สรุป 4 Bites จากรายการ Tech-a-Bite Ep.7 “รู้จัก PDPA ก่อนคลิก Yes บรรทัดฐานใหม่ชีวิตดิจิทัล



หากคุณเป็นคนหนึ่งที่เลื่อนหาปุ่ม “Yes” หรือ “ยอมรับ” ทุกครั้งที่แอปขึ้นอัปเดตข้อความยาวเหยียด (ที่คุณอาจรีบข้ามไป) รายการ Tech-a-Bite ของเราครั้งนี้อาจเหมาะสำหรับคุณ!



ในรายการ “Tech-a-Bite” เทคนิดนิด ขนาดพอดีคำ จากทรู ดิจิทัล กรุ๊ป รายการที่จะนำคุณอัปเดตเทรนด์นวัตกรรมและเทคโนโลยีน่าสนใจ เพื่อมาปลดล็อกทุกความเป็นไปได้ให้กับโลกใบนี้ ออกอากาศเมื่อวันที่ 20 พฤษภาคม 2565 ที่ผ่านมา เราชวน 2 ผู้เชี่ยวชาญจากทรู ดิจิทัล กรุ๊ป คุณฐิติรัตน์ ศิริพัฒนาเลิศ Chief Information Security and Data Management Officer และคุณอรรถพล พานิชย์ไพศาลกูล Head of Data Privacy Center มาร่วมให้ความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือที่หลายคนอาจได้ยินคุ้นหูว่า “PDPA” ว่า ที่จริงแล้ว กฎหมายนี้จะมีผลกับใคร องค์กรต้องทำอย่างไรกับการบังคับใช้นี้ และในฐานะประชาชน เราสามารถทำอะไรได้บ้าง โดยเราสรุปออกมาเป็นสิ่งน่ารู้พอดีคำ 4 คำ ดังนี้


Bite #1: PDPA คือสิทธิของทุกคน


PDPA คือกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act มีขึ้นเพื่อรักษาสิทธิประโยชน์เกี่ยวกับข้อมูลส่วนบุคคลของประชาชนทุกคน โดยจะเริ่มมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 หลักการสำคัญคือ บริษัทต่าง ๆ ที่มีการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลมีหน้าที่ในการรักษาความปลอดภัยและปฎิบัติตามหน้าที่ที่กฎหมายกำหนดไว้ โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลมีประโยชน์หลายประการ ไม่ว่าจะเป็นการสนับสนุนเศรษฐกิจดิจิทัล (Digital Economy) โดยเฉพาะในช่วงสถานการณ์การแพร่ระบาดของโควิด-19 ที่ผ่านมา ที่ทำให้พฤติกรรมของผู้บริโภคเปลี่ยนไป เช่น มีการทำงาน สั่งซื้อของและอาหารผ่านบริการออนไลน์ต่าง ๆ มากขึ้น ซึ่งล้วนแล้วแต่มีข้อมูลที่ระบุตัวตนของเราได้ ซึ่งถ้าหากรั่วไหลออกไปอาจสร้างความเสียหายได้


กฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงเป็นตัวยกระดับในการกำกับดูแลข้อมูลส่วนบุคคล เพื่อให้เศรษฐกิจดิจิทัลสามารถดำเนินต่อไปได้อย่างปลอดภัยยิ่งขึ้น หรือการเสริมสร้างความโปร่งใสและเป็นธรรมในการดำเนินงานขององค์กรต่าง ๆ โดยบริษัทต้องมีการแจ้งรายละเอียดต่าง ๆ ว่า มีการนำข้อมูลของลูกค้าไปใช้เพื่อวัตถุประสงค์ใดบ้าง อย่างไร เป็นต้น

กฎหมายคุ้มครองข้อมูลส่วนบุคคลยังตอกย้ำสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะสิทธิในการตัดสินใจในการเพิกถอนความยินยอมในการเปิดเผยข้อมูลกับบริษัทต่าง ๆ และสร้างมาตรฐานการรักษาความปลอดภัยตามกฎหมายให้กับทุกบริษัทและองค์กรที่สามารถยึดถือได้


