ข่าวสาร

| วันพุธ, 07 กรกฎาคม 2564 |
Written by 

1 ปี กับ PDPA

สวัสดีทุกท่านอีกครั้งนะครับ หลังจากหายหน้าหายตาไปหลายเดือนเลย วันนี้เราก็มีบทความเกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาให้ทุกท่านได้ลองพิจารณา และลองคิดตามเล่น ๆ ดูนะครับว่า หลังจากนี้อีก 1 ปี เรา (บริษัท) ต้องมีการเตรียมความพร้อม หรือปฏิบัติอย่างไรก่อนที่จะมีการประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลนี้อย่างเป็นทางการในวันที่ 1 มิถุนายน 2565

 

ในช่วงก่อนที่จะมีการประกาศเลื่อนการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลไปเป็นปี 2565 ผมได้มีโอกาสได้แวะเข้าไปชมเว็บไซต์ของแต่ละบริษัท ก็เห็นได้ว่าเริ่มมีการปรับปรุงให้มีเนื้อหาเกี่ยวกับการประกาศใช้นโยบายคุ้มครองข้อมูลส่วนบุคคล และนโยบายคุกกี้ (Cookies) การแสดงข้อมูลการแจ้งเตือนการเก็บข้อมูลการเข้าชมเว็บไซต์ และรวมถึงการเพิ่มเติมข้อความเกี่ยวกับการขอความยินยอมใช้ข้อมูลส่วนบุคคลแล้วด้วย ซึ่งก็เป็นสิ่งที่ดีครับ สำหรับการตอบรับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ถึงแม้ว่าจะถูกเลื่อนไปเป็นปี 2565 ก็ตาม

 

แต่ทว่าผมเองก็ยังมีคำถามหนึ่งผุดขึ้นมาในหัวเช่นกันครับว่า “แล้วบริษัทที่กำลังอยู่ระหว่างการดำเนินการจัดทำ หรือยังไม่ได้เริ่มดำเนินการเลยล่ะ จะทำต้องอะไรบ้าง อย่างไร จะทำทันกันหรือไม่ และบริษัทที่ดำเนินการไปเรียบร้อยแล้วจะต้องมีการปฏิบัติอะไรเพิ่มเติมบ้าง” เพราะอย่าลืมนะครับว่าการปฏิบัติตามกฎหมายดังกล่าว จะต้องมีการปฏิบัติอย่างต่อเนื่องให้เป็น Routine Work รวมถึงต้องให้ความเชื่อมั่นกับผู้ใช้บริการของเราเองได้ว่า ข้อมูลของเขาเองจะไม่หลุด หรือรั่วไหลออกสู่สาธารณะ หรือถูกโจรกรรมข้อมูลจากผู้ไม่หวังดี ซึ่งในยุคปัจจุบันที่ระบบเทคโนโลยีสารสนเทศมีความก้าวหน้าอย่างรวดเร็ว โอกาสที่ข้อมูลจะรั่วไหล หรือหลุดก็มีความเป็นไปได้สูงเช่นกัน

 

วันนี้ผมจึงขออนุญาตยกกรณีศึกษา 3 ตัวอย่างมาให้ทุกท่านลองพิจารณาดูครับ ว่าแต่ละกรณีศึกษามีส่วนที่เกี่ยวข้องกับบริษัทของท่านหรือไม่ หากมีจะต้องทำอย่างไรบ้าง

 

กรณีที่ 1 บริษัทของท่านมีการดำเนินการเตรียมความพร้อมฯ PDPA ไปเรียบร้อยแล้ว

สำหรับกรณีนี้ ผมแทบจะไม่ห่วงเลย เพราะว่าบริษัทของท่านเองได้ให้ความสำคัญในการเตรียมความพร้อมสำหรับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฉบับนี้เป็นอย่างมาก

 

