July 18, 2021
ตามที่คณะรัฐมนตรี (ครม.) มีมติเห็นชอบออกพระราชกฤษฎีกาขยายเวลาบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) เมื่อวันที่ 7 พฤษภาคม 2564 โดยเลื่อนออกไปอีก 1 ปี และให้บังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ส่งผลกระทบต่อภาคธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) โดยตรง
ซึ่งในบางองค์กรอาจเห็นว่าการเลื่อนในครั้งนี้เป็นข้อดี เพราะยังไม่สามารถดำเนินการให้สอดคล้องตามกฎหมาย PDPA ทั้งหมดได้ ทั้งเนื่องจากสถานการณ์การแพร่ระบาดของเชื้อไวรัสโคโรนา (โควิด-19) ที่ยังคงมีอยู่อย่างต่อเนื่องและรุนแรง ทำให้กระบวนการหลายฝ่ายต้องหยุดชะงักหรือถูกเลื่อนออกไป หรืออาจเกิดจากการขาดผู้เชี่ยวชาญหรือองค์กรขาดสภาพคล่องทางธุรกิจทำให้จัดทำ PDPA ไม่ทันกำหนด
อย่างไรก็ตาม การเลื่อน PDPA ครั้งนี้จะทำให้ภาคธุรกิจมีเวลาเตรียมความพร้อมเพื่อ implement PDPA มากขึ้น โดยในระหว่างนี้ภาคธุรกิจยังคงต้องปฏิบัติตามมาตรฐานรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่กระทรวงดิจิทัลฯ ประกาศกำหนด คือ ต้องจัดให้มีมาตรการเรื่องการเข้าถึงและการควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) และแจ้งมาตรการดังกล่าวพร้อมสร้างความตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ให้แก่บุคลากรและผู้เกี่ยวข้องทราบเพื่อให้ปฏิบัติตามโดยเคร่งครัด เรามาดูกันว่าภาคธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จะมีแนวทางเตรียมพร้อมและ implement PDPA ได้อย่างไรบ้าง
หากภาคธุรกิจคิดว่าการเลื่อน PDPA ออกไปอีก 1 ปี ทำให้บริษัทมีเวลาเตรียมตัวอีกพักใหญ่ จะรอไปก่อนแล้วค่อยเริ่มจัดทำ PDPA ก็ได้ การคิดแบบนี้ค่อนข้างชะล่าใจไปหน่อย เนื่องจากการคุ้มครองข้อมูลส่วนบุคคลของผู้ที่เกี่ยวข้องกับบริษัท ทั้งลูกค้า พนักงานหรือแม้กระทั่ง vendor เป็นปัจจัยสำคัญที่จะช่วยให้ข้อมูลส่วนบุคคลปลอดภัย ป้องกันความเสี่ยงที่ข้อมูลรั่วไหลและถูกนำไปใช้ในทางที่ผิด ซึ่งก็จะมีโทษทางกฎหมายตามมา ดังนั้น ยิ่งเตรียมตัวเร็ว บริษัทนั้นก็จะยิ่งได้เปรียบคู่แข่ง แถมสร้างความเชื่อมั่นให้กับลูกค้าบริษัทได้มากขึ้นด้วย
สิ่งที่ภาคธุรกิจต้องปฏิบัติตามในขณะนี้ คือ การจัดให้มีมาตรฐานรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กระทรวงดิจิทัลฯ กำหนด บริษัทควรกำหนดมาตรการและระบบรักษาความปลอดภัยที่เหมาะสม วิธีการเริ่มจากให้แต่ละแผนก รวบรวมข้อมูลการใช้หรือการเก็บข้อมูลส่วนบุคคลว่าแต่ละแผนกเก็บข้อมูลประเภทใดบ้าง วัตถุประสงค์ของการเก็บข้อมูล ระยะเวลาจัดเก็บข้อมูล สถานที่หรือระบบที่ใช้จัดเก็บข้อมูล รวมถึงบุคคลและประเทศปลายทางในกรณีที่มีการส่งข้อมูลไปต่างประเทศ และฐานการประมวลผลข้อมูลตามกฎหมาย
