โดย… ชวน หวังสุนทรชัย
ความเป็นส่วนตัวและข้อมูลส่วนบุคคลสำหรับผู้อ่านสำคัญมากน้อยแค่ไหน?
สารคดีเรื่อง The Great Hack ที่ตีแผ่กรณี Facebook ทำข้อมูลส่วนบุคคลรั่วไหลให้บริษัท Cambridge Analytica น่าจะทำให้เราต้องหันมาสนใจประเด็นนี้กันอย่างจริงจัง
กรณี Facebook ปล่อยข้อมูลส่วนบุคคลรั่วไหล ส่งผลให้ Facebook ถูกคณะกรรมาธิการการค้าสหรัฐ (Federal Trade Commission) สั่งปรับเป็นจำนวนเงินกว่า 5,000 ล้านเหรียญสหรัฐ หรือ 155,000 ล้านบาท รวมถึงหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของประเทศอิตาลี ก็ได้ออกคำสั่งปรับ Facebook เป็นจำนวนเงิน 1 ล้านยูโร หรือ 34 ล้านบาท เห็นได้ว่าประเทศตะวันตก ให้ความสำคัญกับข้อมูลส่วนบุคคลและบังคับใช้กฎหมายอย่างเข้มข้น
สำหรับประเทศไทย ในแง่ของกฎหมายเราอาจช้าและก้าวไม่ทันสากลเพราะที่ผ่านมาใช้เวลารวมกว่า 20 ปี เพื่อร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล จนสุดท้ายได้กฎหมายออกมาในปีนี้ และจะมีผลบังคับใช้ในปีหน้า (พ.ศ.2563) แต่ในรายละเอียดพระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ก็ยังไม่มีความชัดเจนมากนักสำหรับผู้ต้องปฏิบัติตามกฎหมาย
ภายใต้การคุ้มครองของกฎหมายนี้ ทุกคนมีสิทธิในการบริหารจัดการข้อมูลส่วนบุคคลของตัวเอง มีสิทธิที่รู้ว่าข้อมูลเกี่ยวกับเราอยู่กับองค์กรใด ถูกใช้ทำอะไร และเปิดเผยให้กับใครบ้าง
ดังนั้น สำหรับบุคคลทั่วไปแล้ว กฎหมายคุ้มครองข้อมูลส่วนบุคคลถือเป็นจุดเริ่มต้นของสิทธิขั้นพื้นฐานยุคใหม่ เพื่อเป็นรากฐานในการเตรียมพร้อมโครงสร้างประเทศไทยไปสู่ยุค 4.0 ตามที่รัฐบาลได้ตั้งใจไว้
แต่สำหรับองค์กรและผู้ประกอบธุรกิจ การปฏิบัติตามกฎหมายฉบับนี้เป็นโจทย์ที่ผู้ประกอบธุรกิจส่วนใหญ่ในประเทศไทยยังไม่คุ้นเคยมาก่อน จากการศึกษาของทีดีอาร์ไอ พบว่า องค์กรในประเทศไทย แม้จะมีความตื่นตัวอยู่ในระดับหนึ่ง แต่ก็กำลังประสบปัญหาว่ากฎหมายไม่ชัดเจนพอที่จะปฏิบัติตามได้ สาเหตุเกิดจากกฎหมายยังมีช่องว่างที่รอให้มีการตีความอยู่มาก ในขณะที่ยังไม่มีหน่วยงานกำกับดูแลที่มีอำนาจมาให้ความชัดเจน
เนื่องจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่จะเข้ามาทำหน้าที่กำกับดูแลตามกฎหมาย ยังอยู่ระหว่างกระบวนการจัดตั้งหน่วยงาน ซึ่ง พ.ร.บ.นั้น กำหนดให้จัดตั้งสำนักงานและคณะกรรมการให้แล้วเสร็จใน 1 ปีหลังจากวันที่ประกาศใช้กฎหมาย ซึ่งหากการจัดตั้งหน่วยงานใช้เวลาเต็มที่ตามที่กฎหมายกำหนด หน่วยงานกำกับดูแลในประเทศก็คงไม่สามารถเข้ามาช่วยให้ความรู้หรือความชัดเจนกับผู้ประกอบธุรกิจได้ทันวันที่กฎหมายบังคับใช้
