ทิศทาง PDPA ในปัจจุบัน (ตอนที่ 1)

ทิศทาง PDPA ในปัจจุบัน ก่อนอื่นต้องมาทำความเข้าใจสั้นๆ ก่อนว่า “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA เป็นกฎหมายที่มีความสำคัญอย่างยิ่งในการคุ้มครองข้อมูลส่วนบุคคลของประชาชนในประเทศไทย การบังคับใช้ PDPA นับเป็นก้าวสำคัญในการปรับปรุงและยกระดับมาตรฐานการคุ้มครองข้อมูลให้ทัดเทียมกับมาตรฐานสากล

บทความนี้เป็นการสำรวจทิศทาง PDPA ในปัจจุบัน รวมถึงแนวโน้มและความท้าทายในการปฏิบัติตามกฎหมายนี้ ซึ่งการบังคับใช้ PDPA ได้เริ่มขึ้นอย่างเป็นทางการในวันที่ 1 มิถุนายน 2565 หลังจากการเลื่อนออกไปหลายครั้งเพื่อให้องค์กรต่างๆ มีเวลาเตรียมความพร้อม การบังคับใช้กฎหมายนี้มีเป้าหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชน จากการใช้และการเปิดเผยที่ไม่เหมาะสม รวมถึงการจัดการข้อมูลที่ไม่ปลอดภัย

แนวโน้มการปฏิบัติตาม PDPA ซึ่งในแต่ละองค์กรจะต้องดำเนินการทันที หรือถ้าองค์กรใดที่ดำเนินการไปแล้วจะต้องมีการทบทวนให้มีความเป็นปัจจุบันและเหมาะสมกับองค์กรที่สุด

1. การเพิ่มความตระหนักรู้ การเพิ่มความตระหนักรู้เกี่ยวกับ PDPA เป็นสิ่งสำคัญ องค์กรต่างๆ ต้องให้ความรู้แก่พนักงานเกี่ยวกับสิทธิและหน้าที่ตาม PDPA รวมถึงการจัดฝึกอบรมอย่างสม่ำเสมอ เพื่อให้พนักงานเข้าใจและปฏิบัติตามกฎหมายอย่างถูกต้อง ถ้าองค์กรได้ทำการประเมินความเสี่ยง บุคลากรก็ถือว่าเป็นความเสี่ยงลำดับต้นๆ ต่อให้องค์กรมีแนวปฏิบัติที่ดีแค่ไหน ถ้าบุคลากรขาดความตระหนัก ก็อาจส่งผลกระทบกับองค์กรได้ การฝึกอบรมพนักงานเกี่ยวกับ PDPA #ขั้นตอนสำคัญในการปกป้องข้อมูลส่วนบุคคลและปฏิบัติตามกฎหมาย หัวข้อการอบรมที่ครอบคลุมความสำคัญของการคุ้มครองข้อมูล #หลักการและข้อกำหนดของ PDPA บทบาทและความรับผิดชอบของพนักงาน #มาตรการรักษาความปลอดภัย การจัดการข้อมูลในระบบดิจิทัล การจัดการข้อมูลในชีวิตประจำวัน การตอบสนองต่อการละเมิดข้อมูล และ #การทบทวนและปรับปรุงการปฏิบัติตาม PDPA จะช่วยให้พนักงานมีความรู้และความเข้าใจในการปฏิบัติตาม PDPA ได้อย่างมีประสิทธิภาพ

2. การปรับปรุงนโยบายและกระบวนการ องค์กรต้องปรับปรุงนโยบายและกระบวนการที่เกี่ยวข้องกับการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล พร้อมทั้งให้มีการประเมินความเสี่ยงเพื่อให้สอดคล้องกับข้อกำหนดของ PDPA Gap Analysis เป็นกระบวนการที่ใช้ในการเปรียบเทียบระหว่างสถานะปัจจุบันของกระบวนการปกป้องข้อมูลในองค์กรกับมาตรฐานที่กำหนดไว้ใน PDPA เพื่อหาช่องว่าง (Gap) ที่ยังไม่ได้ถูกปฏิบัติตาม และวางแผนในการแก้ไขปัญหาเหล่านั้น Gap Analysis #การประเมินสถานะปัจจุบัน รวบรวมข้อมูลเกี่ยวกับกระบวนการปกป้องข้อมูลที่มีอยู่ในปัจจุบัน #วิเคราะห์ว่าแต่ละกระบวนการปฏิบัติตามมาตรฐานของ PDPA หรือไม่? #การเปรียบเทียบกับมาตรฐาน PDPA ทำการวิเคราะห์เปรียบเทียบระหว่างสถานะปัจจุบันกับข้อกำหนดและมาตรฐานที่ระบุใน PDPA หาช่องว่างหรือข้อบกพร่องที่พบในการปฏิบัติงาน การวิเคราะห์ความเสี่ยง ประเมินความเสี่ยง ที่อาจเกิดขึ้นจากช่องว่างที่พบ วิเคราะห์ผลกระทบที่อาจเกิดขึ้น หากไม่ดำเนินการแก้ไข

