หลังจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ ก.ม.พีดีพีเอ( PDPA )ได้มีผลบังคับมาได้ 2 ปีกว่าๆ แล้ว แต่ ปัจจุบัน ก็ยังมีการขายโมยข้อมูล ขาย ข้อมูลส่วนบุคคล ทั้งที่ถูกแฮกเกอร์ เจาะระบบขโมยจากหน่วยงานต่างๆ รวมถึงพนักงานนำข้อมูลลูกค้าไปขายเอง ก๋มีให้เห็นเป็นข่าวอย่างต่อเนื่อง
ล่าสุดก็กรณีที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ลงโทษสั่งปรับบริษัท เอกชนขนาดใหญ่สูงถึง 7 ล้านบาท ด้วยมีความผิดฐานไม่ดำเนินการตาม ก.ม.พีดีพีเอ
การคุ้มครองข้อมูลส่วนบุคคลสำคัญแค่ไหน? และองค์กรต่างๆจำเป็นต้องดำเนินการอย่างไรให้เป็นไปตามกฎหมาย วันนี้ คอลัมน์ “ชีวิตติด TECH” มีคำตอบจากผู้เชี่ยวชาญเรื่องนี้
“อุดมธิปก ไพรเกษตร” ประธานเจ้าหน้าที่บริหาร บริษัท ดีบีซี กรุ๊ป จำกัด และผู้ก่อตั้ง PDPA Thailand ในฐานะผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล บอกว่า กรณีดังกล่าวถือเป็นข้อคิดที่องค์กรต่างสามารภนำไป ประยุกต์ใช้กับการดำเนินงานให้สอดคล้องตามกฎหมาย PDPA ได้ โดยสาเหตุที่ สคส. ต้องออกคำสั่งทางปกครองปรับเอกชนรายนั้นมี 3 เรื่องใหญ่ๆ คือ 1. องค์กรนั้นไม่มี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เมื่อเข้าข่ายจำเป็นต้องแต่งตั้ง ตาม PDPA มาตรา 41(2)2. ไม่มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลที่เพียงพอ ตาม PDPA มาตรา 37(1) และ 3. ไม่มีการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับตั้งแต่ทราบเรื่อง ตาม PDPA มาตรา 37 (4)”
แม้ กฎหมาย พีดีพีเอ จะบังคับใช้เต็มรูปแบบมา 2 ปีแล้ว แต่ยังมี องค์กรหลาย ๆ แห่ง อาจจะไม่รู้ว่าต้องมี DPO เพราะอาจไม่ได้ติดตาม ข่าวสาร หรือตีความเงื่อนไขในกฎหมาย ไม่ถูก ความซับซ้อน ของปัญหาและการโดนปรับทั้งหมดเริ่มต้นที่จุดนี้
ซึ่งหากองค์กรมี DPO ก็จะไม่ผิดแล้วในกระทงตามข้อ 1. เมื่อมี DPO แล้วก็จะช่วยแนะนำการทำตามกฎหมายในแง่มุมต่าง ๆ ทั้งมาตรการรักษาความมั่นคงปลอดภัยข้อมูล และ การแจ้งเหตุละเมิดความเสี่ยงที่จะผิดกฎหมาย PDPA ในแง่มุมอื่น ๆ ก็ลดลงตามไปด้วย
ส่วน ด้านมาตรการรักษา ความมั่นคงปลอดภัย องค์กรมักเน้นการคุ้มครองข้อมูลจากคนภายนอก เจาะระบบเข้ามาขโมยข้อมูลไป แต่จากกรณีศึกษาทั่วโลกจะพบว่า หลายครั้งการละเมิดข้อมูลมีที่มาจากคนในองค์กรเอง ด้วยสาเหตุต่างๆ เช่น ความไม่ชอบ หน้ากัน ผลประโยชน์ และความประมาท เป็นต้น การมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่ครอบคลุม ทั้งในและนอกองค์กรจึงมีความสำคัญ DPO ที่มีประสบการณ์และความชำนาญจะเข้าใจ
ซึ่งจะช่วยเลดโอกาสพลาดยิ่งขึ้นไป และ DPO ที่แต่งตั้ง ต้องมีความรู้ความเข้าใจในตัวบทกฎหมาย และการปรับองค์กรตามกฎหมาย ซึ่งสมัยนี้ก็มีหลักสูตรฝึกอบรมที่เปิดสอนแบบเจาะลึก มีเนื้อหาหลักสูตรที่สอดคล้องตามที่ สคส.กำหนด
หากมองในมุมค่าปรับตัวเงิน หลายๆคนอาจมองว่าเงินจำนวนนี้ บริษัทขนาดใหญ่มีรายได้มากมาย คงไม่สะเทือนอะไร แต่ควรมองในแง่ ความเสียหายว่าไม่ได้เป็นเพียงแค่จำนวนเงิน เพราะการถูกสั่งปรับจะกระทบต่อชื่อเสียงแน่นอน และอาจสร้างความเสียหายเชิงธุรกิจตามมา โดยไม่สามารถประเมินเป็นมูลค่าได้
ซึ่งเรื่องการพิจารณาค่าปรับเป็นเรื่องที่ยากจะให้ความเห็น เนื่องจากมีหลายปัจจัยมา เกี่ยวข้อง แต่เชื่อว่าทางคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 คงได้พินิจพิเคราะห์อย่างถี่ถ้วนแล้ว ขณะเดียวกันผู้เสียหายที่เป็นลูกค้าของบริษัทนี้ที่ข้อมูลรั่วออกไป มีสิทธิที่ยื่นฟ้องทางแพ่งตาม PDPA เพื่อเรียกค่าเสียหายจากบริษัทกับศาลแพ่ได้ตามสิทธิทางกฎหมาย
