ปัจจุบันเทคโนโลยีทำให้การเก็บและบันทึกข้อมูลบนโลกดิจิทัลทำได้อย่างง่ายดาย ซึ่งข้อมูลส่วนใหญ่ที่เก็บบันทึกมักเป็น “ข้อมูลส่วนบุคคล” ของผู้ใช้งานไม่ว่าจะเป็นชื่อ-นามสกุล วันเดือนปีเกิด เบอร์โทรศัพท์ ที่อยู่ เลขบัตรประชาชนและอื่นๆที่สามารถระบุตัวตนของผู้ใช้งานได้ ข้อมูลเหล่านี้ล้วนมีมูลค่ามหาศาล โดยเฉพาะการซื้อขายทางออนไลน์ ที่สามารถนำข้อมูลผู้ใช้งานมาวิเคราะห์พฤติกรรมเพื่อนำเสนอสินค้าและบริการให้ตรงกับความต้องการ ซึ่งมีประโยชน์อย่างยิ่งสำหรับการดำเนินธุรกิจ

“ข้อมูลส่วนบุคคล” ที่ถูกบันทึกได้ง่ายบนโลกดิจิทัลทำให้ผู้ใช้หลายคนอาจมีความกังวลถึงความปลอดภัยของข้อมูลตนเอง ว่าจะหลุดไปสู่ภายนอก หรือถูกนำไปใช้กรณีอื่น เพื่อยกระดับการปกป้องข้อมูลดังกล่าวทำให้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ พ.ร.บ.ข้อมูลส่วนบุคคลฯผ่านการพิจารณาและมีผลบังคับใช้ในเดือนพฤษภาคม พ.ศ.2563

โดยสรุปสาระสำคัญของพ.ร.บ.ฉบับนี้ คือ

· ฝ่ายผู้เก็บรวบรวมข้อมูลจะต้องชี้แจงข้อมูลที่จะเก็บ วัตถุประสงค์ และต้องได้รับอนุญาตหรือความยินยอมจากเจ้าของข้อมูลเท่านั้น จึงจะสามารถเข้าถึงและใช้ข้อมูลของเจ้าของได้

· ฝ่ายผู้เก็บรวบรวมข้อมูลต้องรักษาความปลอดภัยและความมั่นคงของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล

· เจ้าของข้อมูลสามารถยกเลิกสิทธิ์การเข้าถึงข้อมูลของผู้เก็บรวบรวมข้อมูล และสามารถขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ทั้งนี้ภาครัฐได้แต่งตั้งหน่วยงานที่ดูแล Law compliance ให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้แก่

· สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) มีหน้าที่จัดทำแผนแม่บท กำหนดมาตรการในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูล พร้อมให้ความรู้แก่ภาครัฐ เอกชนและประชาชนทั่วไป

· คณะกรรมการผู้เชี่ยวชาญ จะเป็นผู้พิจารณาเรื่องร้องเรียน ตรวจสอบ และไกล่เกลี่ยข้อพิพาท และเพื่อให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประชาชนทั่วไป ผู้ประกอบการและผู้ปฎิบัติงานทั้งภาครัฐและเอกชน ควรศึกษาบทบาทและสิทธิของผู้เกี่ยวข้องกับข้อมูล โดยแบ่งเป็น 3 กลุ่มผู้เกี่ยวข้อง ดังนี้

1. บุคคลทั่วไปในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject)

ควรจะตระหนักและเข้าใจสิทธิของตนเอง อ่านข้อกำหนด วัตถุประสงค์ให้ละเอียดก่อนยินยอมให้ข้อมูล

สิทธิของเจ้าของข้อมูลส่วนบุคคล มีอะไรบ้าง?

· สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)

· สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)

· สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)

· สิทธิคัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)

· สิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (Right to erasure; also known as right to be for-gotten)

· สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)

· สิทธิการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)

ทั้งนี้ควรเก็บบันทึกหลักฐานไว้ หากพบว่าข้อมูลส่วนบุคคลได้ถูกนำไปใช้ผิดวัตถุประสงค์ ที่ตกลงกันก็สามารถใช้เป็นหลักฐานในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

