fbpx

9 คำถามที่ “ผู้บริหาร” ต้องตอบ เพื่อก้าวไปข้างหน้ากับ PDPA

ผู้บริหาร PDPA

นับตั้งกฎหมายประกาศในราชกิจานุเบกษา บุคคลที่ต้องตื่นตัวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) มากที่สุดกลุ่มหนึ่ง คงหนีไม่พ้นเหล่า “ผู้บริหาร” ขององค์กรต่าง ๆ ไม่ว่าจะเป็นภาครัฐหรือภาคเอกชน เนื่องจากภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล การละเมิดข้อมูลส่วนบุคคลในความดูแลขององค์กรส่งผลกระทบด้าน:

  • งบประมาณค่าใช้จ่าย ที่อาจถูกปรับทางปกครองไม่เกิน 5 ล้านบาท + ค่าชดเชยให้แก่ผู้เสียหายจากการละเมิด (ไม่เกิน 2 เท่าของค่าเสียหายตามจริง)
  • อาจมีคนโดนโทษทางอาญา ติดคุกไม่เกิน 1 ปี ส่งผลต่อการดำเนินกิจกรรมขององค์กร
  • ความน่าเชื่อถือขององค์กร และความไว้วางใจของประชาชน/ลูกค้าที่มีต่อองค์กรลดลง

องค์กรของคุณอาจล้ม ปั้มหัวใจไม่ฟื้นเลยก็เป็นได้ ในฐานะของผู้บริหารองค์กร คุณจะยอมให้เป็นเช่นนั้นภายใต้การดูแลของคุณหรือ???

คุณคือผู้บริหารขององค์กร เป็นนัยว่า คุณมีอำนาจในการสั่งการ ควบคุมหลาย ๆ อย่างในองค์กร ซึ่งรวมไปถึงเส้นทางการไหลของข้อมูลภายในองค์กร มาตรการการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล กำหนดว่าใครเป็นผู้รับผิดชอบหรือมีส่วนเกี่ยวข้องกับข้อมูล ใครมีสิทธิสามารถเข้าถึงข้อมูลส่วนใดบ้าง ฯลฯ ซึ่งล้วนแล้วแต่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล คุณจึงเปรียบเสมือนเป็น “ผู้ควบควบคุมข้อมูลระดับสูง” ที่มีอำนาจหน้าที่ในการดูแลการคุ้มครองข้อมูลส่วนบุคคลภาพใหญ่ขององค์กร ตลอดจนมีบทบาทเป็นผู้วางตัวผู้ควบคุมข้อมูลระดับรองและผู้ประมวลผลข้อมูล

“ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ตาม กฎหมายคุ้มครองข้อมูลข้อมูลส่วนบุคคล (PDPA, 2018)

  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และมีหน้าที่สำคัญอื่น ๆ ตามที่กฎหมายกำหนดไว้
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Controller) คือผู้ที่ดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูล (ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องไม่เป็นคนเดียวกัน)

อำนาจที่มากกว่า = ความรับผิดชอบที่มากกว่า = โทษที่รุนแรงกว่า หากมีการละเมิดข้อมูลส่วนบุคคลที่อยู่ในความดูแล ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลจะได้รับพิจารณาโทษในระดับที่ไม่เท่ากัน โดยผู้ควบคุมข้อมูลส่วนบุคคลจะได้รับโทษในระดับที่สูงกว่าผู้ประมวลผลข้อมูลส่วนบุคคล ในฐานะที่ไม่กำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลขององค์กรให้สอดคล้องกับกฎหมาย

9 คำถามที่ “ผู้บริหาร” ต้องถามตัวเอง

ผู้บริหารองค์กร ไม่ว่าท่านจะเป็น CEO CIO ผู้อำนวยการหน่วยงาน/สถาบัน หรือตำแหน่งอื่น ๆ ที่เกี่ยวข้อง จะต้องไม่ละเลยการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล มาทดลองตอบคำถาม 9 ข้อนี้ เป็น Guideline เพื่อพิจารณาความพร้อมของตัวคุณเองและองค์กรในการคุ้มครองข้อมูลส่วนบุคคลตาม PDPA กันดีกว่าครับ

  1. คุณเข้าใจภาระหน้าที่ต่อความเป็นส่วนตัวของบุคคล เข้าใจความเสี่ยงขององค์กร และมีแผนการจัดการที่สอดคล้องกับวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือไม่?
  2. คุณวางแผนและตัดสินใจเกี่ยวกับการใช้งานเทคโนโลยีที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างเป็นเหตุเป็นผล โดยมีกระบวนการขอความยินยอมที่จำเป็นจากเจ้าของข้อมูลเพื่อการเก็บรักษาและประมวลผลข้อมูลแล้วเรียบร้อย?
  3. คุณมองเห็นภาพได้อย่างชัดเจนว่า มีข้อมูลส่วนบุคคลอะไรบ้างที่องค์กรกำลังประมวลผล ใครเป็นผู้ประมวลผล ข้อมูลถูกเก็บไว้ที่ใด วัตถุประสงค์ของการประมวลผลของข้อมูลแต่ชุดคืออะไร? นอกจากนั้น เรามีประกาศนโยบายความเป็นส่วนตัวหรือสัญญาที่ชัดแจ้งโปร่งใสหรือไม่?
  4. คุณมั่นใจแค่ไหน ว่าองค์กรของคุณมีกระบวนการ/มาตรการพร้อมรับมือหากเกิดการละเมิดข้อมูลส่วนบุคคลที่อ้างอิงตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR และ PDPA ขึ้น?
  5. คุณได้กำกับดูแลแล้วหรือยังว่า ซัพพลายเออร์ของคุณซึ่งเป็น Third-Party มีมาตรการซึ่งปฎิบัติตามกฎหมาย ความเป็นส่วนตัว และความปลอดภัยทางข้อมูล เพื่อปกป้องผลประโยชน์ขององค์กร?
  6. องค์กรของคุณควรจะมี “เจ้าหน้าที่คุ้มครองข้อมูล” หรือ Data Protection Officer (DPO) ประจำหรือไม่?
  7. คุณเล็งเห็นว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิต่อข้อมูลส่วนบุคคลของตนเองเพิ่มสูงขึ้น และสามารถขอให้ดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลของตนเองที่เราเก็บไว้ได้หรือไม่?
  8. คุณเข้าใจผลกระทบของ PDPA และผลักดันให้ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ทั้งหมดเข้าใจหน้าที่ความรับผิดชอบของตนเองตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้วหรือยัง?
  9. คุณดำเนินการให้มีกระบวนการแก้ไข ถอนความยินยอม โอนย้าย ประมวลผลข้อมูล ที่โปร่งใสและสามารถตรวจสอบได้ทั้งจากภายในและภายนอกองค์กร แล้วหรือยัง?

จากการตอบคำถามทั้ง 9 ข้อที่กล่าวมาข้างต้น ผู้บริหารอย่างคุณคงประเมินได้แล้วว่า ตัวคุณเองและองค์กรภายใต้การดูแลของคุณเตรียมพร้อมรับมือกับ PDPA อยู่ในระดับใด มีจุดอ่อนจุดแข็งอะไรบ้าง ตลอดจนมองเห็นว่ามีจุดใดบ้างที่ต้องปรับปรุง เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลสอดคล้องกับกฎหมายและมีประสิทธิภาพสูงสุด

ถ้ายังมองไม่ออกเราช่วยได้ เพียงอบรมหลักสูตร PDPC – Personal Data Protection Certificate ที่มีเนื้อหาครอบคลุม GDPR กฎหมายคุ้มครองข้อมูลส่วนบุคคลแม่แบบจากยุโรป PDPC พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลของไทย และแนวทางการปฏิบัติตามกฎหมายทั้งสองฉบับ

สอบถามรายละเอียดเพิ่มเติม Inbox เข้ามาที่: PDPA Icdlthailand

ข้อมูลอ้างอิงจาก

Gravicus. (2018). GDPR – An Executive Summary for CEOs. Derived, September 10th, 2020, from: https://gdpr.report/wp-content/uploads/2018/03/Gravicus-whitepaper-GDPR-%E2%80%93-An-Executive-Summary-for-CEOs.pdf

X