tdri logo
tdri logo
30 สิงหาคม 2019
Read in Minutes

Views

เร็วหรือช้าไป…เมื่อไทยมี พ.ร.บ. ข้อมูลส่วนบุคคลฯ

ชวน หวังสุนทรชัย

ความเป็นส่วนตัว และ ข้อมูลส่วนบุคคล สำหรับผู้อ่าน สำคัญมากน้อยแค่ไหน?

สารคดีเรื่อง The Great Hack ที่ตีแผ่ กรณี Facebook ทำข้อมูลส่วนบุคคลรั่วไหลให้บริษัท Cambridge Analytica น่าจะทำให้เราต้องหันมาสนใจประเด็นนี้กันอย่างจริงจัง

กรณี Facebook ปล่อยข้อมูลส่วนบุคคลรั่วไหล ส่งผลให้ Facebook ถูกคณะกรรมาธิการการค้าสหรัฐ (Federal Trade Commission) สั่งปรับเป็นจำนวน เงินกว่า 5,000 ล้านเหรียญสหรัฐ หรือ 155,000 ล้านบาท รวมถึงหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของประเทศอิตาลีก็ได้ออกคำสั่งปรับ Facebook เป็นจำนวนเงิน 1 ล้านยูโร หรือ 34 ล้านบาท เห็นได้ว่า ประเทศตะวันตกให้ความสำคัญกับข้อมูลส่วนบุคคลและบังคับใช้กฎหมายอย่างเข้มข้น

สารคดี The Great Hack ดีแผ่กรณี ข้อมูลส่วนบุคคล ผู้ใช้ Facebook รั่วไหล
สารคดี The Great Hack ตีแผ่กรณี ข้อมูลส่วนบุคคล ผู้ใช้ Facebook รั่วไหล
ที่มา: Netflix

สำหรับประเทศไทยในแง่ของกฎหมาย เราอาจช้าและก้าวไม่ทันสากลเพราะที่ผ่านมาใช้เวลารวมกว่า 20 ปี เพื่อร่างกฎหมายคุ้มครอง ข้อมูลส่วนบุคคล จนสุดท้ายได้กฎหมายออกมาในปีนี้ และจะมีผลบังคับใช้ในปีหน้า (พ.ค. 2563) แต่ในรายละเอียดพระราชบัญญัติ (พ.ร.บ.) คุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ก็ยังไม่มีความชัดเจนมากนักสำหรับผู้ต้องปฏิบัติตามกฎหมาย

ภายใต้การคุ้มครองของกฎหมายนี้ ทุกคนมีสิทธิในการบริหารจัดการข้อมูลส่วนบุคคลของตัวเอง มีสิทธิรู้ว่าข้อมูลเกี่ยวกับเราอยู่กับองค์กรใด ถูกใช้ทำอะไรและเปิดเผยให้กับใครบ้าง

ดังนั้น สำหรับบุคคลทั่วไปแล้วกฎหมายคุ้มครองข้อมูลส่วนบุคคลถือเป็นจุดเริ่มต้นของสิทธิขั้นพื้นฐานยุคใหม่ เพื่อเป็นรากฐานในการเตรียมพร้อมโครงสร้างประเทศไทยไปสู่ยุค 4.0 ตามที่รัฐบาลได้ตั้งใจไว้

แต่สำหรับองค์กรและผู้ประกอบธุรกิจ การปฏิบัติตามกฎหมายฉบับนี้เป็นโจทย์ ที่ผู้ประกอบธุรกิจส่วนใหญ่ในประเทศไทยยังไม่คุ้นเคยมาก่อน จากการศึกษาของ ทีดีอาร์ไอ พบว่า องค์กรในประเทศไทย แม้จะมีความตื่นตัวอยู่ในระดับหนึ่ง แต่ก็กำลังประสบปัญหาว่ากฎหมายไม่ชัดเจนพอที่จะปฏิบัติตามได้ สาเหตุเกิดจากกฎหมายยังมีช่องว่างที่รอให้มีการตีความอยู่มาก ในขณะที่ยังไม่มีหน่วยงานกำกับดูแลที่มีอำนาจมาให้ความชัดเจน

เนื่องจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่จะเข้ามาทำหน้าที่กำกับดูแล ตามกฎหมาย ยังอยู่ระหว่างกระบวนการจัดตั้งหน่วยงาน ซึ่ง พ.ร.บ.นั้น กำหนดให้จัดตั้งสำนักงานและคณะกรรมการให้แล้วเสร็จใน 1 ปีหลังจากวันที่ประกาศใช้กฎหมาย ซึ่งหากการจัดตั้งหน่วยงานใช้เวลาเต็มที่ตามที่กฎหมายกำหนด หน่วยงานกำกับดูแลในประเทศก็คงไม่สามารถเข้ามาช่วยให้ความรู้หรือความชัดเจนกับผู้ประกอบธุรกิจได้ทันวันที่กฎหมายบังคับใช้