แต่ก็อย่าลืมนะครับว่าการปฏิบัติดังกล่าว ถือว่าเป็นเรื่องใหม่มากๆสำหรับพนักงานหรือผู้ที่เกี่ยวข้องในองค์กรของท่าน เพราะเหตุละเมิดข้อมูลส่วนบุคคลส่วนใหญ่แล้ว ผมมองว่าอาจจะเกิดขึ้นจากการปฏิบัติงานของพนักงานภายในบริษัท ดังนั้นจึงต้องมีการกำกับดูแล และติดตามอย่างใกล้ชิด รวมถึงการติดตามข่าวสารที่เกี่ยวข้องกับแนวปฏิบัติฯ ของหน่วยงานที่เกี่ยวข้อง หรือกฎหมายลูกฉบับใหม่ ที่อาจจะมีการประกาศออกมาหลังจากนี้ และหนึ่งในกระบวนการกำกับติดตามที่ผมอยากจะแนะนำ ก็คือ การใช้หลักวงจรการควบคุมคุณภาพ (PDCA Cycle) สำหรับกระบวนการกำกับดูแล และติดตามการปฏิบัติงานเกี่ยวกับการจัดการข้อมูลส่วนบุคคลของบริษัท การประเมินความเสี่ยงระบบงาน หรือการปฏิบัติงานที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล และการอบรมสร้างความตระหนักให้กับพนักงานภายในบริษัทอย่างสม่ำเสมอ เพื่อให้เกิดความต่อเนื่องในการดำเนินงาน และให้กลายเป็น Routine Work ของพนักงานและผู้ที่เกี่ยวข้องนั่นเอง

 

กรณีที่ 2 บริษัทของท่านกำลังอยู่ระหว่างการเตรียมความพร้อมฯ PDPA

การเลื่อนการบังคับใช้ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ออกไปเป็นปี 2565 ถือว่าเป็นเรื่องดีสำหรับบริษัทที่อยู่ระหว่างการเตรียมความพร้อมฯ เพราะว่าอย่างน้อย ก็มีได้เวลาหายใจหายคอเพิ่ม ไม่ต้องเร่งรีบมากจนเกินไป พูดง่ายๆ ก็คือ “ยังสามารถลองผิดลองถูก มีเวลาคิดแนวปฏิบัติ หรือปรับปรุงแก้ไขจุดบกพร่องจนกว่าจะนิ่ง” ได้นั่นเอง ถึงผมจะพูดแบบนั่นก็ใช่ว่า “เมื่อแนวปฏิบัติฯ ของบริษัทนิ่ง เราจะไม่ต้องทำอะไรต่อแล้ว” เพราะท้ายที่สุดการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล จะกลายเป็นส่วนหนึ่งในการปฏิบัติงานปกติของบริษัทท่านนั่นเอง

 

สำหรับเรื่องที่ผมอยากจะแนะนำสำหรับกรณีนี้ เป็นในเรื่องของการกำหนดกระบวนการในการกำกับดูแล และติดตามการปฏิบัติงานที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคลของบริษัทให้เกิดความต่อเนื่องอย่างสม่ำเสมอ และในระหว่างนี้หากมีแนวปฏิบัติที่เกี่ยวข้อง หรือมีกฎหมายลูกออกมาเพิ่มเติมก็อาจจะมีการนำมาปรับประยุกต์ลงในแนวปฏิบัติงานที่กำลังจัดทำอยู่ก็ย่อมได้ ซึ่งเป็นข้อได้เปรียบของบริษัทที่กำลังเตรียมความพร้อมฯอยู่

 

