Thai (TH) 
English (UK) 
PDPA กับความสัมพันธ์ระหว่างองค์กรและพนักงาน
ความรับผิดชอบของพนักงานตาม PDPA ในการจัดการข้อมูลส่วนบุคคลและความเสี่ยงที่อาจเกิดขึ้น
PDPA (Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่มีบทบาทสำคัญในการปกป้องข้อมูลส่วนบุคคลของบุคคลทั่วไป ซึ่งมีผลกระทบโดยตรงต่อการดำเนินงานขององค์กรและพนักงาน ทุกฝ่ายในองค์กรต้องปฏิบัติตามข้อกำหนดในกฎหมายนี้อย่างเคร่งครัด โดยพนักงานมีบทบาทสำคัญในการช่วยให้องค์กรปฏิบัติตามข้อกำหนดเหล่านี้ในทุกขั้นตอนของ Personal Data Life Cycle (วงจรชีวิตของข้อมูลส่วนบุคคล) ตั้งแต่การเก็บรวบรวมข้อมูลไปจนถึงการลบหรือทำลายข้อมูล
วงจรชีวิตของข้อมูลส่วนบุคคล (Personal Data Life Cycle) และความรับผิดชอบของพนักงาน
1. การเก็บรวบรวมข้อมูล (Collection)
พนักงานต้องมีความรับผิดชอบในการเก็บข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย โดยพนักงานต้องตรวจสอบว่ามีการขอความยินยอมจากเจ้าของข้อมูลอย่างชัดเจนก่อนที่จะดำเนินการเก็บข้อมูล และควรเก็บเฉพาะข้อมูลที่จำเป็นสำหรับการดำเนินงานตามวัตถุประสงค์ที่ได้ระบุไว้ หากเก็บข้อมูลมากเกินไปหรือไม่ได้รับความยินยอมอย่างชัดเจนอาจนำไปสู่การละเมิด PDPA ซึ่งเป็นความเสี่ยงทางกฎหมายที่สำคัญ
2. การใช้ข้อมูล (Usage)
ข้อมูลส่วนบุคคลที่เก็บรวบรวมจะต้องถูกใช้อย่างถูกต้องตามวัตถุประสงค์ที่ได้รับความยินยอมจากเจ้าของข้อมูล พนักงานต้องระมัดระวังในการใช้ข้อมูลเพื่อไม่ให้เกินขอบเขตที่กำหนด และไม่ควรนำข้อมูลไปใช้เพื่อประโยชน์ส่วนตัว การใช้ข้อมูลในทางที่ผิดอาจทำให้องค์กรเสี่ยงต่อการถูกฟ้องร้องและเสียหายทางชื่อเสียง
3. การจัดเก็บรักษาข้อมูล (Storage)
เมื่อข้อมูลถูกเก็บแล้ว พนักงานต้องมีความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลนั้น การจัดเก็บข้อมูลในระบบที่มีการเข้ารหัสและการจำกัดการเข้าถึงถือเป็นมาตรการที่จำเป็น หากพนักงานไม่จัดเก็บข้อมูลอย่างปลอดภัย เช่น การเก็บข้อมูลในอุปกรณ์ที่ไม่มีมาตรการป้องกัน หรือการเก็บในที่ที่ไม่ปลอดภัย อาจเกิดความเสี่ยงที่ข้อมูลจะรั่วไหลและนำไปสู่การละเมิดกฎหมาย
4. การแบ่งปันหรือเปิดเผยข้อมูล (Sharing/Disclosure)
พนักงานต้องตรวจสอบให้แน่ใจว่าการแบ่งปันหรือเปิดเผยข้อมูลส่วนบุคคลกับบุคคลภายนอกเป็นไปตามกฎหมาย โดยต้องมีการขอความยินยอมอย่างชัดเจนจากเจ้าของข้อมูล การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตหรือมากเกินความจำเป็นถือเป็นการละเมิด PDPA ซึ่งอาจนำมาซึ่งความเสี่ยงทางกฎหมายและชื่อเสียงต่อองค์กร
5. การจัดการและอัพเดตข้อมูล (Data Maintenance and Updating)
ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมต้องมีความถูกต้องและเป็นปัจจุบัน พนักงานมีความรับผิดชอบในการอัพเดตและแก้ไขข้อมูลส่วนบุคคลตามคำขอของเจ้าของข้อมูล การไม่อัพเดตข้อมูลอาจทำให้ข้อมูลมีความผิดพลาดและส่งผลต่อการดำเนินงาน ซึ่งอาจทำให้องค์กรเผชิญความเสี่ยงต่อการฟ้องร้อง
6. การลบหรือทำลายข้อมูล (Deletion/Destruction)
ข้อมูลส่วนบุคคลที่หมดอายุการใช้งานต้องถูกลบหรือทำลายอย่างปลอดภัย พนักงานมีความรับผิดชอบในการทำตามนโยบายการลบข้อมูลขององค์กร การไม่ลบข้อมูลตามระยะเวลาที่กำหนดหรือการทำลายข้อมูลอย่างไม่ปลอดภัย อาจทำให้ข้อมูลถูกกู้คืนและนำไปสู่ความเสียหายทั้งทางกฎหมายและชื่อเสียงขององค์กร
ความเสี่ยงที่อาจเกิดขึ้นจากการจัดการข้อมูลส่วนบุคคล
การไม่ปฏิบัติตาม PDPA และวงจรชีวิตของข้อมูลส่วนบุคคลอย่างถูกต้องมีความเสี่ยงหลายด้าน
1.ความเสี่ยงทางกฎหมาย องค์กรอาจถูกฟ้องร้องและต้องชำระค่าปรับที่สูง หากไม่ปฏิบัติตามข้อกำหนดทางกฎหมาย เช่น การเก็บข้อมูลโดยไม่ได้รับความยินยอม การใช้ข้อมูลในทางที่ผิด หรือการไม่ลบข้อมูลตามระยะเวลาที่กำหนด
2.ความเสี่ยงด้านชื่อเสียง การรั่วไหลของข้อมูลส่วนบุคคลอาจนำมาซึ่งความเสียหายต่อชื่อเสียงขององค์กร ทำให้ลูกค้าหรือพนักงานขาดความเชื่อมั่นในองค์กร
3.ความเสี่ยงทางการเงิน องค์กรอาจต้องเสียค่าใช้จ่ายในการฟ้องร้อง การปรับปรุงระบบความปลอดภัย หรือการชดเชยค่าเสียหายให้กับผู้ที่ได้รับผลกระทบจากการละเมิดข้อมูลส่วนบุคคล
4.ความเสี่ยงด้านไซเบอร์ ข้อมูลส่วนบุคคลที่ถูกเก็บในระบบดิจิทัลต้องได้รับการป้องกันจากการโจมตีทางไซเบอร์ การขาดมาตรการรักษาความปลอดภัยเพียงพออาจนำไปสู่การรั่วไหลของข้อมูล
5.การจัดการความเสี่ยงในวงจรชีวิตข้อมูล องค์กรควรมีการจัดการความเสี่ยงที่เกิดจากการจัดการข้อมูลส่วนบุคคลของพนักงานและลูกค้าอย่างมีประสิทธิภาพ โดยการจัดอบรมพนักงานให้เข้าใจถึงวงจรชีวิตของข้อมูลส่วนบุคคลและวิธีปฏิบัติตาม PDPA อย่างถูกต้อง รวมถึงมีมาตรการการรักษาความปลอดภัยข้อมูลที่เข้มงวด
เช่น การควบคุมการเข้าถึงข้อมูล การประเมินผลกระทบการคุ้มครองข้อมูล (Data Protection Impact Assessment - DPIA) และการตรวจสอบการปฏิบัติงานอย่างสม่ำเสมอ
“พนักงานมีบทบาทสำคัญในการจัดการข้อมูลส่วนบุคคลอย่างถูกต้องตามวงจรชีวิตของข้อมูล ทั้งการเก็บรวบรวม การใช้ การจัดเก็บ การเปิดเผย การอัพเดต และการลบข้อมูล หากพนักงานไม่ปฏิบัติตามข้อกำหนด PDPA อาจทำให้องค์กรต้องเผชิญความเสี่ยงทั้งทางกฎหมาย การเงิน และชื่อเสียง”
เรียบเรียงบทความโดย คุณ เอกรัตน์ บุณยรัตนกลิน
ผู้จัดการฝ่ายตรวจสอบเทคโนโลยีสารสนเทศ
บริษัท ตรวจสอบภายในธรรมนิติ จำกัด