ความเสี่ยงข้อมูลส่วนบุคคลที่เกี่ยวข้องกับ PDPA

1. การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต หนึ่งในความเสี่ยงสำคัญที่สุด คือ การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต อาจเกิดจากการแฮกเกอร์ การใช้วิธีการฟิชชิ่ง หรือการเข้าถึงข้อมูลโดยพนักงานที่ไม่มีสิทธิ การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต สามารถทำให้ข้อมูลส่วนบุคคลถูกเปิดเผยและนำไปใช้ในทางที่ไม่ถูกต้อง ส่งผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล

2. การเก็บรักษาข้อมูลที่ไม่ปลอดภัย เป็นความเสี่ยงอีกประการหนึ่ง ซึ่งอาจเกิดจากการไม่เข้ารหัสข้อมูล การใช้เซิร์ฟเวอร์ที่ไม่ปลอดภัย หรือการเก็บข้อมูลในรูปแบบที่ง่ายต่อการเข้าถึง การเก็บรักษาข้อมูลที่ไม่ปลอดภัย อาจทำให้ข้อมูลถูกโจรกรรมหรือถูกทำลายได้ง่าย

3. การใช้ข้อมูลโดยไม่ได้รับความยินยอม การใช้ข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล เป็นการละเมิด PDPA ซึ่งอาจเกิดขึ้นจากการไม่แจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ในการเก็บรวบรวมข้อมูล หรือการใช้ข้อมูลเพื่อวัตถุประสงค์อื่นนอกเหนือจากที่ได้รับความยินยอม การใช้ข้อมูลโดยไม่ได้รับความยินยอม อาจทำให้เกิดความเสียหายต่อความเป็นส่วนตัวของเจ้าของข้อมูล

4. การละเมิดสิทธิของเจ้าของข้อมูล PDPA ให้สิทธิแก่เจ้าของข้อมูลในการเข้าถึงและขอแก้ไขข้อมูลส่วนบุคคลของตนเอง การละเมิดสิทธิของเจ้าของข้อมูล เช่น การปฏิเสธไม่ให้เจ้าของข้อมูลเข้าถึงหรือแก้ไขข้อมูล อาจทำให้เจ้าของข้อมูลไม่ได้รับความเป็นธรรมและเกิดความเสียหายได้

5. การขาดมาตรการความปลอดภัยในการถ่ายโอนข้อมูล การถ่ายโอนข้อมูลส่วนบุคคลระหว่างองค์กร หรือระหว่างประเทศ มีความเสี่ยงที่ข้อมูลอาจถูกขโมยหรือถูกดักฟังได้ หากไม่มีการใช้มาตรการความปลอดภัยที่เหมาะสม เช่น การเข้ารหัสข้อมูล หรือการใช้เครือข่ายที่ปลอดภัย

วิธีการลดความเสี่ยง

1. การเข้ารหัสข้อมูล เป็นวิธีหนึ่งที่ช่วยป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โดยเฉพาะข้อมูลที่มีความสำคัญและมีความอ่อนไหว ควรมีการเข้ารหัสทั้งในขั้นตอนการจัดเก็บ และการถ่ายโอนข้อมูล

2. การควบคุมการเข้าถึงข้อมูล องค์กรควรมีการกำหนดสิทธิในการเข้าถึงข้อมูลสำหรับพนักงานแต่ละคนอย่างชัดเจน และควรมีการตรวจสอบการเข้าถึงข้อมูลอย่างสม่ำเสมอ เพื่อป้องกันการเข้าถึงข้อมูลโดยพนักงานที่ไม่มีสิทธิ

