องค์กรขนาดเล็กต้องทำอย่างไร เพื่อปฏิบัติตาม PDPA

นับว่าไม่ใกล้ ไม่ไกลกันแล้วกับการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่คุ้นหูคุ้นตากันทุกคนก็คือ PDPA ซึ่ง พ.ร.บ. ตัวนี้จะบังคับใช้อย่างเป็นทางการในวันที่ 1 มิ.ย. 2565 นี้นั่นเอง แต่คำถามคือแล้ว พ.ร.บ.นี้กระทบยังไงกับชีวิตประจำวันของเรา หรือกับองค์กรขนาดเล็กจะส่งผลยังไงได้บ้างมาดูไปพร้อม ๆ กันเลย 

ใครบ้างที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

ปกติแล้วชาวเน็ตยุคอินเตอร์เน็ตโมเด็ม จะไม่ค่อยใส่ใจเรื่องชื่อ-นามสกุล อีเมล หรือเบอร์โทรศัพท์ บัญชีธนาคาร ฯลฯ สักเท่าไหร่ เรียกว่าระบบให้กรอกอะไร ก็กรอกไปตามขั้นตอน แต่พอมาในยุคปัจจุบันข้อมูลที่กรอกกันง่าย ๆ แบบเมื่อก่อนก็ให้ความสำคัญกันมากขึ้น ซึ่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้ จะไปให้ความสำคัญกับผู้มีส่วนเกี่ยวข้องถึง 3 ส่วน

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลสามารถระบุไปถึงได้
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลที่มีอำนาจการตัดสินใจในการเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

เรียกว่าพ.ร.บ.นี้จัดสัดส่วนผู้มีส่วนได้ส่วนเสียครบทั้ง 3 มุม ทั้งผู้ให้ข้อมูล ผู้เก็บข้อมูลและผู้ประมวลผลข้อมูล เพื่อคุ้มครองผู้ใช้งาน เป็นแนวทางในการจัดการข้อมูล และมีบทลงโทษที่ชัดเจนนั่นเอง

อะไรจัดเป็นข้อมูลส่วนบุคคลบ้าง?

สำหรับข้อมูลส่วนบุคคลตามที่พ.ร.บ.ฉบับนี้กำหนดและจัดระเบียบเอาไว้นับว่าครอบคลุมการใช้งานได้จริง ซึ่งมีตั้งแต่ ข้อมูลที่ระบุตัวบุคคล เช่น ชื่อ-นามสกุล ชื่อเล่น เลขบัตรประชาชน เลขบัตรประจำตัวผู้เสียภาษี เลขใบอนุญาตขับขี่ ไปจนถึงเบอร์โทรศัพท์ ที่อยู่ อีเมล ข้อมูลอุปกรณ์และเครื่องมือ ข้อมูลอัตลักษณ์ ข้อมูลทางการแพทย์ 

ข้อมูลที่เชื่อมโยงข้อมูลส่วนบุคคลได้ เช่น วันเกิด สถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ (Location) ข้อมูลการศึกษา ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน 

รวมถึงข้อมูลที่ใช้คู่กับระบบดัชนีข้อมูลอีกระบบเพื่อระบุตัวตน เช่น ข้อมูลบันทึก (Log File) ข้อมูลที่สามารถใช้ในการค้นหาบุคคลอื่นในอินเตอร์เน็ต ข้อมูลประเมินผลการทำงาน เป็นต้น

นอกจากข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองแล้ว ข้อมูลส่วนบุคคลอีกประเภทที่ได้รับการ คุ้มครองและมีบทลงโทษรุนแรงก็คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ และข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลนั้นตามที่กำหนด 

ซึ่งข้อมูลเหล่านี้ล้วนเป็นข้อมูลส่วนบุคคลที่ระบุตัวผู้ใช้งานไม่ทางใด ก็ทางหนึ่งนั่นเองซึ่งหากได้รับการคุ้มครองข้อมูลเหล่านี้ ก็ช่วยให้ผู้ใช้งานอย่างเรา ๆ ได้สบายใจขึ้นมาได้  สามารถคุ้มครงและเอาผิดผู้ที่นำข้อมูลของเราไปใช้ในทางที่ผิดและ ไม่ได้รับอนุญาตนั่นเอง

หากจะนำข้อมูลไปใช้ ต้องทำยังไงได้บ้าง?

