ความเข้าใจ การเตรียมระดับองค์กร "กม.คุ้มครองข้อมูลส่วนบุคคล"
เราคงเคยได้ยินเรื่องราว ของ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ รู้จักกันในนาม พ.ร.บ.ไซเบอร์ กันมาบ้างแล้ว ในแง่มุมต่างๆ
แต่เรามักจะไม่ค่อยได้ยินเรื่องราวของ พ.ร.บ .คุ้มครองข้อมูลส่วนบุคคล หรือ Thailand’s Personal Data Protection Act B.E. 2562 (2019) (PDPA) กันเท่าไหร่นัก เราอาจเคยได้ยินการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป General Data Protection Regulation (GDPR) กันมาบ้างว่ามีผลบังคับใช้ตั้งแต่วันที่ 25 พ.ค. 2561
แต่หลายท่านอาจเพิ่งทราบว่ามีการเผยแพร่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษา เมื่อวันที่ 27 พ.ค.2562 และจะมีผลบังคับใช้ภายในหนึ่งปีนับจากวันประกาศ ส่งผลกระทบต่อองค์กรทั้งภาครัฐและเอกชนในวงกว้างระดับประเทศ ที่องค์กรจำเป็นต้องมีการเตรียมการเพื่อรองรับ พ.ร.บ.ฉบับนี้ภายในระยะเวลาเพียง 1 ปี นับจากวันที่ พ.ร.บ. ประกาศในราชกิจจานุเบกษา
ความจำเป็นเรื่องการป้องกันข้อมูลส่วนบุคคลไม่ให้รั่วไหลจนเกิดผลกระทบกับเจ้าของข้อมูล และการขอความยินยอมจากเจ้าของข้อมูลก่อนนำข้อมูลของเขาไปใช้ประโยชน์ ทำให้เรื่อง Privacy และ Data Protection กลายเป็นกระแสโลกที่ทุกประเทศในโลกจำเป็นต้องให้ความสำคัญ
ทำให้เกิดกฎหมายเกี่ยวกับ “Data Protection” มีวัตถุประสงค์ในเรื่องการบริหารจัดการกับ “ข้อมูลส่วนบุคคล” หรือ “Personal Data” ที่ไม่ได้ครอบคลุมเฉพาะเรื่องข้อมูลรั่วไหลจากการถูกโจมตีล้วงข้อมูลโดยผู้ไม่ประสงค์ดี แต่ยังรวมไปถึงการขออนุญาตเจ้าของข้อมูลก่อนที่จะนำข้อมูลของเจ้าของข้อมูลไปใช้ในการทำการตลาดหรือการวิเคราะห์ข้อมูลที่จะส่งผลให้เกิดความเสี่ยงต่อเจ้าของข้อมูล ถ้าหลายท่านเคยอ่านหนังสือ “บิ๊กดาต้ามหาประลัย : เมื่อการใช้ข้อมูลขนาดใหญ่เป็นภัยต่อสังคม” หรือ “Weapons of Math Destruction : How Big Data Increases Inequality and Threatens Democracy” (ดูรูปที่ 1)
%20%E0%B8%A3%E0%B8%B9%E0%B8%9B%E0%B8%97%E0%B8%B5%E0%B9%88%201.jpg?x-image-process=style/md-webp)
รูปที่ 1 : “Weapons of Math Destruction by Cathy O’Neil”
จะพบว่าการนำข้อมูลส่วนบุคคลมาใช้กับเทคโนโลยี Big Data หรือ เทคโนโลยี AI นั้น หลายกรณีกระทำอย่างไม่ถูกต้องตามกฎหมาย โดยที่เจ้าของข้อมูลไม่ทราบมาก่อนว่าข้อมูลของตนถูกนำมาใช้โดยไม่ได้รับอนุญาตจากเจ้าของข้อมูลเสียก่อน โดยเฉพาะในการใช้ในโซเชียลมีเดีย หรือ การใช้ในการให้บริการคลาวด์ของผู้ให้บริการคลาวด์ระดับโลก ทางสหภาพยุโรปจึงจำเป็นต้องปรับแก้กฎหมาย จาก EU Data Protection Directive (also known as Directive 95/46/EC)ให้กลายเป็น REGULATION (EU) 2016/679 หรือ ที่รู้จักกันในนาม “GDPR” เพื่อให้ทันยุคทันสมัยในปัจจุบันและอนาคต
ภาพรวม “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” หรือ “Data Protection Act”
