Data Protection, PDPA, Privacy

ความเข้าใจ การเตรียมพร้อมระดับองค์กรกับ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล”

ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ

12 มิถุนายน 2562

เมื่อเทคโนโลยีเข้ามาเปลี่ยนสภาวะแวดล้อมโลก ทำให้แต่ละประเทศต้องมีกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคล เพื่อไม่ให้เกิดปัญหาการละเมิดสิทธิในข้อมูล ซึ่งองค์กรในยุคนี้ต้องเข้าใจและเตรียมองค์กรให้ดำเนินการตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่เหลือเวลาอีกไม่มากก่อนจะบังคับใช้

เราคงเคยได้ยินเรื่องราว ของ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ หรือรู้จักกันในนาม พ.ร.บ.ไซเบอร์ กันมาบ้างแล้ว ในแง่มุมต่างๆ

แต่เรามักจะไม่ค่อยได้ยินเรื่องราวของ พ.ร.บ .คุ้มครองข้อมูลส่วนบุคคล หรือ Thailand’s Personal Data Protection Act B.E. 2562 (2019) (PDPA) กันเท่าไหร่นัก

และเราอาจเคยได้ยินการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป General Data Protection Regulation (GDPR) กันมาบ้างว่ามีผลบังคับใช้ตั้งแต่วันที่ 25 พ.ค. 2561

แต่หลายท่านอาจเพิ่งทราบว่ามีการเผยแพร่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษา เมื่อวันที่ 27 พ.ค.2562 และจะมีผลบังคับใช้ภายในหนึ่งปีนับจากวันประกาศ

ส่งผลกระทบต่อองค์กรทั้งภาครัฐและเอกชนในวงกว้างระดับประเทศ ที่องค์กรจำเป็นต้องมีการเตรียมการเพื่อรองรับ พ.ร.บ.ฉบับนี้ภายในระยะเวลาเพียง 1 ปี นับจากวันที่ พ.ร.บ. ประกาศในราชกิจจานุเบกษา

ความจำเป็นเรื่องการป้องกันข้อมูลส่วนบุคคลไม่ให้รั่วไหลจนเกิดผลกระทบกับเจ้าของข้อมูล และการขอความยินยอมจากเจ้าของข้อมูลก่อนนำข้อมูลของเขาไปใช้ประโยชน์ ทำให้เรื่อง Privacy และ Data Protection กลายเป็นกระแสโลกที่ทุกประเทศในโลกจำเป็นต้องให้ความสำคัญ

ทำให้เกิดกฎหมายเกี่ยวกับ “Data Protection” มีวัตถุประสงค์ในเรื่องการบริหารจัดการกับ “ข้อมูลส่วนบุคคล” หรือ “Personal Data” ที่ไม่ได้ครอบคลุมเฉพาะเรื่องข้อมูลรั่วไหลจากการถูกโจมตีล้วงข้อมูลโดยผู้ไม่ประสงค์ดี 

แต่ยังรวมไปถึงการขออนุญาตเจ้าของข้อมูลก่อนที่จะนำข้อมูลของเจ้าของข้อมูลไปใช้ในการทำการตลาด หรือการวิเคราะห์ข้อมูลที่จะส่งผลให้เกิดความเสี่ยงต่อเจ้าของข้อมูล

รูปที่ 1 : “Weapons of Math Destruction by Cathy O’Neil”

ถ้าหลายท่านเคยอ่านหนังสือ “บิ๊กดาต้ามหาประลัย : เมื่อการใช้ข้อมูลขนาดใหญ่เป็นภัยต่อสังคม” หรือ “Weapons of Math Destruction : How Big Data Increases Inequality and Threatens Democracy” (ดูรูปที่ 1) จะพบว่า…

การนำข้อมูลส่วนบุคคลมาใช้กับเทคโนโลยี Big Data หรือเทคโนโลยี AI นั้น หลายกรณีกระทำอย่างไม่ถูกต้องตามกฎหมาย โดยที่เจ้าของข้อมูลไม่ทราบมาก่อนว่า ข้อมูลของตนถูกนำมาใช้โดยไม่ได้รับอนุญาตจากเจ้าของข้อมูลเสียก่อน โดยเฉพาะในการใช้ในโซเชียลมีเดีย หรือการใช้ในการให้บริการคลาวด์ของผู้ให้บริการคลาวด์ระดับโลก