ดังนั้นกว่าไทยจะมีกฎหมายอาจช้าไป แต่เมื่อจะบังคับใช้ก็อาจเร็วไปสำหรับผู้ประกอบธุรกิจหากยังขาดสำนักงานและคณะกรรมการขึ้นมากำกับดูแลและสื่อสารให้ข้อมูลเพื่อเตรียมการ ทั้งนี้ ตามกฎหมายกำหนด ผู้ประกอบธุรกิจมีหน้าที่ปฏิบัติตามกฎหมาย 2 ข้อสำคัญ คือ
1. “ต้องให้การคุ้มครอง” ข้อมูลส่วนบุคคล โดยให้สิทธิเจ้าของข้อมูลเข้าถึงข้อมูล สามารถแก้ไขข้อมูลให้ถูกต้อง รวมถึงสิทธิในการรับทราบ และจัดการข้อมูล (ซึ่งอาจหมายถึงการทำลายหรือระงับข้อมูลส่วนตัว) ได้
2. ผู้ประกอบการจะต้องแจ้งเจ้าของข้อมูลเมื่อข้อมูลมีการรั่วไหล พร้อมแจ้งคณะกรรมการคุ้มครองข้อมูลฯ ทราบ
โดยข้อมูลส่วนบุคคลในที่นี้ คือ ข้อมูลที่สามารถใช้ระบุตัวบุคคลเท่านั้น ไม่รวมถึงข้อมูล เช่น บัญชีของบริษัท หรือข้อมูลเชิงสถิติ หรือข้อมูลลักษณะอื่นๆ ที่ไม่นำไปสู่การบ่งชี้บุคคลใดบุคคลหนึ่ง
จากหน้าที่ข้างต้น ในทางปฏิบัติผู้ประกอบการจะต้องเตรียมความพร้อมอย่างน้อย 7 เรื่อง เพื่อปฏิบัติตามกฎหมายและลดผลกระทบที่อาจเกิดขึ้น หาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลมีผลใช้บังคับในขณะที่ยังไร้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเข้ามาทำหน้าที่ให้ความชัดเจนและกำกับดูแล
1. พิจารณาว่าองค์กรของเรามีข้อมูลส่วนบุคคลอยู่มากน้อยเพียงใด โดยต้องระบุได้ว่ามีการนำเข้า จัดเก็บข้อมูลโดยใครและด้วยวิธีใด มีเป้าหมายใช้ทำอะไร และเปิดเผยให้กับบุคคลภายนอกหรือไม่ ภายใต้เงื่อนไขอย่างไร และจะนำออกจากการครอบครองอย่างไร โดยควรออกแบบเป็นแผนผังการไหลเวียนของข้อมูลในบริษัท (Dataflow) เพื่อให้สามารถนำไปออกแบบกระบวนการและวางนโยบายขั้นต่อ ๆ ไป ซึ่งมีข้อระมัดระวังว่าข้อมูลส่วนบุคคลมีได้ในหลายรูปแบบ และข้อมูลส่วนบุคคลของพนักงานก็ถือเป็นข้อมูลส่วนบุคคลเช่นเดียวกัน
2. พิจารณาแต่งตั้งบุคคลเข้ามารับผิดชอบในองค์กร จากการศึกษาของทีดีอาร์ไอ พบว่า บางองค์กรที่มีความพร้อมปรับตัวรับการบังคับใช้กฎหมาย ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อทำหน้าที่วางระบบ ออกแบบขั้นตอน รวมทั้งตรวจสอบภายในและช่วยเหลือหน่วยงานในองค์กรเพื่อให้เป็นไปตามกฎหมาย และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่กำลังจะมีขึ้นตามกฎหมาย หากเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล
การมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในองค์กรจะทำให้มีหน่วยงานภายในที่คอยดูแลเรื่องการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ และลดความเสี่ยงเกี่ยวกับข้อมูลภายในองค์กรที่อาจต้องเปิดเผยให้กับบุคคลที่สาม ในกรณีที่จ้างบริษัทที่ปรึกษาภายนอกเข้ามาบริหารข้อมูลส่วนบุคคลอีกด้วย
สิ่งที่องค์กรและผู้ประกอบการจะต้องเตรียมการยังมีอีกหลายด้าน รวมถึงบทบาทภาครัฐ และภาคีภาคเอกชนที่จะมีส่วนช่วยหนุนผู้ประกอบการ ผู้เขียนจะขอมาแบ่งปันต่อในบทความหน้า เพื่อเราทุกคนได้รับรู้สิทธิ-หน้าที่ของตน สร้างสภาพแวดล้อมให้กฎหมายเป็นเครื่องมือรักษาผลประโยชน์ระหว่างกัน และส่งเสริมให้เกิดการบังคับใช้อย่างมีประสิทธิภาพ
3. การจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล ไม่ใช่ทุกกรณีที่ต้องการคำยินยอมจากเจ้าของข้อมูลส่วนบุคคล เนื่องจากกฎหมายกำหนดเงื่อนไขไว้อยู่บ้างว่า การใช้ข้อมูลส่วนบุคคลในบางกรณีใดที่ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เช่น “การเพื่อการปฏิบัติตามสัญญา…” แต่ในกรณีที่ต้องขอความยินยอม การให้ความยินยอมนั้นสามารถทำได้ในหลายรูปแบบ โดยอาจเป็นหนังสือ หรือผ่านระบบคอมพิวเตอร์ หรือในกรณีอื่นๆ ได้ อย่างไรก็ตาม ต้องระมัดระวังเรื่องข้อมูลส่วนบุคคลที่ได้รับความคุ้มครองเป็นพิเศษ เช่น ข้อมูลเกี่ยวกับเชื้อชาติ ข้อมูลสุขภาพ ประวัติอาชญากรรม ศาสนาความเชื่อ เป็นต้น ซึ่งโดยส่วนใหญ่ต้องใช้การขอความยินยอมที่ชัดเจนจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น
4. การพิจารณาลบข้อมูล เนื่องจากการมีข้อมูลส่วนบุคคลย่อมเพิ่มภาระให้องค์กรต้องดูแล จึงควรลดขนาดข้อมูลส่วนบุคคลที่องค์กรเก็บอยู่ โดยการพิจารณาลบข้อมูลส่วนบุคคลที่ไม่จำเป็นออกเท่าที่จะทำได้ หรือ “เก็บเท่าที่จำเป็น” โดยควรกำหนดไว้เป็นกระบวนการในแผนผัง Dataflow ไว้ให้ชัดเจนว่าจะลบข้อมูลส่วนบุคคลออกจากระบบเมื่อใด ภายใต้เงื่อนไขใด เพื่อป้องกันไม่ให้มีข้อมูลส่วนบุคคลมากจนไม่สามารถควบคุมได้อย่างมีประสิทธิภาพ
5. มีระบบการจัดการข้อมูล โดยกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคล และอาจรวมถึงการเก็บประวัติการเข้าถึง หากทำได้ เพื่อใช้ในการตรวจสอบภายใน โดยเฉพาะองค์กรที่เก็บข้อมูลในคอมพิวเตอร์ ควรกำหนดมาตรการเหล่านี้เป็นอย่างยิ่ง เพราะนอกจากจะเป็นกระบวนการเพื่อความปลอดภัยของบริษัทแล้ว ยังสามารถใช้เป็นเครื่องมือเพื่อตรวจสอบในกรณีฉุกเฉินได้อีกด้วย
6. กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลขององค์กร และประชาสัมพันธ์ให้ลูกค้าหรือบุคคลภายนอกทราบถึงจุดยืนขององค์กรที่มีต่อข้อมูล่สวนบุคคล บอกวิธีการจัดการข้อมูลส่วนบุคคลขององค์กร รวมไปถึงช่องทางการติดต่อเพื่อใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
7. จัดการการเปลี่ยนแปลงภายในองค์กร (Change Management) ได้แก่ การวางระบบภายในเพื่อรองรับการเปลี่ยนแปลงในองค์กร ได้แก่ การจัดอบรมบุคลากรในองค์กร เพื่อให้ความรู้ และเพิ่มความระมัดระวังเมื่อต้องทำหน้าที่ที่เกี่ยวเนื่องกับข้อมูลส่วนบุคคล รวมไปถึงการวางระบบเพื่อรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลในองค์กร
จะเห็นได้ว่า การเตรียมการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิภาพ มีมากกว่าการทำเอกสารขอความยินยอม หรือการกำหนดแนวทางในลักษณะเฉพาะหน้า แต่จะเข้าไปเกี่ยวข้องกับการทำความเข้าใจองค์กรในภาพใหญ่ ซึ่งต้องการการมีส่วนร่วมตั้งแต่ต้นมาจากระดับนโยบายและการบริหารจนไปถึงระดับปฏิบัติการ เช่น เจ้าหน้าที่บริการลูกค้า และยังต้องใช้เวลาปรับตัวในระดับหนึ่ง ซึ่งมากหรือน้อยขึ้นอยู่กับขนาดและความซับซ้อนขององค์กร
ผู้เขียน พบว่า องค์กรขนาดใหญ่ที่มีจำนวนพนักงานหลักหมื่น ต้องใช้เวลาล่วงหน้ากว่า 2 ปี ในการเตรียมตัวให้บริษัทพร้อม แต่การจะปฏิบัติตามกฎหมายได้อย่างมีประสิทธิภาพ นอกจากภาครัฐต้องให้ความชัดเจนด้านการบังคับใช้กฎหมายแล้ว การเตรียมพร้อมปรับตัวของผู้ประกอบการนั้นมีภาระต้นทุน การเตรียมความพร้อมนี้จึงต้องอาศัยภาคีภาคเอกชนที่มีศักยภาพในการเป็นผู้ดำเนินการหลัก เช่น สภาอุตสาหกรรมแห่งประเทศไทย หอการค้าไทย หรือกลุ่มธุรกิจที่อาจมีหน่วยงานกำกับดูแลการประกอบธุรกิจโดยเฉพาะอยู่แล้ว เป็นผู้ร่วมกันกำหนดมาตรฐานสำหรับกลุ่มธุรกิจ/บริการ และให้หน่วยกำกับดูแลเข้ามาให้ความเห็น ซึ่งจะได้ประโยชน์กันทั้ง 2 ฝ่าย คือฝ่ายเอกชนที่มีแนวทางที่ชัดเจนจากแนวทางที่ร่วมกันกำหนดขึ้นเองและตกลงปฏิบัติตามในแนวทางเดียวกัน ด้านหน่วยบังคับใช้กฎหมายก็จะสามารถตรวจสอบได้ง่ายขึ้นผ่านมาตรฐานที่ตนเห็นชอบ
เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำลังจะมีผล แต่หน่วยงานกำกับดูแลตามกฎหมายยังไม่พร้อมให้ความช่วยเหลือ ผู้ประกอบธุรกิจจึงต้องริเริ่มก่อน ก่อนที่จะได้รับผลกระทบจากกฎหมายเพียงเพราะการขาดการเตรียมการ และก่อนที่สิทธิขั้นพื้นฐานของบุคคลจะถูกละเมิดหรือละเลยจากการได้รับความคุ้มครองช้าไปกว่านี้
——————————————————————
ที่มา : กรุงเทพธุรกิจ
Link : https://www.bangkokbiznews.com/blog/detail/648101
https://www.bangkokbiznews.com/blog/detail/648228
