พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA สร้างผลกระทบเชิงโครงสร้างการดำเนินงานขององค์กรในประเทศไทย เนื่องจากยุคสมัยนี้ แทบจะทุกองค์กรต่างมีข้อมูลไหลเข้า-ออก วนเวียนอยู่ภายใน แทรกตัวอยู่กับแทบทุกกระบวนการทำงาน เมื่อกฎหมายฉบับนี้ถูกบัญญัติขึ้น องค์กรจำเป็นต้องรู้และใส่ใจปรับตัวปฏิบัติตาม
หากไม่ทำตามคุณอาจต้องรับโทษปรับทางปกครองและแพ่ง แถมอาจถูกโทษทางอาญาต้องติดคุกด้วย รายละเอียด Click!
แม้รัฐบาลจะขยายเวลา บังคับใช้ PDPA ออกไปถึง 2 ปีเพื่อให้มีเวลาในการเตรียมตัว แต่หลาย ๆ องค์กรก็ยังปรับตัวไม่ทัน เพราะกระบวนการคุ้มครองข้อมูลส่วนบุคคลมีความซับซ้อน ต้องมองอย่างละเอียดและวางมาตรการในหลายด้าน ระหว่างนี้ภาคธุรกิจเริ่มปรับตัวตามตลาดด้าน “การคุ้มครองข้อมูลส่วนบุคคล” ที่เกิดขึ้นใหม่ และมีอุตสาหกรรม/บริการใหม่ ๆ ที่ช่วยอำนวยความสะดวกองค์กรในการทำตาม PDPA เกิดขึ้นตามหลังในหลายรูปแบบ หรือบางบริการที่มีอยู่แล้วก็ทวีความสำคัญมากขึ้นด้วยเช่นกัน ดังตัวอย่างตามรายการนี้
บริการฝึกอบรม (PDPA Training)
การอบรมเป็นตัวเลือกแรก ๆ ที่คนมักนึกถึง เพื่อทำความเข้าใจกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูล ตลอดจนแนวทางการดำเนินงานขององค์กร คนทั่วไปอาจไม่เข้าใจ PDPA เนื่องจากเป็นภาษาที่ยากและต้องมีการตีความ หรือแม้แต่นักกฎหมายเองที่ต้องการความสะดวกรวดเร็วก็อาจเลือกอบรมด้วยเช่นกัน
ปัจจุบันการอบรมมีทั้งรูปแบบออฟไลน์ คือ อบรมแบบในห้องเรียน และแบบออนไลน์ผ่านดิจิทัลแพลตฟอร์ม สถานการณ์ COVID-19 ที่มีความรุนแรงยิ่งทำให้การอบรมแบบออนไลน์ได้รับความนิยมมากขึ้น อย่างไรก็ตามขนาดขององค์กรยังคงเป็นปัจจัยหลักในการเลือกรูปแบบการอบรม องค์กรขนาดเล็กอาจคัดเลือกบุคลากรที่ได้รับมอบหมายให้เป็นผู้รับผิดชอบหลักในการปฏิบัติตาม PDPA ลงเรียนเพียงไม่กี่คนผ่านระบบออนไลน์ (ซึ่งจะใช้งบประมาณไม่มาก) ส่วนองค์กรขนาดใหญ่ที่มีผู้เกี่ยวข้องจากหลาย ๆ ฝ่าย อาจจัดอบรมในระดับองค์กรแบบ Face-to-Face เจอหน้ากันตัวเป็น ๆ หรือแบบออนไลน์ผ่าน Video Conference
การอบรมช่วยให้คุณเข้าใจภาพรวมของ PDPA มากขึ้น แต่การทำจริงตามกฎหมายอาจเกิดความสับสน มีหลายแง่มุม เรียงลำดับความสำคัญและขั้นตอนได้ยาก ซึ่งหลาย ๆ ครั้งคุณอาจต้องการตัวช่วยอย่างธุรกิจในข้อถัดไปครับ
ที่ปรึกษาและผู้ตรวจสอบ (Compliance Consultant/Auditor)
“ทุกองค์กร” มีหน้าที่ต้องปรับเปลี่ยนกระบวนการทำงาน วางมาตรการรับมือและแจ้งเตือน จัดการด้านเอกสาร ฯลฯ เพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยหลายแห่งมีทีมนักกฎหมายที่สามารถจัดการตัวเองได้อยู่แล้ว แต่หากคุณมีปัญหาในการเริ่มต้น ทำไปแล้วรู้สึกติดขัด เกิดไม่มั่นใจกับสิ่งที่ได้ดำเนินการไปเรียบร้อยแล้ว ก็ต้องหาคนมาช่วยแล้วล่ะครับ
เชื่อว่าหลายองค์กรมีปัญหาแบบข้างต้น ธุรกิจที่ปรึกษาและผู้ตรวจสอบด้าน PDPA จึงเกิดขึ้นเพื่อตอบสนองความต้องการในด้านนี้ โดยมีบริษัทและผู้เชี่ยวชาญทางด้านกฎหมายตัวนี้เริ่มออกมาให้บริการ “รับทำ PDPA” กันอย่างมากหน้าหลายตา
การจ้างที่ปรึกษาและผู้ตรวจสอบไม่ได้หมายความว่าคุณเองไม่ต้องทำอะไร สองบริการนี้เป็นเพียงตัวช่วยอำนวยความสะดวก ชี้แนะแนวทาง และตรวจดูให้คุณแน่ใจว่าได้ทำตามกฎหมายอย่างถูกทาง เพราะคนในองค์กรรู้ดีที่สุดว่ามีข้อมูลส่วนบุคคลไหลเวียนอยู่ในจุดใด การคุ้มครองข้อมูลส่วนบุคคลที่ดีใกล้เคียงความสมบูรณ์แบบที่สุดจะต้องเกิดจากความร่วมมือระหว่างที่ปรึกษาและบุคลากรภายในองค์กร
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภายนอก (Outsource DPO)
Data Protection Officer (DPO) คือ “เจ้าหน้าคุ้มครองข้อมูลส่วนบุคคล” ผู้เชี่ยวชาญที่มีหน้าที่ให้คำแนะนำองค์กร และคอยดูแลการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลขององค์กรให้สอดคล้องกับกฎหมาย เป็นตำแหน่งงานใหม่ที่เกิดขึ้นมาพร้อมกับ PDPA (มาตรา 41-42) ซึ่งหลาย ๆ คนให้ความสนใจ เนื่องจากเป็นงานที่ท้าทายและรายได้สูงพอตัวเลยทีเดียว
หลายองค์กรจำเป็นต้องมี DPO ประจำตามกฎหมายกำหนด โดยอาจเป็นเจ้าหน้าที่ภายในองค์กรที่เข้ามารับตำแหน่งนี้หรือจัดจ้างบุคคล/นิติบุคคลจากภายนอกก็ได้ จึงมีหน่วยงาน/สถาบันออกมาจัดหลักสูตรอบรมเพื่อผู้ที่ต้องการเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ประกอบกับการออกวุฒิบัตรรับรองความสามารถ ด้านผู้เชี่ยวชาญ PDPA บางกลุ่มก็เปิดรับจ้างเป็น DPO ให้กับองค์กรในลักษณะฟรีแลนซ์หรือการบริการโดยบริษัทด้วยเช่นกัน (หลายแห่งพ่วงบริการที่ปรึกษา PDPA และ Outsource DPO ไว้ใน Package เดียวกัน) องค์กรไหนสนใจบริการรูปแบบนี้ก็สามารถลองเสิร์ชหาดูได้ครับ
อย่างไรก็ตาม เงื่อนไขคุณสมบัติของผู้ที่เป็น DPO และการออกใบรับรองอย่างเป็นทางการ ต้องรอทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนดออกมาอีกครั้ง
ฟอร์ม/ปลั๊กอินสำเร็จรูป (Readymade Form and Plug-in)
การดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างครบวงจร จะต้องมีส่วนของเอกสารที่แจ้งต่อเจ้าของข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพวกเขา ซึ่งเริ่มมีธุรกิจจำพวก Template เอกสารสำเร็จรูปหรือ Plug-in ข้อความอัตโนมัติต่าง ๆ ให้เราเลือกซื้อและดาวน์โหลดมาใช้งาน เพื่อช่วยให้การทำ PDPA ง่ายและประหยัดเวลามากขึ้น ไม่ต้องทำเองทุกขั้นตอน โดยมีตัวอย่างให้คุณได้เลือกใช้บริการดังนี้
