DPO และ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

Privacy Protection

วันที่ 27 พฤษภาคม ปี 2020 ที่จะถึงนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ทั้งฉบับ… กฏหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA หรือ Personal Data Protection Act ถือเป็นกฏหมายมาตรฐานสากล ที่ประกาศใช้คล้ายๆ กันทั่วโลกเพื่อดูแลการเก็บและบันทึกข้อมูลส่วนบุคคล ตามอย่างต้นแบบกฏหมาย GDPR หรือ General Data Protection Regulation กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองที่อาศัยอยู่ในเขตสหภาพยุโรป

ซึ่งประเทศไทยก็ตอบรับมาตรฐานทางกฏหมายนี้ จนได้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ทุกคนต้องเข้าใจสิทธิ์ในฐานะเจ้าของข้อมูลส่วนตัว ที่การกรอกแบบฟอร์มสารพัด แนบสำเนาอีกมากมายให้ใครหรือหน่วยงานองค์กรใดไปก็แล้วแต่ ต้องมั่นใจว่าข้อมูลของเราจะไม่ถูกใช้ไปเกินเลยกว่าที่ขอเรามา… โดยเฉพาะการให้ข้อมูลทั้งทางตรงและทางอ้อมในการใช้งานเวบไซต์ และธุรกรรมออนไลน์ทั้งหลาย

ส่วนท่านที่เกี่ยวข้องกับการบันทึกและเก็บข้อมูลบุคคลทุกวัตถุประสงค์ ต้องเข้าใจและตระหนักก่อนว่า จะไม่ผิดพลาดจนละเมิดกฏหมาย PDPA ซึ่งฐานความผิดหลายกรณีถือว่าหนักข้อและฉกาจฉกรรจ์ถึงขั้น “อนาคตเปลี่ยนชั่วพริบตาได้เลยก็มี”

ประเด็นการเก็บข้อมูลต่างๆ ในแง่มุมของกฏหมาย PDPA ระดับบุคคลไม่ค่อยน่าเป็นห่วงเท่าไหร่ ยกเว้นกรณี “การเก็บข้อมูลเพื่อทำวิจัย” ในหลายๆ กรณีที่ “จำเป็นต้องหลีกเลี่ยง” ข้อมูลส่วนบุคคลที่ “อ่อนไหว” ต่อประเด็นละเมิดตามกฏหมาย PDPA เช่น ชื่อนามสกุล เลขที่บัตร และข้อมูลที่เกี่ยวกับตัวเจ้าของข้อมูลทุกมิติ… แต่ไม่ว่าจะอย่างไร สุดท้ายแล้วคือการต้องเตรียม “เอกสารยินยอม” ให้ลงลายมือชื่อเก็บไว้เป็นหลักฐาน และอย่าลืมอธิบายรายละเอียด ให้เจ้าของข้อมูลเข้าใจทุกประเด็นที่เราถามเอาข้อมูลก่อนให้เซนต์ทุกครั้ง

ส่วนการเก็บข้อมูลระดับองค์กรที่จำเป็นต้องมีข้อมูลลูกค้า ข้อมูลสมาชิกหรือแม้แต่ข้อมูลชาวบ้านและข้อมูลประชาชน ที่แม้แต่หน่วยงานรัฐก็ต้องปฏิบัติตามกฏหมาย PDPA อย่างเท่าเทียม

ประเด็นก็คือ… ผลกระทบของกฏหมาย PDPA กับองค์กรมีความอ่อนไหวค่อนข้างมาก เพราะส่วนมากแล้ว ข้อมูลส่วนบุคคลที่องค์กรถืออยู่ มักจะมีคนเข้าถึงข้อมูลได้มากมายหลายคนและหลายฝ่าย ที่ล้วนต้องอ้างอิงข้อมูลชุดเดียวกันที่องค์กรใช้ขับเคลื่อนพันธกิจ… ไม่นับข้อมูลที่มีการเก็บบันทึกทางอ้อมอื่นๆ ที่องค์กรอยากได้เช่น ข้อมูล Browser Cookies หรือ Tracking Cookies ที่เวบไซต์ขององค์กร เก็บข้อมูลบางอย่างจากผู้ใช้งานอัตโนมัติ ก็จะต้องใส่ใจและไม่ละเมิด

งานตำแหน่งใหม่ในองค์กรที่มาพร้อมกฏหมาย PDPA จึงเกิดขึ้นเพื่อการนี้ที่เรียกชื่อตำแหน่งนี้ว่า DPO หรือ Data Protection Officer หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ที่ต้องเข้ามามีบทบาทหลักและเป็นเจ้าภาพเรื่องคุ้มครองข้อมูลที่อ่อนไหวในองค์กร งานและหน้าที่ก็ไม่ต่างจากหน่วยงานด้านจริยธรรมในงานวิจัยบางมิติ บวกกับงานที่ปรึกษากฏหมายและโค๊ชด้านข้อมูลส่วนบุคคล ที่ต้องคอยให้ความรู้และคำแนะนำคนในองค์กรให้ตระหนักว่า… หลายจุดหลายประเด็นในข้อมูลลูกค้าหรือสมาชิกที่คนในองค์กรไม่ใส่ใจ อาจกลายเป็นจุดตายและล่มสลายให้ทุกคนในองค์กรตกที่นั่งลำบากกันได้หมด ซึ่งบางครั้ง แค่มือลั่นเพราะรู้เท่าไม่ถึงการณ์เท่านั้นเอง

Data Protection Officer หรือ DPO มีหน้าที่ซึ่งนิยามไว้จากหลายๆ องค์กรว่า… DPO ทำงานด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างยั่งยืน โดยมีเป้าหมายเพื่อทำให้องค์กรเป็น Privacy Sustainable Organization

ส่วนรายละเอียดงานในหน้าที่ DPO หลักๆ เป็นการสร้างและพัฒนามาตรฐานที่เกี่ยวกับการรักษาข้อมูลส่วนบุคคล เพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งมาตรฐาน Data Privacy ระดับสากลอย่าง ISO/IEC 27701:2019, NIST Privacy Framework เป็นต้น

และหน้าที่ที่สำคัญที่สุดคือ ต้องทำ Data Privacy Risk Management หรือ จัดการเรื่องความเสี่ยงด้านคุมครองข้อมูลส่วนบุคคลตั้งแต่ประเมินความเสี่ยง หรือ Risk Assessment และพัฒนาแผนเผชิญเหตุ หรือแผนรับมือความเสี่ยง หรือ Risk Treatment Plan เตรียมพร้อมไว้อย่างมีประสิทธิภาพอีกด้วย

อ้างอิง

Share this post

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email