ความเป็นส่วนตัว และ ข้อมูลส่วนบุคคล สำหรับผู้อ่าน สำคัญมากน้อยแค่ไหน?
สารคดีเรื่อง The Great Hack ที่ตีแผ่ กรณี Facebook ทำข้อมูลส่วนบุคคลรั่วไหลให้บริษัท Cambridge Analytica น่าจะทำให้เราต้องหันมาสนใจประเด็นนี้กันอย่างจริงจัง
กรณี Facebook ปล่อยข้อมูลส่วนบุคคลรั่วไหล ส่งผลให้ Facebook ถูกคณะกรรมาธิการการค้าสหรัฐ (Federal Trade Commission) สั่งปรับเป็นจำนวน เงินกว่า 5,000 ล้านเหรียญสหรัฐ หรือ 155,000 ล้านบาท รวมถึงหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของประเทศอิตาลีก็ได้ออกคำสั่งปรับ Facebook เป็นจำนวนเงิน 1 ล้านยูโร หรือ 34 ล้านบาท เห็นได้ว่า ประเทศตะวันตกให้ความสำคัญกับข้อมูลส่วนบุคคลและบังคับใช้กฎหมายอย่างเข้มข้น
สำหรับประเทศไทยในแง่ของกฎหมาย เราอาจช้าและก้าวไม่ทันสากลเพราะที่ผ่านมาใช้เวลารวมกว่า 20 ปี เพื่อร่างกฎหมายคุ้มครอง ข้อมูลส่วนบุคคล จนสุดท้ายได้กฎหมายออกมาในปีนี้ และจะมีผลบังคับใช้ในปีหน้า (พ.ค. 2563) แต่ในรายละเอียดพระราชบัญญัติ (พ.ร.บ.) คุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ก็ยังไม่มีความชัดเจนมากนักสำหรับผู้ต้องปฏิบัติตามกฎหมาย
ภายใต้การคุ้มครองของกฎหมายนี้ ทุกคนมีสิทธิในการบริหารจัดการข้อมูลส่วนบุคคลของตัวเอง มีสิทธิรู้ว่าข้อมูลเกี่ยวกับเราอยู่กับองค์กรใด ถูกใช้ทำอะไรและเปิดเผยให้กับใครบ้าง
ดังนั้น สำหรับบุคคลทั่วไปแล้วกฎหมายคุ้มครองข้อมูลส่วนบุคคลถือเป็นจุดเริ่มต้นของสิทธิขั้นพื้นฐานยุคใหม่ เพื่อเป็นรากฐานในการเตรียมพร้อมโครงสร้างประเทศไทยไปสู่ยุค 4.0 ตามที่รัฐบาลได้ตั้งใจไว้
แต่สำหรับองค์กรและผู้ประกอบธุรกิจ การปฏิบัติตามกฎหมายฉบับนี้เป็นโจทย์ ที่ผู้ประกอบธุรกิจส่วนใหญ่ในประเทศไทยยังไม่คุ้นเคยมาก่อน จากการศึกษาของ ทีดีอาร์ไอ พบว่า องค์กรในประเทศไทย แม้จะมีความตื่นตัวอยู่ในระดับหนึ่ง แต่ก็กำลังประสบปัญหาว่ากฎหมายไม่ชัดเจนพอที่จะปฏิบัติตามได้ สาเหตุเกิดจากกฎหมายยังมีช่องว่างที่รอให้มีการตีความอยู่มาก ในขณะที่ยังไม่มีหน่วยงานกำกับดูแลที่มีอำนาจมาให้ความชัดเจน
เนื่องจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่จะเข้ามาทำหน้าที่กำกับดูแล ตามกฎหมาย ยังอยู่ระหว่างกระบวนการจัดตั้งหน่วยงาน ซึ่ง พ.ร.บ.นั้น กำหนดให้จัดตั้งสำนักงานและคณะกรรมการให้แล้วเสร็จใน 1 ปีหลังจากวันที่ประกาศใช้กฎหมาย ซึ่งหากการจัดตั้งหน่วยงานใช้เวลาเต็มที่ตามที่กฎหมายกำหนด หน่วยงานกำกับดูแลในประเทศก็คงไม่สามารถเข้ามาช่วยให้ความรู้หรือความชัดเจนกับผู้ประกอบธุรกิจได้ทันวันที่กฎหมายบังคับใช้
ดังนั้นกว่าไทยจะมีกฎหมายอาจช้าไป แต่เมื่อจะบังคับใช้ก็อาจเร็วไปสำหรับ ผู้ประกอบธุรกิจหากยังขาดสำนักงานและคณะกรรมการขึ้นมากำกับดูแล และสื่อสารให้ข้อมูลเพื่อเตรียมการ
