบัติขององค์กรในการเก็บรวบรวม การใช้ และการให้ความคุ้มครองข้อมูลส่วนบุคคลของลูกค้าที่มาใช้บริการเว็บไซต์
- นโยบายคุกกี้ (Cookie Policy) จะบอกถึงความหมาย ประเภท ช่วงเวลา วัตถุประสงค์ของคุกกี้ ให้ผู้ใช้ทราบชัดเจน และขอความยินยอมจากผู้มาใช้บริการเว็บไซต์
( ภาพจาก https://www.prachachat.net/ict/news–338944)
ความพร้อมในการจัดการเรื่องระบบต่าง ๆ สำหรับการบริหารข้อมูลส่วนบุคคล
- การจัดทำเรื่องบันทึกรายการข้อมูลส่วนบุคคล (Data Inventory & Data Flow) ข้อมูลส่วนบุคคลของทั้งองค์กรจะถูกรวบรวม วิเคราะห์จัดทำเป็นข้อมูลบันทึกรายการข้อมูลส่วนบุคคล เห็นเป็นลักษณะของภาพการเชื่อมโยงการจัดเก็บข้อมูลในส่วนงานต่าง ๆ ทั้งองค์กร บริหารจัดการข้อมูลได้อย่างมีประสิทธิภาพ เช่น เพิ่มเติม แก้ไข หรือลบ ทำลาย เป็นต้น
- การจัดทำเรื่องการขอความยินยอม (Consent Management) การขอความยินยอม การใช้ จัดเก็บ และเปิดเผย ข้อมูลส่วนบุคคลสามารถทำได้ทั้งแบบ Manual และแบบ Online โดยการขอความยินยอมนั้นจะต้องมีการบอกวัตถุประสงค์ ระยะเวลาของการนำข้อมูลส่วนบุคคลไปใช้อย่างชัดเจน ขอเท่าที่จำเป็น และองค์กรควรจะมีระบบมาช่วยบริหารจัดการเรื่องนี้
- การจัดการระบบข้อมูลรองรับสิทธิของเจ้าของข้อมูล เจ้าของข้อมูลสามารถแจ้งความต้องการ การจัดการข้อมูลส่วนบุคคลได้ตามสิทธิ เช่น การถอนการให้ความยินยอม ความต้องการเห็นรายงานการจัดเก็บข้อมูลส่วนบุคคลของตนเอง ความต้องการในการลบข้อมูลส่วนบุคคล เป็นต้น และองค์กรควรจะมีระบบมาช่วยบริหารจัดการเรื่องนี้ด้วยเช่นกัน
ทั้งนี้แนวทางปฏิบัติที่ชัดเจนในแต่ละมาตรา หน่ายงานภาครัฐ โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม จะประกาศแจ้งให้แต่ละภาคส่วนที่เกี่ยวข้องทราบต่อไป เพื่อให้ขั้นตอนการดำเนินการต่าง ๆ ของกิจกรรมที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลทั้งภายในและภายนอกองค์กร ทำได้ถูกต้อง รักษาสิทธิของผู้เกี่ยวข้อง ตามบทบาทหน้าที่ความรับผิดชอบต่อไป
จัดทำโดย ฝ่ายกลยุทธ์ดิจิทัล
