จากกรณีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) แถลงข่าวการลงโทษสั่งปรับบริษัทเอกชนขนาดใหญ่สูงถึง 7 ล้านบาท ด้วยมีความผิดฐานไม่ดำเนินการตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA เมื่อวันที่ 21 ส.ค. 67
ดร.อุดมธิปก ไพรเกษตร ผู้ก่อตั้ง PDPA Thailand ผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลไทย เผยถึงอุทาหรณ์และข้อคิดที่องค์กรทั่วประเทศได้รับจากเคสดังกล่าว ที่สามารถนำไปประยุกต์ใช้กับการดำเนินงานให้สอดคล้องตามกฎหมาย PDPA ในหลากหลายประเด็น ดังนี้
เหตุสั่งปรับ 7 ล้านบาท องค์กรพลาดอะไร ?
หลัก ๆ ก็ตามการแถลงข่าว 3 เรื่องใหญ่ที่องค์กรเอกชนมีข้อผิดพลาดคือ
1. ไม่มี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เมื่อเข้าข่ายจำเป็นต้องแต่งตั้ง ตาม PDPA มาตรา 41(2)
2. ไม่มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลที่เพียงพอ ตาม PDPA มาตรา 37(1) และ
3. ไม่มีการแจ้งเหตุละเมิดภายใน 72 ชั่วโมงนับตั้งแต่ทราบเรื่อง ตาม PDPA มาตรา 37(4)
โดย ดร.อุดมธิปก ให้ความเห็นเพิ่มเติมว่า องค์กรหลาย ๆ แห่ง (รวมถึงบริษัทที่โดนปรับ) อาจจะไม่รู้ว่าต้องมี DPO ไม่ว่าจะด้วยไม่ได้ติดตามข่าวสารอย่างใกล้ชิด หรือตีความเงื่อนไขในกฎหมายแม่/กฎหมายลูกไม่ถูก ไม่ชัวร์ว่าต้องทำอย่างไร ความซับซ้อนของปัญหาและการโดนปรับทั้งหมดเริ่มต้นที่จุดนี้
ลองคิดตามว่า หากคุณมี DPO คุณก็จะไม่ผิดแล้วในกระทงตามข้อ 1. เมื่อมี DPO แล้วก็จะช่วยแนะนำการทำตามกฎหมายในแง่มุมต่าง ๆ ทั้งมาตรการรักษาความมั่นคงปลอดภัยข้อมูลและการแจ้งเหตุละเมิด ความเสี่ยงที่จะผิดกฎหมาย PDPA ในแง่มุมอื่น ๆ ก็ลดลงตามไปด้วย
ขณะที่ด้านมาตรการรักษาความมั่นคงปลอดภัย องค์กรมักเน้นการคุ้มครองข้อมูลจากคนภายนอก เจาะระบบเข้ามาเอาข้อมูลไป แต่จากกรณีศึกษาทั่วโลกจะพบว่า หลายครั้งการละเมิดข้อมูลมีที่มาจากคนในองค์กรเอง ด้วยสาเหตุเช่น ความไม่ชอบหน้ากัน ผลประโยชน์ และความประมาท เป็นต้น การมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่ครอบคลุมทั้งใน - นอกองค์กรจึงมีความสำคัญ ซึ่ง DPO ที่มีประสบการณ์และความชำนาญจะเข้าใจ
ดังนั้นเพื่อลดโอกาสพลาดยิ่งขึ้นไปอีก DPO ที่แต่งตั้ง (และทีม) ต้องมีความรู้ความเข้าใจในตัวบทกฎหมายและการปรับองค์กรตามกฎหมายที่มากพอ ซึ่งสมัยนี้ก็มีหลักสูตรฝึกอบรมที่เปิดสอนแบบเจาะลึก และหลาย ๆ แห่งก็มีเนื้อหาของหลักสูตรที่สอดคล้องตามที่ สคส. กำหนด”
ค่าปรับเหมาะสมหรือไม่กับเคสนี้ ?
โดยหลาย ๆ คนโดยเฉพาะผู้บริโภคส่วนใหญ่คงบอกว่า บริษัทขนาดใหญ่รายได้มากมายโดนปรับจำนวนนี้คงเหมือนแค่สะเก็ดหินกระเด็นมาโดน ไม่รู้สึกอะไร แต่ ดร.อุดมธิปก มองความเสียหายว่าไม่ได้เป็นเพียงแค่จำนวนเงิน เพราะการถูกสั่งปรับกระทบต่อชื่อเสียง อาจสร้างความเสียหายเชิงธุรกิจตามมาอย่างไม่สามารถประเมินได้ก็เป็นได้
ส่วนเรื่องการพิจารณาค่าปรับเป็นเรื่องที่ยากจะให้ความเห็น เนื่องจากมีหลายปัจจัยมาเกี่ยวข้อง โดย ดร.อุดมธิปก เชื่อว่าทางคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 คงได้พินิจพิเคราะห์อย่างถี่ถ้วนแล้ว ขณะเดียวกันผู้เสียหายไม่ว่าจะโดนหลอกหรือไม่ แต่เป็นลูกค้าของบริษัทนี้ที่ข้อมูลรั่วออกไป มีสิทธิที่ยื่นฟ้องทางแพ่งตาม PDPA เพื่อเรียกค่าเสียหายจากบริษัทกับศาลแพ่งต่อไปได้อีกด้วย
องค์กรที่ผิด PDPA หลังจากนี้ ?
