PDPA Compliance Program (1)

PDPA Compliance Program (1)

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เรียกกันติดปากว่า PDPA (Personal Data Protection Act) จะมีผลใช้บังคับทั้งฉบับ 1 มิถุนายน 2564

 HIGHLIGHTS

  •  PDPA Compliance Program เป็นเครื่องมือสำคัญที่จะช่วยให้การปฏิบัติตามกฎหมายเป็นไปอย่างถูกต้องและเป็นระบบ
  •  PDPA Compliance Program อาจมีรายละเอียดที่แตกต่างกันและไม่มีสูตรสำเร็จหรือ “one size fits all” สำหรับแต่ละองค์กร
  •  นโยบายในการคุ้มครองข้อมูลส่วนบุคคลต้องสอดคล้องกับแนวทางปฎิบัติและการดำเนินงานขององค์กรอย่างแท้จริง และต้องทำให้นโยบายฯ นั้นเป็นส่วนหนึ่งของวัฒนธรรมองค์กร

             การปฏิบัติตามเงื่อนไขต่าง ๆ ของ PDPA นั้นต้องบอกว่าไม่ง่ายเลยในทางปฏิบัติและอาจมีค่าใช้จ่ายที่สูงพอสมควรในการปฏิบัติตามกฎหมาย โดยค่าใช้จ่ายในการปฏิบัติตาม PDPA ที่อาจจะสูงเป็นเพราะในการปฏิบัติตาม PDPA นั้นจำเป็นต้องมีทรัพยากรบุคคลในการออกแบบการใช้งานและตรวจสอบข้อบังคับด้านความเป็นส่วนตัวอย่างต่อเนื่องและสม่ำเสมอ (continuing compliance) นอกจากการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะมีต้นทุนที่สูงแล้ว การไม่ปฏิบัติตามเงื่อนไขของกฎหมายก็มีต้นทุนที่สูงเช่นกัน โดยอาจมีโทษปรับทางปกครองได้สูงสุดถึง 5 ล้านบาท ค่าเสียหายทางแพ่ง และโทษทางอาญา

161537516018

            การสร้างโปรแกรมการปฏิบัติตามข้อกำหนดการปกป้องข้อมูล (Data Protection Compliance Program) ซึ่งผู้เขียนขอเรียกว่า “PDPA Compliance Program” ถือว่าเป็นเครื่องมือสำคัญที่จะช่วยให้การปฏิบัติตามกฎหมายเป็นไปอย่างถูกต้องและเป็นระบบ และทำให้ภาพของกระบวนการนำ PDPA มาปรับใช้ในองค์กรมีความชัดเจนมากขึ้น ซึ่ง PDPA Compliance Program นั้น อาจมีรายละเอียดที่แตกต่างกันและไม่มีสูตรสำเร็จหรือ “one size fits all” สำหรับแต่ละองค์กรได้เนื่องจากความแตกต่างกันในเรื่องของขนาดองค์กร ลักษณะของข้อมูลที่ทำการประมวลผลและประเภทธุรกิจที่ดำเนินการอยู่ แต่ผู้เขียนเห็นว่าอย่างน้อยโปรแกรมดังกล่าวควรประกอบด้วย 7 กระบวนการดังนี้

  1. การประเมินการประมวลผลภายในองค์กร

สิ่งแรกที่ทุกองค์กรควรจะต้องดำเนินการ คือ การประเมินและวิเคราะห์ว่าภายในองค์กรมีการประมวลผลข้อมูลส่วนบุคคลใดบ้าง ซึ่งองค์กรอาจได้ข้อมูลนี้มาโดย 2 วิธีการ กล่าวคือ (1) การทำแผนที่ข้อมูล (data mapping) หรือ (2) การใช้แบบสอบถามเพื่อการตรวจสอบข้อมูล (data audit questionnaires) ซึ่ง 2 วิธีการดังกล่าวควรทำให้องค์กรสามารถได้คำตอบในประเด็นดังต่อไปนี้

  • ประเภทของข้อมูลส่วนบุคคลที่ทำการประมวลผล
  • ทำไมข้อมูลส่วนบุคคลเหล่านี้จึงต้องถูกประมวลผล
  • ข้อมูลส่วนบุคคลเหล่านี้ถูกประมวลผลอย่างไร
  • ข้อมูลส่วนบุคคลเหล่านี้ถูกประมวลผลที่ไหนหรือถูกส่งไปที่ไหนบ้าง
  • ข้อมูลเกี่ยวกับบุคคลที่สามที่ข้อมูลส่วนบุคคลถูกโอนไปหรือถูกส่งให้
  • ข้อมูลส่วนบุคคลถูกเก็บเป็นระยะเวลาเท่าใด
  • รายละเอียดของมาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคลที่มี

ซึ่งเมื่อได้ข้อมูลดังกล่าวข้างต้นแล้ว แต่ละองค์กรจะต้องทำการประเมินในเบื้องต้นว่าองค์กรของตนทำการประมวลผลข้อมูลส่วนบุคคลเป็นไปตามกฎหมายหรือไม่และมี “ความเสี่ยง” ต่อการละเมิดกฎหมายมากน้อยเพียงใดเพื่อใช้เป็นฐานในการเริ่มต้นการจัดทำ PDPA Compliance Program ต่อไป