ผู้ควบคุมข้อมูลส่วนบุคคล คือบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อรับมือกับ พ.ร.บ.นี้ ผู้ควบคุมข้อมูลส่วนบุคคลอาจจะเริ่มจากการตั้งงบประมาณและขอความสนับสนุนจากผู้บริหารสำหรับการเสริมความปลอดภัยข้อมูลส่วนบุคคล จากนั้นจัดตั้งกลุ่มผู้ดูแล (Data Protection Officer) ในองค์กรให้ดำเนินการกำหนดประเภท แจกแจงข้อมูล ชี้แจงวัตถุประสงค์ ทบทวน Data Protection Policy และจัดเตรียมข้อกำหนด แนวทางปฏิบัติสำหรับการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนจัดทำเอกสารมาตรการความปลอดภัย

นอกจากนี้ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องส่งเสริมการปรับปรุงพัฒนากระบวนการแจ้งเตือน (Breach Notification) และออกแบบระบบ บริการและผลิตภัณฑ์ โดยคำนึงถึงความเป็นส่วนตัวและความปลอดภัยของผู้ใช้งาน (Privacy by Design & Security by Design) พร้อมมุ่งเน้นให้พนักงาน บุคลากร และลูกค้าตระหนักเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล พร้อมจัดอบรมให้ความรู้และพัฒนาทักษะที่จำเป็นต่อการคุ้มครองข้อมูลส่วนบุคคลแก่บุคลากรในองค์กร

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

ผู้ประมวลผลข้อมูลส่วนบุคคล ได้แก่ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งจะปฏิบัติหน้าที่เก็บ ใช้หรือเปิดเผยข้อมูลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เป็นผู้ดำเนินการจัดมาตรการดูแลความปลอดภัยข้อมูลให้มีความเหมาะสม จัดทำและเก็บรักษาบันทึกรายงาน และเมื่อเกิดเหตุละเมิดจะต้องแจ้งแก่ผู้ควบคุมข้อมูลส่วนบุคคลให้ทราบ

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ฉบับนี้จะใช้บังคับกับผู้ประกอบการที่อยู่ในประเทศไทย ไม่ว่าการเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูลจะเกิดขึ้นในประเทศหรือต่างประเทศก็ตาม หากกระทำผิดจะต้องได้รับบทลงโทษตามที่กฎหมายกำหนด ดังนั้นผู้ที่เกี่ยวข้องควรปฏิบัติดูแลข้อมูลส่วนบุคคลอย่างเคร่งครัดรัดกุม

หากกระทำผิดจะต้องได้รับบทลงโทษตามที่กฎหมายกำหนด ดังนั้นผู้ที่เกี่ยวข้องควรปฏิบัติดูแลข้อมูลส่วนบุคคลอย่างเคร่งครัดรัดกุม

ผู้ที่ได้รับมอบหมายให้ทำหน้าที่คุ้มครองข้อมูลส่วนบุคคล จะต้องให้คำแนะนำในการปฎิบัติ ตรวจสอบกระบวนการให้เป็นไปตามแผนที่ตั้งไว้ ประสานงานเมื่อเกิดปัญหา และรักษาเป็นความลับ ซึ่งผู้ทำหน้าที่นี้อาจเป็นพนักงานขององค์กรหรือเป็นผู้รับจ้างให้บริการตามสัญญาก็ได้ แต่ทั้งนี้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ถือได้ว่าเป็นเรื่องใกล้ตัวที่ทุกคนในองค์กร ทุกภาคส่วน รวมถึงบุคคลทั่วไปก็ควรศึกษาข้อมูลและเตรียมพร้อม เพื่อสิทธิ์ ประโยชน์ และเลี่ยงปัญหาหลังจากที่พ.ร.บ.ฉบับนี้จะมีผลบังคับใช้ในเดือนพฤษภาคม พ.ศ.2563

จากสถานการณ์ดังกล่าว องค์กรในฐานะเป็นผู้เก็บรวบรวมข้อมูลอาจจะต้องพัฒนาปรับเปลี่ยนระบบให้มีความเสถียรและเพิ่มความปลอดภัยไซเบอร์มากขึ้น เพื่อให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 นี้ โดยใช้เทคโนโลยีหรือหาเครื่องมือใหม่ๆเข้ามาช่วย ซึ่งปัจจุบันมีโซลูชั่นมากมายที่มีคุณสมบัติในการเก็บรวบรวม การใช้ข้อมูลส่วนบุคคลให้ปลอดภัย ตลอดจนการป้องกันข้อมูลสูญหาย

สามารถปรึกษาและสอบถามข้อมูลเพิ่มเติมเกี่ยวกับโซลูชั่นข้างต้นได้ที่ CSL

ลูกค้าสัมพันธ์: 0-2263-8222

ติดต่อสอบถามบริการ: 0-2263-8185

E-mail: presales@csl.co.th

บทความอ้างอิง : สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม