หลังจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ ก.ม.พีดีพีเอ( PDPA )ได้มีผลบังคับมาได้ 2 ปีกว่าๆ  แล้ว แต่ ปัจจุบัน ก็ยังมีการขายโมยข้อมูล ขาย ข้อมูลส่วนบุคคล  ทั้งที่ถูกแฮกเกอร์ เจาะระบบขโมยจากหน่วยงานต่างๆ รวมถึงพนักงานนำข้อมูลลูกค้าไปขายเอง ก๋มีให้เห็นเป็นข่าวอย่างต่อเนื่อง

ล่าสุดก็กรณีที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ลงโทษสั่งปรับบริษัท เอกชนขนาดใหญ่สูงถึง 7 ล้านบาท ด้วยมีความผิดฐานไม่ดำเนินการตาม ก.ม.พีดีพีเอ

การคุ้มครองข้อมูลส่วนบุคคลสำคัญแค่ไหน? และองค์กรต่างๆจำเป็นต้องดำเนินการอย่างไรให้เป็นไปตามกฎหมาย วันนี้ คอลัมน์  “ชีวิตติด TECH” มีคำตอบจากผู้เชี่ยวชาญเรื่องนี้

“อุดมธิปก ไพรเกษตร” ประธานเจ้าหน้าที่บริหาร บริษัท ดีบีซี กรุ๊ป จำกัด และผู้ก่อตั้ง PDPA Thailand ในฐานะผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล  บอกว่า  กรณีดังกล่าวถือเป็นข้อคิดที่องค์กรต่างสามารภนำไป ประยุกต์ใช้กับการดำเนินงานให้สอดคล้องตามกฎหมาย PDPA ได้ โดยสาเหตุที่ สคส. ต้องออกคำสั่งทางปกครองปรับเอกชนรายนั้นมี 3 เรื่องใหญ่ๆ คือ   1. องค์กรนั้นไม่มี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เมื่อเข้าข่ายจำเป็นต้องแต่งตั้ง ตาม PDPA มาตรา 41(2)2. ไม่มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลที่เพียงพอ ตาม PDPA มาตรา 37(1) และ 3. ไม่มีการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับตั้งแต่ทราบเรื่อง ตาม PDPA มาตรา 37 (4)”

อุดมธิปก ไพรเกษตร

แม้ กฎหมาย พีดีพีเอ จะบังคับใช้เต็มรูปแบบมา  2 ปีแล้ว แต่ยังมี องค์กรหลาย ๆ แห่ง อาจจะไม่รู้ว่าต้องมี DPO  เพราะอาจไม่ได้ติดตาม ข่าวสาร หรือตีความเงื่อนไขในกฎหมาย ไม่ถูก ความซับซ้อน ของปัญหาและการโดนปรับทั้งหมดเริ่มต้นที่จุดนี้

ซึ่งหากองค์กรมี DPO ก็จะไม่ผิดแล้วในกระทงตามข้อ 1. เมื่อมี DPO แล้วก็จะช่วยแนะนำการทำตามกฎหมายในแง่มุมต่าง ๆ ทั้งมาตรการรักษาความมั่นคงปลอดภัยข้อมูล และ การแจ้งเหตุละเมิดความเสี่ยงที่จะผิดกฎหมาย PDPA ในแง่มุมอื่น ๆ ก็ลดลงตามไปด้วย

ส่วน ด้านมาตรการรักษา ความมั่นคงปลอดภัย องค์กรมักเน้นการคุ้มครองข้อมูลจากคนภายนอก เจาะระบบเข้ามาขโมยข้อมูลไป แต่จากกรณีศึกษาทั่วโลกจะพบว่า หลายครั้งการละเมิดข้อมูลมีที่มาจากคนในองค์กรเอง ด้วยสาเหตุต่างๆ เช่น ความไม่ชอบ หน้ากัน ผลประโยชน์ และความประมาท เป็นต้น การมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่ครอบคลุม ทั้งในและนอกองค์กรจึงมีความสำคัญ DPO ที่มีประสบการณ์และความชำนาญจะเข้าใจ

ซึ่งจะช่วยเลดโอกาสพลาดยิ่งขึ้นไป และ  DPO ที่แต่งตั้ง  ต้องมีความรู้ความเข้าใจในตัวบทกฎหมาย และการปรับองค์กรตามกฎหมาย ซึ่งสมัยนี้ก็มีหลักสูตรฝึกอบรมที่เปิดสอนแบบเจาะลึก มีเนื้อหาหลักสูตรที่สอดคล้องตามที่ สคส.กำหนด

หากมองในมุมค่าปรับตัวเงิน หลายๆคนอาจมองว่าเงินจำนวนนี้ บริษัทขนาดใหญ่มีรายได้มากมาย คงไม่สะเทือนอะไร แต่ควรมองในแง่ ความเสียหายว่าไม่ได้เป็นเพียงแค่จำนวนเงิน เพราะการถูกสั่งปรับจะกระทบต่อชื่อเสียงแน่นอน และอาจสร้างความเสียหายเชิงธุรกิจตามมา โดยไม่สามารถประเมินเป็นมูลค่าได้

ภาพ pixabay.com

ซึ่งเรื่องการพิจารณาค่าปรับเป็นเรื่องที่ยากจะให้ความเห็น เนื่องจากมีหลายปัจจัยมา เกี่ยวข้อง แต่เชื่อว่าทางคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 คงได้พินิจพิเคราะห์อย่างถี่ถ้วนแล้ว ขณะเดียวกันผู้เสียหายที่เป็นลูกค้าของบริษัทนี้ที่ข้อมูลรั่วออกไป มีสิทธิที่ยื่นฟ้องทางแพ่งตาม PDPA เพื่อเรียกค่าเสียหายจากบริษัทกับศาลแพ่ได้ตามสิทธิทางกฎหมาย