ไม่ว่าจะองค์กระขนาดเล็กไปจนถึงขนาดใหญ่ การจะนำข้อมูลไปใช้ไม่ให้ผิด พ.ร.บ.ฉบับนี้ หรือผิดกฏหมาย จำเป็นต้องให้คำยินยอม (Consent) แก่เจ้าของข้อมูลด้วย ซึ่งในคำยินยอมจำเป็นต้องมีข้อกำหนดวิธียกเลิกความยินยอม และแสดงให้เจ้าของข้อมูลรับทราบเพื่อให้เจ้าของข้อมูลสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย

บทลงโทษหากผิด พ.ร.บ.ข้อมูลส่วนบุคคล (PDPA)

หากองค์กรหรือบริษัทไม่ทำตาม หรือไม่ปฏิบัติตาม พ.ร.บ.ข้อมูลส่วนบุคคล จะมีบทลงโทษ 3 ประเภท

คือ บทลงโทษทางแพ่ง บทลงโทษทางอาญา บทลงโทษทางปกครอง รายละเอียดบทลงโทษต่าง ๆ ก็มีการกำหนดโทษแตกต่างกันดังนี้

•  บทลงโทษทางแพ่ง มีโทษกำหนดให้จ่ายค่าสินไหมทดแทนที่เกิดขึ้นจริงให้แก่เจ้าของข้อมูลส่วนบุคคลที่โดนละเมิดและได้รับความเสียหาย และยังต้องจ่ายสินไหมทดแทนเพื่อลงโทษเพิ่มเติมได้สูงสุดอีก 2 เท่าของค่าเสียหายจริง
• บทลงโทษทางอาญา มีทั้งโทษจำคุกและจ่ายค่าปรับ ซึ่งโทษจำคุกสูงสุด ไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 บาท ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ ซึ่งบทลงโทษดังกล่าวจะอยู่ในส่วนการใช้ข้อมูล เปิดเผยข้อมูล หรือส่งต่อข้อมูล ประเภทข้อมูลละเอียดอ่อน (Sensitive Personal Data) ซึ่งแน่นอนว่าผู้บริหาร กรรมการ หรือบุคคลที่รับผิดชอบในการดำเนินงานของบริษัทนั้นจะต้องได้รับโทษแทน

• บทลงโทษทางปกครอง ปรับไม่เกิน 1 ล้านบาท สูงสุดไม่เกิน 5 ล้านบาท ซึ่งบทลงโทษนี้จะเป็นกรณีของการไม่ปฏิบัติตามการใช้ข้อมูล เปิดเผยข้อมูล หรือส่งต่อข้อมูลละเอียดอ่อน (Sensitive Personal Data) ซึ่งบทลงโทษนี้จะแยกจากบทลงโทษทางแพ่งและทางอาญานั่นเอง

SME ต้องเตรียมตัวยังไง?

เมื่อถึงคราวบังคับใช้ในองค์กรเล็ก ๆ ที่การบริหารงาน หรือแผนผังองค์กรไม่ยุ่งยาก รวมถึงธุรกิจ SME ขนาดกลาง-ขนาดใหญ่ ก็สามารถเตรียมตัวล่วงหน้าไปก่อน เพื่อรับมือ พ.ร.บ.ฉบับนี้ได้ก่อนใคร ซึ่งปัจจัยหลัก ที่ควรจะเตรียมและควรทำอย่างยิ่ง ซึ่งกำหนดไว้แล้วดังนี้ 