ดังนั้นกว่าไทยจะมีกฎหมายอาจช้าไป แต่เมื่อจะบังคับใช้ก็อาจเร็วไปสำหรับ ผู้ประกอบธุรกิจหากยังขาดสำนักงานและคณะกรรมการขึ้นมากำกับดูแล และสื่อสารให้ข้อมูลเพื่อเตรียมการ

ทั้งนี้ ตามกฎหมายกำหนด ผู้ประกอบธุรกิจมีหน้าที่ปฏิบัติตามกฎหมาย 2 ข้อ สำคัญ คือ

1. “ต้องให้การคุ้มครอง” ข้อมูลส่วนบุคคลโดยให้สิทธิเจ้าของข้อมูลเข้าถึงข้อมูล สามารถแก้ไขข้อมูลให้ถูกต้อง รวมถึงสิทธิในการรับทราบ และจัดการข้อมูล (ซึ่งอาจหมายถึงการทำลายหรือ ระงับข้อมูลส่วนตัว) ได้

2. ผู้ประกอบการจะต้องแจ้งเจ้าของข้อมูลเมื่อข้อมูลมีการรั่วไหล พร้อมแจ้งคณะกรรมการคุ้มครองข้อมูลฯ ทราบ

โดยข้อมูลส่วนบุคคลในที่นี้ คือข้อมูล ทีสามารถใช้ระบุตัวบุคคลเท่านั้น ไม่รวมถึงข้อมูล เช่น บัญชีของบริษัท หรือข้อมูลเชิงสถิติ หรือข้อมูลลักษณะอื่นๆ ที่ไม่นำไปสู่การบ่งชี้บุคคลใดบุคคลหนึ่ง

จากหน้าที่ข้างต้นในทางปฏิบัติ ผู้ประกอบการจะต้องเตรียมความพร้อม อย่างน้อย 7 เรื่อง เพื่อปฏิบัติตามกฎหมายและลดผลกระทบที่อาจเกิดขึ้น หาก พ.ร.บ.  คุ้มครองข้อมูลส่วนบุคคลฯ มีผลใช้บังคับในขณะที่ยังไร้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเข้ามาทำหน้าที่ให้ความชัดเจนและกำกับดูแล

1. พิจารณาว่าองค์กรของเรามีข้อมูลส่วนบุคคลอยู่มากน้อยเพียงใด โดยต้องระบุได้ว่ามีการนำเข้า จัดเก็บข้อมูลโดยใครและด้วยวิธีใด มีเป้าหมายใช้ทำอะไร และเปิดเผยให้กับบุคคลภายนอกหรือไม่ ภายใต้เงื่อนไขอย่างไร และจะนำออกจากการครอบครองอย่างไร โดยควร ออกแบบเป็นแผนผังการไหลเวียนของ ข้อมูลในบริษัท (Dataflow) เพื่อให้ สามารถนำไปออกแบบกระบวนการและวางนโยบายขั้นต่อๆ ไป ซึ่งมีข้อระมัดระวังว่าข้อมูลส่วนบุคคลมีได้ในหลายรูปแบบและข้อมูลส่วนบุคคลของพนักงาน ก็ถือเป็นข้อมูลส่วนบุคคลเช่นเดียวกัน

2. พิจารณาแต่งตั้งบุคคลเข้ามารับผิดชอบในองค์กร จากการศึกษาของ ทีดีอาร์ไอ พบว่า บางองค์กรที่มีความพร้อมปรับตัวรับการบังคับใช้กฎหมาย ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อทำหน้าที่วางระบบ ออกแบบขั้นตอน รวมทั้งตรวจสอบภายในและช่วยเหลือหน่วยงานในองค์กรเพื่อให้เป็นไปตามกฎหมาย และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่กำลังจะมีขึ้นตามกฎหมาย หากเกิดเหตุการณ์ข้อมูล ส่วนบุคคลรั่วไหล

การมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในองค์กรจะทำให้มีหน่วยงานภายในที่คอยดูแลเรื่องการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ และลดความเสี่ยงเกี่ยวกับข้อมูลภายในองค์กรที่อาจต้องเปิดเผยให้กับบุคคลที่สาม ในกรณีที่จ้างบริษัทที่ปรึกษาภายนอกเข้ามาบริหารข้อมูลส่วนบุคคลอีกด้วย