หากมีเคสแบบเดียวกันในช่วงเวลาก่อนหน้านี้ เชื่อว่าการพิจารณาสั่งลงโทษปรับคงไม่แตกต่างกันเท่าไรนัก อย่างไรก็ตาม ดร.อุดมธิปก เชื่อว่า หลังจากนี้หากองค์กรละเมิดกฎหมาย PDPA ในลักษณะแบบเดียวกัน อาจมีการลงโทษที่รุนแรงเพิ่มขึ้น เพราะการสั่งปรับได้สร้างความตระหนักรู้ต่อสังคมแล้ว มาตรฐานถูกยกขึ้นมาแล้ว การตัดสินของคณะกรรมการผู้เชี่ยวชาญก็อาจเข้มงวดมากขึ้น เนื่องจากอย่าลืมว่ายังมีอีกหลายมาตราและลักษณะความผิดตามกฎหมายที่เรายังไม่ทราบว่าได้รับการพิจารณาในการกระทำความผิดครั้งนี้ด้วยหรือไม่ ทั้งนี้ต้องพิจารณาขนาดขององค์กร รายได้ และพฤติกรรม/กิจกรรมขององค์กรร่วมด้วย
ทิศทางการคุ้มครองข้อมูลฯ หลังจากนี้จะเป็นอย่างไร ?
ทั้งนี้ ดร.อุดมธิปก ได้แบ่งออกเป็น 3 กลุ่มคือ
1. สำหรับองค์กรเอกชนในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะตื่นตัวเรื่องนี้มากเป็นพิเศษ เพราะโทษชัดเจนว่า 1) การมี DPO สำคัญ และ 2) ต้องปฏิบัติตามกฎหมาย PDPA โดยจะให้ความสำคัญกับ Cyber Security ก่อน ซึ่งอาจจะไม่ถูกสักทีเดียว เพราะท้ายที่สุดการถูกร้องเรียกจากเจ้าของข้อมูลส่วนบุคคลอาจไม่ได้เกิดจากกรณีที่มีข้อมูลถูกละเมิดหรือรั่วไหลเพียงอย่างเดียว และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไปที่ สคส. จะมีมากขึ้นเรื่อย ๆ ในทุกรูปแบบ เพราะไม่มั่นใจว่าควรแจ้งหรือไม่
2. เจ้าของข้อมูลส่วนบุคคล (Data Subject) ซึ่งจะมาใช้สิทธิข้อมูลส่วนบุคคลของตนเองกับทางผู้ควบคุมข้อมูลส่วนบุคคลกันมากขึ้น และจะร้องเรียนกับทาง สคส. เพิ่มมากขึ้น เพราะเริ่มรู้กันแล้วว่าสามารถทำได้ ร้องเรียนได้ และมีต้นทุนในการร้องเรียนต่ำ
3. หน่วยงานของรัฐ ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล อาจจะยังไม่ตระหนักถึงความเสี่ยงและผลกระทบต่อข้อมูลส่วนบุคคลมากนัก แต่จะเริ่มปฏิบัติตาม PDPA เพิ่มมากขึ้น เพราะคาดว่าแรงกดดันจากสังคมที่จะให้ลงโทษหน่วยงานรัฐที่ละเมิดไม่ปฏิบัติตามกฎหมาย PDPA จะสูงขึ้น
องค์กรอยากเริ่มทำ PDPA ทำอย่างไร ?
การทำ PDPA ให้ถูกต้องเป็นเรื่องไม่ยาก แต่ต้องมีความเข้าใจในธุรกิจขององค์กร กฎหมายที่เกี่ยวข้องไม่เฉพาะ PDPA กระบวนการทำงานขององค์กร และเทคโนโลยีสารสนเทศที่เกี่ยวข้อง
ขั้นตอนที่ 1
องค์กรควรเริ่มด้วยการตั้งคำถามว่า องค์กรเราต้องใช้ข้อมูลส่วนบุคคลจากใคร แบบไหน เพื่อไปทำอะไร รวมทั้งสำรวจข้อมูลส่วนบุคคลที่องค์กรองค์กรมีอยู่
ขั้นตอนที่ 2
แต่งตั้ง DPO หากเข้าข่ายจำเป็นต้องมี มีพนักงานหรือคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล หากไม่มั่นใจก็อาจจะหาคนที่เข้าใจเรื่องนี้มาช่วย หรือพัฒนาบุคลากรขององค์กรเพื่อให้เข้าใจเรื่อง PDPA องค์กรที่มีการเก็บข้อมูลส่วนบุคคลจำนวนมาก (เกิน 100,000 ราย) หรือทำกิจกรรมที่มีการประมวลผลข้อมูลโดยตรงเป็นหลัก ให้ตีไว้ก่อนเลยว่าต้องมี DPO
ขั้นตอนที่ 3
มอบหมายให้คนที่ดูแลรับผิดชอบเริ่มต้นจัดทำ บันทึกรายการกิจกรรมการประมวลผล (RoPA) เพื่อให้มองเห็นและติดตามข้อมูลในองค์กรได้ จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ให้เจ้าของข้อมูลส่วนบุคคลทราบแสดงความโปร่งใส มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล และเริ่มสร้างมาตรการความมั่นคงปลอดภัยข้อมูลที่เหมาะสมกับองค์กรและระดับความเสี่ยงของข้อมูล โดยอาจเริ่มจากมาตรการที่ลงทุนน้อย ทำได้ง่าย และขยับไปสู่การปรับเปลี่ยนโครงสร้างขนาดใหญ่ตามลำดับ
แหล่งข้อมูลอ้างอิง : PDPA Thailand