1.จัดตั้งทีมงาน

เพื่อรับผิดชอบจัดเตรียม วางโครงสร้าง และเพื่อง่ายในการปรับตัวทั้งองค์กรให้เข้ากับ พ.ร.บ. ข้อมูลส่วนบุคคล ตามที่ระเบียบกำหนดไว้ ซึ่งทีมงานจำเป็นต้องรับผิดชอบหลัก ๆ คือ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ทำหน้าที่กำหนดวัตถุประสงค์ วิธีการประมวลผล และใช้ประโยชน์จากข้อมูลส่วนบุคคล เช่น เจ้าของเพจ ตู้เติมเงิน บริษัทจำกัด (มหาชน) ธนาคารแห่งประเทศไทย เป็นต้น

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ที่ทีมงานในบริษัทจัดจ้างมาดูแล เก็บรวบรวมข้อมูล หรือใช้ข้อมูลตามคำสั่งหรือในนามบริษัทที่จ้าง เช่น ฟรีแลนซ์รับดูแลเพจร้านค้า บริษัทรับจัดการออเดอร์สินค้า จำกัด บริษัท รับทำบัญชี จำกัด เป็นต้น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ผู้ทำหน้าที่ให้คำแนะนำตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามกฏหมายที่กำหนด ที่กำหนดหน้าที่ให้ชัดเจนก็เพราะมีบทลงโทษรับผิดที่แตกต่างกันตามที่ พ.ร.บ.กำหนดเอาไว้

2.สำรวจ-จัดเตรียมข้อมูล

เตรียมความพร้อมทั้งด้านเอกสาร แบบฟอร์ม วิธีการเก็บข้อมูล นโยบายความเป็นส่วนตัว สำรวจข้อมูลส่วนบุคคลหรือประเมินข้อมูลส่วนบุคคลในองค์กร เพื่อสร้างแบบขอความยินยอม (Consent) สร้างแบบฟอร์มนโยบายความเป็นส่วนตัว (Privacy Policy) คำขอในการใช้ (Cookie) แบบฟอร์มเพื่อให้เจ้าของข้อมูลเข้าถึงและรับสำเนา (Right of Access) ข้อมูลแบบฟอร์มต่าง ๆ จำเป็นในการปรับองค์กรเพื่อรองรับการใช้งาน พ.ร.บ.ฉบับนี้ด้วย

3.ประเมินผลกระทบ

เมื่อจัดตั้งทีมงาน จัดเตรียมข้อมูล สำรวจภายข้อมูลเอาไว้แล้ว ก็มาประเมินผลกระทบดูว่า

บทลงโทษหากผิด พ.ร.บ. ข้อมูลส่วนบุคคลมีโทษทางแพ่ง ทางอาญา และทางปกครอง อย่างไรบ้าง เพื่อเตรียมพร้อมรับมือหากตัวองค์กร บริษัท หรือ SME ได้รับการร้องเรียนจากเจ้าของข้อมูล (Data Subject) โดยตรง

4.วางกรอบนโยบายในองค์กร

โดยพื้นฐานการเก็บข้อมูลภายใต้ พ.ร.บ.ข้อมูลส่วนบุคคล นั้นเพียงแค่เก็บรวบรวมข้อมูล เท่าที่จำเป็นภายใต้กฎหมาย มีแจ้งวัตถุประสงค์ให้กับเจ้าของข้อมูลทราบ (Privacy Notice) และหากเปลี่ยนวัตถุประสงค์ในการประมวลผล ก็ต้องแจ้งเจ้าของข้อมูลให้ทราบ หรือได้รับความยินยอมก่อนนั่นเอง ซึ่งทั้งหมดเป็นกรอบนโยบายกว้าง ๆ ที่สามารถนำไปปรับใช้กับ SME ได้และตรงตาม พ.ร.บ.อีกด้วย

5.จัดทำ Records of Processing Activity (RoP)

ซึ่งการทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคลนั้น เป็นหนึ่งในกระบวนการตาม กฎหมายที่ พ.ร.บ.ฉบับนี้บังคับใช้ ซึ่งเกี่ยวข้องกับ “การดำเนินการเก็บข้อมูลส่วนบุคคลให้คุ้ม ครอง เจ้าของข้อมูล” ซึ่งบันทึก ROP นี้จำเป็นต้องมี ก็คือ

