เลื่อน !! PDPA กฎหมายคุ้มครองข้อมูลส่วนบุคคล เริ่มใช้ปี 65 พร้อมแนวทางการรับมือของภาคธุรกิจ

    คณะรัฐมนตรี (ครม.) มีมติเห็นชอบออกพระราชกฤษฎีกา ขยายเวลาบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ไปอีก 1 ปี โดยจะเริ่มใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ส่งผลกระทบต่อประชาชนทั่วไปในฐานะเจ้าของข้อมูล (Data Subject) เรามาดูกันว่าภาคธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จะมีแนวทางการรับมือเรื่องนี้อย่างไรได้บ้าง

การเลื่อนในครั้งนี้อาศัยตามอำนาจพระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (ฉบับที่ 2) พ.ศ.2564 ในส่วนที่กำหนดระยะเวลาใช้บังคับ ทำให้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะมีผลใช้บังคับในวันที่ 1 มิถุนายน 2565 คลิกอ่านพระราชกฤษฎีกา http://www.ratchakitcha.soc.go.th/DATA/PDF/2564/A/032/T_0001.PDF

ผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล (Data Subject)

ข้อมูลส่วนบุคคล อย่างเช่น ชื่อ-นามสกุล โทรศัพท์ เลขที่บัญชีธนาคาร เชื้อชาติ ข้อมูลสุขภาพ ลายนิ้วมือ ที่เราทุกคนในฐานะที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมให้องค์กรภาคธุรกิจรวบรวมหรือนำไปใช้ตามวัตถุประสงค์ที่แจ้งเราไป ซึ่งจะยังไม่ได้รับความคุ้มครองตามกฎหมาย PDPA เนื่องจากว่ากฎหมาย PDPA จะยังไม่มีผลบังคับใช้อย่างเต็มรูปแบบไปจนถึง 1 มิถุนายน 2565 นั่นหมายความว่าโทษทางอาญา แพ่ง หรือทางปกครองจะยังไม่ถูกนำมาใช้หรือยังไม่มีบทลงโทษใดๆ ตาม PDPA

ยกตัวอย่างง่ายๆ ถ้ามีอีเมลโฆษณาขายสินค้าโดยที่เราก็ไม่มั่นใจว่าเคยให้ความยินยอมหรือไม่ หรือจู่ๆ ก็มีบริษัทฟิตเนสโทรมาชวนสมัครสมาชิกโดยที่เราก็ไม่แน่ใจอีกว่าฟิตเนสไปเอาเบอร์โทรศัพท์หรือข้อมูลสุขภาพของเรามาจากไหน หรือองค์กรบางแห่งอาจจะยังคงไม่ปฏิบัติตามหลัก PDPA อย่างสมบูรณ์เช่น ไม่ได้แจ้งขอเปิดเผยข้อมูลกับองค์กรที่จ้างทำการตลาด ซึ่งผลที่ตามมาคือ เจ้าของข้อมูลก็จะยังฟ้องร้องเอาผิดตาม PDPA ไม่ได้

เหตุการณ์เหล่านี้อาจเกิดขึ้นซ้ำๆ จนกว่า PDPA จะเริ่มบังคับใช้เต็มรูปแบบในปีหน้า เจ้าของข้อมูลจึงจะฟ้องร้องเอาผิดตาม PDPA ได้ อย่างไรก็ตาม ถ้าข้อมูลส่วนบุคคลของเราถูกละเมิดจริงๆ ก็ยังฟ้องร้องหรือเรียกค่าเสียหายตามกฎหมายอื่นได้เท่าที่เจ้าของข้อมูลจะพิสูจน์ความเสียหายที่เกิดขึ้นได้จริง แต่นั่นก็ยังมีความยากลำบาก ไม่สะดวกเท่ากับการพิสูจน์ความผิดตาม PDPA ที่องค์กรธุรกิจที่ดูแลข้อมูลของเรามีหน้าที่เป็นผู้พิสูจน์ความผิดนั้นเอง

ผลกระทบต่อผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

เมื่อมีการเลื่อน PDPA ออกไปอีก 1 ปี นั่นจะทำให้องค์กรธุรกิจในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลที่มีหน้าที่รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้ามีเวลาเตรียมตัวมากขึ้น ทั้งในแง่ของการเตรียมระบบ Data Security ให้ปลอดภัยมากยิ่งขึ้น อีกทั้งเตรียมเอกสารแนวทางปฏิบัติและเอกสารที่จำเป็นตามกฎหมาย รวมถึงเตรียมบุคลากรที่มีความเชี่ยวชาญพร้อมกับสร้างทักษะให้กับพนักงานในองค์กรด้วย

ปฏิบัติตาม PDPA ง่ายๆ เอกสารครบจบในขั้นตอนเดียวที่ PDPA Prokit และอย่าลืมการคำนึงถึง Privacy Policy หรือนโยบายความเป็นส่วนบุคคล ที่ได้มาตรฐาน คุณมั่นใจได้ว่าจะไม่พลาดอะไรไปกับ PDPA Pro

นอกจากนี้การแจ้งขอความยินยอมกับเจ้าของข้อมูลก็สำคัญไม่แพ้กัน เพื่อให้องค์กรขอ Cookie consent ได้อย่างถูกต้อง แจ้งขอใช้ Cookie ผ่าน Cookie Wow ได้เลย

    ในระหว่างนี้ องค์กรยังคงต้องปฏิบัติตามมาตรฐานรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่กระทรวงดิจิทัลฯ กำหนดไว้ ซึ่งในส่วนของประกาศนี้ไม่ได้รับการเลื่อนออกไปแต่อย่างใด โดยใจความสำคัญที่องค์กรยังต้องปฏิบัติตามมาตรฐานมีอยู่ 3 ข้อ ดังนี้

1. เก็บรักษาข้อมูลไห้เป็นความลับ (confidentiality) ถูกต้องครบถ้วน (integrity) และมีสภาพพร้อมใช้งาน (availability) เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต

2. สร้าง Awareness ด้าน Data Privacy ให้กับบุคลากรในองค์กร หากใครยังไม่เข้าใจ สามารถเรียนรู้ออนไลน์กับนักกฎหมายเพิ่มเติมกันได้ที่ LearnPDPA

3. ทำมาตรการป้องกันในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access control) โดยอย่างน้อยต้องมีวิธีการดังนี้

• ควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผล เช่น การใช้ Firewall หรือทำ Network security
• กำหนดการอนุญาตหรือสิทธิในการเข้าถึงข้อมูลส่วนบุคคล เช่น การจัดแบ่งชั้นความลับหรือความสำคัญของข้อมูล เพื่อให้บุคลากรในแต่ละตำแหน่งมีสิทธิเข้าถึงข้อมูลได้ต่างกันตามหน้าที่
• บริหารจัดการการเข้าถึงของผู้ใช้งาน (User access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว เช่น การใช้ Authentication การเข้ารหัส Encryption หรือการใช้ Biometrics เพื่อยืนยันตัวตน
• กำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต เช่น การตั้ง Password หรือ log in ส่วนตัว รวมถึงระบบ SSL
• ให้มีวิธีการตรวจสอบย้อนหลังการเข้าถึงข้อมูลส่วนบุคคลได้ เช่น การเก็บ Logs และ Records
  
     

การที่องค์กรปฏิบัติตาม PDPA ไม่ใช่สิ่งที่ต้องทำเพียงเพราะกฎหมายบังคับไว้เท่านั้น แต่เป็นสิ่งที่ทุกองค์กรต้องให้ความสำคัญ เพราะการช่วยคุ้มครองข้อมูลส่วนบุคคลของลูกค้า เพื่อไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว ถือว่าเป็นการปกป้องเจ้าของข้อมูลนั้นๆ ให้มีความปลอดภัยในชีวิตและทรัพย์สิน และถ้าหากข้อมูลถูกละเมิดก็มีมาตรการเยียวยาที่เหมาะสม ดังนั้น PDPA จึงมีบทบาทสำคัญที่จะทำให้องค์กรที่ปฏิบัติตามมีความน่าเชื่อถือและลูกค้าเกิดความไว้เนื้อเชื่อใจที่จะซื้อสินค้าหรือใช้บริการกับองค์กรมากยิ่งขึ้น

    แน่นอนว่ายังมีเวลาอีก 1 ปีก่อนที่ PDPA จะบังคับใช้เต็มรูปแบบ องค์กรที่เริ่มศึกษาและเตรียมความพร้อมกับ PDPA แต่เนิ่นๆ ถือว่าได้เปรียบ และยังถือว่าเป็นการป้องกันความเสียหายจากการที่ข้อมูลถูกละเมิดซึ่งจะทำให้องค์กรต้องเสียค่าปรับหรือต้องชดใช้ค่าสินไหมทดแทนอีกด้วย ด้วยความที่ PDPA มีรายละเอียดค่อนข้างมาก การให้ผู้เชี่ยวชาญช่วยดูแลให้คำปรึกษาทั้งข้อกฎหมายและจัดทำ PDPA แบบครบวงจร ด้วย www.pdpacore.com จะช่วยให้องค์กรประหยัดทั้งทรัพยากรบุคคลและเวลา จึงมั่นใจได้ว่าองค์กรของคุณจะปฏิบัติตาม PDPA ได้อย่างถูกต้องแน่นอน