PDPA ต้องทำอะไรบ้างสำหรับภาคส่วนขององค์กรต่าง ๆ เพื่อไม่ให้เกิดโทษตามกฎหมาย เพราะการบังคับใช้กฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเพิ่งเกิดขึ้นเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา หลายองค์กรอาจจะเตรียมตัวไม่ทัน และอีกหลายองค์กรอาจจะไม่ทราบว่าเกี่ยวข้องและเข้าเกณฑ์กับกฎหมายข้อนี้ด้วย จึงควรเร่งศึกษาข้อปฏิบัติและทำความเข้าใจกับกฎหมายข้อนี้และนำมาใช้อย่างถูกต้อง ซึ่งรายละเอียดของข้อปฏิบัติและการสร้างความเป็นส่วนตัวขององค์กรมีดังต่อไปนี้
ความเข้าใจผิดที่องค์กรมักจะพลาดจนละเลยกฎหมาย PDPA
PDPA คือกฎหมายใหม่แกะกล่องที่ใช้สำหรับคุ้มครองข้อมูลส่วนบุคคล ซึ่งไม่ใช่เพียงประชาชนเท่านั้นที่เกิดความเข้าใจผิด องค์กรบางแห่งก็มีความสับสนด้วยเช่นกัน เพราะองค์กรส่วนใหญ่จะคิดว่าตัวเองนั้นเป็นนิติบุคคลจึงไม่เข้าข่ายเป็นข้อมูลส่วนตัวและไม่เกี่ยวข้องกับกฎหมาย PDPA รวมไปถึงบางธุรกิจคิดว่าลักษณะงานของตัวเองไม่ได้เกี่ยวข้องกับข้อมูลส่วนตัวของลูกค้ามากนัก จึงมักจะละเลยที่จะใส่ใจในรายละเอียดของตัวบทกฎหมาย และไม่ทราบขั้นตอนว่า PDPA ต้องทำอะไรบ้าง ทำให้เสี่ยงต่อการได้รับบทลงโทษในอนาคต ดังนั้นองค์กรต้องทำความเข้าใจใหม่ว่า ถึงแม้ว่าข้อมูลของนิติบุคคลจะไม่เกี่ยวข้องกับกฎหมาย PDPA แต่บุคลากรในองค์กรรวมไปถึงกลุ่มลูกค้าขององค์กรทุกคนล้วนได้รับการคุ้มครองจากกฎหมาย PDPA ทั้งสิ้น
ต่อมาคือธุรกิจบางประเภทที่คิดว่าไม่เกี่ยวข้องกับข้อมูลส่วนตัวของใคร ต้องลองพิจารณาและทำความเข้าใจใหม่ เพราะแม้แต่อาชีพค้าขายออนไลน์ที่จะต้องมีการส่งของให้ลูกค้า ก็ถือว่าเข้าข่ายกฎหมาย PDPA แล้ว เนื่องจากมีการรับรายละเอียดทั้งชื่อ-สกุล และที่อยู่ในการส่งของให้กับลูกค้า ซึ่งถือว่าเป็นข้อมูลส่วนตัว หรือแม้แต่อาชีพไรเดอร์ที่รับข้อมูลส่วนตัวของลูกค้ามาอีกทีเพื่อนำส่งสินค้าและอาหาร ก็มีส่วนเกี่ยวข้องในฐานะเป็นผู้รับโอนข้อมูลส่วนตัวของลูกค้า จึงเข้าข่ายต้องทำตามกฎหมายของ PDPA ด้วยเช่นกัน เพราะ PDPA คือกฎหมายของประชาชน จึงแทบจะไม่มีธุรกิจใดเลยที่ไม่เกี่ยวข้องกับข้อมูลส่วนตัว เมื่อทราบดังนี้แล้ว PDPA ต้องทำอะไรบ้างสำหรับองค์กรและธุรกิจที่ต้องเกี่ยวข้อง ขั้นตอนต่าง ๆ มีดังต่อไปนี้
หน่วยงานและองค์กรจะรับมือกฎหมาย PDPA ต้องทำอะไรบ้าง
เมื่อถามถึงสิ่งที่องค์กรต้องเร่งมือสำหรับกฎหมาย PDPA ต้องทำอะไรบ้าง อันดับแรกต้องเร่งจัดทำ Privacy Policy ซึ่งหมายถึง “นโยบายเพื่อความเป็นส่วนตัว” โดยองค์กรต้องเริ่มแจ้งให้เจ้าของข้อมูลได้รับทราบนโยบาย แนวทางการใช้และปกป้องข้อมูลส่วนบุคคลขององค์กร โดยองค์กรจะต้องแจ้งให้ชัดเจนว่าจะนำข้อมูลส่วนตัวอะไรไปจัดเก็บบ้าง เพื่อนำไปใช้ในกิจกรรมใด และจะจัดเก็บข้อมูลไว้นานแค่ไหน ที่สำคัญองค์กรต้องทราบว่าจะใช้มาตรการอย่างไรในการรักษาความเป็นส่วนตัวของเจ้าของข้อมูล เช่น อาจใช้เทคโนโลยีเข้ามาช่วยในการแยกประเภทข้อมูลส่วนตัว และกำหนดสิทธิ์ในการเข้าถึงข้อมูลว่ามีใครบ้างที่สามารถเข้าถึงข้อมูลชุดนี้ได้ และทำการแจ้งให้เจ้าของข้อมูลรับทราบ