ทางสหภาพยุโรปจึงจำเป็นต้องปรับแก้กฎหมาย จาก EU Data Protection Directive (also known as Directive 95/46/EC) ให้กลายเป็น REGULATION (EU) 2016/679 หรือที่รู้จักกันในนาม “GDPR” เพื่อให้ทันยุคทันสมัยในปัจจุบันและอนาคต

ภาพรวม “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” หรือ “Data Protection Act” 

กล่าวถึงปรัชญาการบัญญัติให้มี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลทั่วโลก ส่วนใหญ่แล้วจะมาจากหลักการ 8 ข้อ “Privacy Principle” ของ OECD (ดูรูปที่ 2) ได้แก่

1. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด (Collection Limitation)

2. คุณภาพของข้อมูลส่วนบุคคล (Data Quality)

3. การระบุวัตถุประสงค์ในการเก็บรวบรวม (Purpose Specification)

4. ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้ (Use Limitation)

5. การรักษาความมั่นคงปลอดภัย (Security Safeguards)

6. การเปิดเผยเกี่ยวกับการดำเนินการแนวปฏิบัติ และนโยบายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (Openness)

7. การมีส่วนร่วมของเจ้าของข้อมูล (Individual Participation)

8. ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล (Accountability)

รูปที่ 2 : 8 Privacy Principles of OECD

ซึ่งในข้อ 5 จาก 8 ข้อ เน้นไปที่เรื่องของ การรักษาความมั่นคงปลอดภัย” ดังคำกล่าวที่ว่า “You can get security without privacy but you can’t get privacy without security

ในตัวบทกฎหมายจึงเน้นไปที่หลักการดังกล่าว โดยมุ่งไปที่การจัดให้มี “นโยบาย”และ “แนวทางปฏิบัติ” เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอ้างอิงมาจากหลายมาตรฐานและแนวทางปฏิบัติที่ดี ดังรูปที่ 3 ซึ่งมุ่งเน้นไปที่ “สิทธิของเจ้าของข้อมูล” เป็นสำคัญ

รูปที่ 3 : Thailand & International Standards and Best Practices related to “Data Protection” and “Privacy”

เราจึงจำเป็นต้องเข้าใจคำศัพท์ต่างๆ เช่น เจ้าของข้อมูลส่วนบุคคล หรือ “Data Subject “ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ที่ทุกองค์กรจำเป็นต้องมี

แนวทางในการดำเนินการเรื่องการคุ้มครองข้อมูลส่วนบุคคลระดับองค์กร

เนื่องจากองค์กรมีเวลาเพียงหนึ่งปีในการเตรียมการ องค์กรจึงควรจัดประชุมผู้บริหารระดับสูงและผู้เกี่ยวข้อง เพื่อผลักดันและสนับสนุนให้องค์กรมีการเตรียมความพร้อมที่จะปฏิบัติตาม พ.ร.บ. ได้อย่างถูกต้องแต่เนิ่นๆ โดยมีการกำหนดกิจกรรมต่างๆ ดังนี้

  • กำหนดแนวทางการกำกับดูแลในการคุ้มครองข้อมูลส่วนบุคคล
  • กำหนดโครงสร้างการกำกับดูแลนโยบายการคุ้มครองข้อมูลส่วนบุคคลและกรอบการดำเนินงาน
  • กำหนด “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller)
  • กำหนด “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer หรือ DPO)
  • กำหนด “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
  • พิจารณาข้อมูลต่างๆ ขององค์กรเพื่อกำหนด “ข้อมูลส่วนบุคคล” (Personal Data) ที่ต้องดำเนินการตามกฎหมายหรือกฎเกณฑ์ที่ประกาศบังคับใช้
  • กำหนดกรอบการกำกับดูแลและบริหารจัดการข้อมูลระดับองค์กร (Data Governance, Data Management, Data Protection)
  • กำหนดกรอบการบริหารความเสี่ยง การประเมินความเสี่ยง การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Privacy/Data Protection Impact Assessment, Risk Assessment)
  • กำหนด Business Owner และ Data Owner ให้ชัดเจน
  • จัดให้มี วิธีปฏิบัติ ขั้นตอนปฏิบัติ คู่มือการปฏิบัติงานในการคุ้มครองข้อมูลส่วนบุคคล
  • จัดให้มีการสร้างความตระหนัก การเสริมสร้างความรู้ให้กับผู้ปฏิบัติงาน
  • กำหนดกรอบการประสานกับหน่วยงานกำกับดูแล หน่วยงานภาครัฐ และหน่วยงานความร่วมมืออื่นๆ

