ใครต้องทำอะไรเมื่อกฎหมาย คุ้มครองข้อมูลส่วนบุคคลบังคับใช้แล้ว

ผมถามอาจารย์ไพบูลย์ว่า กฎหมายฉบับนี้สำคัญอย่างไร

ท่านตอบว่า ที่สำคัญเพราะกฎหมายฉบับนี้เกี่ยวกับ 75 ล้านคน เกิดมาก็มีข้อมูลส่วนบุคคลที่ต้องคุ้มครองแล้ว

 “เรามีปัญหาเรื่อง apps ดูดเงิน เรามีปัญหาข้อมูลที่รั่วไหล เรามีปัญหาคนเที่ยวไล่ถ่ายรูปคนอื่น...กฎหมายฉบับนี้บอกว่าคนที่จะเอาข้อมูลไปใช้จะต้องขออนุญาตก่อน และต้องขอให้ถูกด้วย...”

กฎหมายต้องมีความพอดี ไม่คุ้มครองมากไป ไม่น้อยไป ต้องพอดีๆ เช่น เกิดโควิด ในเอเชียป้องกันโควิดได้ดีกว่าอเมริกาและยุโรป เพราะกฎหมายคุ้มครองข้อมูลส่วนตัวเกี่ยวกับเรื่องสุขภาพและอนามัยด้วย

ข้อมูลส่วนบุคคลอยู่กับทั้งบุคคลธรรมดาไปถึงธุรกิจนวัตกรรมระดับใหญ่เลยทีเดียว

อาจารย์ปริญญาบอกว่า เรื่องคุ้มครองส่วนบุคคลนั้นได้พูดกันในระดับสากลมา 30 กว่าปีแล้ว เพราะหากข้อมูลส่วนตัวถูกละเมิดก็จะเกิดอันตรายกับตัวเอง

 “ตอนนี้เพื่อนบ้านเรามีกฎหมายนี้แล้วครับ สิงคโปร์ก็มี จีนก็มี เขามีกันทั้งโลก เราต้องติดต่อทั้งโลก ถ้าเราไม่มีเราล้าหลัง มันเกี่ยวกับความสามารถในการแข่งขันระดับโลกด้วย...”

การมีกฎหมายนี้จะทำให้เกิดความน่าเชื่อถือต่อไทยในระดับโลกด้วย

 “เราต้องมองเป็น investment คือการลงทุน ไม่ใช่เป็น burden หรือภาระ”

อาจารย์ปริญญาเน้นว่า ความสำคัญอยู่ที่ตัว DP คือ Data Protection ไม่ใช่ Data Privacy นั่นหมายถึงการ "คุ้มครอง" ข้อมูล

นั่นคือความสำคัญของ data security ไม่ใช่เพียงแค่ data privacy

ผู้เชี่ยวชาญต่างชาติท่านหนึ่งกล่าวไว้ว่า “You Can Get Security Without Privacy But You Can’t

Get Privacy Without Security”

หมายความว่า ถ้าข้อมูลไม่ได้รับการคุ้มครอง (security) ก็ไม่ต้องพูดถึงความเป็นส่วนตัวของข้อมูล (privacy) เพราะตราบที่คนสามารถแฮ็กข้อมูลได้ ก็ไม่ต้องพูดถึงความเป็นส่วนตัวอีกต่อไป

อาจารย์ไพบูลย์เสริมว่า เศรษฐกิจโลกวันนี้เป็นโลกที่ขับเคลื่อนด้วยข้อมูล หรือ data-driven economy

การไหลเทของข้อมูลมีตลอดเวลา

ดังนั้นจึงต้องมีมาตรการที่จะป้องกันข้อมูลที่ใช้ มาตรการที่จะให้ความปลอดภัยของข้อมูล (data security) จึงเป็นเรื่องสำคัญ

สมมติว่าคอมพิวเตอร์เครื่องหนึ่งถูกแฮ็ก หรือมี apps ดูดเงิน

 “สิ่งที่เกิดขึ้นคือทุกครั้งที่แฮ็กก็จะเอาข้อมูลไปด้วย กฎหมายฉบับนี้จึงจำเป็น หากเราไม่ทำ EU ก็อาจจะแซงก์ชันเรา เพราะเราไม่มีมาตรการความปลอดภัยของข้อมูลเพียงพอที่ได้มาตรฐานระดับโลก...”

เมื่อกฎหมายนี้บังคับใช้แล้วก็จะมีสองฟาก

หนึ่งคือเจ้าของข้อมูลคือคนไทยทุกคน

 “เรามักจะสมัครอะไรต่ออะไร หรือสั่งซื้อของออนไลน์ เป็นลูกค้าธนาคาร ตั้งแต่ 1 มิถุนายนเป็นต้นไป เรามีสิทธิในข้อมูลส่วนตัวของเรา เราขอย้ายบัญชีธนาคารหรือย้ายค่ายโทรศัพท์มือถือ ล้วนเป็นสิทธิของเรา..”

และยังมี “สิทธิที่จะถูกลืม” (right to be forgotten) ซึ่งหมายความว่าเรามีสิทธิที่จะบอกให้ธุรกิจที่มีข้อมูลเราลบข้อมูลของเรา

 “พวกโทรมาขายประกัน เป็นต้น เขาจะทำไม่ได้เลย เพราะเราต้องรู้ว่าเขาเอาข้อมูลของเรามาจากไหน ผมยังไม่ได้อนุญาต...ตั้งแต่วันที่ 1 มิถุนายน เขาต้องขออนุญาตเราก่อน...”