ทั้งนี้ ตามกฎหมายกำหนด ผู้ประกอบธุรกิจมีหน้าที่ปฏิบัติตามกฎหมาย 2 ข้อ สำคัญ คือ
1. “ต้องให้การคุ้มครอง” ข้อมูลส่วนบุคคลโดยให้สิทธิเจ้าของข้อมูลเข้าถึงข้อมูล สามารถแก้ไขข้อมูลให้ถูกต้อง รวมถึงสิทธิในการรับทราบ และจัดการข้อมูล (ซึ่งอาจหมายถึงการทำลายหรือ ระงับข้อมูลส่วนตัว) ได้
2. ผู้ประกอบการจะต้องแจ้งเจ้าของข้อมูลเมื่อข้อมูลมีการรั่วไหล พร้อมแจ้งคณะกรรมการคุ้มครองข้อมูลฯ ทราบ
โดยข้อมูลส่วนบุคคลในที่นี้ คือข้อมูล ทีสามารถใช้ระบุตัวบุคคลเท่านั้น ไม่รวมถึงข้อมูล เช่น บัญชีของบริษัท หรือข้อมูลเชิงสถิติ หรือข้อมูลลักษณะอื่นๆ ที่ไม่นำไปสู่การบ่งชี้บุคคลใดบุคคลหนึ่ง
จากหน้าที่ข้างต้นในทางปฏิบัติ ผู้ประกอบการจะต้องเตรียมความพร้อม อย่างน้อย 7 เรื่อง เพื่อปฏิบัติตามกฎหมายและลดผลกระทบที่อาจเกิดขึ้น หาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ มีผลใช้บังคับในขณะที่ยังไร้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเข้ามาทำหน้าที่ให้ความชัดเจนและกำกับดูแล
1. พิจารณาว่าองค์กรของเรามีข้อมูลส่วนบุคคลอยู่มากน้อยเพียงใด โดยต้องระบุได้ว่ามีการนำเข้า จัดเก็บข้อมูลโดยใครและด้วยวิธีใด มีเป้าหมายใช้ทำอะไร และเปิดเผยให้กับบุคคลภายนอกหรือไม่ ภายใต้เงื่อนไขอย่างไร และจะนำออกจากการครอบครองอย่างไร โดยควร ออกแบบเป็นแผนผังการไหลเวียนของ ข้อมูลในบริษัท (Dataflow) เพื่อให้ สามารถนำไปออกแบบกระบวนการและวางนโยบายขั้นต่อๆ ไป ซึ่งมีข้อระมัดระวังว่าข้อมูลส่วนบุคคลมีได้ในหลายรูปแบบและข้อมูลส่วนบุคคลของพนักงาน ก็ถือเป็นข้อมูลส่วนบุคคลเช่นเดียวกัน
2. พิจารณาแต่งตั้งบุคคลเข้ามารับผิดชอบในองค์กร จากการศึกษาของ ทีดีอาร์ไอ พบว่า บางองค์กรที่มีความพร้อมปรับตัวรับการบังคับใช้กฎหมาย ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อทำหน้าที่วางระบบ ออกแบบขั้นตอน รวมทั้งตรวจสอบภายในและช่วยเหลือหน่วยงานในองค์กรเพื่อให้เป็นไปตามกฎหมาย และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่กำลังจะมีขึ้นตามกฎหมาย หากเกิดเหตุการณ์ข้อมูล ส่วนบุคคลรั่วไหล
การมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในองค์กรจะทำให้มีหน่วยงานภายในที่คอยดูแลเรื่องการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ และลดความเสี่ยงเกี่ยวกับข้อมูลภายในองค์กรที่อาจต้องเปิดเผยให้กับบุคคลที่สาม ในกรณีที่จ้างบริษัทที่ปรึกษาภายนอกเข้ามาบริหารข้อมูลส่วนบุคคลอีกด้วย
สิ่งที่องค์กรและผู้ประกอบการ จะต้องเตรียมการยังมีอีกหลายด้าน รวมถึงบทบาทภาครัฐ และภาคีภาคเอกชน ที่จะมีส่วนช่วยหนุนผู้ประกอบการ ผู้เขียนจะขอมาแบ่งปันต่อในบทความหน้า เพื่อเราทุกคนได้รับรู้สิทธิ-หน้าที่ ของตน สร้างสภาพแวดล้อมให้กฎหมาย เป็นเครื่องมือรักษาผลประโยชน์ระหว่างกัน และส่งเสริมให้เกิดการบังคับใช้อย่างมีประสิทธิภาพ