จากนั้นจึงร่วมกันจัดทำแผนผังข้อมูล (data mapping) โดยลิสต์รายละเอียดข้อมูลต่างๆ ออกมาเป็นรายการ สำหรับเครื่องมือ data mapping จะช่วยให้บริษัทสำรวจข้อมูล และมองเห็นภาพรวมของข้อมูลที่มีอยู่ภายในองค์กรได้อย่างสะดวกและเป็นโครงสร้างที่ชัดเจนมากยิ่งขึ้น
หากบริษัทของคุณเป็นบริษัท E-commerce ซึ่งมีกิจกรรมหลักเป็นการให้บริการจับคู่ผู้ซื้อกับผู้ขายเพื่อซื้อขายสินค้าผ่านช่องทางออนไลน์ และดำเนินการจัดส่งสินค้า สิ่งที่บริษัทจะต้องลิสต์ออกมาเพื่อทำ data mapping เช่น การเก็บข้อมูลชื่อ-นามสกุล ที่อยู่ เบอร์โทรศัพท์ หมายเลขบัตรประจำตัวประชาชน บัญชีธนาคารหรือหมายเลขบัตรเครดิต เพื่อขึ้นบัญชีสำหรับผู้ซื้อและผู้ขาย ซึ่งต้องระบุว่าเก็บข้อมูลเหล่านี้ในระบบใด ใช้วิธีการรักษาข้อมูลตามมาตรฐานใด และมีระยะเวลาการเก็บข้อมูลเท่าไรบ้าง
สำหรับองค์กรที่ไม่ต้องการจัดทำ data mapping เอง ก็มียังมีตัวช่วยจากผู้เชี่ยวชาญจากบริการ PDPA Implementation ซึ่งบริการนี้จะช่วยวิเคราะห์โครงสร้างและกระบวนการภายในของบริษัท รวมทั้งประเมินช่องว่างทางกฎหมายที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคลทั้งหมด ทำให้ประหยัดเวลา และรับรองได้ว่านโยบายและสัญญาต่างๆ ของบริษัทจะสอดคล้องตาม PDPA ได้อย่างถูกต้อง
สำหรับบริษัทที่มีการเก็บรวบรวมและใช้ข้อมูลจำนวนมาก ก็จะยิ่งมีรายละเอียดการทำ data mapping ให้สอดคล้องตาม PDPA มากขึ้นไปด้วย เช่น ถ้าบริษัท E-commerce ยิ่งมีข้อมูลของผู้ซื้อและผู้ขายจำนวนมาก ก็จะทำให้มีภาระต้องลิสต์รายละเอียดข้อมูลต่างๆ มากขึ้น ซึ่งนี่ยังไม่รวมถึงข้อมูลแยกย่อยของแผนกอื่นๆ อีกมาก ดังนั้น ระยะเวลาการทำ data mapping จึงขึ้นอยู่กับขนาดองค์กรและปริมาณข้อมูลส่วนบุคคล ถ้าเป็นองค์กรขนาดใหญ่และมีปริมาณข้อมูลมากก็อาจใช้เวลาจัดทำมากกว่า 6 เดือน แต่ถ้าเป็นองค์กรขนาดเล็ก มีปริมาณข้อมูลที่จัดเก็บไม่มากนักจึงอาจใช้เวลาดำเนินการ 1-3 เดือน