กล่าวถึงปรัชญาการบัญญัติให้มี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลทั่วโลก ส่วนใหญ่แล้วจะมาจากหลักการ 8 ข้อ “Privacy Principle” ของ OECD (ดูรูปที่ 2) ได้แก่
1. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด (Collection Limitation)
2. คุณภาพของข้อมูลส่วนบุคคล (Data Quality)
3. การระบุวัตถุประสงค์ในการเก็บรวบรวม (Purpose Specification)
4. ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้ (Use Limitation)
5. การรักษาความมั่นคงปลอดภัย (Security Safeguards)
6. การเปิดเผยเกี่ยวกับการดำเนินการแนวปฏิบัติ และนโยบายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (Openness)
7. การมีส่วนร่วมของเจ้าของข้อมูล (Individual Participation)
8. ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล (Accountability)
%20%E0%B8%A3%E0%B8%B9%E0%B8%9B%E0%B8%97%E0%B8%B5%E0%B9%88%202.png?x-image-process=style/md-webp)
รูปที่ 2 : 8 Privacy Principles of OECD
ซึ่งในข้อ 5 จาก 8 ข้อ เน้นไปที่เรื่องของ “การรักษาความมั่นคงปลอดภัย” ดังคำกล่าวที่ว่า “You can get security without privacy but you can’t get privacy without security “ ในตัวบทกฎหมายจึงเน้นไปที่หลักการดังกล่าวโดยมุ่งไปที่การจัดให้มี “นโยบาย”และ “แนวทางปฏิบัติ” เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอ้างอิงมาจากหลายมาตรฐานและแนวทางปฏิบัติที่ดี ดังรูปที่ 3 ซึ่งมุ่งเน้นไปที่ “สิทธิของเจ้าของข้อมูล” เป็นสำคัญ เราจึงจำเป็นต้องเข้าใจคำศัพท์ต่างๆ เช่น เจ้าของข้อมูลส่วนบุคคล หรือ “Data Subject “ , ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ,ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) และ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ที่ทุกองค์กรจำเป็นต้องมี
%20%E0%B8%A3%E0%B8%B9%E0%B8%9B%E0%B8%97%E0%B8%B5%E0%B9%88%203.jpg?x-image-process=style/md-webp)
รูปที่ 3 : Thailand & International Standards and Best Practices related to “Data Protection” and “Privacy”
แนวทางในการดำเนินการเรื่องการคุ้มครองข้อมูลส่วนบุคคลระดับองค์กร
เนื่องจากองค์กรมีเวลาเพียงหนึ่งปีในการเตรียมการ องค์กรจึงควรจัดประชุมผู้บริหารระดับสูงและผู้เกี่ยวข้องเพื่อผลักดันและสนับสนุนให้องค์กรมีการเตรียมความพร้อมที่จะปฏิบัติตาม พ.ร.บ. ได้อย่างถูกต้องแต่เนิ่นๆ โดยมีการกำหนดกิจกรรมต่างๆ ดังนี้
- กำหนด แนวทางการกำกับดูแลในการคุ้มครองข้อมูลส่วนบุคคล
- กำหนด โครงสร้างการกำกับดูแล นโยบายการคุ้มครองข้อมูลส่วนบุคคล และกรอบการดำเนินงาน
- กำหนด “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller)
- กำหนด “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer หรือ DPO)
- กำหนด “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
- พิจารณาข้อมูลต่าง ๆ ขององค์กรเพื่อกำหนด “ข้อมูลส่วนบุคคล” (Personal Data) ที่ต้องดำเนินการตามกฎหมายหรือกฎเกณฑ์ที่ประกาศบังคับใช้
