อย่างที่ทุกคนทราบกันดีเรื่องของการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่ได้เริ่มไปเมื่อวันที่ 1 มิ.ย. 2565 เพื่อทำหน้าที่เป็นมาตรฐานในการปกป้องและคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกละเมิด รวมถึงกำหนดกระบวนการจัดเก็บข้อมูลและนำไปใช้ โดยต้องได้รับความยินยอมจากเจ้าของข้อมูล เช่น ชื่อ ที่อยู่ บัญชีธนาคาร เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ การเก็บรักษาข้อมูลส่วนบุคคลถือเป็นสิ่งที่สำคัญ เนื่องจากข้อมูลส่วนนี้สามารถนำไปประมวลผลได้หลากหลายรูปแบบ ไม่ว่าจะเป็นการนำข้อมูลไปวิเคราะห์ หรือ นำไปใช้ในทางที่ก่อให้เกิดความเสียหาย อาจถูกนำข้อมูลส่วนบุคคลไปขายต่อให้กับบุคคลอื่นๆ องค์กรจำเป็นต้องให้ความใส่ใจในกฎหมาย และข้อบังคับตาม พ.ร.บ. ฉบับนี้ โดยต้องดำเนินการให้สอดคล้องตามข้อกฎหมาย ในช่วงปีที่ผ่านมาเราพบว่าหลาย ๆองค์กรพากันปรับเปลี่ยนกระบวนการเก็บรวบรวมข้อมูลให้เป็นไปตามหลักของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) นั้นมีหลายขั้นตอน ที่องค์กรต้องปฏิบัติตามข้อกำหนด ข้อบังคับและระเบียบต่าง ๆ ที่ยังไม่ชัดเจน อีกทั้งยากที่จะปฏิบัติตามสำหรับหลาย ๆ องค์กร ทั้งๆที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีเจตจำนงที่ต้องการให้ พ.ร.บ. ฉบับนี้เกิดประโยชน์สูงสุดกับประชาชน มุ่งเน้นให้ผู้ที่เกี่ยวข้องมีภาระในการปฎิบัติตามกฎหมายน้อยที่สุด การเริ่มบังคับใช้กฎหมายฉบับแรก จึงเน้นการให้ความรู้และตักเตือน สร้างความตระหนักให้กับองค์กรในระยะยาว
จึงได้มีการประกาศใช้กฎหมายลูกที่สำคัญอีก 4 ฉบับ เมื่อวันที่ 20 มิ.ย. 2565 ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เพื่ออำนวยความสะดวกให้กับองค์กรต่างๆ ซึ่งมีผลผ่อนคลายความเข้มงวดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ลดความกังวลด้านโทษที่อาจถูกปรับหรือจำคุก และระเบียบยกเว้นสำหรับธุรกิจขนาดเล็ก ในเรื่องของข้อกำหนดขั้นต้นที่องค์กรแต่ละขนาดจำเป็นต้องทำ จึงต้องดำเนินการอย่างสอดคล้องด้วยเกณฑ์การพิจารณาโทษที่ไม่ตึงไม่หย่อนจนเกินไป เพื่อให้เกิดความสมดุลระหว่างภาครัฐ เอกชน และประชาชน
กฎหมายลูกจำนวนทั้งหมด 4 ฉบับ ที่ประกาศใช้ต่อองค์กร ประกอบด้วย
- การยกเว้นการบันทึกรายการ ของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ( ROP ) ซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565 หมายถึง บริษัท ห้างหุ้นส่วนทั้งเป็นนิติบุคคลและไม่เป็นนิติบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ประกอบการ ที่มีลักษณะตามที่กำหนดไว้ในประกาศฯ ได้รับการยกเว้นไม่ต้องทำ “บันทึกรายการ” ดังนี้
- วิสาหกิจขนาดย่อมหรือวิสาหกิจขนาดกลางตามกฎหมายว่าด้วยการส่งเสริมวิสาหกิจขนาดกลางและขนาดย่อม
- วิสาหกิจชุมชนหรือเครือข่ายวิสาหกิจชุมชน
- วิสาหกิจเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม
- สหกรณ์ ชุมนุมสหกรณ์ หรือกลุ่มเกษตรกรตามกฎหมายว่าด้วยสหกรณ์
- มูลนิธิ สมาคม องค์กรศาสนา หรือองค์กรที่ไม่แสวงหากำไร
- กิจการในครัวเรือนหรือกิจการอื่นในลักษณะเดียวกัน
ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นกิจการขนาดเล็กที่ได้รับการยกเว้น ต้องไม่เป็นผู้ให้บริการที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์เว้นแต่จะเป็นผู้ให้บริการร้านอินเทอร์เน็ต และเป็นไปตามเงื่อนไขในมาตรา 39
2. หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล ประกาศฉบับนี้กำหนดให้ผู้ประกอบการที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ซึ่งมีรายละเอียดดังนี้
