×

3 หลักสำคัญ ธุรกิจเตรียมพร้อม PDPA

31.05.2022
  • LOADING...
PDPA

ปัจจุบัน เป็นยุคที่ ‘ข้อมูลส่วนบุคคล’ เป็นสิ่งที่มีมูลค่าและมีความสำคัญต่อธุรกิจ ซึ่งความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้โดยง่าย สะดวก และรวดเร็ว ในขณะเดียวกันก็อาจส่งผลให้เกิดการล่วงละเมิดข้อมูลส่วนบุคคลดังกล่าว และก่อความเสียหายที่รุนแรงและเป็นวงกว้างได้อย่างง่ายดายเช่นเดียวกัน 

 

ด้วยเหตุนี้ จึงมีการออกพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่รู้จักกันในนาม Personal Data Protection Act B.E. 2562 (PDPA) ซึ่งมีผลบังคับใช้วันที่ 1 มิถุนายน พ.ศ. 2565 เพื่อมุ่งคุ้มครองข้อมูลส่วนบุคคล* ของบุคคลธรรมดา โดย PDPA มีผลบังคับใช้กับหน่วยงานทั้งภาครัฐและภาคเอกชนที่มีการ ‘ประมวลผลข้อมูลส่วนบุคคล’**

 

ในการประกอบธุรกิจ ผู้ประกอบการมักต้องมีการประมวลผลข้อมูลส่วนบุคคลไม่ว่าจะมากหรือน้อยก็ตาม ดังนั้นหากผู้ประกอบการไม่ได้เตรียมความพร้อมในการปฏิบัติตาม PDPA ไว้เป็นอย่างดี อาจทำให้เกิดการฝ่าฝืนกฎหมายฉบับนี้ได้ง่าย อันเป็นเหตุให้ต้องได้รับโทษทั้งทางแพ่งและทางอาญาซึ่งมีอัตราโทษสูง

 


 

ผู้ประกอบการจึงควรสำรวจตนเองให้มั่นใจว่าองค์กรมีความพร้อมในการปฏิบัติตาม PDPA มากน้อยเพียงใด ทั้งนี้ มีหลักสำคัญ 3 ประการ ที่ผู้ประกอบการอาจพิจารณานำมาใช้เพื่อเป็นแนวทางในการสำรวจความพร้อมเพื่อปฏิบัติตาม PDPA ดังนี้

 

1. ความตระหนักรู้ของบุคลากรและบุคคลที่เกี่ยวข้อง

 

เพื่อให้การปฏิบัติตาม PDPA เป็นไปอย่างมีประสิทธิภาพและยั่งยืน บุคลากรและบุคคลที่เกี่ยวข้องทุกฝ่ายขององค์กรควรตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องในการดำเนินงานอยู่เสมอ 

 

แม้ว่าหลายองค์กรอาจมีการสื่อสารหรืออบรมเกี่ยวกับ PDPA ให้บุคลากรหรือบุคคลที่เกี่ยวข้องไปบ้างแล้ว แต่สิ่งหนึ่งที่ควรเป็นข้อควรพิจารณาคือประสิทธิผลของการอบรมดังกล่าว ทั้งนี้ เนื่องจาก PDPA มีบทบัญญัติหลาย ๆ ส่วนที่ซับซ้อนและเข้าใจได้ยาก เพื่อให้การอบรมมีประสิทธิผล องค์กรจึงควรออกแบบเนื้อหาการอบรมให้เหมาะสมกับผู้เข้าอบรมในแต่ละกรณี เช่น 

 

  • การจัดอบรมให้ผู้บริหารองค์กร: เป้าประสงค์สำคัญควรเป็นการชี้ให้ผู้บริหารเห็นภาพรวมและตระหนักถึงความสำคัญ ตลอดจนความเสี่ยงกรณีการไม่ปฏิบัติตาม PDPA เพื่อให้ผู้บริหารช่วยสนับสนุนและผลักดันให้องค์กรเกิดความตื่นตัวในการปฏิบัติตาม PDPA อยู่เสมอ

 

  • การจัดอบรมให้คณะทำงาน PDPA: การอบรมคณะทำงานซึ่งรับผิดชอบโดยตรงในการช่วยให้องค์กรปฏิบัติตาม PDPA ควรเป็นการอบรมแบบลงรายละเอียดข้อกำหนดที่เกี่ยวข้องกับการดำเนินงานจริงขององค์กร รวมทั้งแนวทางในการจัดการข้อมูลส่วนบุคคลภาคปฏิบัติแบบรอบด้านตั้งแต่กระบวนการเก็บรวบรวม ใช้ เปิดเผย จนถึงการลบหรือทำลายข้อมูลส่วนบุคคล ทั้งในแง่มุมกฎหมายและแง่มุมอื่นๆ เช่น ความเสี่ยง เพื่อให้การบริหารจัดการข้อมูลเป็นไปอย่างมีประสิทธิภาพ 

 

  • การจัดอบรมให้บุคลากรหรือผู้ปฏิบัติงานในองค์กร: การอบรมควรย่อยเฉพาะส่วนที่เกี่ยวข้องกับการปฏิบัติงานของบุคลากรแต่ละฝ่ายเพื่อให้สามารถเข้าใจได้ง่าย และตรงกับขอบข่ายงานจริงที่เกี่ยวข้องกับการประมวลผลข้อมูลขององค์กร

 

นอกจากนี้ การอบรมควรจัดให้มีขึ้นอย่างสม่ำเสมอ เช่น จัดอบรมเป็นประจำทุกปี และควรจัดให้มีการวัดผลหลังการอบรม เพื่อเป็นการทบทวนความรู้ความเข้าใจแก่บุคลากรที่เกี่ยวข้องทุกฝ่ายขององค์กร

 

2. ความร่วมมือของบุคลากรทุกฝ่าย

 

ข้อควรระวังอย่างหนึ่งในการปฏิบัติตาม PDPA ขององค์กร คือบางกรณีอาจมีความเข้าใจของบุคลากรในองค์กรที่ว่า การปฏิบัติตาม PDPA เป็นความรับผิดชอบของฝ่ายใดฝ่ายหนึ่งเป็นการเฉพาะ ซึ่งความเข้าใจอย่างนี้มักเป็นอุปสรรคสำคัญต่อการปฏิบัติตาม PDPA เนื่องจากในทางปฏิบัติ ในการทำงานแต่ละวัน แทบทุกฝ่ายมักจะต้องเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลอยู่แล้ว การเตรียมความพร้อมและการปฏิบัติตาม PDPA ในระยะยาวจึงต้องอาศัยความร่วมมือจากทุกฝ่ายในองค์กร เพื่อให้สามารถครอบคลุมกิจกรรมประมวลผลข้อมูลทุกประเภทขององค์กรที่แต่ละฝ่ายดำเนินการอยู่ จึงอาจมีความเข้าใจกิจกรรมของฝ่ายตนเองได้ดีและครบถ้วนกว่าฝ่ายอื่น

 

ตัวอย่างเช่น PDPA กำหนดหน้าที่ในการจัดทำบันทึกการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities) ซึ่งการเริ่มต้นจัดทำบันทึกดังกล่าวจะต้องมีการตรวจสอบและรวบรวมประเภทกิจกรรมของทั้งองค์กร ว่ากิจกรรมใดเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลบ้าง การจัดทำบันทึกการประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องและสมบูรณ์จึงต้องอาศัยการมีส่วนร่วมของบุคลากรจากทุกฝ่าย ซึ่งเป็นผู้ที่เข้าใจรายละเอียดการปฏิบัติงานของฝ่ายตนได้ดีที่สุด บันทึกการประมวลผลข้อมูลส่วนบุคคลที่มีเนื้อหาครบถ้วนสมบูรณ์จะเป็นจุดตั้งต้นให้องค์กรสามารถกำหนดขอบข่ายการปฏิบัติตาม PDPA ให้สอดคล้องกับการดำเนินกิจการจริงของตน ซึ่งจะทำให้ขอบข่ายที่จำเป็นต้องดำเนินการจริงแคบลง และส่งผลในการปฏิบัติตาม PDPA มีประสิทธิผลและตรงจุดมากขึ้น

 

ในระยะยาว หากบริษัทมีกิจกรรมเพิ่มเติมหรือเปลี่ยนแปลงไป การกำหนดให้บุคลากรที่เกี่ยวข้องต้องมีส่วนร่วมในการสอบทานหรือปรับปรุงแก้ไขบันทึกดังกล่าวในส่วนที่เกี่ยวข้องกับงานของตนจะทำให้บันทึกดังกล่าวถูกต้อง สมบูรณ์ และเป็นปัจจุบันอยู่เสมอ นอกจากนี้ฝ่ายกฎหมายหรือผู้เชี่ยวชาญอาจต้องเข้ามาช่วยวิเคราะห์ผลกระทบที่อาจเกิดขึ้น อาทิ หน้าที่ในการขอความยินยอมเพิ่มเติม ตลอดจนสอบทานและแก้ไขเอกสารทางกฎหมายที่เกี่ยวข้องเพิ่มเติม รวมถึงการวิเคราะห์และตีความปัญหาทางกฎหมายต่างๆ ที่เกิดขึ้นจากการปฏิบัติตาม PDPA 

 

จะเห็นได้ว่าความร่วมมือของบุคลากรทุกฝ่ายที่เกี่ยวข้องเป็นหัวใจสำคัญในการปฏิบัติตาม PDPA ขององค์กร เนื่องจากการดำเนินงานอาจมีส่วนทั้งที่เป็นข้อเท็จจริงและข้อกฎหมาย ตลอดจนแง่มุมทางธุรกิจและความเสี่ยง ดังนั้นองค์กรควรกำหนดหน้าที่ความรับผิดชอบอย่างชัดเจนว่าฝ่ายใดจะต้องมีความรับผิดชอบอย่างไรในส่วนที่เกี่ยวกับ PDPA

 

3. การกำหนดแนวทางเพื่อควบคุมดูแลการปฏิบัติตาม PDPA 

 

เมื่อ PDPA มีผลใช้บังคับแล้ว ข้อกำหนดต่างๆ ของ PDPA จะคงอยู่ต่อไปจนกว่าจะมีการแก้ไขเพิ่มเติม ดังนั้นสิ่งหนึ่งที่องค์กรต้องสำรวจความพร้อมคือมาตรการควบคุมดูแลการปฏิบัติตาม PDPA ขององค์กร ดังตัวอย่างต่อไปนี้ 

 

  • กำหนดผู้รับผิดชอบในการควบคุมดูแลการปฏิบัติตาม PDPA ให้ชัดเจน: องค์กรควรมีการกำหนดผู้รับผิดชอบในการดูแลการปฏิบัติตาม PDPA ขององค์กรให้ชัดเจนเพื่อควบคุมดูแลให้ทุกฝ่ายไม่ละเลยการปฏิบัติตาม PDPA สำหรับองค์กรใดที่เข้าเงื่อนไขในการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) หน้าที่ดังกล่าวจะเป็นของ DPO และคณะ DPO แต่สำหรับองค์กรใดที่ยังไม่เข้าเงื่อนไขที่ PDPA บังคับให้ต้องมี DPO ก็อาจพิจารณาแต่งตั้ง DPO โดยสมัครใจ หรือแต่งตั้งบุคลากรในตำแหน่งอื่นเพื่อมารับผิดชอบหน้าที่ในส่วนนี้ก็ได้เช่นกัน 

 

  • จัดให้มีการตรวจสอบการปฏิบัติตาม PDPA: องค์กรอาจกำหนดให้มีการตรวจสอบการปฏิบัติตาม PDPA ประจำปี โดยเป็นการตรวจสอบภายในหรือให้บริษัทที่ปรึกษาภายนอกช่วยในการตรวจสอบด้วยก็ได้ เพื่อให้การปฏิบัติตาม PDPA เป็นไปอย่างมีประสิทธิภาพและสร้างความตื่นตัวให้กับบุคลากรในองค์กรอยู่เสมอ 

 

อย่างไรก็ตาม ในการปฏิบัติตาม PDPA องค์กรควรพิจารณาและชั่งน้ำหนักอย่างรอบคอบเพื่อให้เกิดความสมดุลระหว่างการปฏิบัติตามกฎหมายได้อย่างถูกต้องและการดำเนินธุรกิจได้อย่างต่อเนื่องไม่สะดุด โดยเฉพาะการดำเนินการส่วนใดซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคลจำนวนมากควรคำนึงถึงผลกระทบอย่างรอบด้านก่อนเสมอ ทั้งนี้ องค์กรอาจปรึกษาผู้เชี่ยวชาญเพื่อให้ช่วยสอบทานหรือให้คำแนะนำด้านกฎหมายและแนวทางปฏิบัติเพิ่มเติม เพื่อให้การปฏิบัติตาม PDPA เป็นไปอย่างมีประสิทธิภาพ พร้อมๆ กับการดำเนินธุรกิจได้อย่างต่อเนื่อง

 

หมายเหตุ:

* คำว่า ‘ข้อมูลส่วนบุคคล’ ตาม PDPA หมายถึง ข้อมูลใด ๆ ที่สามารถใช้ระบุตัวตนของบุคคลนั้น ๆ ได้ ไม่ว่าทางตรงหรือทางอ้อม ไม่ว่าจะเป็นข้อมูลของลูกค้า คู่ค้า ผู้ถือหุ้น กรรมการ พนักงาน ฯลฯ ซึ่งอาจเป็นได้ทั้งข้อมูลชื่อ นามสกุล เบอร์โทรศัพท์ อีเมล ไอดีแอปพลิเคชันไลน์ ความคิดเห็น รสนิยมความชอบ พฤติกรรมการซื้อสินค้าหรือบริการของบุคคลใดบุคคลหนึ่ง ฯลฯ ไม่ว่าข้อมูลดังกล่าวจะมีการจัดเก็บในรูปแบบใดก็ตาม

 

** ‘การประมวลผลข้อมูลส่วนบุคคล’ ในบทความนี้ หมายถึง การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

  • LOADING...

READ MORE




Latest Stories

Close Advertising
X