เร็วหรือช้าไป…เมื่อไทยมี พ.ร.บ. ข้อมูลส่วนบุคคลฯ (จบ)
…. อีกไม่ถึงปี พ.ร.บ.ข้อมูลส่วนบุคคลฯ จะบังคับใช้ ในมุมของผู้ประกอบธุรกิจไทยอาจยังไม่พร้อมสำหรับการปรับตัวให้ทันตามข้อบังคับของกฎหมาย
จากการศึกษาของทีดีอาร์ไอ พบว่าในระยะเตรียมการนี้มีหลายองค์กรติดปัญหาความไม่ชัดเจนของกฎหมาย เนื่องจากตัวบทกฎหมายยังมีช่องว่างที่ต้องอาศัยการตีความอยู่มาก โดยผู้มีอำนาจตีความตามกฎหมาย คือ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งยังคงอยู่ระหว่างการจัดตั้งหน่วยงานและมีแนวโน้มว่าจะล่าช้ากว่าวันที่กฎหมายมีผลบังคับใช้
ดังนั้นจึงนำมาสู่ 7 ข้อเสนอเตรียมการ สำหรับผู้ประกอบการไทย ซึ่งผู้เขียนได้นำเสนอไปแล้ว 2 ข้อ ในบทความก่อนหน้า โดยอีก 5 ข้อ ผู้ประกอบการไทยควรรู้และเตรียมความพร้อมในทางปฏิบัติเพื่อทำตามกฎหมายและลดผลกระทบที่อาจเกิดขึ้น หาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะมีผลใช้บังคับ มีดังนี้
1.การจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล ไม่ใช่ทุกกรณีที่ต้องการคำยินยอมจากเจ้าของข้อมูลส่วนบุคคล เนื่องจากกฎหมายกำหนดเงื่อนไขไว้อยู่บ้างว่า การใช้ข้อมูลส่วนบุคคลในบางกรณีใดที่ไม่ต้องขอความ ยินยอมจากเจ้าของข้อมูลส่วนบุคคล เช่น “เพื่อการปฏิบัติตามสัญญา…” แต่ในกรณีที่ต้อง ขอความยินยอม การให้ความยินยอมนั้นสามารถทำได้ในหลายรูปแบบ โดยอาจเป็นหนังสือหรือผ่านระบบคอมพิวเตอร์ หรือในกรณีอื่นๆ ได้ อย่างไรก็ตาม ต้องระมัดระวังเรื่องข้อมูล ส่วนบุคคลที่ได้รับความคุ้มครองเป็นพิเศษ เช่น ข้อมูลเกี่ยวกับเชื้อชาติ ข้อมูลสุขภาพ ประวัติอาชญากรรม ศาสนาความเชื่อ เป็นต้น ซึ่งโดยส่วนใหญ่ต้องใช้การขอความยินยอมที่ชัดเจนจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น
2.การพิจารณาลบข้อมูล เนื่องจากการมีข้อมูลส่วนบุคคลย่อมเพิ่มภาระให้องค์กรต้องดูแล จึงควรลดขนาดข้อมูลส่วนบุคคลที่องค์กรเก็บอยู่ โดยการพิจารณาลบข้อมูลส่วนบุคคลที่ไม่จำเป็นออกเท่าที่จะทำได้ หรือ “เก็บเท่าที่จำเป็น” โดยควรกำหนดไว้เป็นกระบวนการในแผนผัง Dataflow ไว้ให้ ชัดเจนว่าจะลบข้อมูลส่วนบุคคลออกจากระบบ เมื่อใด ภายใต้เงื่อนไขใด เพื่อป้องกันไม่ให้ มีข้อมูลส่วนบุคคลมากจนไม่สามารถควบคุมได้อย่างมีประสิทธิภาพ
3.มีระบบการจัดการข้อมูล โดยกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคล และอาจรวมถึงการเก็บประวัติการเข้าถึง หากทำได้ เพื่อใช้ในการตรวจสอบภายใน โดยเฉพาะองค์กรที่เก็บข้อมูลในคอมพิวเตอร์ ควรกำหนดมาตรการเหล่านี้เป็นอย่างยิ่ง เพราะนอกจากจะเป็นกระบวนการเพื่อความปลอดภัยของบริษัทแล้ว ยังสามารถใช้เป็นเครื่องมือเพื่อตรวจสอบในกรณีฉุกเฉินได้อีกด้วย