องค์กรควรนำกฏหมาย แนวทางดำเนินการตามกรอบมาตรฐาน และแนวทางปฏิบัติที่ดีด้านการคุ้มครองข้อมูลส่วนบุคคลมาใช้เป็นแนวทางในการดำเนินการ ได้แก่

  • กฏหมาย GDPR (ดำเนินการตามกฎเกณฑ์และข้อกำหนดที่เกี่ยวข้อง)
  • มาตรฐานสากล ISO/IEC 27552 Privacy Information Management· ดำเนินการตามข้อกำหนดกรอบการบริหารจัดการและมาตรการคุ้มครองข้อมูลส่วนบุคคล
  • ดำเนินการตรวจรับรองตามข้อกำหนดระบบบริหารจัดการ Privacy Information Management
  • ขยายขอบเขตการตรวจรับรองมาตรฐาน ISO/IEC 27001 (Information Security Management System) ครอบคลุมการคุ้มครองข้อมูลส่วนบุคคล และการจัดการในระบบคลาวด์
  • มาตรฐานสากล ISO 29100 Privacy Framework
  • ดำเนินการตามข้อกำหนดกรอบการดำเนินงานในการคุ้มครองข้อมูลส่วนบุคคล มาตรฐาน NIST Privacy Framework (Draft)
  • ดำเนินการตามข้อกำหนดกรอบการดำเนินงานในการคุ้มครองข้อมูลส่วนบุคคล แนวทางการเสริมสร้างความรู้ให้กับผู้ที่รับมอบหมาย “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer) และผู้ปฏิบัติงานที่เกี่ยวข้องตามกรอบ Privacy/Data Protection

กล่าวโดยสรุป การที่องค์กรจะสามารถปฏิบัติตามข้อกำหนดใน พ.ร.บ.ดังกล่าวได้อย่างถูกต้อง มีความจำเป็นต้องให้ความสำคัญไปยัง 3 เรื่องใหญ่ๆ ได้แก่ People, Process and Technology (PPT Concept)

ผู้บริหารระดับสูงและบุคลากรในองค์กรจำเป็นต้องทำความเข้าใจหลักการคุ้มครองข้อมูลส่วนบุคคล หรือ OECD Privacy Principles ทั้ง 8 ข้อให้ถ่องแท้

ในเรื่องของกระบวนการภายในองค์กร ควรมีการปรับเปลี่ยนให้สอดคล้องกับข้อกำหนดในตัวบทกฎหมาย และมีความจำเป็นอย่างยิ่งยวดที่ต้องนำเทคโนโลยีสารสนเทศมาใช้ในการป้องกันและปกป้องข้อมูลส่วนบุคคล

ไม่ว่าจะเป็นเรื่อง Pseudonymisation, Encryption of Personal Data ตลอดจนการจัดให้มี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer) ที่เป็นตำแหน่งงานถาวรในองค์กร

เพื่อให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตาม พ.ร.บ. ตลอดจนการประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งล้วนต้องการเวลาในการปฏิบัติงานจริง โดย พ.ร.บ. กำหนดเวลาไว้ให้เป็นระยะเวลาหนึ่งปีนับว่าน้อยมาก

ดังนั้นองค์กรควรเริ่มให้ความสำคัญกับเรื่องการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอย่างจริงจังนับตั้งแต่วันนี้