- แบบฟอร์มขอความยินยอมประมวลผลข้อมูลส่วนบุคคล (Consent Form)
- นโยบายความเป็นส่วนตัว (Privacy Policy)
- ประกาศความเป็นส่วนตัว (Privacy Notice)
- สัญญาการประมวลผล (Data Processing Agreement) ระหว่างผู้ควบคุมข้อมูลกับผู้ประมวลผลข้อมูล กำหนดไม่ให้ผู้ได้รับการจัดจ้างกระทำผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล
- ปลั๊กอินแบบฟอร์ม/แบนเนอร์ขอความยินยอมในการใช้คุกกี้เมื่อเข้าสู่เว็บไซต์ (Cookies Consent Plug-in)
- แบบฟอร์ม & ปลั๊กอินอื่น ๆ
อย่างไรก็ตาม คุณต้องทบทวน/ปรับปรุงแบบฟอร์มและปลั๊กอินให้สอดคล้องกับการดำเนินการคุ้มครองข้อมูลส่วนบุคคลจริงขององค์กร ซึ่งแต่ละแห่งจะมีความแตกต่างกัน
ผู้ให้บริการจัดเก็บข้อมูลระบบคลาวด์ (Cloud Storage)
ประเด็นด้านการคุ้มครองข้อมูลส่วนบุคคลกับการรักษาความมั่นคงปลอดภัยของข้อมูลมีความสัมพันธ์กัน หากปราศจากสถานที่เก็บข้อมูลขององค์กรที่ปลอดภัยไว้ใจได้ ข้อมูลส่วนบุคคลที่อยู่ในความดูแลก็คงเสี่ยงที่จะถูกละเมิด
หลายองค์กรอาจเลือกเก็บข้อมูลไว้ในตู้เก็บเอกสาร แถมล็อกประตูตู้และห้องเก็บอีกชั้นเพื่อความปลอดภัย แต่ลองนึกดูนะครับว่าการเก็บข้อมูลแบบ Traditional ยากลำบากเพียงใดในยุคที่มีข้อมูลจำนวนมหาศาลขนาดนี้ คุณต้องมีห้องเก็บเอกสารขนาดใหญ่เท่าใด? แถมหากเกิดเหตุไฟไหม้ น้ำท่วม ข้อมูลจะมีโอกาสเสียหายหรืออาจหลุดรั่วไปยังที่อื่น เพราะเหตุเหล่านี้ องค์กรต่าง ๆ จึงเริ่มหันมาใช้บริการจัดเก็บข้อมูลบนระบบคลาวน์ (Cloud Storage)
ระบบจัดเก็บข้อมูลแบบก้อนเมฆไม่ใช่สิ่งใหม่ แต่คาดว่าจะได้รับความนิยมมากขึ้นจากการ บังคับใช้ PDPA เพราะช่วยให้การคุ้มครองข้อมูลส่วนบุคคลของคุณมีประสิทธิภาพมากขึ้น นอกจากแง่ของความมั่นคงปลอดภัยทางไซเบอร์แล้ว การบริหารจัดการข้อมูลส่วนบุคคลภายใต้กฎหมายยังง่ายอีกด้วย เพราะคุณสามารถเพิ่มพื้นที่ฝากข้อมูลเท่าไหร่ก็ได้ สามารถส่งข้อมูลหลังจากได้รับจากเจ้าของข้อมูลส่วนบุคคลไปยังสถานที่เก็บข้อมูลได้อย่างรวดเร็วโดยไม่ผ่านมือของบุคลากรหลายคน สามารถกำหนดสิทธิและระดับการเข้าถึงข้อมูลของบุคลากรแต่ละคนได้ ฯลฯ เรียกได้ว่าเป็น Solution หนึ่งของการคุ้มครองข้อมูลส่วนบุคคลขององค์กร ที่คุณเองก็ควรพิจารณาใช้งาน
……………………..
PDPA อาจมีอิทธิพลต่ออีกหลายบริการที่ผู้เขียนไม่ได้นึกถึง อย่างไรก็ตาม เชื่อว่าหลายองค์กรที่ยังไม่ได้ทำตามกฎหมาย/ทำตามกฎหมายยังไม่เสร็จสมบูรณ์ และต้องการตัวช่วยด้านการคุ้มครองข้อมูลส่วนบุคคล จะมองเห็นลิสต์รายการข้างต้นมีประโยชน์ และเลือกใช้บริการที่เหมาะสมกับองค์กรของคุณ