Bite #2: PDPA ไม่ใช่แค่ทำตามเอกสาร


หนึ่งในสิ่งที่สำคัญที่สุดในการดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลคือ การที่บริษัทและองค์กรไม่เพียงจัดทำ หรือทำตามเอกสารที่กฎหมายกำหนด แต่เข้าใจถึงวัตถุประสงค์ของนโยบายคุ้มครองข้อมูลส่วนบุคคล และทำให้กระบวนการคุ้มครองเกิดขึ้น เป็นไปได้จริงในทางปฎฏิบัติ รวมถึงการปรับปรุงกระบวนการภายในต่าง ๆ เพื่อรองรับสิทธิของลูกค้า ในกรณีที่ลูกค้าเข้ามาใช้สิทธิตามกฎหมาย มีมาตรการรักษาความปลอดภัยที่เพียงพอ เพื่อป้องกันไม่ให้ข้อมูลที่ลูกค้าตัดสินใจมอบหมายให้บริษัทรั่วไหลออกไปได้ สิ่งที่บริษัทและองค์กรควรทำจึงไม่ใช่เพียงการจัดเตรียมเอกสาร แต่รวมถึงกระบวนการภายในที่จะทำให้การใช้สิทธิของลูกค้าเป็นไปได้จริง ไม่ว่าจะเป็นการอบรมพนักงานให้เข้าใจถึงหน้าที่ที่อาจเปลี่ยนไปเกี่ยวกับกระบวนการด้านข้อมูลลูกค้า การอำนวยความสะดวกให้ลูกค้าสามารถใช้สิทธิตามกฎหมาย เป็นต้น ความท้าทายสำหรับองค์กรอีกประการหนึ่งจึงรวมไปถึงการทำความเข้าใจเกี่ยวกับตัวกฎหมายที่ครอบคลุมถึงพนักงานในหน้าที่ต่างๆ และการสร้างความยั่งยืนให้กับกระบวนการใหม่อีกด้วย


Bite #3: PDPA ไม่ใช่ “One Size Fits All”


จากประสบการณ์ด้านความปลอดภัยทางไซเบอร์ร่วมกับหลายบริษัท ทางทรู ดิจิทัลพบว่า องค์กรมักมีความรู้ความเข้าใจเกี่ยวกับตัวกฎหมายอยู่แล้ว แต่ไม่ทราบว่าควรเริ่มต้นที่สิ่งใด โดยสิ่งที่ทางทรู ดิจิทัลเข้าไปช่วยคือ การให้คำแนะนำ ตั้งแต่การตรวจสอบความพร้อมของหน่วยงานและองค์กร การประเมินความเสี่ยง รวมถึงการเข้าไปจัดทำแผนการดำเนินการ เนื่องจากองค์กรส่วนใหญ่มักทราบจากตัวกฎหมายว่าควรทำอะไรบ้าง แต่อาจยังไม่แน่ใจว่าควรทำลำดับใดก่อนหลัง


ทุกบริษัทและองค์กรจึงควรเริ่มจากทำความเข้าใจว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลได้กำหนดเกี่ยวกับหน้าที่และความรับผิดชอบไว้อย่างไรบ้าง หลังจากนั้นจึงกลับมาดูในองค์กรว่า มีความพร้อมในการปฏิบัติตามอยู่ที่ระดับไหน ซึ่งในหลายบริษัทจะมีการดำเนินการจัดทำสิ่งที่เรียกว่า “บันทึกรายการการประมวลผลข้อมูลส่วนบุคคล” หรือการเข้าไปตรวจสอบในแต่ละหน่วยงานว่า ในหน่วยงานมีการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์หรือกิจกรรมใดบ้าง และนำข้อมูลเหล่านี้มาจัดทำประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคลบนเว็บไซต์หรือเพื่อดำเนินการในหน้าที่อื่น ๆ ตามกฎหมาย เช่น การมีมาตรการและนโยบายรักษาความมั่นคงและปลอดภัยที่เพียงพอ หรือการเข้าไปกำกับดูแลผู้รับจ้าง หรือ Vendor ซึ่งโดยสถิติแล้ว ทั้งในและต่างประเทศ พบว่าการรั่วไหลของข้อมูลส่วนบุคคลไม่ได้เกิดจากบริษัทหรือผู้ประกอบการเพียงฝ่ายเดียว แต่เป็นจากผู้รับจ้างอีกด้วย


ทั้งนี้ การดำเนินการตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคลอาจไม่มีวิธีที่เรียกว่า “One Size Fits All” โดยในแต่ละองค์กร ลักษณะของการดำเนินธุรกิจทำให้ลักษณะการเก็บ ใช้ และเปิดเผยข้อมูลของลูกค้าแตกต่างกันออกไป รวมทั้งลักษณะของข้อมูลอีกด้วย


Bite #4: คุณเองน่ะ ก็ใช้สิทธิตาม PDPA ได้นะ!


สำหรับประชาชนทั่วไป เราควรให้ความสำคัญ ตระหนัก และเรียนรู้ถึงสิทธิที่เรามี ไม่ว่าจะเป็นสิทธิในการเพิกถอนคำยินยอม การรับรู้ว่าองค์กรมีการเก็บข้อมูลประเภทไหน ใช้อย่างไร หรือมีการส่งต่อข้อมูลนี้ไปที่ใดบ้าง รวมทั้งหมั่นตรวจสอบนโยบายความเป็นส่วนตัว (Privacy Notice) ของแต่ละบริการที่เราสมัครใช้งาน เพื่อรับทราบความเปลี่ยนแปลงในการใช้ข้อมูล ประเภทของข้อมูลที่เปลี่ยนไป รวมถึงสิทธิพึงมีของทุกคนอีกด้วย


สามารถติดตามรายการ Tech-a-Bite ครั้งต่อไปได้ในวันพฤหัสบดีที่ 16 มิถุนายน 2565 เวลา 18:00 - 18:30 น. บนหน้าเฟซบุ๊ค “True Digital Group” (https://www.facebook.com/TDGgroup/)