- กำหนด กรอบการกำกับดูแลและบริหารจัดการข้อมูลระดับองค์กร (Data Governance, Data Management, Data Protection)
- กำหนด กรอบการบริหารความเสี่ยง การประเมินความเสี่ยง การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Privacy/Data Protection Impact Assessment, Risk Assessment)
- กำหนด Business Owner และ Data Owner ให้ชัดเจน
- จัดให้มี วิธีปฏิบัติ ขั้นตอนปฏิบัติ คู่มือการปฏิบัติงานในการคุ้มครองข้อมูลส่วนบุคคล
- จัดให้มีการสร้างความตระหนัก การเสริมสร้างความรู้ให้กับผู้ปฏิบัติงาน
- กำหนด กรอบการประสานกับหน่วยงานกำกับดูแล หน่วยงานภาครัฐ และหน่วยงานความร่วมมืออื่นๆ
องค์กรควรนำกฏหมาย แนวทางดำเนินการตามกรอบมาตรฐาน และ แนวทางปฏิบัติที่ดีด้านการคุ้มครองข้อมูลส่วนบุคคลมาใช้เป็นแนวทางในการดำเนินการ ได้แก่
- กฏหมาย GDPR (ดำเนินการตามกฎเกณฑ์และข้อกำหนดที่เกี่ยวข้อง)
- มาตรฐานสากล ISO/IEC 27552 Privacy Information Management· ดำเนินการตามข้อกำหนดกรอบการบริหารจัดการและมาตรการคุ้มครองข้อมูลส่วนบุคคล
- ดำเนินการตรวจรับรองตามข้อกำหนดระบบบริหารจัดการ Privacy Information Management
- ขยายขอบเขตการตรวจรับรองมาตรฐาน ISO/IEC 27001 (Information Security Management System) ครอบคลุมการคุ้มครองข้อมูลส่วนบุคคล และการจัดการในระบบคลาวด์
- มาตรฐานสากล ISO 29100 Privacy Framework
- ดำเนินการตามข้อกำหนดกรอบการดำเนินงานในการคุ้มครองข้อมูลส่วนบุคคล· มาตรฐาน NIST Privacy Framework (Draft)
- ดำเนินการตามข้อกำหนดกรอบการดำเนินงานในการคุ้มครองข้อมูลส่วนบุคคล· แนวทางการเสริมสร้างความรู้ให้กับผู้ที่รับมอบหมาย “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer) และผู้ปฏิบัติงานที่เกี่ยวข้องตามกรอบ Privacy/Data Protection
กล่าวโดยสรุป การที่องค์กรจะสามารถปฏิบัติตามข้อกำหนดใน พ.ร.บ.ดังกล่าวได้อย่างถูกต้อง มีความจำเป็นต้องให้ความสำคัญไปยัง 3 เรื่องใหญ่ๆ ได้แก่ People, Process and Technology (PPT concept) ผู้บริหารระดับสูงและบุคลากรในองค์กรจำเป็นต้องทำความเข้าใจหลักการคุ้มครองข้อมูลส่วนบุคคล หรือ OECD Privacy Principles ทั้ง 8 ข้อให้ถ่องแท้ ในเรื่องของกระบวนการภายในองค์กรควรมีการปรับเปลี่ยนให้สอดคล้องกับข้อกำหนดในตัวบทกฎหมาย และมีความจำเป็นอย่างยิ่งยวดที่ต้องนำเทคโนโลยีสารสนเทศมาใช้ในการป้องกันและปกป้องข้อมูลส่วนบุคคล
ไม่ว่าจะเป็นเรื่อง Pseudonymisation, Encryption of Personal Data ตลอดจนการจัดให้มี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer) ที่เป็นตำแหน่งงานถาวรในองค์กรเพื่อให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตาม พ.ร.บ. ตลอดจนการประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งล้วนต้องการเวลาในการปฏิบัติงานจริง โดย พ.ร.บ. กำหนดเวลาไว้ให้เป็นระยะเวลาหนึ่งปีนับว่าน้อยมาก
ดังนั้นองค์กรควรเริ่มให้ความสำคัญกับเรื่องการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างจริงจังนับตั้งแต่วันนี้