• สำรวจข้อมูลส่วนบุคคล ว่ามีการจัดเก็บข้อมูลอะไรไว้บ้าง เป็นข้อมูลส่วนบุคคล หรือข้อมูลอ่อนไหวหรือไม่ เช่น ชื่อ ที่อยู่ อีเมล เบอร์โทรฯ ข้อมูลสุขภาพ ข้อมูลพันธุกรรม ประวัติอาชญากรรม เป็นต้น 
• กำหนดวัตถุประสงค์ เพื่อให้เจ้าของข้อมูลรู้ว่าจัดเก็บข้อมูลไปทำอะไร ตรงตามวัตถุประสงค์หรือไม่นั่นเอง
• กำหนดระยะเวลาการจัดเก็บ มีการดำเนินการเพื่อจัดเก็บข้อมูลในระยะเวลาเท่าไหร่ มีหลักเกณฑ์ ระเบียบ หรือเงื่อนไขในการจัดเก็บอย่างไร เป็นต้น
• สำรวจแหล่งที่มาของข้อมูล ได้ข้อมูลเหล่านี้มาได้อย่างไร ได้มาจากเจ้าของข้อมูลโดยตรงหรือไม่ หรือมาจากการส่งต่อไฟล์ข้อมูลเหล่านั้นมา มีการเปิดเผย หรือส่งต่อข้อมูลส่วนบุคคลเหล่านี้มาหรือไม่ เป็นต้น
• สำรวจมาตรการคุ้มครอง มีการจัดเก็บข้อมูลที่ปลอดภัย ตามารตรฐานความมั่นคงที่เหมาะสม จะต้องไม่เปิดเผยหรือปรากฎการนำไปใช้ ในลักษณะอื่นนอกเหนือจากวัตถุประสงค์ที่แจ้งให้กับผู้ให้ข้อมูล

6. สร้าง Awareness

สร้างความตระหนักรู้ให้องค์กรเมื่อจัดตั้งทีมงานพร้อมทำงานให้สอดประสานกับ พ.ร.บ.ฉบับนี้แล้ว ก็จำเป็นต้องแจ้งพนักงานในองค์กร เพื่อให้รับทราบโดยทั่วกันว่า ข้อมูลส่วนบุคคลที่ได้จากการเก็บข้อมูลมานั้น มีการคุ้มครองที่ถูกต้องตามกฎหมาย ห้ามนำข้อมูลเหล่านั้นไปใช้ผิดวัตถุประสงค์ที่เจ้าของข้อมูลได้กรอกความยินยอมนั้นมาให้ ซึ่งจะมีโทษทางแพ่ง ทางอาญา และทางปกครอง นั่นเอง 

และเมื่อจัดทำ 6 เรื่องนี้แล้ว ต้องมั่นคอยตรวจสอบ ทบทวน ปรับปรุง การดำเนินงานอยู่เสมอ ทั้งในการเก็บ และ การนำไปใช้ เพื่อให้ข้อมูลมีความปลอดภัย

สามารถดาวน์โหลดเอกสารที่เกี่ยวข้องพร้อมตัวอย่างการทำไปใช้งานได้ที่ : https://www.dga.or.th/document-sharing/article/59030/

หากองค์กรหรือบริษัทขนาดเล็กต้องการจะใช้ข้อมูลต่าง ๆ ควรได้รับความยินยอมจากผู้ให้ข้อมูล ก่อนการเก็บ การใช้งาน หรือส่งต่อ เพื่อให้ทั้งผู้ให้ข้อมูลและองค์กรที่จะต้องใช้ข้อมูลเหล่านี้ ได้สบายใจกันทั้งสองฝ่าย เพราะเมื่อข้อมูลเกิดหลุดลอดออกไป โดยไม่ได้รับอนุญาต ข้อมูลที่สำคัญเหล่านี้จะอยู่บนอินเตอร์เน็ตตลอดไปเลยทีเดียว

ที่มา:

• https://easypdpa.com/article/severe-fine-if-you-dont-have-a-privacy-policy
• https://t-reg.co/blog/t-reg-knowledge/what-is-pdpa/
• https://easypdpa.com/article/easypdpa-summary-what-is-pdpa