ส่วนอีกด้านหนึ่งคือ เจ้าของกิจการที่ต้องเตรียมการสำหรับการดูแลข้อมูลให้มีความปลอดภัย

 “บริษัทไหนจะส่งเอกสารสำหรับทำโปรโมชั่นสินค้าเขา ต่อไปนี้จะต้องขออนุญาตเราก่อน เพราะมิฉะนั้นเราจะรู้สึกว่าเขารบกวนเรา...”   

ดังนั้นธุรกิจห้างร้านทั้งหลาย หากจะติดต่อลูกค้าต้องขอความยินยอมก่อน

แต่หากจะถูกคดีอาญาก็ต้องเป็นเจตนาไม่ดี จงใจจะสร้างความเสียหาย

อาจารย์ไพบูลย์ ในฐานะที่เป็นผู้มีส่วนร่วมในการร่างกฎหมายลูกบอกว่าจะค่อยๆ บังคับใช้เพื่อประคับประคองให้สอดคล้องกับความพร้อมของทุกๆ ฝ่ายด้วย

อาจารย์ปริญญาบอกว่า หลายคนอาจสงสัยว่าอาชีพใหม่ที่กำลังมาแรงในขณะนี้ ได้แก่ อาชีพ “เจ้าหน้าที่คุ้มครองข้อมูล” หรือ Data Protection Officer มีหน้าที่ตามมาตรา 42 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอย่างไร?

หน้าที่หลักของ DPO มี 4 ข้อดังนี้

1.ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวกับการปฏิบัติตาม

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

2.ประสานงานและให้ความร่วมมือกับสำนักงาน ในกรณีที่มีปัญหาเกี่ยวข้องกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล

3.ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล

4.รักษาความลับของข้อมูลส่วนบุคคลที่ล่วงรู้หรือได้มาจากการปฏิบัติหน้าที่ DPO

การปฏิบัติหน้าที่ DPO สามารถเป็นได้ทั้งพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล

อีกทั้งยังสามารถ Outsource ให้บริษัทที่ให้บริการ DPO ภายนอกสามารถปฏิบัติหน้าที่ DPO ได้เช่นกัน โดยเป็นผู้รับจ้าง

อาจารย์ปริญญาเสนอ Checklist สำหรับโค้งสุดท้าย PDPA 5 ข้อควรปฏิบัติสำหรับพนักงาน/ประชาชน

1.เวลาอ่านและศึกษา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อให้เข้าใจในคำศัพท์ และ Terminology ต่างๆ ที่

เกี่ยวกับ PDPA

2.ฝึกอบรมหาความรู้ด้วยตนเอง หรือเข้าฟังสัมมนาที่องค์กรจัดให้เพื่อทำความเข้าใจ PDPA มากขึ้น

3.รับรู้สิทธิของตนเองที่สามารถขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายได้ หลังจากวันที่กฎหมายมีผลบังคับใช้

4.ควรพิจารณาให้ถี่ถ้วนเวลาที่ต้องให้ความยินยอมกับ Mobile/Web Application หรือหน่วยงานที่เรา

จำเป็นต้องให้ข้อมูลส่วนบุคคลว่าเราควรยินยอมหรือไม่ยินยอมให้ข้อมูลส่วนบุคคล เพื่อไม่ให้เกิดผลกระทบในภายหลัง

5.สละเวลาตั้งค่าความมั่นคงปลอดภัยต่างๆ ใน Mobile/Web Application ที่เราใช้งานอยู่ ไม่ว่าจะเป็น Social Media, Free Email หรือ Mobile Banking และ Online Shopping ต่างๆ เพื่อป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล

11 ข้อควรปฏิบัติสำหรับองค์กร

1.แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล DPO ให้เป็นไปตามมาตรา 41 PDPA

2.จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ให้เป็นไปตามมาตรา 23 PDPA

3.จัดทำบันทึกรายการกิจกรรมการประมวลผล (ROPA) ให้เป็นไปตามมาตรา 39 PDPA (ในกรณีที่เข้าข่าย

ต้องปฏิบัติตาม PDPA)

4.จัดทำแบบขอความยินยอมในกรณีที่มีความจำเป็นต้องใช้ (Consent Form) ให้เป็นไปตามมาตรา 19 PDPA

5.จัดทำข้อตกลงการประมวลผลในกรณีที่มีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processing

Agreement) ให้เป็นไปตามมาตรา 40 PDPA

6.ควรจัดตั้งคณะทำงาน PDPA ภายในองค์กร

7.การสำรวจข้อมูลภายในองค์กร และจัดทำผังวงจรชีวิตข้อมูลส่วนบุคคล (Data Inventory)

8.ควรจัดทำนโยบายและแนวทางปฏิบัติขององค์กรในเรื่องการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy and Code of Practices)

9.ในกรณีที่มีการแบ่งปันหรือแลกเปลี่ยนข้อมูลระหว่างองค์กร ควรจัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (Data Sharing Agreement)

10.ควรสร้างความตระหนักรู้และฝึกอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคลให้แก่พนักงานและผู้บริหารองค์กร (Capacity Building and Awareness Raising)

11.ควรกำกับดูแลและตรวจสอบอย่างสม่ำเสมอ (Audit and Compliance)

สรุปว่าหากทำตามที่ผู้รู้ทั้ง 3 ท่านอย่างครบถ้วนก็จะเป็นผู้อยู่ในยุคสมัยแห่งการคุ้มครองข้อมูลส่วนบุคคลของเราและผู้เกี่ยวข้องทั้งหมดได้อย่างมืออาชีพทีเดียว.