2.การกำหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคล

นโยบายในการคุ้มครองข้อมูลส่วนบุคคลหรือ Privacy Policy ถือว่าเป็นเครื่องมือสำคัญในการปฏิบัติตามกฎหมายและแต่ละองค์กรไม่จำเป็นต้องมีนโยบายในการคุ้มครองข้อมูลส่วนบุคคลที่เหมือนกัน เนื่องจากแต่ละองค์กรมีเงื่อนไขการประมวลผลข้อมูลส่วนบุคคลที่แตกต่างกัน และนโยบายในการคุ้มครองข้อมูลส่วนบุคคลก็อาจมีได้หลายฉบับ อาทิ นโยบายในส่วนด้านการตลาด นโยบายด้านการใช้สิทธิของเจ้าของข้อมูล นโยบายด้านมาตรการด้านความปลอดภัย และนโยบายด้านการประมวลผลข้อมูลประเภทพิเศษ ฯลฯ เป็นต้น ซึ่งหากมีหลายนโยบายฯ นโยบายต่าง ๆ ก็ต้องมีความเชื่อมโยงสัมพันธ์กันอย่างเป็นระบบ โดยนโยบายฯ ที่ดีนั้นนอกจากจะต้องสอดคล้องกับกฎหมายที่ใช้บังคับแล้ว ก็ควรตั้งอยู่บนหลักการอย่างน้อย 5 ประการ กล่าวคือ

  • ต้องสอดคล้องกับแนวทางปฎิบัติและการดำเนินงานขององค์กรนั้น ๆ อย่างแท้จริง
  • ต้องทำให้นโยบายฯ นั้นเป็นส่วนหนึ่งของวัฒนธรรมองค์กร
  • ควรสร้างความรับผิดชอบของแต่ละส่วนนโยบายฯ ต่อหน่วยงาน/บุคคลที่มีหน้าที่ความรับผิดชอบต่อการปฏิบัติตามนโยบายฯ ในส่วนนั้น ๆ
  • นโยบายฯ นั้นต้องสามารถเข้าถึงโดยง่ายสำหรับบุคคลที่ข้อมูลถูกประมวลผลและผู้เกี่ยวข้องกับการประมวลผล
  • มีการทบทวนเพื่อแก้ไขปรับปรุงอย่างสม่ำเสมอ

การคัดลอกนโยบายฯ มาจากองค์กรอื่นโดยที่นโยบายนั้นไม่สอดคล้องกับการประมวลผลข้อมูลส่วนบุคคลขององค์กรตนเอง ถือเป็นความเสี่ยงอย่างยิ่งในการไม่ปฎิบัติตามกฎหมายและนโยบายในการคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับในองค์กร อาทิ เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลขึ้น องค์กรจะต้องถูกตรวจสอบว่าได้ดำเนินการตามนโยบายด้านความปลอดภัยของข้อมูลส่วนบุคคลหรือไม่ หากนโยบายฯ ที่องค์กรใช้เป็นการคัดลอกมาโดยที่ไม่ได้ดำเนินการจริงตามที่กำหนดไว้ ก็อาจทำให้องค์กรมีความเสี่ยงที่จะมีความรับผิดตามกฎหมายได้ เป็นต้น

3.การฝึกอบรมและการสร้างความตระหนักรู้

นโยบายในการคุ้มครองข้อมูลส่วนบุคคล (และฉบับที่แก้ไข) จำเป็นต้องได้รับการถ่ายทอดไปยังบุคคลในองค์กรเพื่อสร้างความเข้าใจและการตระหนักรู้อย่างสม่ำเสมอ และในบางกรณีอาจจะต้องมีการฝึกอบรมอย่างเข้มงวดเพื่อให้มั่นใจว่านโยบายฯ ได้ถูกใช้อย่างถูกต้องและเป็นไปตามกฎหมาย อาทิ มีการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหว หรือในกรณีที่การประมวลผลนั้นจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก เป็นต้น

โดยในส่วนระยะเวลาที่เหมาะสมนั้น UK Information Commissioner’s Office ได้ให้คำแนะนำว่า “สำหรับบุคลากรใหม่” แต่ละองค์กรควรใช้ระยะเวลาอย่างน้อยร้อยละ 15 ของระยะเวลาการฝึกอบรมพนักงานใหม่ทั้งหมดเพื่อทำความเข้าใจเกี่ยวกับกฎหมายการคุ้มครองข้อมูลส่วนบุคคลและนโยบายในการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง

เหลืออีก 4 กระบวนการ ติดตามได้ในตอนต่อไป.

*บทความโดย  

ศุภวัชร์ มาลานนท์ คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์ Max Planck Institute Luxembourg

ชิโนภาส อุดมผล Optimum Solution Defined (OSD)

อ้างอิง

  • Nissim, Jenai. "Creating a Data Protection Compliance Programme." Data Protection: A Practical Guide to UK and EU Law, edited by Peter Carey, 5th edition, Oxford University Press, 2018.
  • Fulford, Nicola and Krysia Oastler. "People, Processes, Technology - a How to Guide to Data Mapping." Privacy & Data Protection, vol. 16, no. 8, People, processes, technology - a how to guide to data mapping, pp. 1-3.