11 ธันวาคม 2564
3,323

เตรียมตัวอย่างไร เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) บังคับใช้กลางปีหน้า

เตรียมตัวอย่างไร เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) บังคับใช้กลางปีหน้า
Highlight
  • PDPA ย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลกระทบต่อผู้ประกอบการในยุคดิจิทัล
  • PDPA จะมีผลบังคับใช้เต็มรูปแบบเดือนมิถุนายน 2565 ทุกหน่วยงานต้องวางระบบการจัดการข้อมูลทุกชนิดไม่ให้ไปละเมิดข้อมูลส่วนบุคคล
  • แม้ว่าชื่อของ พ.ร.บ. ทำให้มองไปที่ “การคุ้มครอง” ข้อมูลส่วนบุคคล แต่ใจความสำคัญของกฎหมายฉบับนี้ กลับมุ่งเน้นไปที่องค์กร หน่วยงาน หรือนิติบุคคลให้มี “มาตรฐาน” เพื่อการจัดการข้อมูลส่วนบุคคลอย่างเหมาะสม


ภายในเดือนมิถุนายนปี 2565 ทุกบริษัทจะอยู่ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยต้องวางระบบการบริหารจัดการข้อมูลต่าง ๆ ไม่ให้ไปละเมิดข้อมูลส่วนบุคคลของลูกค้าหรือผู้มาติดต่อ

บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด เป็นหนึ่งในบริษัทที่ได้รับสิทธิ Master License เป็นผู้ให้คำปรึกษา อบรมให้ความรู้ และทำหน้าที่ตรวจสอบระบบเพื่อออกใบประกาศ ซึ่งนับเป็นโอกาสของธุรกิจที่จะเติบโตต่อไปในอนาคต

"SME Talk" สัมภาษณ์ ดร.อุดมธิปก ไพรเกษตร กรรมการผู้จัดการ บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด พูดคุยถึงความหมาย ความสำคัญของ "กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)" ที่จะบังคับใช้เต็มฉบับในกลางปีหน้า เพื่อเตรียมความพร้อมให้ทุกธุรกิจปรับตัวตามให้ทัน

ความเป็นมาและบริการของบริษัท

ผมจัดตั้งบริษัทนี้เพราะเห็นว่าดิจิทัลเป็นเรื่องสำคัญ จากภูมิหลังที่เคยทำงานที่ปรึกษามาก่อน ดังนั้นมาเปิดบริษัทเป็นที่ปรึกษาน่าจะดีที่สุด แรกๆ เน้นการให้คำปรึกษาเรื่อง Digital Marketing, Digital Business Model, e-Commerce และเมื่อประมาณ 3 ปีที่แล้วก็มาให้คำปรึกษาเรื่อง PDPA - กฎหมายคุ้มครองข้อมูลส่วนบุคคล

ธุรกิจให้คำปรึกษาด้าน PDPA กำลังเป็นธุรกิจหลักของบริษัท ที่ความจริงประกาศใช้ มาตั้งแต่เมื่อเดือนพฤษภาคมปี 2563 แต่ว่ากฎหมายเลื่อนการบังคับใช้มาเป็นเวลา 2 ปีแล้ว และยังไม่ครอบคลุมทุกธุรกิจ

แต่ภายในเดือนมิถุนายนปีหน้า ทุกธุรกิจต้องปฏิบัติตาม เพราะฉะนั้นงานของบริษัทจึงเน้นมาที่ PDPA เป็นหลัก นอกเหนือจากการให้คำปรึกษาเรื่องอื่นๆ ข้างต้น

20211211-a-01

ทำความเข้าใจ PDPA - กฎหมายคุ้มครองข้อมูลส่วนบุคคล

PDPA ย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลกระทบต่อผู้ประกอบการในยุคดิจิทัล ใจความสำคัญของกฎหมายฉบับนี้ มุ่งเน้นไปที่องค์กร หน่วยงาน หรือนิติบุคคลให้มี “มาตรฐาน” ทั้งนี้เพื่อป้องกันความเสี่ยงที่จะมีผลกระทบไปถึงการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล ที่อาจก่อให้เกิดผลกระทบเชิงลบหรือความเสียหายในระดับบุคคลหรือองค์กร

นอกจากนี้ PDPA เป็นกฎหมายด้านการคุ้มครองที่มีหลายมิติ มิติแรกเป็นการคุ้มครองผู้บริโภค เพราะมองว่าข้อมูลเป็นทรัพย์สินที่สำคัญที่สุดของผู้บริโภค ข้อมูลส่วนบุคคลเป็นส่วนที่ได้รับการคุ้มครอง ไม่ใช่ว่าใครก็ได้จะนำข้อมูลนี้ไปใช้ โดยที่เจ้าของข้อมูล ซึ่งก็คือประชาชนไม่อนุญาต

อีกฝั่งหนึ่ง PDPA ถือ เป็นกฎหมายกีดกันทางการค้า ที่เริ่มต้นจากฝั่งยุโรปชื่อ GDPR ที่ออกมาเพื่อคุ้มครองพลเมืองของสหภาพยุโรป เพราะถ้าหากใครไม่มีกฎหมายตัวนี้จะไม่ร่วมกิจกรรมด้วย และถ้าใครละเมิดข้อมูลในกฎหมายของเขา ก็จะถูกปรับ เช่น ที่เฟซบุ๊กโดนปรับ กูเกิ้ลโดนปรับ 

ขณะที่อีกด้านหนึ่ง เป็นกฎหมาย IT ที่จะพัฒนาสังคมไปสู่ดิจิทัล อดีตที่ผ่านมาการเก็บข้อมูลด้วยมือ มีโอกาสที่จะถูกละเมิดได้สูง เป็นกฎหมายที่ครอบคลุมทุกองค์กรในประเทศ รวมถึงบุคคลธรรมดามีโทษทางแพ่งและอาญา คือมีโทษทั้งจำทั้งปรับ และยังครอบคลุมไปถึงกฎหมายการปกครอง มีการจัดตั้งองค์กรกลาง เพื่อมีอำนาจสั่งให้ผู้กระทำความผิดต้องปฏิบัติตามข้อบังคับ

สาระของข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลคือรูปแบบของข้อมูลที่หน่วยงานมีการจัดเก็บ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม ได้แก่ ชื่อ นามสกุล หมายเลขโทรศัพท์ ที่อยู่ อีเมล หมายเลขบัตรประจำตัวประชาชน รูปถ่าย ประวัติการทำงาน และอายุ (หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ Consent จากผู้ปกครอง) 

นอกจากนั้นยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น ได้แก่ เชื้อชาติ ชาติพันธุ์ความคิดเห็นทางการเมือ  ความเชื่อทางศาสนา หรือ ปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม สุขภาพ ความพิการ สหภาพแรงงาน พันธุกรรมชีวภาพ ข้อมูลสุขภาพ หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคล

ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง และเจ้าของข้อมูลสามารถถอนความยินยอมได้ เมื่อไหร่ก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง

20211211-a-02.jpeg

สาเหตุผลที่ต้องร่าง PDPA  

เนื่องจากปัจจุบัน ประเทศไทยเป็นยุคที่ธุรกิจต่างต้องการข้อมูลลูกค้าที่หลากหลาย เพื่อพัฒนาสินค้าและการบริการขององค์กร ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์  อีเมล หรือแม้แต่ใบหน้า และเสียงของตัวบุคคล ล้วนแต่เป็น “ข้อมูลส่วนบุคคล” ทั้งสิ้น เพราะฉะนั้น ในแต่ละองค์กรจึงจำเป็นต้องใช้กฎหมายป้องกันการรั่วไหลของข้อมูลลูกค้า เพื่อความน่าเชื่อถือ และได้รับความไว้วางใจจากลูกค้าด้วย

ด้วยความที่เรื่องนี้เป็นเรื่องใหม่ เป็นทิศทางของประเทศ ทำให้ไม่เสียเปรียบต่างชาติเวลามาเก็บข้อมูลในเมืองไทย และการเก็บข้อมูลในเมืองไทยก็ต้องมีสำนักงานในเมืองไทยด้วย โดยพื้นฐานรัฐบาลก็ไม่อยากออก เพราะกฎหมายนี้เมื่อออกมาเป็นภาระให้กับทั้งภาครัฐและเอกชนต้องทำงานมากขึ้น และต้องมีระบบแจ้งเตือนเพื่อขออนุญาตการใช้ข้อมูล กระบวนการเหล่านี้เป็นภาระ เสียเวลา เสียต้นทุน แต่มองในภาพรวมเป็นสิ่งที่จำเป็นต้องทำ จากนี้ไปทิศทางของบริษัทจะไปทางนี้ 

เรื่องนี้เป็นเชิงเทคนิคที่ไม่สามารถเข้าถึงได้ทุกคน บริษัททำงานมาก่อนจึงเป็น Domain Expertise กฎหมายนี้ระบุว่าการควบคุมให้เป็นไปตามที่กำหนด จะต้องดู 3 ด้าน ประกอบด้วยลูกจ้าง ลูกค้า และคู่ค้า นอกจากนี้ยังมองใน 3 มุม ประกอบด้วย มุมด้านสัญญาต่าง ๆ กระบวนการทำงาน และระบบไอทีมีการเก็บข้อมูลหรือไม่ บริการของเรามีทั้งการจัดอบรมและการจัดสอบซึ่งได้รับอนุญาตจาก ICDL ซึ่งเป็นมูลนิธิด้านนี้ในสหภาพยุโรป การจัดอบรมภายในองค์กร ตลอดจนการให้คำปรึกษาและตรวจสอบภายใน ลูกค้าส่วนใหญ่เป็นบริษัทในตลาดหลักทรัพย์และรัฐวิสาหกิจ พวกนี้ถูกกดดันให้ต้องทำเรื่อง PDPA ส่วน SME ยังทำน้อย เพราะต้นทุนในการทำยังสูงอยู่ ธุรกิจในส่วนนี้เป็นโอกาสที่ดี เพราะเมืองไทยมีคนทำไม่กี่ราย และจะเป็นธุรกิจที่จะเติบโตไปได้เรื่อยๆ

วุฒิบัตรรับรอง ICDL Data Protection Certificate

วุฒิบัตรรับรอง Data Protection Certificate โดยสถาบันพัฒนาและทดสอบทักษะด้านดิจิทัล (DDTI) ดำเนินการโดย Digital Business Consult จาก ICDL Thailand คือ โมดูลรับรองทักษะการคุ้มครองข้อมูลส่วนบุคคลที่ภาคธุรกิจต้องมี ตามข้อกำหนดความรู้ที่จำเป็นเกี่ยวกับแนวคิดและหลักการคุ้มครองข้อมูล เพื่อนำไปปรับใช้ในการวางนโยบายและมาตรการคุ้มครองข้อมูล

ปัญหาคือ คนทำงานจำนวนมากไม่รู้ว่าจะต้องเตรียมตัวอย่างไรสำหรับกฎระเบียบการคุ้มครองข้อมูลตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) และกฎหมาย GDPR ของ EU

ภาพรวมของ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ดีที่สุดฉบับหนึ่งของโลก และประเทศไทยก็นำมาใช้เป็นต้นแบบในการทำพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

หากต้องการศึกษาข้อมูลเพิ่มเติมเกี่ยวกับวุฒิบัตรรับรอง ICDL Data Protection Certificate และ PDPA สามารถเข้าไปค้นคว้าเพิ่มเติมได้ที่ https://pdpa.online.th/


จากกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่จะบังคับใช้เต็มรูปแบบในกลางปีหน้า ส่งผลให้ SMEs ควรให้ความสนใจ และเตรียมตัวที่จะรับมือกับเรื่องนี้ ซึ่งถือว่าเป็นองค์ประกอบอีกเรื่องใน BIG DATA  ที่เราต้องเตรียมตัวนอกเหนือไปจากเรื่องเทคโนโลยี เรื่องการวิเคราะห์ เรื่องธุรกิจ เพราะหากเราไม่มีวิธีจัดการกับข้อมูลส่วนบุคลที่ถูกต้องเหมาะสมตามกฎหมาย นั่นย่อมหมายถึงความเสียหายกับธุรกิจที่จะเกิดขึ้น ทั้งในแง่ค่าปรับ และด้านชื่อเสียงทางธุรกิจ ความเชื่อมั่น เชื่อใจที่ลูกค้ามีให้จะเสียหายจนประเมินค่าไม่ได้  จน SMEs สูญเสียความสามารถในการแข่งขัน และร้ายแรงจนถึงอาจจะต้องออกจากตลาดไปเลยก็เป็นได้

ติดต่อโฆษณา!