3. การให้ความรู้และฝึกอบรมพนักงาน เกี่ยวกับการปฏิบัติตาม PDPA และการรักษาความปลอดภัยของข้อมูลเป็นสิ่งสำคัญ พนักงานควรทราบถึงความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และวิธีการป้องกันความเสี่ยงเหล่านั้น

4. การใช้เทคโนโลยีความปลอดภัย องค์กรควรใช้เทคโนโลยีความปลอดภัยที่เหมาะสม เช่น ระบบการตรวจจับและป้องกันการโจมตีทางไซเบอร์ ระบบการเข้ารหัสข้อมูล และระบบการตรวจสอบการเข้าถึงข้อมูล เพื่อป้องกันการโจรกรรมและการละเมิดข้อมูล

5. การจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล องค์กรควรมีนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจนและเป็นลายลักษณ์อักษร นโยบายนี้ควรรวมถึงการจัดการข้อมูลส่วนบุคคล การแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ในการเก็บรวบรวมข้อมูล การได้รับความยินยอมจากเจ้าของข้อมูล และการรักษาความปลอดภัยของข้อมูล

3. การจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หลายองค์กรได้จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer-DPO) หรือกำหนดให้มีการตั้งคณะทำงานคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีหน้าที่กำกับดูแลการปฏิบัติตาม PDPA มีบทบาทในการให้คำปรึกษา ตรวจสอบ และประเมินความเสี่ยงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ซึ่งเป็นช่องทางที่จะรายงานสถานะความเป็นไปในการปฏิบัติตาม PDPA ต่อผู้บริหาร และประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีเหตุการณ์ละเมิดข้อมูลส่วนบุคคลเกิดขึ้น สิ่งสำคัญที่ดำรงไว้เพื่อให้มีการดำเนินการ PDPA อย่างต่อเนื่อง คือ การวางแผนการแก้ไข กำหนดแนวทางและวิธีการในการแก้ไขช่องว่างที่พบ #จัดทำแผนการดำเนินงานที่ชัดเจนและมีเป้าหมายในการปรับปรุงมาตรการปกป้องข้อมูล #การดำเนินการและติดตามผล #ดำเนินการตามแผนที่วางไว้ ติดตามและประเมินผลการดำเนินงานเพื่อให้แน่ใจว่ามาตรการที่ได้ดำเนินการนั้นมีประสิทธิภาพและเป็นไปตามมาตรฐานของ PDPA ซึ่งรวมถึงการขอความยินยอมจากเจ้าของข้อมูล การจัดทำบันทึกการประมวลผลข้อมูล และการรักษาความปลอดภัยของข้อมูล

ถ้าองค์กรใดยังไม่ได้ออกแบบโครงสร้างด้านการกำกับดูแลข้อมูลส่วนบุคคล ซึ่งในแต่ละองค์กรจะมีความเฉพาะในการบริหารงาน หรือในรูปแบบของธุรกิจ ทั้งด้านการจัดเก็บ หรือใช้งานข้อมูลส่วนบุคคล ซึ่งหมายความว่า มีทั้งความเหมือนกัน และความแตกต่างกัน ในการกำหนดหรือการออกแบบกำกับดูแลข้อมูลส่วนบุคคล ควรเน้นให้ทุกๆ ส่วนงานมีส่วนร่วม ซึ่งในหน่วยงานนั้นๆ อาจอยู่ในกลุ่มใดกลุ่มหนึ่งหรือทั้งหมดในวงจรข้อมูลส่วนบุคคล ทั้งการจัดเก็บ ใช้งาน เปิดเผย หรือโอนย้าย จนกระทั่งกระบวนการทำลายข้อมูลส่วนบุคคล

ดังนั้น โครงสร้างการบริการงานของคณะทำงานกำกับดูแลข้อมูลส่วนบุคคล (Data Protection Governance Committee) เป็นสิ่งสำคัญในการสร้างกรอบการทำงานและการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรให้มีประสิทธิภาพ โดยตารางโครงสร้างนี้สามารถแบ่งออกเป็นหลายระดับชั้น ที่ครอบคลุมการทำงานในทุกด้าน สิ่งสำคัญอีกประการหนึ่ง คือ โครงสร้างนี้ควรมีการปรับเปลี่ยนตามความต้องการและลักษณะขององค์กร เพื่อให้เกิดประสิทธิภาพสูงสุดในการคุ้มครองข้อมูลส่วนบุคคลในองค์กรของคุณ

