พ.ร.บ. คุ้มครอง “ข้อมูลส่วนบุคคล” องค์กรต้องเตรียมความพร้อมอย่างไร

25 พฤศจิกายน 2020

อุมารัตน์ โพธิ์ชัย
อุมารัตน์ โพธิ์ชัยผู้จัดการส่วนมาตรฐานบริการความปลอดภัยเทคโนโลยีสารสนเทศ บริษัท กสท โทรคมนาคม จำกัด (มหาชน)

บทความที่แล้ว New Normal กับ “ข้อมูลส่วนบุคคล” วิถีใหม่ที่ต้องให้ความสำคัญ ได้เล่าถึง “ข้อมูลส่วนบุคคล” นั้นคืออะไร และสำคัญอย่างไร ครั้งนี้มาต่อกันในเรื่องการเตรียมความพร้อมสำหรับองค์กร ว่าองค์กรของเราปฏิบัติตามกฏหมายนี้ได้อย่างไร

สิ่งที่องค์กรควรทราบลำดับแรกเกี่ยวกับการไหลของข้อมูล (Data Flow) ของข้อมูลภายในองค์กรมีการเก็บรวบรวม ใช้เปิดเผยและ/หรือโอนข้อมูลส่วนบุคคลที่มาจากผู้ใช้บริการ พนักงาน ประชาชน หรือนิติบุคคล ที่มาติดต่อผ่านทางช่องทางต่าง ๆ ขององค์กร ซึ่งเรามีหลักแนะนำง่าย ๆ ดังนี้

  1. แหล่งของข้อมูล (Data Source) : ข้อมูลที่เก็บนั้นอยู่ในแหล่งใดบ้าง อาทิ แอปพลิเคชัน, เว็บไซต์, ศูนย์บริการข้อมูลลูกค้า (Call Center), อีเมล, นามบัตร, เครือข่ายสังคมออนไลน์ เช่น LINE , Facebook หรือ Twitter รวมไปถึง ผ่านทางแบบสอบถาม, กิจกรรมประชุมสัมมนาหรือกิจกรรมต่าง ๆ ที่องค์กรดำเนินการเอง หรือผ่านบริษัทในเครือ พันธมิตรทางธุรกิจ หน่วยงานภาครัฐ หรือบุคคลที่สาม เป็นต้น
  2. ส่วนประกอบของข้อมูล (Data Set) : ข้อมูลที่เก็บนั้นประกอบด้วยข้อมูลอะไรบ้างในส่วนของ “ข้อมูลส่วนบุคคล” และ “ข้อมูลส่วนบุคคลที่อ่อนไหว”
  3. ผู้ดูแลข้อมูล (Owner) : หน่วยงานหรือกลุ่มงานใดขององค์กรที่ต้องใช้หรือดูแลข้อมูลส่วนบุคคลดังกล่าว

หลังจากองค์กรทราบว่ามี Data Flow ของข้อมูลแล้ว สิ่งสำคัญที่ควรถามคือ เรามีมาตรการปกป้องหรือรักษาข้อมูลส่วนบุคคลนั้นอย่างไรและเพียงพอหรือไม่ ข้อมูลส่วนบุคคลนั้นมีโอกาสเสี่ยงที่จะถูกเปิดเผยหรือถูกนำไปใช้ที่ไม่เป็นตามวัตถุประสงค์ หรือผิดกฏหมายหรือไม่

ถึงตรงนี้หลายคนอาจสงสัยต่อว่า แล้วเราจะใช้ข้อมูลส่วนบุคคลให้ถูกต้องตามกฏหมายอย่างไร ซึ่งหนึ่งในมาตรการที่กฏหมายกำหนด องค์กรต้องสื่อสารวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลดังกล่าว ในรูปแบบของการขอคำยินยอม (Consent) เพื่ออธิบายถึงความจำเป็นที่องค์กรต้องใช้ข้อมูลส่วนบุคคลดังกล่าว ซึ่งแน่นอนว่าองค์กร ต้องกำหนด “นโยบายความเป็นส่วนตัว” (Privacy Policy) ลองมาดูกรอบการกำหนดนโยบายฯ โดยอย่างน้อยควรมีข้อมูลดังนี้