สิ่งที่องค์กรและผู้ประกอบการ จะต้องเตรียมการยังมีอีกหลายด้าน รวมถึงบทบาทภาครัฐ และภาคีภาคเอกชน ที่จะมีส่วนช่วยหนุนผู้ประกอบการ ผู้เขียนจะขอมาแบ่งปันต่อในบทความหน้า เพื่อเราทุกคนได้รับรู้สิทธิ-หน้าที่ ของตน สร้างสภาพแวดล้อมให้กฎหมาย เป็นเครื่องมือรักษาผลประโยชน์ระหว่างกัน และส่งเสริมให้เกิดการบังคับใช้อย่างมีประสิทธิภาพ

เร็วหรือช้าไป…เมื่อไทยมี พ.ร.บ. ข้อมูลส่วนบุคคลฯ (จบ)

…. อีกไม่ถึงปี พ.ร.บ.ข้อมูลส่วนบุคคลฯ จะบังคับใช้ ในมุมของผู้ประกอบธุรกิจไทยอาจยังไม่พร้อมสำหรับการปรับตัวให้ทันตามข้อบังคับของกฎหมาย

จากการศึกษาของทีดีอาร์ไอ พบว่าในระยะเตรียมการนี้มีหลายองค์กรติดปัญหาความไม่ชัดเจนของกฎหมาย เนื่องจากตัวบทกฎหมายยังมีช่องว่างที่ต้องอาศัยการตีความอยู่มาก โดยผู้มีอำนาจตีความตามกฎหมาย คือ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งยังคงอยู่ระหว่างการจัดตั้งหน่วยงานและมีแนวโน้มว่าจะล่าช้ากว่าวันที่กฎหมายมีผลบังคับใช้

ดังนั้นจึงนำมาสู่ 7 ข้อเสนอเตรียมการ สำหรับผู้ประกอบการไทย ซึ่งผู้เขียนได้นำเสนอไปแล้ว 2 ข้อ ในบทความก่อนหน้า โดยอีก 5 ข้อ ผู้ประกอบการไทยควรรู้และเตรียมความพร้อมในทางปฏิบัติเพื่อทำตามกฎหมายและลดผลกระทบที่อาจเกิดขึ้น หาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะมีผลใช้บังคับ มีดังนี้

1.การจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล ไม่ใช่ทุกกรณีที่ต้องการคำยินยอมจากเจ้าของข้อมูลส่วนบุคคล เนื่องจากกฎหมายกำหนดเงื่อนไขไว้อยู่บ้างว่า การใช้ข้อมูลส่วนบุคคลในบางกรณีใดที่ไม่ต้องขอความ ยินยอมจากเจ้าของข้อมูลส่วนบุคคล เช่น “เพื่อการปฏิบัติตามสัญญา…” แต่ในกรณีที่ต้อง ขอความยินยอม การให้ความยินยอมนั้นสามารถทำได้ในหลายรูปแบบ โดยอาจเป็นหนังสือหรือผ่านระบบคอมพิวเตอร์ หรือในกรณีอื่นๆ ได้ อย่างไรก็ตาม ต้องระมัดระวังเรื่องข้อมูล ส่วนบุคคลที่ได้รับความคุ้มครองเป็นพิเศษ เช่น ข้อมูลเกี่ยวกับเชื้อชาติ ข้อมูลสุขภาพ ประวัติอาชญากรรม ศาสนาความเชื่อ เป็นต้น ซึ่งโดยส่วนใหญ่ต้องใช้การขอความยินยอมที่ชัดเจนจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น

2.การพิจารณาลบข้อมูล เนื่องจากการมีข้อมูลส่วนบุคคลย่อมเพิ่มภาระให้องค์กรต้องดูแล จึงควรลดขนาดข้อมูลส่วนบุคคลที่องค์กรเก็บอยู่ โดยการพิจารณาลบข้อมูลส่วนบุคคลที่ไม่จำเป็นออกเท่าที่จะทำได้ หรือ “เก็บเท่าที่จำเป็น” โดยควรกำหนดไว้เป็นกระบวนการในแผนผัง Dataflow ไว้ให้ ชัดเจนว่าจะลบข้อมูลส่วนบุคคลออกจากระบบ เมื่อใด ภายใต้เงื่อนไขใด เพื่อป้องกันไม่ให้ มีข้อมูลส่วนบุคคลมากจนไม่สามารถควบคุมได้อย่างมีประสิทธิภาพ

3.มีระบบการจัดการข้อมูล โดยกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคล และอาจรวมถึงการเก็บประวัติการเข้าถึง หากทำได้ เพื่อใช้ในการตรวจสอบภายใน โดยเฉพาะองค์กรที่เก็บข้อมูลในคอมพิวเตอร์ ควรกำหนดมาตรการเหล่านี้เป็นอย่างยิ่ง เพราะนอกจากจะเป็นกระบวนการเพื่อความปลอดภัยของบริษัทแล้ว ยังสามารถใช้เป็นเครื่องมือเพื่อตรวจสอบในกรณีฉุกเฉินได้อีกด้วย

4.กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลขององค์กร และประชาสัมพันธ์ให้ลูกค้าหรือบุคคลภายนอกทราบถึงจุดยืนขององค์กรที่มีต่อข้อมูลส่วนบุคคล บอกวิธีการจัดการข้อมูลส่วนบุคคลขององค์กร รวมไปถึงช่องทางการติดต่อเพื่อใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

5.จัดการการเปลี่ยนแปลงภายในองค์กร (Change Management) ได้แก่ การวางระบบภายในเพื่อรองรับการเปลี่ยนแปลงในองค์กร ได้แก่ การจัดอบรมบุคลากรในองค์กรเพื่อให้ความรู้และ เพิ่มความระมัดระวังเมื่อต้องทำหน้าที่ที่เกี่ยวเนื่องกับข้อมูลส่วนบุคคล รวมไปถึงการวางระบบเพื่อรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลในองค์กร

จะเห็นได้ว่าการเตรียมการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิภาพ มีมากกว่าการทำเอกสารขอความยินยอม หรือการกำหนดแนวทางในลักษณะเฉพาะหน้า แต่จะเข้าไปเกี่ยวข้องกับการทำความเข้าใจองค์กรในภาพใหญ่ ซึ่งต้องการการมีส่วนร่วมตั้งแต่ต้นมาจากระดับนโยบายและการบริหารจนไปถึงระดับปฏิบัติการ เช่น เจ้าหน้าที่บริการลูกค้า และยังต้องใช้เวลาปรับตัวในระดับหนึ่ง ซึ่งมากหรือน้อยขึ้นอยู่กับขนาดและความซับซ้อนขององค์กร  ผู้เขียนพบว่าองค์กรขนาดใหญ่ที่มีจำนวนพนักงานหลักหมื่น ต้องใช้เวลาล่วงหน้ากว่า 2 ปี ในการเตรียมตัวให้บริษัทพร้อม แต่การจะปฏิบัติตามกฎหมายได้อย่างมีประสิทธิภาพ นอกจากภาครัฐต้องให้ความชัดเจนด้านการบังคับใช้กฎหมายแล้ว การเตรียมพร้อมปรับตัวของผู้ประกอบการนั้นมีภาระต้นทุน

การเตรียมความพร้อมนี้จึงต้องอาศัยภาคีภาคเอกชนที่มีศักยภาพในการเป็น ผู้ดำเนินการหลัก เช่น สภาอุตสาหกรรมแห่งประเทศไทย หอการค้าไทย หรือกลุ่มธุรกิจที่อาจมีหน่วยงานกำกับดูแลการประกอบธุรกิจโดยเฉพาะอยู่แล้วเป็นผู้ร่วมกันกำหนดมาตรฐานสำหรับกลุ่มธุรกิจ/ บริการ และให้หน่วยกำกับดูแลเข้ามาให้ความเห็น ซึ่งจะได้ประโยชน์กันทั้ง 2 ฝ่าย คือฝ่ายเอกชนที่มีแนวทางที่ชัดเจนจากแนวทางที่ร่วมกันกำหนดขึ้นเองและตกลงปฏิบัติตามในแนวทางเดียวกัน ด้านหน่วยบังคับใช้กฎหมายก็จะสามารถตรวจสอบได้ง่ายขึ้นผ่านมาตรฐานที่ตนเห็นชอบ เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำลังจะมีผล แต่หน่วยงานกำกับดูแลตามกฎหมายยังไม่พร้อมให้ความช่วยเหลือ  ผู้ประกอบธุรกิจจึงต้องริเริ่มก่อน ก่อนที่จะได้รับผลกระทบจากกฎหมายเพียงเพราะการขาดการเตรียมการ และก่อนที่สิทธิขั้นพื้นฐานของบุคคลจะถูกละเมิดหรือละเลยจากการได้รับความคุ้มครองช้าไปกว่านี้

หมายเหตุ: เผยแพร่ครั้งแรกใน กรุงเทพธุรกิจ เมื่อ 29 สิงหาคม 2562 และ กรุงเทพธุรกิจ เมื่อ 12 กันยายน 2562

นักวิจัย

แชร์บทความนี้

เรื่องที่คุณอาจสนใจ

ดูทั้งหมด