นอกจาก พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 หรือที่เราเรียกกันสั้น ๆ ว่า “พ.ร.บ. ไซเบอร์” จะมีผลบังคับใช้แล้ว เมื่อวันที่ 28 พฤษภาคม ที่ผ่านมา ยังมีอีกกฎหมายหนึ่งที่คลอดมาพร้อมกัน คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งกฎหมายทั้งสองฉบับมีผลกระทบต่อผู้ประกอบการในยุคดิจิทัล และทำให้เกิดข้อสงสัย ตั้งคำถามว่า แต่ละองค์กรต้องความพร้อมอย่างไรให้ปฏิบัติสอดคล้องตามข้อกำหนดกฎหมายเหล่านี้ 

แม้ว่าชื่อของ พ.ร.บ. เมื่ออ่านแล้ว ทำให้มองไปที่ “การคุ้มครอง” ข้อมูลส่วนบุคคล แต่ใจความสำคัญของกฎหมายฉบับนี้ กลับมุ่งเน้นไปที่องค์กร หน่วยงาน หรือนิติบุคคลให้มี “มาตรฐาน” ในการจัดการข้อมูลส่วนบุคคลอย่างเหมาะสมและเพียงพอ เมื่อมีความจำเป็นต้องขอใช้ข้อมูลส่วนบุคคล ทั้งนี้ก็เพื่อป้องกันความเสี่ยงที่จะมีผลกระทบไปถึงการรักษาความลับ (Confidentiality)  ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล ที่ก่อให้เกิดแนวโน้มให้เกิดผลกระทบเชิงลบหรือความเสียหายในระดับบุคคลหรือองค์กร 

ทำไมต้องมี พ.ร.บ. ฉบับนี้?

สาเหตุหลักที่ประเทศไทยต้องมี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เนื่องจากสหภาพยุโรป (European Union: EU) ได้ออก GDPR ( General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล บังคับใช้เมื่อ 25 พฤษภาคม พ.ศ. 2561 ซึ่งนอกจากมีผลบังคับใช้แก่การส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว ผู้ประกอบการในไทยที่ต้องติดต่อ รับส่งข้อมูลส่วนบุคคลของประชาชนในประเทศที่เป็นสมาชิกสหภาพยุโรป (Cross-Border Data Transfer Issues)  ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและเพียงพอด้วย

ที่สำคัญกว่านั้นคือ ความน่าเชื่อถือในมาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศ มีผลกระทบต่อการค้าระหว่างประเทศ และการทำธุรกิจระหว่างประเทศ หากประเทศไทยไม่มีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ย่อมทำให้เสียโอกาสและความเชื่อมั่นจากกลุ่มประเทศในสหภาพยุโรป และอาจรวมไปถึงประชาคมโลกที่กำลังตื่นตัวเรื่อง Data Protection เพราะเหตุการณ์ใหญ่ ๆ ที่เกิดขึ้นแล้ว เช่น การรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้เฟซบุ๊กหลายล้านบัญชี เป็นต้น 

สาระสำคัญของ พ.ร.บ. 

สาระสำคัญของ พ.ร.บ. ฉบับนี้ มี 3 ประเด็นหลัก ดังนี้

  1. เจ้าของข้อมูลต้องให้ความยินยอม (Consent) ในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ผู้เก็บรวบรวม ผู้ใช้ แจ้งไว้ตั้งแต่แรกแล้วเท่านั้น กล่าวคือ ต้องขออนุมัติจากเจ้าของข้อมูลก่อน เช่น หากแอปพลิชันหนึ่งจะเก็บข้อมูลบัตรเครดิตของเราไว้ในระบบ ก็ต้องมีข้อความให้เรากดยืนยันเพื่อยินยอม พร้อมแจ้งวัตถุประสงค์ในการเก็บรวบรวม และการใช้ หากเราไม่ยินยอมให้ใช้ข้อมูลบัตรเครดิต ผู้ให้บริการแอปพลิเคชันนั้นก็ไม่สามารถใช้ข้อมูลบัตรเครดิตของเราได้
  2. ผู้เก็บรวบรวมข้อมูลต้องรักษาความมั่นคงปลอดภัยของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล เช่น สถานพยาบาลจะต้องเก็บข้อมูลของผู้ป่วยให้เป็นความลับและไม่เปิดเผยให้กับผู้อื่น ธนาคารต้องเก็บรักษาข้อมูลเกี่ยวกับรายการถอน 
  3. เจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ หากเป็นความประสงค์ของเจ้าของข้อมูล 

หน่วยงานที่เกี่ยวข้อง

หน่วยงานที่เกี่ยวข้องกับ พ.ร.บ. ฉบับนี้มี 2 ส่วน ได้แก่

  1. สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) มีหน้าที่กำหนดมาตรฐานในการเก็บรวบรวมข้อมูล การใช้ และการเปิดเผยข้อมูลส่วนบุคคล รวมถึงให้ความรู้และฝึกอบรมเจ้าหน้าที่ภาครัฐ เอกชน และบุคคลทั่วไปให้มีความเข้าใจและสามารถรักษาข้อมูลส่วนบุคคลอย่างปลอดภัย
  2. คณะกรรมการผู้เชี่ยวชาญ มีหน้าที่พิจารณาเรื่องร้องเรียนเมื่อมีการละเมิด ตรวจสอบผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล รวมถึงการไกล่เกลี่ยข้อพิพาทต่าง ๆ 

บุคคลทั่วไป ต้องทำอะไรบ้าง?