  1. ช่องทางการเก็บข้อมูลส่วนบุุคคล : ข้อมูลส่วนบุคคลขององค์กรมีการเก็บรวบรวม ใช้เปิดเผยและ/หรือโอนข้อมูลไปยังต่างประเทศ ผ่านช่องทางใดบ้าง เช่น แอปพลิเคชัน, เว็บไซต์, ศูนย์บริการข้อมูลลูกค้า (Call Center), อีเมล, เครือข่ายสังคมออนไลน์ เช่น LINE , Facebook และ Twitter รวมไปถึงแบบสอบถาม, กิจกรรมประชุมสัมมนาหรือกิจกรรมต่าง ๆ ที่องค์กรดำเนินการเอง หรือผ่านบริษัทในเครือ พันธมิตรทางธุรกิจ หน่วยงานภาครัฐ หรือบุคคลที่สาม เป็นต้น
  2. องค์ประกอบของการเก็บข้อมูลส่วนบุคคล: แจ้งให้เจ้าของข้อมูลส่วนบุคคลทั้งบุคคลทั่วไปและนิติบุคคลนั้นทราบว่า “ข้อมูลส่วนบุคคล” ที่สามารถระบุตัวตนได้ทั้งทางตรงหรือทางอ้อม ที่องค์กรขอใช้งาน เช่น ชื่อ-นามสกุล, วันเดือนปีเกิด, เบอร์โทรศัพท์, อีเมล์ ฯ รวมถึง “ข้อมูลส่วนบุคคลที่อ่อนไหว” เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ความเชื่อ (ลัทธิ ศาสนา ปรัชญา) พฤติกรรมทางเพศ ประวัติอาชญากรรม สุขภาพ ความทุพพลภาพ พันธุกรรม ข้อมูลชีวภาพ ข้อมูลภาพจำลองใบหน้า ม่านตา หรือลายนิ้วมือ ฯ ที่ควรแจ้งเจ้าของข้อมูลส่วนบุคคล
  3. วัตถุประสงค์ของการเก็บข้อมูลส่วนบุคคล : แจ้งวัตถุประสงค์ความจำเป็นต้องเก็บ ใช้ เปิดเผย และ/หรือ โอน “ข้อมูลส่วนบุคคล” และ “ข้อมูลส่วนบุคคลที่อ่อนไหว” นั้นมีวัตถุประสงค์เพื่ออะไร อาทิ เพื่อการให้บริการ, การสื่อสารการตลาด, การวิเคราะห์ข้อมูลในการปรับปรุงการดำเนินธุรกิจหรือบริการ เป็นต้น
  4. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล : แจ้งระยะเวลาที่เก็บข้อมูลส่วนบุคคล อาทิ เก็บข้อมูลส่วนบุคคลในช่วงระยะเวลาที่ใช้บริการกับองค์กร หรือเก็บระยะเวลา 10 ปีตามพระราชบัญญัติการบัญชี เป็นต้น
  5. สิทธิของเจ้าของข้อมูลส่วนบุคคล : แจ้งเจ้าของข้อมูลส่วนบุคคลมีสิทธิด้านใดบ้าง อาทิ สิทธิในการเข้าถึง/แก้ไข/โต้แย้งคัดค้าน/การถอนความยินยอม รวมถึงสิทธิในการขอลบข้อมูลส่วนบุคคล
  6. ช่องทางการติดต่อกับองค์กร : กรณีที่เจ้าของข้อมูลส่วนบุคคลต้องการสอบถามหรือเปลี่ยนแปลงสิทธิ องค์กรมีช่องทางให้เจ้าของข้อมูลส่วนบุคคลนั้น ติดต่อกับองค์กร หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลขององค์กรในช่องทางใดได้บ้าง

มาถึงตรงนี้คงพอจะมองเห็นภาพการเตรียมพร้อมปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 กันบ้างแล้ว นอกจากนี้องค์กรสามารถนำมาตรฐาน Privacy Information Management (ISO/IEC27701:2019) เข้ามาช่วยวางกรอบการบริหารจัดการข้อมูลส่วนบุคคล ให้มีความมั่นคงปลอดภัย ซึ่งมาตรฐานนี้ถูกออกแบบมาเพื่อเป็นกรอบการทำงาน (Framework) สำหรับองค์กร ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ในการช่วยบริหารจัดการมาตรการควบคุมด้านความเป็นส่วนบุคคลได้อย่างมีประสิทธิภาพ และลดความเสี่ยงอันเนื่องมาจากการละเมิดความเป็นส่วนบุคคลที่อาจเกิดขึ้นกับองค์กร และยังช่วยตอบโจทย์การปฏิบัติตามกฎหมายและข้อบังคับในปัจจุบันอย่าง GDPR หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อีกด้วย


ทั้งนี้ ในรายละเอียดการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึง การนำมาตรฐาน Privacy Information Management มาประยุกต์ใช้กับองค์กรโดยละเอียดนั้น สำหรับองค์กรที่ต้องการคำปรึกษาจากทีมผู้เชียวชาญในด้านการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถอ่านรายละเอียดเพิ่มเติมได้ที่บริการ PDPA Consulting ของ NT cyfence หรือ โทร NT contact center 1888 และติดต่อเราผ่านทาง www.cyfence.com/contact-us 

บทความที่เกี่ยวข้อง