 “หลังจากนี้หากมีองค์กรละเมิดกฎหมาย PDPA ในลักษณะแบบเดียวกัน อาจมีการลงโทษที่รุนแรงเพิ่มขึ้น เพราะการสั่งปรับได้สร้างความตระหนักรู้ต่อสังคมแล้ว มาตรฐานถูกยกขึ้นมาแล้ว การตัดสินของคณะกรรมการผู้เชี่ยวชาญก็อาจเข้มงวดมากขึ้น อย่าลืมว่ายังมีอีกหลายมาตราและลักษณะความผิดตามกฎหมายที่เรายังไม่ทราบว่าได้รับการพิจารณาในการกระทำความผิดครั้งนี้ด้วยหรือไม่ ทั้งนี้ต้องพิจารณาขนาดขององค์กร รายได้ และพฤติกรรมและกิจกรรมขององค์กรร่วมด้วย”

เมื่อเกิดเหตุแบบนี้แล้ว  ทิศทางการคุ้มครองข้อมูลส่วนบุคคลของไทย หลังจากนี้จะเป็นอย่างไรนั้น  ทาง “อุดมธิปก ไพรเกษตร” มองว่า  จะแบ่งออกเป็น 3 กลุ่ม กลุ่มแรกสำหรับองค์กรเอกชน ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จะตื่นตัวเรื่องนี้มากเป็นพิเศษ เพราะโทษชัดเจนว่า  การมี DPO สำคัญ และ  ต้องปฎิบัติตามกฎหมาย PDPA โดยจะให้ความสำคัญกับ Cyber Security ก่อน ซึ่งอาจจะไม่ถูกทีเดียว เพราะท้ายที่สุดการถูกร้องเรียน จากเจ้าของข้อมูลส่วนบุคคลอาจไม่ได้เกิดจากกรณีที่มีข้อมูลถูกละเมิดหรือรั่วไหลเพียงอย่างเดียว และการแจ้งเหตุ การละเมิดข้อมูลส่วนบุคคลไปที่ สคส.จะมีมากขึ้นเรื่อย ๆ ในทุกรูปแบบ เพราะไม่มั่นใจว่าควรแจ้งหรือไม่

ส่วนกลุ่มที่ 2 คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) จะมาใช้สิทธิข้อมูลส่วนบุคคลของตนเอง กับทางผู้ควบคุมข้อมูลส่วนบุคคลกันมากขึ้น และจะร้องเรียนกับทาง สคส.เพิ่มมากขึ้น เพราะเริ่มรู้กันแล้วว่า สามารถร้องเรียนได้ และมีต้นทุนในการร้องเรียนต่ำ   และกลุ่มสุดท้าย คือหน่วยงานของรัฐ ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล อาจจะยังไม่ตระหนักถึงความเสี่ยง และผลกระทบต่อข้อมูลส่วนบุคคลมากนัก แต่จะเริ่มปฏิบัติตาม PDPA เพิ่มมากขึ้น เพราะคาดว่าแรงกดดันจากสังคม ที่จะให้ลงโทษหน่วยงานรัฐที่ละเมิดไม่ปฏิบัติตามกฎหมาย PDPA จะสูงขึ้น

ภาพ pixabay.com

สุดท้ายแล้ว การทำ PDPA ให้ถูกต้องเป็นเรื่องไม่ยาก แต่ต้องมีความเข้าใจในธุรกิจขององค์กร กฎหมายที่เกี่ยวข้องไม่เฉพาะ PDPA กระบวนการทำงานขององค์กร  โดยองค์กรต้องใช้ข้อมูลส่วนบุคคลจากใคร แบบไหน เพื่อไปทำอะไร รวมทั้งสำรวจข้อมูลส่วนบุคคลที่องค์กรองค์กรมีอยู่ และแต่งตั้ง DPO หากเข้าข่ายจำเป็นต้องมีพนักงานหรือคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล ซึ่งองค์กรที่มีการเก็บข้อมูลส่วนบุคคลจำนวนมาก (เกิน 100,000 ราย) หรือทำกิจกรรมที่มีการประมวลผลข้อมูลโดยตรงเป็นหลักให้ตีไว้ก่อนเลยว่าต้องมี DPO

และเร่งพัฒนาบุคลากรขององค์กรเพื่อให้เข้าใจเรื่อง PDPA  มอบหมายให้คนที่ดูแลรับผิดชอบเริ่มต้นจัดทำ บันทึกรายการกิจกรรมการประมวลผล (RoPA) เพื่อให้มองเห็นและติดตามข้อมูลในองค์กรได้ จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ให้เจ้าของข้อมูลส่วนบุคคลทราบแสดงความโปร่งใส มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล และเริ่มสร้างมาตรการความมั่นคงปลอดภัยข้อมูลที่เหมาะสมกับองค์กรและระดับความเสี่ยงของข้อมูล โดยอาจเริ่มจากมาตรการที่ลงทุนน้อย ทำได้ง่าย และขยับไปสู่การปรับเปลี่ยนโครงสร้างขนาดใหญ่ตามลำดับ

หากสามารถดำเนินการได้ก็จะช่วยลดความเสี่ยงและป้องกันละเมิดข้อมูลส่วนบุคคลได้มีประสิทธิภาพมากขึ้น!!

 Cyber Daily