- ชื่อและข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล
- ชื่อและข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลรับจ้างดำเนินการให้
- ชื่อและข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- ประเภทหรือลักษณะของกิจกรรมการประมวลผล
- ประเภทของหน่วยงานที่ได้รับข้อมูล ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
- คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
โดยให้ระยะเวลาแก่ผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการจัดเตรียมกระบวนการเพื่อจัดทำบันทึกรายการตามที่กฎหมายกำหนดและจะใช้บังคับในวันที่ 17 ธ.ค. 2565 จะจัดทำเป็นหนังสือหรือในรูปแบบอิเล็กทรอนิกส์ก็ได้ แต่จะต้องเข้าถึงได้ง่าย และสามารถแสดงให้เจ้าหน้าที่ตรวจสอบได้อย่างรวดเร็วเมื่อมีการร้องขอ
3. มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เป็นหน้าที่ที่สำคัญของผู้ควบคุมข้อมูลส่วนบุคคล แนวทางในการดำเนินการของผู้ประกอบการขนาดเล็กที่ควรให้ความสำคัญมีดังไปนี้
- องค์กรต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมในการเก็บรวบรวมข้อมูล
- ความสามารถในการธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) รวมถึงการสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย (privacy and security awareness) เพื่อป้องกันการสูญหาย แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
- การตรวจสอบและเฝ้าระวังภัยคุกคามและเหตุการละเมิดข้อมูลส่วนบุคคล เมื่อมีเหตุละเมิด ผู้ควบคุมข้อมูลส่วนบุคคลมีความจำเป็นต้องทบทวนมาตรการรักษาความมั่นคงปลอดภัย เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
- สำหรับผู้ประกอบการขนาดเล็ก ให้จัดมาตรการป้องกันเท่าที่จำเป็นเหมาะสม โดยคำนึงถึงระดับความเสี่ยงขององค์กร
4. หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565ประกาศนี้เป็นการกำหนดหลักเกณฑ์พิจารณาลงโทษปรับทางปกครองมีความชัดเจนมากขึ้น โดยให้คณะกรรมการผู้เชี่ยวชาญซึ่งมีหน้าที่พิจารณาเรื่องร้องเรียน ตรวจสอบการกระทำ และคำนึงถึงปัจจัย ดังต่อไปนี้
- การกระทำผิดโดยเจตนาหรือจงใจ หรือประมาทเลินเล่ออย่างร้ายแรง หรือขาดความระมัดระวังตามสมควร
- ความร้ายแรงของพฤติกรรมที่กระทำผิด
- ขนาดกิจการของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
- ผลของมาตรการลงโทษปรับทางปกครองที่จะบังคับว่าจะได้ช่วยบรรเทาความเสียหายหรือความเดือดร้อนแก่เจ้าของข้อมูลส่วนบุคคลหรือไม่
- ประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากมาตรการลงโทษปรับทางปกครอง และผลกระทบต่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือบุคคลที่กระทำผิดและผลกระทบในวงกว้างต่อธุรกิจหรือกิจการอื่นที่เกี่ยวข้อง
- มูลค่าความเสียหายและความร้ายแรงที่เกิดจากการกระทำผิดนั้น
- ระดับโทษปรับทางปกครองและมาตรการบังคับทางปกครองที่เคยใช้กับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลรายอื่นในความผิดทำนองเดียวกัน
- ประวัติการถูกลงโทษปรับทางปกครองและใช้มาตรการบังคับทางปกครองของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล และในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นนิติบุคคล ให้หมายความรวมถึงประวัติการถูกลงโทษปรับทางปกครองของบุคคลที่เกี่ยวข้องกับการกระทำของนิติบุคคลนั้นด้วย
- ระดับความรับผิดชอบและมาตรฐานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่มีการกระทำความผิด
- การดำเนินการตามประมวลจริยธรรม แนวปฏิบัติทางธุรกิจ หรือมาตรฐานในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในขณะที่มีการกระทำความผิด
- การเยียวยาและบรรเทาความเสียหายของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเมื่อทราบเหตุที่กระทำความผิด
- การชดใช้ค่าสินไหมทดแทนเพื่อเยียวยาความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล
- ข้อเท็จจริงอื่นๆ ที่เกี่ยวข้อง
โดยประกาศกำหนดให้คณะกรรมการผู้เชี่ยวชาญพิจารณาออกคำสั่งตามระดับความร้ายแรงของการทำความผิด ดังนี้
- กรณีไม่ร้ายแรง ให้ตักเตือน หรือสั่งให้แก้ไข สั่งห้าม หรือสั่งจำกัดการกระทำ
- กรณีร้ายแรง หรือสั่งตักเตือนไม่เป็นผล ให้ลงโทษปรับทางปกครอง
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้เผยแพร่ประกาศฉบับใหม่ ที่มีเนื้อหาเกี่ยวกับวิธีการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล เมื่อวันที่ 15 ธันวาคม 2565 มีใจความสำคัญคือรายละเอียดในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่เจ้าของข้อมูล และ คณะกรรมการการคุ้มครองข้อมูลส่วนบุคคล รวมไปถึงขั้นตอนที่ ผู้ควบคุมข้อมูลส่วนบุคคลควรต้องปฎิบัติเมื่อเกิดเหตุละเมิด โดยจัดทำคู่มือแนวทางการประเมินความเสี่ยงและแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล เพื่อนำมาใช้ประกอบกับประกาศฉบับล่าสุดอีกด้วย
หลังจากที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้ประกาศใช้อย่างเป็นทางการ ทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) แจ้งว่าใน 1 ปีที่ผ่านมา ตั้งแต่วันที่ 1 ตุลาคม 2564 – 15 พฤศจิกายน 2565 มีผู้ร้องเรียนสูงถึง 2,246 ครั้ง โดยจัดอันดับหัวข้อร้องเรียนมากที่สุด ที่ทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) รับเรื่องได้ดังนี้
- ร้องเรียนเรื่องการบังคับให้ความยินยอมเพื่อเปิดใช้บริการ
- การถูกเก็บข้อมูลส่วนบุคคลมาจากแหล่งอื่นโดยมิชอบ
- ไม่เปิดให้ใช้สิทธิขอรับสำเนาข้อมูลหรือลบข้อมูลตามกฎหมาย
- เรื่องการใช้และเปิดเผยข้อมูลระหว่างบุคคลธรรมดา
สถิติจากสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) พบว่า หน่วยงานเอกชน ถูกร้องเรียนในเรื่องการฝ่าฝืนพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) สูงที่สุด ถึง 83.1 % ลำดับถัดมาคือประชาชนอยู่ที่ 9.2 % หน่วยงานรัฐวิสาหกิจ 4.6% และหน่วยงานรัฐ 3.1% โดยเหตุผลส่วนใหญ่ล้วนมาจาก การที่บุคลากรขาดความรู้ความเข้าใจในกระบวนการทำงานขององค์กร ส่วนใหญ่เกิดจากสาเหตุดังนี้
- ระบบคอมพิวเตอร์ขององค์กรถูกเจาะระบบ
- กระบวนการควบคุมขั้นตอนการเปิดเผยข้อมูลส่วนบุคคล ขององค์กรไม่รัดกุม
- พนักงานดำเนินการผิดพลาด ส่งข้อมูลให้ผู้รับผิดคน
เหตุผลที่หน่วยงานภาครัฐถูกร้องเรียนน้อยกว่าหน่วยงานรัฐเพราะได้มีการเตรียมพร้อมและแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO- Data Protection Officer) ที่มีหน้าที่ให้คำแนะนำ และ ตรวจสอบการดำเนินงานของบริษัท จัดทำแบบประเมินความเสี่ยงการละเมิดข้อมูลส่วนบุคคลภายในบริษัท (DPIA : Data Protection Impact Assessment) รวมไปถึงส่งเสริมให้ภายในบริษัทมีค่านิยมในการคุ้มครองข้อมูลส่วนบุคคลไว้อยู่แล้ว ซึ่ง DPO จะเข้ามามีส่วนช่วยในการทำให้องค์กรปฏิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง
สำหรับบทความหน้า CYBER ELITE🦉จะมาเล่าให้ฟังเกี่ยวกับ บริหารจัดการข้อมูลตามหลัก PDPA ด้วย Data Lifecycle Management ว่าทำอย่างไรให้ถูกต้อง เป็นไปตามที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) กำหนด