4.กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลขององค์กร และประชาสัมพันธ์ให้ลูกค้าหรือบุคคลภายนอกทราบถึงจุดยืนขององค์กรที่มีต่อข้อมูลส่วนบุคคล บอกวิธีการจัดการข้อมูลส่วนบุคคลขององค์กร รวมไปถึงช่องทางการติดต่อเพื่อใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
5.จัดการการเปลี่ยนแปลงภายในองค์กร (Change Management) ได้แก่ การวางระบบภายในเพื่อรองรับการเปลี่ยนแปลงในองค์กร ได้แก่ การจัดอบรมบุคลากรในองค์กรเพื่อให้ความรู้และ เพิ่มความระมัดระวังเมื่อต้องทำหน้าที่ที่เกี่ยวเนื่องกับข้อมูลส่วนบุคคล รวมไปถึงการวางระบบเพื่อรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลในองค์กร
จะเห็นได้ว่าการเตรียมการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิภาพ มีมากกว่าการทำเอกสารขอความยินยอม หรือการกำหนดแนวทางในลักษณะเฉพาะหน้า แต่จะเข้าไปเกี่ยวข้องกับการทำความเข้าใจองค์กรในภาพใหญ่ ซึ่งต้องการการมีส่วนร่วมตั้งแต่ต้นมาจากระดับนโยบายและการบริหารจนไปถึงระดับปฏิบัติการ เช่น เจ้าหน้าที่บริการลูกค้า และยังต้องใช้เวลาปรับตัวในระดับหนึ่ง ซึ่งมากหรือน้อยขึ้นอยู่กับขนาดและความซับซ้อนขององค์กร ผู้เขียนพบว่าองค์กรขนาดใหญ่ที่มีจำนวนพนักงานหลักหมื่น ต้องใช้เวลาล่วงหน้ากว่า 2 ปี ในการเตรียมตัวให้บริษัทพร้อม แต่การจะปฏิบัติตามกฎหมายได้อย่างมีประสิทธิภาพ นอกจากภาครัฐต้องให้ความชัดเจนด้านการบังคับใช้กฎหมายแล้ว การเตรียมพร้อมปรับตัวของผู้ประกอบการนั้นมีภาระต้นทุน
การเตรียมความพร้อมนี้จึงต้องอาศัยภาคีภาคเอกชนที่มีศักยภาพในการเป็น ผู้ดำเนินการหลัก เช่น สภาอุตสาหกรรมแห่งประเทศไทย หอการค้าไทย หรือกลุ่มธุรกิจที่อาจมีหน่วยงานกำกับดูแลการประกอบธุรกิจโดยเฉพาะอยู่แล้วเป็นผู้ร่วมกันกำหนดมาตรฐานสำหรับกลุ่มธุรกิจ/ บริการ และให้หน่วยกำกับดูแลเข้ามาให้ความเห็น ซึ่งจะได้ประโยชน์กันทั้ง 2 ฝ่าย คือฝ่ายเอกชนที่มีแนวทางที่ชัดเจนจากแนวทางที่ร่วมกันกำหนดขึ้นเองและตกลงปฏิบัติตามในแนวทางเดียวกัน ด้านหน่วยบังคับใช้กฎหมายก็จะสามารถตรวจสอบได้ง่ายขึ้นผ่านมาตรฐานที่ตนเห็นชอบ เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำลังจะมีผล แต่หน่วยงานกำกับดูแลตามกฎหมายยังไม่พร้อมให้ความช่วยเหลือ ผู้ประกอบธุรกิจจึงต้องริเริ่มก่อน ก่อนที่จะได้รับผลกระทบจากกฎหมายเพียงเพราะการขาดการเตรียมการ และก่อนที่สิทธิขั้นพื้นฐานของบุคคลจะถูกละเมิดหรือละเลยจากการได้รับความคุ้มครองช้าไปกว่านี้
หมายเหตุ: เผยแพร่ครั้งแรกใน กรุงเทพธุรกิจ เมื่อ 29 สิงหาคม 2562 และ กรุงเทพธุรกิจ เมื่อ 12 กันยายน 2562