เร็วหรือช้าไป...เมื่อไทยมี พ.ร.บ.ข้อมูลส่วนบุคคลฯ (จบ)

จากการศึกษาของทีดีอาร์ไอ พบว่า ในระยะเตรียมการนี้ มีหลายองค์กรติดปัญหาความไม่ชัดเจนของกฎหมาย เนื่องจากตัวบทกฎหมายยังมีช่องว่างที่ต้องอาศัยการตีความอยู่มาก โดยผู้มีอำนาจตีความตามกฎหมาย คือ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งยังคงอยู่ระหว่างการจัดตั้งหน่วยงานและมีแนวโน้มว่าจะล่าช้ากว่าวันที่กฎหมายมีผลบังคับใช้

ดังนั้นจึงนำมาสู่ 7 ข้อเสนอเตรียมการสำหรับผู้ประกอบการไทย ซึ่งผู้เขียนได้นำเสนอไปแล้ว 2 ข้อ ในบทความก่อนหน้า โดยอีก 5 ข้อ ผู้ประกอบการไทยควรรู้และเตรียมความพร้อมในทางปฏิบัติเพื่อทำตามกฎหมายและลดผลกระทบที่อาจเกิดขึ้น หาก พ.ร.บ คุ้มครองข้อมูลส่วนบุคคลจะมีผลใช้บังคับ มีดังนี้

1.การจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล ไม่ใช่ทุกกรณีที่ต้องการคำยินยอมจากเจ้าของข้อมูลส่วนบุคคล เนื่องจากกฎหมายกำหนดเงื่อนไขไว้อยู่บ้างว่า การใช้ข้อมูลส่วนบุคคลในบางกรณีใดที่ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เช่น “การเพื่อการปฏิบัติตามสัญญา...” แต่ในกรณีที่ต้องขอความยินยอม การให้ความยินยอมนั้นสามารถทำได้ในหลายรูปแบบ โดยอาจเป็นหนังสือ หรือผ่านระบบคอมพิวเตอร์ หรือในกรณีอื่นๆ ได้ อย่างไรก็ตาม ต้องระมัดระวังเรื่องข้อมูลส่วนบุคคลที่ได้รับความคุ้มครองเป็นพิเศษ เช่น ข้อมูลเกี่ยวกับเชื้อชาติ ข้อมูลสุขภาพ ประวัติอาชญากรรม ศาสนาความเชื่อ เป็นต้น ซึ่งโดยส่วนใหญ่ต้องใช้การขอความยินยอมที่ชัดเจนจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น

2.การพิจารณาลบข้อมูล เนื่องจากการมีข้อมูลส่วนบุคคลย่อมเพิ่มภาระให้องค์กรต้องดูแล จึงควรลดขนาดข้อมูลส่วนบุคคลที่องค์กรเก็บอยู่ โดยการพิจารณาลบข้อมูลส่วนบุคคลที่ไม่จำเป็นออกเท่าที่จะทำได้ หรือ “เก็บเท่าที่จำเป็น” โดยควรกำหนดไว้เป็นกระบวนการในแผนผัง Dataflow ไว้ให้ชัดเจนว่าจะลบข้อมูลส่วนบุคคลออกจากระบบเมื่อใด ภายใต้เงื่อนไขใด เพื่อป้องกันไม่ให้มีข้อมูลส่วนบุคคลมากจนไม่สามารถควบคุมได้อย่างมีประสิทธิภาพ

3.มีระบบการจัดการข้อมูล โดยกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคล และอาจรวมถึงการเก็บประวัติการเข้าถึง หากทำได้ เพื่อใช้ในการตรวจสอบภายใน โดยเฉพาะองค์กรที่เก็บข้อมูลในคอมพิวเตอร์ ควรกำหนดมาตรการเหล่านี้เป็นอย่างยิ่ง เพราะนอกจากจะเป็นกระบวนการเพื่อความปลอดภัยของบริษัทแล้ว ยังสามารถใช้เป็นเครื่องมือเพื่อตรวจสอบในกรณีฉุกเฉินได้อีกด้วย

4.กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลขององค์กร และประชาสัมพันธ์ให้ลูกค้าหรือบุคคลภายนอกทราบถึงจุดยืนขององค์กรที่มีต่อข้อมูล่สวนบุคคล บอกวิธีการจัดการข้อมูลส่วนบุคคลขององค์กร รวมไปถึงช่องทางการติดต่อเพื่อใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

5.จัดการการเปลี่ยนแปลงภายในองค์กร (Change Management) ได้แก่ การวางระบบภายในเพื่อรองรับการเปลี่ยนแปลงในองค์กร ได้แก่ การจัดอบรมบุคลากรในองค์กร เพื่อให้ความรู้ และเพิ่มความระมัดระวังเมื่อต้องทำหน้าที่ที่เกี่ยวเนื่องกับข้อมูลส่วนบุคคล รวมไปถึงการวางระบบเพื่อรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลในองค์กร

จะเห็นได้ว่า การเตรียมการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิภาพ มีมากกว่าการทำเอกสารขอความยินยอม หรือการกำหนดแนวทางในลักษณะเฉพาะหน้า แต่จะเข้าไปเกี่ยวข้องกับการทำความเข้าใจองค์กรในภาพใหญ่ ซึ่งต้องการการมีส่วนร่วมตั้งแต่ต้นมาจากระดับนโยบายและการบริหารจนไปถึงระดับปฏิบัติการ เช่น เจ้าหน้าที่บริการลูกค้า และยังต้องใช้เวลาปรับตัวในระดับหนึ่ง ซึ่งมากหรือน้อยขึ้นอยู่กับขนาดและความซับซ้อนขององค์กร

ผู้เขียน พบว่า องค์กรขนาดใหญ่ที่มีจำนวนพนักงานหลักหมื่น ต้องใช้เวลาล่วงหน้ากว่า 2 ปี ในการเตรียมตัวให้บริษัทพร้อม แต่การจะปฏิบัติตามกฎหมายได้อย่างมีประสิทธิภาพ นอกจากภาครัฐต้องให้ความชัดเจนด้านการบังคับใช้กฎหมายแล้ว การเตรียมพร้อมปรับตัวของผู้ประกอบการนั้นมีภาระต้นทุน การเตรียมความพร้อมนี้จึงต้องอาศัยภาคีภาคเอกชนที่มีศักยภาพในการเป็นผู้ดำเนินการหลัก เช่น สภาอุตสาหกรรมแห่งประเทศไทย หอการค้าไทย หรือกลุ่มธุรกิจที่อาจมีหน่วยงานกำกับดูแลการประกอบธุรกิจโดยเฉพาะอยู่แล้ว เป็นผู้ร่วมกันกำหนดมาตรฐานสำหรับกลุ่มธุรกิจ/บริการ และให้หน่วยกำกับดูแลเข้ามาให้ความเห็น ซึ่งจะได้ประโยชน์กันทั้ง 2 ฝ่าย คือฝ่ายเอกชนที่มีแนวทางที่ชัดเจนจากแนวทางที่ร่วมกันกำหนดขึ้นเองและตกลงปฏิบัติตามในแนวทางเดียวกัน ด้านหน่วยบังคับใช้กฎหมายก็จะสามารถตรวจสอบได้ง่ายขึ้นผ่านมาตรฐานที่ตนเห็นชอบ

เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำลังจะมีผล แต่หน่วยงานกำกับดูแลตามกฎหมายยังไม่พร้อมให้ความช่วยเหลือ ผู้ประกอบธุรกิจจึงต้องริเริ่มก่อน ก่อนที่จะได้รับผลกระทบจากกฎหมายเพียงเพราะการขาดการเตรียมการ และก่อนที่สิทธิขั้นพื้นฐานของบุคคลจะถูกละเมิดหรือละเลยจากการได้รับความคุ้มครองช้าไปกว่านี้

โดย... ชวน หวังสุนทรชัย