“หลังจากนี้หากมีองค์กรละเมิดกฎหมาย PDPA ในลักษณะแบบเดียวกัน อาจมีการลงโทษที่รุนแรงเพิ่มขึ้น เพราะการสั่งปรับได้สร้างความตระหนักรู้ต่อสังคมแล้ว มาตรฐานถูกยกขึ้นมาแล้ว การตัดสินของคณะกรรมการผู้เชี่ยวชาญก็อาจเข้มงวดมากขึ้น อย่าลืมว่ายังมีอีกหลายมาตราและลักษณะความผิดตามกฎหมายที่เรายังไม่ทราบว่าได้รับการพิจารณาในการกระทำความผิดครั้งนี้ด้วยหรือไม่ ทั้งนี้ต้องพิจารณาขนาดขององค์กร รายได้ และพฤติกรรมและกิจกรรมขององค์กรร่วมด้วย”
เมื่อเกิดเหตุแบบนี้แล้ว ทิศทางการคุ้มครองข้อมูลส่วนบุคคลของไทย หลังจากนี้จะเป็นอย่างไรนั้น ทาง “อุดมธิปก ไพรเกษตร” มองว่า จะแบ่งออกเป็น 3 กลุ่ม กลุ่มแรกสำหรับองค์กรเอกชน ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จะตื่นตัวเรื่องนี้มากเป็นพิเศษ เพราะโทษชัดเจนว่า การมี DPO สำคัญ และ ต้องปฎิบัติตามกฎหมาย PDPA โดยจะให้ความสำคัญกับ Cyber Security ก่อน ซึ่งอาจจะไม่ถูกทีเดียว เพราะท้ายที่สุดการถูกร้องเรียน จากเจ้าของข้อมูลส่วนบุคคลอาจไม่ได้เกิดจากกรณีที่มีข้อมูลถูกละเมิดหรือรั่วไหลเพียงอย่างเดียว และการแจ้งเหตุ การละเมิดข้อมูลส่วนบุคคลไปที่ สคส.จะมีมากขึ้นเรื่อย ๆ ในทุกรูปแบบ เพราะไม่มั่นใจว่าควรแจ้งหรือไม่
ส่วนกลุ่มที่ 2 คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) จะมาใช้สิทธิข้อมูลส่วนบุคคลของตนเอง กับทางผู้ควบคุมข้อมูลส่วนบุคคลกันมากขึ้น และจะร้องเรียนกับทาง สคส.เพิ่มมากขึ้น เพราะเริ่มรู้กันแล้วว่า สามารถร้องเรียนได้ และมีต้นทุนในการร้องเรียนต่ำ และกลุ่มสุดท้าย คือหน่วยงานของรัฐ ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล อาจจะยังไม่ตระหนักถึงความเสี่ยง และผลกระทบต่อข้อมูลส่วนบุคคลมากนัก แต่จะเริ่มปฏิบัติตาม PDPA เพิ่มมากขึ้น เพราะคาดว่าแรงกดดันจากสังคม ที่จะให้ลงโทษหน่วยงานรัฐที่ละเมิดไม่ปฏิบัติตามกฎหมาย PDPA จะสูงขึ้น
สุดท้ายแล้ว การทำ PDPA ให้ถูกต้องเป็นเรื่องไม่ยาก แต่ต้องมีความเข้าใจในธุรกิจขององค์กร กฎหมายที่เกี่ยวข้องไม่เฉพาะ PDPA กระบวนการทำงานขององค์กร โดยองค์กรต้องใช้ข้อมูลส่วนบุคคลจากใคร แบบไหน เพื่อไปทำอะไร รวมทั้งสำรวจข้อมูลส่วนบุคคลที่องค์กรองค์กรมีอยู่ และแต่งตั้ง DPO หากเข้าข่ายจำเป็นต้องมีพนักงานหรือคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล ซึ่งองค์กรที่มีการเก็บข้อมูลส่วนบุคคลจำนวนมาก (เกิน 100,000 ราย) หรือทำกิจกรรมที่มีการประมวลผลข้อมูลโดยตรงเป็นหลักให้ตีไว้ก่อนเลยว่าต้องมี DPO
และเร่งพัฒนาบุคลากรขององค์กรเพื่อให้เข้าใจเรื่อง PDPA มอบหมายให้คนที่ดูแลรับผิดชอบเริ่มต้นจัดทำ บันทึกรายการกิจกรรมการประมวลผล (RoPA) เพื่อให้มองเห็นและติดตามข้อมูลในองค์กรได้ จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ให้เจ้าของข้อมูลส่วนบุคคลทราบแสดงความโปร่งใส มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล และเริ่มสร้างมาตรการความมั่นคงปลอดภัยข้อมูลที่เหมาะสมกับองค์กรและระดับความเสี่ยงของข้อมูล โดยอาจเริ่มจากมาตรการที่ลงทุนน้อย ทำได้ง่าย และขยับไปสู่การปรับเปลี่ยนโครงสร้างขนาดใหญ่ตามลำดับ
หากสามารถดำเนินการได้ก็จะช่วยลดความเสี่ยงและป้องกันละเมิดข้อมูลส่วนบุคคลได้มีประสิทธิภาพมากขึ้น!!
Cyber Daily