ในด้านของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือที่เรียกกันว่ากฎหมาย GDPR (General Data Protection Regulation) ซึ่งออกมาในปี 2016 แต่เริ่มบังคับใช้จริงในปี 2018 จะเห็นได้ว่ากฎหมายนี้มีระยะเวลาให้ภาคธุรกิจเตรียมตัวถึง 2 ปีด้วยกัน ดังนั้น ปัจจัยที่สามารถบอกได้ว่าบริษัทจะใช้ระยะเวลาเท่าใดในการ implement PDPA อาจขึ้นอยู่กับหลายส่วน เช่น ความมุ่งมั่นในการปฏิบัติตาม จำนวนและประเภทของกระบวนการ จำนวน vendor ประเภทของข้อมูล ความรู้พื้นฐาน กระบวนการที่ได้จัดทำมาก่อนแล้ว จำนวนพนักงาน เป็นต้น
ภาคธุรกิจสามารถพิจารณาขั้นตอนเพื่อปฏิบัติตาม PDPA ให้ทันได้ดังต่อไปนี้
บริษัทจะต้องตรวจสอบว่าในปัจจุบันมีนโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลใดบ้าง ได้ปฏิบัติตาม PDPA ไปบ้างแล้วหรือไม่ หรือความรู้ความเข้าใจเดิมที่องค์กรมีต่อเรื่อง PDPA มีมากน้อยขนาดไหน การประเมินล่วงหน้าขึ้นอยู่กับขนาดของบริษัทและนโยบายที่บริษัทมีมาก่อน โดยจุดมุ่งหมายของการประเมินมักจะเป็นการสำรวจหาความพร้อมทั้งด้านเอกสารกฎหมายและพนักงานที่มุ่งมั่นจะปฏิบัติตาม PDPA จากการคาดการณ์พบว่าบริษัทที่มีพนักงาน 50-250 คน จะใช้เวลาประเมินเฉลี่ย 15 ชั่วโมง สิ่งสำคัญคือการกำหนดขอบเขตการประเมิน โดยเฉพาะความรู้ PDPA เดิมที่องค์กรมีจะเป็นตัวชี้วัดว่าการประเมินล่วงหน้าด้วยว่าจะใช้เวลานานแค่ไหน
การเก็บบันทึกกิจกรรมการประมวลผล (Records of Processing Activities หรือ ROPA) เป็นข้อกำหนดของกระทรวงดิจิทัลฯ ตามมาตรฐานรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่บริษัทจะต้องปฏิบัติตาม บันทึกกิจกรรมการประมวลผลเป็นเอกสารสำคัญสำหรับการใช้หรือประมวลผลข้อมูลส่วนบุคคลเพื่อให้เกิดความโปร่งใส โดยใช้บันทึกวัตถุประสงค์ในการประมวลผล การแบ่งปันข้อมูล และการเก็บรักษา ดังนั้น ในทุกขั้นตอนของการประมวลผลข้อมูลจะต้องมีการเก็บบันทึกไว้เป็นระยะ เพื่อให้มีหลักฐานที่เป็นเอกสารในกรณีที่เจ้าหน้าที่รัฐหรือเจ้าของข้อมูลส่วนบุคคลร้องขอ ซึ่งในขั้นตอนนี้คาดว่าใช้เวลาเฉลี่ย 40 ชั่วโมงในการดำเนินการ
ในขั้นตอนนี้ใช้สำหรับประเมินบุคคลภายนอก ซึ่งหมายถึงบุคคลที่บริษัทจ้างและบุคคลที่เป็นคู่ค้ากับบริษัท ถือได้ว่าบุคคลเหล่านี้เป็นส่วนสำคัญของธุรกิจส่วนใหญ่ในปัจจุบัน การจัดการความเสี่ยงของคู่ค้า (Vendor Risk Management หรือ VRM) เป็นเครื่องมือที่ใช้สำหรับธุรกิจเพื่อป้องกันบริษัทไม่ให้ละเมิดต่อกฎหมาย PDPA โดยอาจนำมาซึ่งความเสียหายทางธุรกิจ เช่น การเสียทรัพย์สินจากการถูกปรับหรือจ่ายค่าสินไหมทดแทน การดำเนินธุรกิจหยุดชะงักเนื่องจากต้องแก้ไขความเสียหายให้ถูกต้องก่อน การเสียชื่อเสียงและเสียฐานลูกค้าเนื่องจากเกิดความไม่เชื่อมั่น เป็นต้น ในขั้นตอนนี้อาจใช้เวลาโดยเฉลี่ย 30 ชั่วโมง ซึ่งขึ้นอยู่กับประเภทงานหรือกิจกรรมของบริษัทและจำนวนคู่ค้าที่มี
การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หมายถึง การประเมินความเสี่ยงทั้งหมดของบริษัทและที่เกี่ยวข้องกับการดำเนินงาน โดยมักเป็นบุคคลภายนอกที่ช่วยองค์กรระบุ ประเมิน และลดความเสี่ยงของกิจกรรมที่มีการประมวลผลข้อมูล สำหรับผู้เชี่ยวชาญหรือที่ปรึกษาภายนอกอาจใช้เวลาโดยเฉลี่ย 25 ชั่วโมงในการทำหน้าที่ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล และกระบวนการตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลประจำปี จะใช้เวลาประมาณ 10 วันต่อปี
นอกจาก 4 ขั้นตอนที่กล่าวมาข้างต้น บริษัทยังต้องปฏิบัติตาม PDPA อย่างสม่ำเสมอ เพราะข้อเท็จจริงและข้อมูลต่าง ๆ เปลี่ยนแปลงไปตามยุคสมัย ภาคธุรกิจจึงต้องปรับตัวให้ทันต่อความรวดเร็วของข้อมูลและเทคโนโลยีที่พัฒนาตามรูปแบบของกิจกรรม บริการ PDPA Training & Seminars จะช่วยให้พนักงานในองค์กรมีความรู้ความเข้าใจและ awareness ต่อ PDPA ผ่านการอบรมและสัมมนาที่จะช่วยสร้างทักษะให้กับพนักงาน เพื่อลดความเสี่ยงจาก Human error ในกระบวนการทำงานที่จะนำไปสู่การละเมิดข้อมูลส่วนบุคคล ซึ่งแนะนำว่าองค์กรควรจัดอบรมอย่างน้อยปีละ 1 ครั้ง หรือเรียนออนไลน์ผ่าน PDPA Awareness E-Learning Course คอร์สอบรม PDPA ที่เรียนได้ทุกที่ทุกเวลา ตอบโจทย์พนักงานในองค์กรที่สามารถออกแบบตารางเรียนได้ด้วยตนเอง
แน่นอนว่ายังมีเวลาอีก 1 ปีก่อนที่ PDPA จะบังคับใช้เต็มรูปแบบ องค์กรที่เริ่มศึกษาและเตรียมความพร้อมกับ PDPA แต่เนิ่น ๆ ถือว่าได้เปรียบ ภาคธุรกิจจึงควรเริ่มต้นเรียนรู้และดำเนินการเพื่อให้มีนโยบายและแนวทางการดำเนินงานเกี่ยวกับข้อมูลส่วนบุคคลที่สอดคล้องกับ PDPA ตั้งแต่วันนี้
สิ่งสำคัญของการเตรียมความพร้อมก็เพื่อป้องกันบทลงโทษทางกฎหมายที่นำมาซึ่งความเสียหายจากการที่ข้อมูลถูกละเมิดซึ่งจะทำให้องค์กรต้องเสียค่าปรับหรือต้องชดใช้ค่าสินไหมทดแทนอีกด้วย ด้วยความที่ PDPA มีรายละเอียดค่อนข้างมาก การให้ผู้เชี่ยวชาญช่วยดูแลให้คำปรึกษาทั้งข้อกฎหมายและจัดทำระบบ PDPA แบบครบวงจรด้วย 3 บริการหลักจาก PDPA Core จะช่วยให้องค์กรประหยัดทั้งทรัพยากรบุคคลและเวลา จึงมั่นใจได้ว่าองค์กรของคุณจะปฏิบัติตาม PDPA ได้อย่างถูกต้องแน่นอน
ให้คำปรึกษาและดำเนินการ
ให้ธุรกิจของคุณ สอดคล้องกับ PDPA
บริษัท เดต้า ว้าว จำกัด
1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย