วันที่ 27 พฤษภาคม ปี 2020 ที่จะถึงนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ทั้งฉบับ… กฏหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA หรือ Personal Data Protection Act ถือเป็นกฏหมายมาตรฐานสากล ที่ประกาศใช้คล้ายๆ กันทั่วโลกเพื่อดูแลการเก็บและบันทึกข้อมูลส่วนบุคคล ตามอย่างต้นแบบกฏหมาย GDPR หรือ General Data Protection Regulation กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองที่อาศัยอยู่ในเขตสหภาพยุโรป
ซึ่งประเทศไทยก็ตอบรับมาตรฐานทางกฏหมายนี้ จนได้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ทุกคนต้องเข้าใจสิทธิ์ในฐานะเจ้าของข้อมูลส่วนตัว ที่การกรอกแบบฟอร์มสารพัด แนบสำเนาอีกมากมายให้ใครหรือหน่วยงานองค์กรใดไปก็แล้วแต่ ต้องมั่นใจว่าข้อมูลของเราจะไม่ถูกใช้ไปเกินเลยกว่าที่ขอเรามา… โดยเฉพาะการให้ข้อมูลทั้งทางตรงและทางอ้อมในการใช้งานเวบไซต์ และธุรกรรมออนไลน์ทั้งหลาย
ส่วนท่านที่เกี่ยวข้องกับการบันทึกและเก็บข้อมูลบุคคลทุกวัตถุประสงค์ ต้องเข้าใจและตระหนักก่อนว่า จะไม่ผิดพลาดจนละเมิดกฏหมาย PDPA ซึ่งฐานความผิดหลายกรณีถือว่าหนักข้อและฉกาจฉกรรจ์ถึงขั้น “อนาคตเปลี่ยนชั่วพริบตาได้เลยก็มี”
ประเด็นการเก็บข้อมูลต่างๆ ในแง่มุมของกฏหมาย PDPA ระดับบุคคลไม่ค่อยน่าเป็นห่วงเท่าไหร่ ยกเว้นกรณี “การเก็บข้อมูลเพื่อทำวิจัย” ในหลายๆ กรณีที่ “จำเป็นต้องหลีกเลี่ยง” ข้อมูลส่วนบุคคลที่ “อ่อนไหว” ต่อประเด็นละเมิดตามกฏหมาย PDPA เช่น ชื่อนามสกุล เลขที่บัตร และข้อมูลที่เกี่ยวกับตัวเจ้าของข้อมูลทุกมิติ… แต่ไม่ว่าจะอย่างไร สุดท้ายแล้วคือการต้องเตรียม “เอกสารยินยอม” ให้ลงลายมือชื่อเก็บไว้เป็นหลักฐาน และอย่าลืมอธิบายรายละเอียด ให้เจ้าของข้อมูลเข้าใจทุกประเด็นที่เราถามเอาข้อมูลก่อนให้เซนต์ทุกครั้ง
ส่วนการเก็บข้อมูลระดับองค์กรที่จำเป็นต้องมีข้อมูลลูกค้า ข้อมูลสมาชิกหรือแม้แต่ข้อมูลชาวบ้านและข้อมูลประชาชน ที่แม้แต่หน่วยงานรัฐก็ต้องปฏิบัติตามกฏหมาย PDPA อย่างเท่าเทียม
ประเด็นก็คือ… ผลกระทบของกฏหมาย PDPA กับองค์กรมีความอ่อนไหวค่อนข้างมาก เพราะส่วนมากแล้ว ข้อมูลส่วนบุคคลที่องค์กรถืออยู่ มักจะมีคนเข้าถึงข้อมูลได้มากมายหลายคนและหลายฝ่าย ที่ล้วนต้องอ้างอิงข้อมูลชุดเดียวกันที่องค์กรใช้ขับเคลื่อนพันธกิจ… ไม่นับข้อมูลที่มีการเก็บบันทึกทางอ้อมอื่นๆ ที่องค์กรอยากได้เช่น ข้อมูล Browser Cookies หรือ Tracking Cookies ที่เวบไซต์ขององค์กร เก็บข้อมูลบางอย่างจากผู้ใช้งานอัตโนมัติ ก็จะต้องใส่ใจและไม่ละเมิด
งานตำแหน่งใหม่ในองค์กรที่มาพร้อมกฏหมาย PDPA จึงเกิดขึ้นเพื่อการนี้ที่เรียกชื่อตำแหน่งนี้ว่า DPO หรือ Data Protection Officer หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ที่ต้องเข้ามามีบทบาทหลักและเป็นเจ้าภาพเรื่องคุ้มครองข้อมูลที่อ่อนไหวในองค์กร งานและหน้าที่ก็ไม่ต่างจากหน่วยงานด้านจริยธรรมในงานวิจัยบางมิติ บวกกับงานที่ปรึกษากฏหมายและโค๊ชด้านข้อมูลส่วนบุคคล ที่ต้องคอยให้ความรู้และคำแนะนำคนในองค์กรให้ตระหนักว่า… หลายจุดหลายประเด็นในข้อมูลลูกค้าหรือสมาชิกที่คนในองค์กรไม่ใส่ใจ อาจกลายเป็นจุดตายและล่มสลายให้ทุกคนในองค์กรตกที่นั่งลำบากกันได้หมด ซึ่งบางครั้ง แค่มือลั่นเพราะรู้เท่าไม่ถึงการณ์เท่านั้นเอง
Data Protection Officer หรือ DPO มีหน้าที่ซึ่งนิยามไว้จากหลายๆ องค์กรว่า… DPO ทำงานด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างยั่งยืน โดยมีเป้าหมายเพื่อทำให้องค์กรเป็น Privacy Sustainable Organization
ส่วนรายละเอียดงานในหน้าที่ DPO หลักๆ เป็นการสร้างและพัฒนามาตรฐานที่เกี่ยวกับการรักษาข้อมูลส่วนบุคคล เพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งมาตรฐาน Data Privacy ระดับสากลอย่าง ISO/IEC 27701:2019, NIST Privacy Framework เป็นต้น
และหน้าที่ที่สำคัญที่สุดคือ ต้องทำ Data Privacy Risk Management หรือ จัดการเรื่องความเสี่ยงด้านคุมครองข้อมูลส่วนบุคคลตั้งแต่ประเมินความเสี่ยง หรือ Risk Assessment และพัฒนาแผนเผชิญเหตุ หรือแผนรับมือความเสี่ยง หรือ Risk Treatment Plan เตรียมพร้อมไว้อย่างมีประสิทธิภาพอีกด้วย
อ้างอิง
