PDPA เลื่อน บังคับใช้ … ชะลอหรือไปต่อ? (แถม Step การคุ้มครองข้อมูล)

PDPA เลื่อน

ขยายเวลาก่อนการบังคับใช้ติด ๆ กันถึงสองครั้ง สำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรารู้จักกันดีในนาม PDPA ครั้งแรกในปี 2563 และครั้งที่สองในปี 2564 จนปัจจุบันมีกำหนดเริ่มบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 โดยอ้างเหตุผลถึงความไม่พร้อมของหลาย ๆ ภาคส่วนสืบเนื่องจากสถานการณ์การระบาดของเชื้อไวรัสโคโรน่า (Covid-19) จึงต้องให้เวลาในการเตรียมตัวดำเนินการคุ้มครองข้อมูลส่วนบุคคลเพิ่ม

น่าสังเกตว่า การจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่ล่าช้า ส่งผลให้การออกประกาศคณะกรรมการฯ ซึ่งเป็นข้อกำหนดและแนวทางต่าง ๆ สำหรับองค์กรมีความล่าช้าและไม่ชัดเจนด้วยเช่นกัน บางองค์กรอาจหลงทาง สับสน จึงไม่สามารถดำเนินการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายได้ทันเวลาตามกำหนดการเดิม

คำถามคือ คุณจะทำตัวแบบไหนเมื่อ PDPA เลื่อน ออกไป

องค์กรที่ทำ Data Protection ตามกฎหมายแล้วถือว่าคุณรวดเร็วทันสถานการณ์ ขอให้คอยอัปเดตและปรับปรุงกระบวนการคุ้มครองข้อมูลส่วนบุคคลให้ได้มาตรฐานอยู่เสมอ อาจมีการปรับเปลี่ยนตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนดในบางกรณี

ส่วนหลายองค์กรที่ยังไม่ได้เตรียมตัวด้านการคุ้มครองข้อมูลส่วนบุคคล หรือจัดการยังไม่สำเร็จ อาจรู้สึกผ่อนคลาย ปล่อยการจัดการในด้านนี้ไว้ก่อนเนื่องจากมองเห็นว่ายังมีเวลา และเป็นเรื่องรองจากกิจวัตรการบริหารองค์กรประจำวัน อย่างไรก็ตาม จากประสบการณ์ด้านที่ปรึกษา PDPA ของเรา พบว่า การดำเนินงานตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับนี้อย่างครบวงจรในทุกมิติอาจใช้ระยะเวลายาวนานประมาณ 4 – 6 เดือน ขึ้นอยู่กับความซับซ้อนของโครงสร้างและขนาดของข้อมูลที่ไหลเวียนขององค์กร โดยจำเป็นต้องมีการส่งถ่ายข้อมูลและประชุมระหว่างกันอย่างต่อเนื่อง

นั่นหมายความว่า องค์กรขนาดกลาง – ใหญ่ หรือมีข้อมูลส่วนบุคคลจำนวนมากในความดูแลอาจต้องใช้เวลาเตรียมตัวนาน ระยะเวลาเตรียมตัว ½ ปีอาจไม่เพียงพอ คุณควรเริ่มดำเนินงานด้าน PDPA ตั้งแต่วันนี้ ไม่ควรรอเวลาจนเจียนตัว แม้ PDPA เลื่อน บังคับใช้บางส่วนของกฎหมายออกไป

PDPA เลื่อน

PDPA Tips: ตัวอย่างเอกสารและแนวทางที่เคยทำมาของ General Data Protection Regulation (GDPR) หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป ซึ่งเป็นกฎหมายแม่แบบ และการตีความจากตัว PDPA ของไทย เชื่อว่า เป็น 2 ตัวช่วยให้องค์กรสามารถดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลได้ล่วงหน้าและใกล้เคียงกับกฎหมายลำดับรอง (ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) ซึ่งมีลักษณะเป็นข้อกำหนด/ข้อบังคับ/แนวทางที่ละเอียดลึกลงไป ที่กำลังจะออกตามมาในอนาคต

และหากยังไม่ทำตาม PDPA เรามีสรุปขั้นตอนที่องค์กรของคุณควรต้องทำเพื่อตอบโจทย์กฎหมายตัวนี้มาฝากครับ

5 Step คุ้มครองข้อมูลส่วนบุคคลตาม PDPA

1. จัดตั้งคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล

คุณควรเริ่มต้นด้วยการจัดตั้งคณะทำงานเพื่อดำเนินงานเรื่องการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ จากหลาย ๆ หน่วยงานในองค์กร ไม่ว่าจะเป็นฝ่ายทรัพยากรบุคคล ฝ่ายขายและการตลาด ฝ่ายแอดมิน ฝ่ายบัญชี ฝ่ายกฎหมาย ฝ่ายเทคโนโลยีสารสนเทศ (IT) ฯลฯ ที่เกี่ยวข้องและมีข้อมูลผ่านมือ เพราะการทำตามกฎหมายอย่าง PDPA ต้องไปพร้อม ๆ กัน เปลี่ยนแปลงอย่าง Synergized กันทั้งองค์กร ไม่ใช่เฉพาะฝ่ายไอทีหรือกฎหมายที่เป็นผู้รับผิดชอบหลักอย่างที่หลาย ๆ คนเข้าใจ

นอกจากนี้ ผู้ที่ร่วมเป็นคณะทำงานฯ ควรมีตำแหน่งระดับหัวหน้างานหรือผู้บริหาร หรือเป็นบุคคลที่มีอำนาจในการสั่งการเปลี่ยนแปลง

2. สำรวจข้อมูลส่วนบุคคลและประเมินความเสี่ยง

ก่อนจะสามารถคุ้มครองได้ คุณจะต้องสำรวจให้รู้ก่อนว่ามีข้อมูลส่วนบุคคลใดบ้างที่ไหลเวียนและเก็บรักษาอยู่ภายในองค์กร รวมถึงการส่งออกและรับเข้ามาจากองค์กรหรือบุคคลภายนอก และจัดทำ Data Flow Diagram และ Data Inventory Mapping หรือ Record of Processing Activities (ROPA) เพื่อให้มองเห็นภาพรวมและรายละเอียดของข้อมูลที่มีอยู่ภายในองค์กรได้อย่างชัดเจน แล้วค่อยดำเนินการต่อด้วย Data Protection Impact Assessment (DPIA) ประเมินดูว่าข้อมูลส่วนบุคคลที่องค์กรเกี่ยวข้องชุดใดผ่านเกณฑ์หรือตกอยู่ในความเสี่ยง ซึ่งคุณจะต้องมีกระบวนการแก้ไข คิดใหม่ทำใหม่ให้ความเสี่ยงดังกล่าวลดลง

3. วางระบบ/มาตรการคุ้มครองข้อมูลส่วนบุคคล

คณะทำงาน/องค์กรจะต้องวิเคราะห์และวางแผนว่ามีความจำเป็นต้องจัดทำ จัดหา หรือปรับปรุงสิ่งใดเพิ่มเติมบ้าง เพื่อวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีประเด็นที่ควรให้ความสำคัญตามลิสต์รายการคร่าว ๆ ดังนี้

  • วางมาตรการการจัดการตามกำหนดกฎหมาย (PDPA Compliance Management) เช่น การจัดการเอกสาร การเก็บข้อมูล การเข้ารหัสข้อมูลให้มีความปลอดภัย การจัดลำดับสิทธิ์ของผู้ที่สามารถเข้าถึงข้อมูลได้ เป็นต้น
  • ปรับปรุงและทำสัญญาการประมวลผล เพื่อควบคุมการดำเนินงานประมวลผลข้อมูลส่วนบุคคลของบุคคลหรือองค์กรอื่นที่คุณมอบหมาย โดยผู้ประมวลผลข้อมูลส่วนบุคคลต่อจากคุณควรมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ทัดเทียมได้มาตรฐานเช่นกัน
  • ปรับใช้ระบบรักษาความมั่นคงปลอดภัยทางข้อมูล (IT Security) ที่เหมาะสมและได้มาตรฐาน
  • เพิ่มระบบ ช่องทางการเข้าถึง และโฟลวงานเพื่อรองรับการใช้สิทธิของเจ้าของข้อมูล
  • จัดให้มีมาตรการรับมือเมื่อเกิดการละเมิด เช่น ข้อมูลรั่วไหล โดยต้องแจ้งเตือนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงหลังเกิดเหตุ และแจ้งเจ้าของข้อมูลส่วนบุคคลโดยเร็วที่สุด
  • กำหนดผู้ที่เป็น Contact Point ด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร และ/หรือแต่งตั้ง DPO สำหรับบางองค์กรที่มีความจำเป็นตามกฎหมาย
  • ร่างและจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Data Protection Policy / Privacy Policy) ขององค์กร เพื่อให้มีแนวทางการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน บุคลากรเห็นและรับรู้ร่วมกัน
  • อื่น ๆ ที่เกี่ยวข้อง

4. ประกาศให้เจ้าของข้อมูลรู้ว่าทำตามกฎหมาย

หลังวางระบบและมาตรการคุ้มครองข้อมูลส่วนบุคคลภายใน (และกับคู่ค้า) เรียบร้อย องค์กรลงประกาศความเป็นส่วนตัว (Privacy Notice) ผ่านช่องทางที่เก็บรวบรวมข้อมูลจากเจ้าของข้อมูลส่วนบุคคล โดยระบุวัตถุประสงค์ของการประมวลผล มาตรการคุ้มครองข้อมูลที่องค์กรปรับใช้ (ตามที่ได้วางแผนไว้ในข้อที่แล้ว) ตลอดจนสิทธิของเจ้าของข้อมูล และช่องทางการติดต่อเพื่อขอใช้สิทธิฯ โดยหากปราศจากฐานการประมวลผลอื่น ๆ ตามกฎหมาย คุณจะต้องจัดทำแบบฟอร์มขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแนบ ด้วยภาษาที่เข้าใจง่ายและแยกส่วนชัดเจน

การประกาศความเป็นส่วนตัวนอกจากจะเป็นการโชว์ Accountability ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้ว ยังมีผลต่อชื่อเสียงความน่าเชื่อถือขององค์กร ว่าผู้ที่เข้ามาติดต่อจะได้รับการคุ้มครองด้านข้อมูลอย่างแน่นอน

5. สร้างวัฒนธรรมด้านการคุ้มครองข้อมูลส่วนบุคคล

สุดท้ายนี้ เมื่อดำเนินการตาม PDPA ครบเรียบร้อยแล้ว องค์กรควรให้ความสำคัญกับการอบรมบุคลากรขององค์กร ให้เข้าใจและเคยชินกับการคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะผู้ที่เกี่ยวข้องโดยตรงกับกระบวนการด้านข้อมูล จนกลายเป็น “วัฒนธรรมใหม่” ขององค์กร เพื่อที่ทุกคนจะได้ร่วมด้วยช่วยกัน ลดอัตราการละเมิดอันเนื่องมาจากความผิดพลาดภายในองค์กรให้น้อยที่สุด

PDPA เลื่อน

เชื่อว่า 5 ขั้นตอนนี้จะช่วยให้คุณเห็นภาพรวมของการดำเนินงานตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลแล้วครับ

ทั้งหมดนี้เป็นเพียง Guideline แนะนำแนวทางเบื้องต้นในการทำตาม PDPA เท่านั้น การดำเนินการตามกฎหมายมีรายละเอียดเชิงลึกอีกมาก หากไม่มั่นใจ คุณควรปรึกษาผู้เชี่ยวชาญทางด้านการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีความรู้ด้านกฎหมายและสามารถปรับประยุกต์ใช้องค์ความรู้กับกระบวนการทำงานจริงของแต่ละองค์กร

และอย่าลืมว่ากระบวนการคุ้มครองข้อมูลส่วนบุคคลแบบครบวงจรอาจต้องใช้เวลานาน (หลายเดือน) จึงไม่ควรรอช้าครับ

สถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) และบริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด มีบริการรับให้คำปรึกษาด้าน PDPA สำหรับองค์กรที่ยังไม่พร้อมด้านการคุ้มครองข้อมูลส่วนบุคคล มีบริการตรวจสอบการดำเนินงาน (PDPA Compliance Audit) ตลอดจนบริการอบรมพร้อมสอบในรูปแบบองค์กรและส่วนตัว

สนใจสามารถดูรายละเอียดหรือสอบถามได้ที่ pdpa.online.th เฟซบุ๊ก PDPA Thailand หรือไลน์ PDPA Thailand by DBC