Data Protection ไม่ได้เป็นแค่วาระแห่งชาติ แต่มันคือวาระของโลกไปแล้ว สำหรับประเทศไทยเองเว็บไซต์ราชกิจจานุเบกษาได้เผยแพร่พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Thailand’s Personal Data Protection Act B.E. 2562 (2019) (PDPA) โดยมีผลบังคับใช้ตั้งแต่วันที่ 28 พฤษภาคม พ.ศ. 2562 โดยให้หน่วยงานรัฐและเอกชนทั้งหมดที่เข้าข่ายเป็นทั้งผู้ควบคุมข้อมูลส่วนบุคคล (Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Processor) ของเจ้าของข้อมูลส่วนบุคคล (Data Subject) มีเวลาเตรียมตัว 1 ปี นับตั้งแต่ประกาศลงราชกิจจานุเบกษา ซึ่งทำให้การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูล รวมถึงเจ้าของข้อมูลส่วนบุคคล (Data Subject) มีสิทธิลบหรือให้ทำลายได้เมื่อการเก็บ การใช้ และการเปิดเผย ไม่ชอบด้วยกฎหมายหรือมีการถอนความยินยอม
อย่างไรก็ตามกฎหมายของไทยนั้น มีต้นแบบมาจากกฎหมายการคุ้มครอง ‘สิทธิของข้อมูลส่วนบุคคล’ หรือ General Data Protection Regulation (GDPR) ของสหภาพยุโรป (EU) ซึ่งนับเป็นกฎหมายการคุ้มครองข้อมูลส่วนบุคคลฉบับแรกของโลกที่ครอบคลุมและทันสมัย รวมถึงบทลงโทษค่าปรับที่หนักหน่วงรุนแรงที่สุด
กฎหมายฉบับนี้จึงจำเป็นอย่างมากสำหรับองค์กรทุกองค์กรทั้งรัฐและเอกชน เพราะเป็นกฎหมายที่เขียนขึ้นมาเพื่อช่วยปกป้องข้อมูลทางดิจิทัลของพลเมือง เป็นเครื่องมือยืนยันว่าธุรกิจและรัฐจะใช้ข้อมูลประชาชนอย่างโปร่งใส ปลอดภัย เนื่องจากเกิดเหตุการณ์ละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลขึ้นทั่วโลก สร้างความเสียหายต่อทั้งองค์กรและเจ้าของข้อมูล กฎหมายเกี่ยวกับ ‘Data Protection’ จึงเป็นกลไกที่จะเข้ามากำกับดูแลโดยเฉพาะ ซึ่งไม่ได้ครอบคลุมแค่การนำข้อมูลไปใช้ในแง่การตลาดเท่านั้น แต่ยังรวมถึงข้อมูลรั่วไหลจากการถูกโจมตีและล้วงข้อมูลอีกด้วย
ในฐานะองค์กรแล้ว ถ้าเราอยากรู้ว่าเข้าข่ายที่ต้องทำตามกฎหมายฉบับนี้หรือไม่นั้น วันนี้เรามี 5 Tips ที่จะสามารถให้คุณปฏิบัติตามกฎหมาย PDPA ของไทยได้
Tip 1 รู้ว่าข้อมูลอยู่ที่ไหนบ้าง อะไรที่เข้าข่าย
หากยังนึกไม่ออก ลองทำเช็กลิสต์ดู อาทิ ข้อมูลพื้นฐานอย่างข้อมูลคนในตะกร้าสมัครงาน ข้อมูลของพนักงานในบริษัทเรา ฐานข้อมูลลูกค้า หรือแม้แต่รายชื่อผู้รับจดหมายจากบริษัท เมื่อคุณทราบแล้วว่าบริษัทคุณมีข้อมูลอะไรและอยู่ที่ไหนบ้าง จากนั้นมันก็จะง่าย เพื่อปกป้องข้อมูลเหล่านั้นตามกฎหมาย
Tip 2 ลดข้อมูลที่คุณจัดการ
หลังจากคุณได้ภาพที่ชัดเจนจากการรวบรวบข้อมูลว่า คุณมีข้อมูลอะไรอยู่ในมือบ้าง และมันอยู่ที่ไหนแล้ว ทำไมคุณจึงไม่ควรคิดละว่าข้อมูลเหล่านั้นมันจำเป็นต้องรวบรวมหรือไม่? หนึ่งในหลักการสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลก็คือมาตรา 22 การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล กล่าวโดยย่อ หากคุณไม่จำเป็นต้องรวบรวมข้อมูลส่วนบุคคลเฉพาะ อย่ารวบรวมและเก็บรักษาไว้ ตัวอย่างเช่น จุดประสงค์แค่ต้องการทำ Email Marketing บางทีที่อยู่หรือหมายเลขโทรศัพท์ อาจไม่จำเป็นสำหรับการส่งจดหมายข่าวทางอีเมลนั่นเอง
Tip 3 ต้องได้รับความยินยอม
หนึ่งในสิ่งสำคัญเกี่ยวกับกฎหมายการป้องกันข้อมูลส่วนบุคคลก็คือ คุณจะต้องได้รับอนุญาตเท่านั้นก่อนดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล ตามมาตรา 23 ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียดที่จะนำไปใช้ และในมาตรา 24 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หมายความว่าจะต้องได้รับอนุญาตจากเจ้าของข้อมูลเท่านั้นถึงนำไปใช้ได้ โดยต้องแจ้งวัตถุประสงค์ถึงรายละเอียดที่จะนำไปใช้ด้วย
Tip 4 ชี้แจงและเขียนนโยบายที่อ่านง่าย
ภายใต้กฎหมายใหม่ คุณไม่มีสิทธิ์ใช้ภาษากฎหมายที่ตีความยากๆ กับประชาชนได้ เมื่อคุณเขียนนโยบายเพื่อชี้แจงและขออนุญาตเกี่ยวกับการใช้ข้อมูลส่วนบุคคล คุณจะต้องเขียนให้เป็นภาษาที่ง่าย ตามมาตรา 19 ที่ระบุชัดเจนว่า ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
Tip 5 ต้องเตรียมพร้อมว่าคุณมีทักษะพอในการป้องกันข้อมูลส่วนบุคคล
แม้ว่าคุณจะทำงานในองค์กรขนาดเล็กหรือใหญ่ แต่คุณต้องมีการวางระบบรักษาความปลอดภัยของข้อมูลที่เพียงพอ และจะต้องมีการจัดทำรายงานวัดผลการป้องกันข้อมูลตามกฎหมายด้วย
“ถึงเวลาแล้วที่ทุกองค์กรธุรกิจจะต้องย้อนกลับไป และถามตัวเองว่ามีความพร้อมแล้วหรือยัง กับการปฎิบัติเพื่อให้สอดรับกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่จะบังคับจริงในอนาคตอันใกล้นี้”
ขอขอบคุณที่มา : https://icdl.online.th/content/2194/