นอกจากข้อมูลส่วนตัวพื้นฐานอย่างชื่อและที่อยู่แล้ว ข้อมูลส่วนตัวทางอิเล็กทรอนิกส์ก็ต้องมีระบบแจ้งเตือนและได้รับการยินยอมจากเจ้าของข้อมูลด้วยเช่นกัน เช่น การระบุจีพีเอส โลเคชั่น, การใช้คุ้กกี้ และการระบุ IP Address เป็นต้น
เมื่อกำหนด Privacy Policy แล้วต่อมาองค์กรต้องแต่งตั้งเจ้าหน้าที่ DPO เพื่อคุ้มครองความปลอดภัยของข้อมูล รวมไปถึงช่วยประสานงานระหว่างองค์กรกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และกลุ่มลูกค้า เพื่อช่วยให้การดำเนินธุรกิจมีความรวดเร็วขึ้น โดยหากองค์กรพลาดหรือไม่ทำตามข้อกำหนดของ PDPA ก็จะมีโอกาสที่จะได้รับโทษทั้งทางปกครอง และทางอาญาในบางกรณี ดังนั้นเมื่อได้ทราบแล้วว่าสำหรับกฎหมาย PDPA ต้องทำอะไรบ้าง ควรเร่งลงมือทำทันที
การเตรียมความพร้อมสำหรับการอยู่ภายใต้กฎหมาย PDPA
เพื่อป้องกันความผิดพลาดที่นำไปสู่การกระทำผิดกฎหมายโดยที่ไม่ตั้งใจ หน่วยงานและองค์กรต่าง ๆ ควรเตรียมความพร้อมสำหรับกฎหมาย PDPA ต้องทำอะไรบ้างเพื่อให้องค์กรไม่มีความเสี่ยงในการกระทำผิดในอนาคต โดยขั้นตอนการเตรียมความพร้อมมีดังต่อไปนี้
- สำหรับองค์กรที่มีเว็บไซต์ที่สามารถบันทึกข้อมูลของผู้เข้าชมได้ หรือใช้คุ้กกี้สำหรับติดตามการใช้งาน องค์กรจะต้องแจ้ง Privacy Policy ให้เจ้าของข้อมูลได้รับทราบถึงการจัดเก็บข้อมูลและจะต้องได้รับการยินยอมจากเจ้าของข้อมูล
- เจ้าหน้าที่ฝ่ายบุคคลคือตำแหน่งที่เกี่ยวข้องกับกฎหมาย PDPA โดยตรง เพราะต้องเก็บข้อมูลของพนักงานทุกคน รวมไปถึงข้อมูลที่มีความละเอียดอ่อน เช่น ประวัติอาชญากรรม, พฤติกรรมทางเพศ, ความเชื่อทางศาสนา และลายนิ้วมือ เป็นต้น เจ้าหน้าที่ฝ่ายบุคคลจะต้องมีการแจ้ง Privacy Policy เพื่อให้พนักงานเจ้าของข้อมูลนั้น ๆ ได้ยินยอมในการจัดเก็บข้อมูลด้วย
- หากภายในองค์กรมีการติดตั้งกล้องวงจรปิดหรือ CCTV สำหรับบันทึกผู้ผ่านเข้า-ออกภายในองค์กร ซึ่งถือว่ากำลังเก็บภาพใบหน้าของทุกคนอยู่ เข้าข่ายกฎหมาย PDPA เช่นกัน องค์กรจะต้องมีการแจ้งให้ผู้ที่ผ่านเข้า-ออกพื้นที่ได้ทราบถึงการติดตั้งกล้อง CCTV เพื่อให้เจ้าของข้อมูลได้ทราบว่าบริเวณใดบ้างที่มีกล้องกำลังบันทึกภาพใบหน้าตัวเองอยู่
นอกจากนี้ยังมีรายละเอียดปลีกย่อยอีกเล็กน้อย ซึ่งขึ้นอยู่กับการดำเนินกิจการของแต่ละองค์กร เช่น มีการจ้างผู้รับเหมาจากภายนอก เพื่อรับข้อมูลส่วนบุคคลของลูกค้าไปปฏิบัติงานต่อหรือไม่ หากมีจะต้องมีเอกสารทำข้อตกลงซึ่งกันและกันในการรักษาความลับข้อมูลส่วนตัวของลูกค้า และลูกค้าต้องได้รับทราบ เป็นต้น
สาระสำคัญหลักสำหรับ PDPA ต้องทำอะไรบ้างสำหรับองค์กรที่ได้กล่าวมาข้างต้น เป็นขั้นตอนหลักที่องค์กรต้องเร่งลงมือปฏิบัติเพื่อความเป็นส่วนตัวของพนักงานและลูกค้าในองค์กร และอย่าเพิ่งรีบตัดสินใจคิดว่าธุรกิจของตัวเองไม่เกี่ยวข้องกับกฎหมาย PDPA จนทำให้เกิดความผิดพลาด เพราะ PDPA คือเรื่องส่วนบุคคล หากองค์กรของคุณมีบุคลากรที่เป็นบุคคล ย่อมเกี่ยวข้องกับ PDPA ดังนั้นเร่งศึกษากฎหมายข้อนี้ให้เข้าใจอย่างถ่องแท้ เพื่อการปฏิบัติตามอย่างถูกต้อง