กรณีที่ 3 บริษัทของท่านยังไม่ได้เริ่มจัดทำเลย และไม่รู้ว่าจะเริ่มต้นยังไงดี

สำหรับกรณีนี้ผมอยากจะขอแนะนำให้ท่านได้ลองศึกษาจากแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Thailand Data Protection Guidelines 3.0 Extension) ของทางคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ซึ่งทางคณะฯ ได้รับการสนับสนุนหลากหลายหน่วยงานชั้นนำของประเทศไทย ไม่ว่าจะเป็น ACIS, AP Thai, CHANDLER MHM, R&T Asia (Thailand), TILLEKE & GIBBINS และสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) ซึ่งแนวปฏิบัติฯ ดังกล่าวจะมีเนื้อหาที่ครอบคลุมการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และมีตัวอย่างแบบฟอร์มต่าง ๆ ซึ่งท่านสามารถนำมาประยุกต์ใช้กับบริษัทได้อย่างสบายเลยครับ เพราะทางคณะฯ เองได้มีการอนุญาตให้ผู้ที่สนใจสามารถไปดาวน์โหลด และนำไปประยุกต์ใช้ได้แบบฟรีๆได้เลย

 

หลังจากที่ท่านได้ทำการศึกษาจากแนวปฏิบัติฯ ดังกล่าวแล้วจะเห็นได้ว่ามีรายละเอียดที่ต้องปฏิบัติเยอะมาก ไม่รู้จะเริ่มจากอะไรก่อนดี ผมจึงขอสรุปแนวทางการปฏิบัติเบื้องต้นมาให้ท่านลองพิจารณาเป็นไว้แนวทางสำหรับการเริ่มเตรียมความพร้อมปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลไว้ 7 ขั้นตอน ดังนี้

 

1. กำหนดผู้รับผิดชอบ หรือคณะทำงานคุ้มครองข้อมูลส่วนบุคคลของบริษัท

2. กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคล แนวปฏิบัติสำหรับการจัดการข้อมูลส่วนบุคคล

3. กำหนดให้มีการสำรวจกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และจัดทำ Data Inventory, Data flow, ROPA

4. กำหนดให้มีกระบวนการ และจัดทำแบบคำร้องขอความยินยอม (Consent)

5. กำหนดให้มีกระบวนการ และจัดทำแบบคำร้องขอใช้สิทธิจัดการข้อมูลส่วนบุคคล

6. กำหนดให้มีการประเมินความเสี่ยงกิจกรรมที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล

7. กำหนดให้มีการจัดอบรมให้กับพนักงานภายในบริษัททุกระดับได้รับทราบอย่างทั่วถึง

 

จากข้างต้นทั้งหมด 7 ขั้นตอนเบื้องต้นอาจจะดูเหมือนง่าย ๆ ใช่ไหมครับ แต่อย่าลืมว่า พระราชบัญญัติฯ ฉบับนี้เป็นเรื่องที่ใหม่มากๆ สำหรับผู้ปฏิบัติงาน ซึ่งการที่จะนำไปเป็นแนวปฏิบัติจริง ๆ อาจจะต้องใช้ความร่วมมือจากทุกส่วนงานภายในบริษัท และต้องมีการกำกับดูแลในทุกขั้นตอน อย่างใกล้ชิด เพื่อให้ทราบถึงปัญหา หรือข้อบกพร่องระหว่างการเตรียมความพร้อมฯ และถ้าหากเราไม่มีทีมนักกฎหมายของบริษัทเอง หรือบุคลากรที่พอจะทราบขั้นตอนอยู่แล้ว อาจจะต้องใช้เวลาในการดำเนินการในเรื่องนี้หลายเดือนเลยทีเดียวครับ

 

ครั้งถัดไปผมจะมาเจาะลึกทุกขั้นตอนกระบวนการที่สำคัญ สำหรับการเตรียมความพร้อมปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลให้ทุกท่านได้ทราบกัน และหวังว่าบทความนี้จะเป็นประโยชน์ทุกท่านที่เข้ามาอ่านไม่มากก็น้อย และสุดท้ายนี้ก็ขอกล่าวคำว่า “ขอบคุณและสวัสดีครับ”

 

เรียบเรียงโดย : ฝ่ายตรวจสอบเทคโนโลยีสารสนเทศ บริษัท ตรวจสอบภายในธรรมนิติ จำกัด

Last modified on วันอังคาร, 21 ธันวาคม 2564