PWCจี้องค์กรธุรกิจ‘ตื่นตัว’ รับ‘พรบ.ข้อมูลส่วนบุคคล’
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ( Thailand’s Personal Data Protection Act B.E. 2562 (2019) หรือ PDPA จะมีผลบังคับใช้ในวันที่ 28 พ.ค.2563
เท่ากับว่า เหลือเวลาในการเตรียมความพร้อมไม่ถึง 8เดือน จึงค่อนข้างน่ากังวลว่าองค์กรต่างๆพร้อมรองรับกฎหมายฉบับนี้มากน้อยแค่ไหน หรือยังมองว่าเป็นเรื่องที่ไม่เกี่ยวข้องกับธุรกิจของตนเอง
วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัทPwCประเทศไทย บอกว่า กฎหมายฉบับนี้กระทบกับธุรกิจไทยทุกรายอย่างหลีกเลี่ยงไม่ได้ เพราะนิยามของคำว่าข้อมูลส่วนบุคคลนั้น หมายรวมถึงข้อมูลของพนักงานทุก ๆ รายในองค์กร ธุรกิจที่จะได้รับผลกระทบมาก น่าจะเป็นธุรกิจประเภท “B2C” หรือธุรกิจที่มุ่งเน้นการบริการให้กับลูกค้าหรือผู้บริโภคโดยตรง เช่น ธนาคารและสถาบันการเงิน ธุรกิจผู้ให้บริการทางด้านสุขภาพ ธุรกิจที่เกี่ยวกับโซเชียลมีเดีย ธุรกิจทางด้านสื่อสารและออนไลน์ และคลาวด์คอมพิวติ้ง เพราะธุรกิจเหล่านี้จัดเก็บข้อมูลของลูกค้าจำนวนมาก ไม่ว่าจะเป็นชื่อ-นามสกุล บัตรประชาชน เบอร์โทรศัพท์ พฤติกรรมหรือลักษณะของการใช้บริการ ไปจนถึงข้อมูลที่เกี่ยวข้องอื่น ๆ
วันนี้ องค์กรขนาดใหญ่ของไทยหลายแห่ง ได้เริ่มเตรียมความพร้อมด้านระบบและสร้างความรู้ ความเข้าใจให้แก่พนักงานไปบ้างแล้วในระดับหนึ่ง แต่ยังน่าเป็นห่วงว่า มีองค์กรไทยอีกจำนวนมากที่ยังไม่รู้ตัวว่า ธุรกิจของตนจะได้รับผลกระทบและต้องปฏิบัติตามข้อกฎหมายดังกล่าว จึงอยากแนะให้องค์กรที่เพิ่งรู้ตัว หันมาปฏิบัติตามกฎหมายดังกล่าว
สิ่งแรกที่ต้องทำคือ อ่านกฏหมายอย่างละเอียดและวิเคราะห์ผลกระทบกับองค์กร สิ่งสำคัญอันดับแรกที่ผู้ประกอบการและผู้บริหารต้องทำความเข้าใจคือ ความหมายของข้อมูลส่วนบุคคลว่าหมายถึงอะไร และข้อมูลประเภทไหนถือว่า เป็นข้อมูลที่ต้องได้รับการคุ้มครอง เช่น ชื่อ-นามสกุล วัน เดือน ปีเกิด หมายเลขบัตรประชาชน เบอร์โทรศัพท์มือถือ หมายเลขบัตรเครดิต ข้อมูลสุขภาพ และอื่น ๆ
หลังจากนัั้น ต้องทราบว่า องค์กรจัดเก็บข้อมูลที่ยกตัวอย่างไว้ข้างต้นหรือไม่ ถ้ามี ได้รับอนุญาตจากเจ้าของข้อมูลอย่างเป็นทางการหรือไม่ มีการนำไปใช้ หรือส่งต่อภายในองค์กรและนอกองค์กรหรือไม่อย่างไร ไม่ใช่แค่ข้อมูลของลูกค้าเท่านั้น แต่รวมถึงข้อมูลพนักงานและข้อมูลของบุคคลที่สามที่องค์กรมีการจัดเก็บไว้ด้วย เช่น ข้อมูลของคู่ค้าทางธุรกิจ ร้านค้า ซัพพลายเออร์ และอื่น ๆ นอกจากนี้ต้องมีกระบวนการต่าง ๆ ตามที่กฏหมายกำหนด เช่น การขออนุญาต หรือแจ้งเจ้าของข้อมูลให้ทราบหากข้อมูลนั้น ๆรั่วไหล
“จำเป็นอย่างยิ่งที่องค์กรต้องมีการแต่งตั้งคณะทำงาน เพื่อช่วยผลักดันให้การปฏิบัติตามเงื่อนไขของกฎหมายเป็นไปอย่างถูกต้อง ประกอบไปด้วยตัวแทนจากแต่ละฝ่ายงานที่เกี่ยวข้อง ทั้งฝ่ายกฎหมาย ไอที ฝ่ายรักษาความปลอดภัยของข้อมูล ฝ่ายปฏิบัติการ รวมไปถึงฝ่ายที่มีปฏิสัมพันธ์กับลูกค้า ฝ่ายงานขององค์กรที่กล่าวมา ล้วนมีความสำคัญต่อการปฏิบัติตามกฎหมายอย่างมากและไม่ควรปล่อยให้เรื่องนี้เป็นหน้าที่ของฝ่ายใดฝ่ายหนึ่ง ยิ่งไปกว่านั้น ควรจัดให้มีระบบการบริหารจัดการ และปกป้องข้อมูลอย่างเหมาะสมทั้งการทำงานของคนและเทคโนโลยี”
ข้อควรระวังเป็นพิเศษ คือการขอความยินยอมการเก็บรวบรวม การใช้ หรือ การเปิดเผยข้อมูลส่วนบุคคล ซึ่งต้องได้รับการยินยอมจากเจ้าของข้อมูล เป็นลายลักษณ์อักษรเพื่อเก็บไว้ใช้เป็นหลักฐาน ไม่ว่าจะเป็นในรูปแบบของกระดาษ เอกสาร หรือผ่านทางระบบอิเล็กทรอนิกส์
อย่างไรก็ดี ขอแนะนำให้เก็บแบบสุดท้าย เพราะสามารถติดตามได้ง่าย แต่ต้องระมัดระวังด้วยว่าจะไม่มีการนำข้อมูลไปใช้นอกเหนือจากเรื่องที่ขอความยินยอมจากเจ้าของข้อมูล นอกจากนี้ควรมีการจัดทำกระบวนการรองรับในกรณีที่เจ้าของข้อมูลขอยกเลิกความยินยอม เนื่องจากกฎหมายให้สิทธิกับเจ้าของข้อมูลว่า ถึงแม้จะได้รับความยินยอม แต่ก็สามารถถอนความยินยอมเมื่อไหร่ก็ได้
ประเด็นที่น่าเป็นห่วงคือ ระยะเวลาในการเตรียมความพร้อมขององค์กรนั้นมีไม่ถึง8เดือนนับจากวันนี้ ขณะที่องค์กรขนาดกลางและขนาดใหญ่ในทวีปยุโรปใช้เวลานานกว่า2ปีในการเตรียมตัวสำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป(General Data Protection Regulation: GDPR)หรือ จีดีพีอาร์ ฉะนั้น อยากให้องค์กรในไทยอย่ารอช้า เริ่มคิดและดำเนินการปฏิบัติตั้งแต่วันนี้
“อยากย้ำเตือนให้ผู้ประกอบการเร่งประเมินข้อมูลส่วนบุคคลที่องค์กรของตนมีการจัดเก็บไว้ว่า มีประเภทใดบ้าง มีการเก็บ หรือใช้ในส่วนไหนขององค์กร มีการส่งออกนอกองค์กรแบบไม่ได้รับอนุญาต หรือส่งข้ามแผนกบ้างหรือไม่ เพื่อจะได้ทราบความเสี่ยงที่อาจกำลังเผชิญอยู่ และเริ่มปรับปรุงระบบและกระบวนการทำงาน เอกสาร และสัญญาต่าง ๆ ให้ถูกต้อง”
“วิไลพร” กล่าวทิ้งท้ายว่าสิ่งสุดท้าย คือ การสื่อสารให้พนักงานมีความตระหนักรู้ถึงความสำคัญของการต้องปฏิบัติตามกฎหมายฉบับนี้ จะเป็นหัวใจสำคัญที่ทำให้ทุกคนในองค์กรมีความเข้าใจและทำงานด้วยความไม่ประมาท ซึ่งจะช่วยป้องกันเหตุการณ์ข้อมูลรั่วไหลที่อาจส่งผลกระทบต่อชื่อเสียง ภาพลักษณ์ขององค์กร รวมถึงมีบทลงโทษที่รุนแรงทั้งจำคุกและจ่ายเงินค่าปรับไม่เกิน500,000บาทถึง1ล้านบาทด้วย