ในฐานะบุคคลทั่วไปหรือเจ้าของข้อมูลส่วนบุคคล ก่อนจะให้ข้อมูลสำคัญ ควรมีการเก็บบันทึกเป็นหลักฐานไว้ หรือมีการขอสำเนาของเอกสารที่มีข้อมูลส่วนบุคคล เมื่อใดพบว่าข้อมูลส่วนบุคคลได้ถูกนำไปใช้ผิดวัตถุประสงค์ ก็จะได้ใช้เป็นหลักฐานในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ และมีสติรอบคอบในการให้ข้อมูลส่วนบุคคลแก่เว็บไซต์/แอปพลิเคชัน ที่มีการขอความยินยอมจากเจ้าของข้อมูล ยกตัวอย่างเช่น การทำงานของเว็บไซต์/แอปพลิเคชัน เช่น ปัจจุบันนี้ หลายแอปพลิเคชันจะเชื่อมต่อระบบสมาชิกกับเฟซบุ๊ก มีการขอชื่ออีเมลและรายชื่อเพื่อนในเฟซบุ๊กของเรา หากเราเห็นว่าไม่จำเป็นที่ต้องให้ข้อมูลรายชื่อเพื่อน ก็สามารถคลิกเพื่อไม่ยินยอม และยินยอมให้เฉพาะอีเมลเพื่อการเข้าระบบของแอปพลิเคชันนั้น ๆ ได้ กล่าวอีกนัยหนึ่ง ตัวเจ้าของข้อมูลต้องทำหน้าที่ “คุ้มครองข้อมูลของตนเอง” ด้วย ไม่ด่วนยินยอมหรือให้ข้อมูลโดยที่ยังไม่ได้ศึกษารายละเอียดของขอบเขตการใช้ข้อมูลส่วนบุคคล

ผู้ประกอบการควรเตรียมความพร้อมอย่างไร?

หากอยู่ในฐานะขององค์กร หรือหน่วยงานที่ต้องมีการเก็บข้อมูลส่วนบุคคล สิ่งสำคัญคือ ต้องรู้ขอบเขตของการเข้าถึงข้อมูลส่วนบุคคล มีระบบควบคุมการเข้าถึงข้อมูลส่วนบุคคล มีระบบยืนยันตัวตนของผู้ขอเข้าถึงข้อมูลส่วนบุคคล รวมไปถึงต้องมีการกำหนดนโยบายสำหรับบุคคลภายในองค์กรที่ต้องเกี่ยวข้องกับการใช้งานข้อมูลส่วนบุคคลที่ได้รับการยินยอมจากเจ้าของข้อมูลแล้ว เนื่องจากมีข้อบังคับต่าง ๆ ที่หากละเมิดแล้ว จะมีผลให้เกิดโทษอาญา โทษทางปกครอง ซึ่งมีโทษปรับมากถึง 5 ล้านบาท 

ในอนาคต (ซึ่งไม่น่าจะเกิน 2 ปีจากนี้) สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะออกระเบียบข้อบังคับ แนวทางด้านความมั่นคงปลอดภัยไซเบอร์ให้กับองค์กรต่าง ๆ ที่ต้องใช้ข้อมูลส่วนบุคคล (รวมถึงองค์กรที่ไม่ได้ใช้ข้อมูลส่วนบุคคล) ดังนั้นองค์กรควรปรับตัวและพัฒนาให้มีมาตรฐานความมั่นคงปลอดภัยไซเบอร์ในระดับสากล เพื่อให้ได้การรับรองตามมาตรฐาน ISO 27001 หรือ ISO 29100 เป็นต้น 

สำหรับบริษัทหรือองค์กรใดที่อยากทราบข้อมูลเพิ่มเติมหรือต้องการเตรียมความพร้อมเพื่อสร้างความสอดคล้องกับกฎหมาย เอซีอินโฟเทคพร้อมเป็นที่ปรึกษาให้กับองค์กรของท่านแบบครบวงจร และมีหลักสูตรฝึกอบรมสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Certified Data Protection Officer: CDPO) ที่รองรับข้อกฎหมาย โดยเปิดสอน Course แรกระหว่างวันที่ 16-20 กันยายน พ.ศ. 2562 นี้ หรือสอบถามเพิ่มเติม [email protected] หรือ โทร. 02 670 8980 ถึง 3 
(จันทร์ – ศุกร์, 9:00 – 18:00 น.)