ตัวอย่าง : โครงสร้างการบริการงานคณะทำงานกำกับดูแลข้อมูลส่วนบุคคล

1. ประธานคณะทำงาน บทบาทหน้าที่ : กำกับดูแลการทำงานทั้งหมดของคณะทำงาน รับผิดชอบในการตัดสินใจเชิงนโยบายและกลยุทธ์ที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ประสานงานกับผู้บริหารระดับสูงขององค์กร

2. คณะทำงาน สมาชิกประกอบด้วย 

หัวหน้าหน่วยงาน หรือผู้แทนจากหน่วยงานหลักที่เกี่ยวข้อง เช่น ฝ่ายกฎหมาย ฝ่ายไอที ฝ่ายบุคคล ฝ่ายการตลาด หรือฝ่ายงานที่มีการประมวลผลข้อมูลส่วนบุคคล เป็นกิจกรรมหลัก เป็นต้น 

บทบาทหน้าที่ : 

• จัดทำและปรับปรุงนโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
• ตรวจสอบและประเมินการปฏิบัติงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในองค์กร
• รายงานผลการปฏิบัติงานให้กับประธานคณะทำงาน

3. คณะทำงานที่แบ่งตามหน้าที่และความรับผิดชอบเฉพาะด้าน

3.1 ฝ่ายนโยบายและกฎหมาย 

บทบาทหน้าที่ :

• ศึกษา ปรับปรุงกฎหมายและนโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
• ให้คำปรึกษาด้านกฎหมายแก่หน่วยงานต่างๆ ภายในองค์กร

3.2 ฝ่ายการจัดการข้อมูล 

บทบาทหน้าที่ :

• ตรวจสอบและประเมินการจัดการข้อมูลส่วนบุคคลในระบบสารสนเทศ
• ดูแลและบำรุงรักษาระบบการจัดเก็บข้อมูลให้เป็นไปตามมาตรฐานและนโยบาย

3.3 ฝ่ายการฝึกอบรมและพัฒนา 

บทบาทหน้าที่ :

• จัดทำและดำเนินการฝึกอบรมพนักงานในองค์กรเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
• สร้างแผนการพัฒนาและโปรแกรมการเรียนรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

3.4 ฝ่ายการบริหารจัดการความเสี่ยง 

บทบาทหน้าที่ :

• วิเคราะห์และประเมินความเสี่ยงที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
• จัดทำแผนการบริหารจัดการความเสี่ยงและแนวทางการรับมือกับเหตุการณ์ที่อาจเกิดขึ้น

ความท้าทายในการปฏิบัติตาม PDPA

- ความซับซ้อนของข้อกำหนด ข้อกำหนดของ PDPA มีความซับซ้อนและต้องการความเข้าใจในรายละเอียด การปรับตัวให้ทันกับข้อกำหนดต่างๆ และการดำเนินการให้เป็นไปตามกฎหมาย ทั้งหมดเป็นความท้าทายที่องค์กรต้องเผชิญ

- การบริหารจัดการข้อมูลข้ามพรมแดน เป็นอีกหนึ่งความท้าทาย องค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลของบุคคลในต่างประเทศ ต้องปฏิบัติตามข้อกำหนดการส่งข้อมูลข้ามพรมแดนของ PDPA ซึ่งอาจมีความยุ่งยากในทางปฏิบัติ

- การรักษาความปลอดภัยของข้อมูล เป็นสิ่งสำคัญในการป้องกันการรั่วไหล และการถูกโจมตีจากผู้ไม่หวังดี องค์กรต้องลงทุนในการพัฒนาระบบความปลอดภัยของข้อมูลและเทคโนโลยีที่ทันสมัย เพื่อป้องกันการละเมิดข้อมูล

ทิศทาง PDPA ในปัจจุบัน การคุ้มครองข้อมูลส่วนบุคคลในยุคดิจิทัล องค์กรต่างๆ ต้องให้ความสำคัญกับการปฏิบัติตามกฎหมายนี้ โดยการเพิ่มความตระหนักรู้ ปรับปรุงนโยบายและกระบวนการ และจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การดำเนินงานเป็นไปอย่างถูกต้องและมีประสิทธิภาพ ความท้าทายที่เกิดขึ้นในการปฏิบัติตาม PDPA เป็นสิ่งที่ต้องการความร่วมมือและการปรับตัวอย่างต่อเนื่อง เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลของประชาชนได้รับการคุ้มครองอย่างเหมาะสมและปลอดภัย

สรุปได้ว่า การปกป้องข้อมูลส่วนบุคคลตาม PDPA เป็นสิ่งที่ทุกองค์กรต้องให้ความสำคัญและปฏิบัติตามอย่างเคร่งครัด ความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมีหลายด้าน ตั้งแต่การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การเก็บรักษาข้อมูลที่ไม่ปลอดภัย การใช้ข้อมูลโดยไม่ได้รับความยินยอม การละเมิดสิทธิของเจ้าของข้อมูล ไปจนถึงการขาดมาตรการความปลอดภัยในการถ่ายโอนข้อมูล การลดความเสี่ยงเหล่านี้จำเป็นต้องมีการเข้ารหัสข้อมูล การควบคุมการเข้าถึงข้อมูล การให้ความรู้และฝึกอบรมพนักงาน การใช้เทคโนโลยีความปลอดภัย และการจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน การปฏิบัติตามมาตรการเหล่านี้จะช่วยให้องค์กรสามารถปกป้องข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ และลดความเสี่ยงที่อาจเกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคล อีกหนึ่งเหตุผลในทุกๆ องค์กร จะนำเครื่องมืออะไร? กระบวนการไหน? มาใช้ควบคุมเพื่อให้เกิดความต่อเนื่อง ซึ่งทุกองค์กรไม่อาจปฏิเสธได้ว่าต้องพบเจอกับการหมุนเวียนของบุคลากร ไม่ว่าจะเป็นการรับพนักงานเข้าใหม่ พนักงานลาออก หรือแม้กระทั่งการสลับโยกย้าย ปรับตำแหน่ง ในความเป็นจริงองค์ความรู้ด้าน PDPA หรือแม้กระทั่งความเข้าใจก็อาจจะปรับเปลี่ยนไปตามสถานการณ์ด้วยเช่นกัน กระบวนการที่แนะนำว่าจะเป็นตัวขับเคลื่อน หรือเป็นกลไกให้องค์กรมีการปฏิบัติงานด้าน PDPA อย่างต่อเนื่อง และมีประสิทธิภาพบรรลุวัตถุประสงค์ ต้องพึ่งพาการทำ “PDPA Compliance Audit” จึงขอแนะนำ แนวปฏิบัติและความสอดคล้องตามกฎหมายทั้ง 10 ด้าน และหลักเกณฑ์การประเมิน ซึ่งในบทความนี้ขอเกริ่นคราวๆ ว่า ทั้ง 10 ด้าน ประกอบด้วยอะไรบ้าง 

ด้านที่ 1 : ภาวะผู้นำและการกำกับดูแล (Leadership and Oversight) 

ด้านที่ 2 : นโยบายและแนวปฏิบัติ (Policies and Procedures)

ด้านที่ 3 : การอบรมและการสร้างความตระหนักรู้ (Training and Awareness)

ด้านที่ 4 : สิทธิของเจ้าของข้อมูลส่วนบุคคล (Individual’s Right)

ด้านที่ 5 : การแจ้งวัตถุประสงค์และความโปร่งใส (Transparency)

ด้านที่ 6 : การจัดทำบันทึกรายการและฐานทางกฎหมาย (ROPA and Lawful basis)

ด้านที่ 7 : ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล และข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (DPA and DSA)

ด้านที่ 8 : ด้านความเสี่ยงและการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Risks and DPIAs)

ด้านที่ 9 : มาตรการรักษาความมั่นคงปลอดภัย (Data Security)

ด้านที่ 10 : การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Breach Response)

โดยแนวปฏิบัติและความสอดคล้องตามกฎหมายทั้ง 10 ด้าน และหลักเกณฑ์การประเมินดังกล่าวนั้น ออกโดยสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) ซึ่งถือเป็นเครื่องมือที่ช่วยกำหนดทิศทาง และเป็นเครื่องมือหนึ่งที่สามารถช่วยให้ PDPA ในองค์กรของท่านขับเคลื่อนประสิทธิภาพและบรรลุวัตถุประสงค์