ทำ PDPA ในองค์กร เป็นหน้าที่ของใคร
อีกเพียง 1 สัปดาห์ ก็จะครบรอบ 1 ปี ของการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุลคล พ.ศ.2562 หรือ PDPA แล้ว ซึ่งตลอดระยะเวลาที่ผ่านมา หลายองค์กรได้เริ่มเคลื่อนไหวปรับเปลี่ยนการทำงานให้สอดคล้องกับกฎหมาย ขณะเดียวกันก็มีอีกหลายองค์กรที่ยังมองข้าม เพียงเพราะไม่รู้ว่าเป็นหน้าที่ของใคร Security Pitch พาไปทำความเข้าใจ ถึงความสำคัญของการ ทำ PDPA ในองค์กร และใครบ้างคือผู้รับผิดชอบในส่วนนี้
PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ถูกบัญญัติขึ้น โดยมีวัตถุประสงค์เพื่อให้การคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ลายนิ้วมือ รวมไปถึงข้อมูลที่มีความละเอียดอ่อนของบุคคล เช่น ความเชื่อ รสนิยมทางเพศ ข้อมูลสุขภาพ โดยกฎหมาย PDPA ยังให้สิทธิประชาชนในการขอให้ลบ แก้ไข ทำลาย หรือระงับการใช้ข้อมูลส่วนบุคคลของตนได้อย่างอิสระ
ทำ PDPA ในองค์กร เพื่ออะไร ?
ในปัจจุบัน การทำธุรกรรมเกือบทุกประเภท จำเป็นต้องมีการจัดเก็บข้อมูลส่วนบุคคล ตามมาด้วยการเกิดเหตุข้อมูลรั่วไหลบ่อยครั้งขึ้น ทำให้องค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบต่าง ๆ จำเป็นจะต้องมีการปฏิบัติตาม PDPA อย่างเคร่งครัด เพื่อหลีกเลี่ยงการถูกฟ้องร้องจากเจ้าของข้อมูลส่วนบุคคล ตามที่ได้มีการระบุถึงโทษของการไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 82-87 ไว้ว่า หากองค์กรใดที่มีการจัดเก็บข้อมูลส่วนบุคคล ไม่มีการขอความยินยอมจากเจ้าของข้อมูล หรือ แจ้งวัตถุประสงค์ในการเก็บ รวบรวม และประมวลผลข้อมูลให้ถูกต้อง และชัดเจนตามกฎหมาย อาจมีโทษทั้งทางอาญา และทางปกครอง ต้องระวางโทษปรับสูงสุดถึง 5 ล้านบาท จำคุกสูงสุด 1 ปี หรือทั้งจำทั้งปรับ
การทำ PDPA เป็นหน้าที่ของใคร
แม้ที่ผ่านมาจะมีการประชาสัมพันธ์ให้หน่วยงาน องค์กรต่าง ๆ ทั้งของภาครัฐ และเอกชน เข้าใจถึงความสำคัญของการปฏิบัติตาม PDPA แต่ก็ยังพบว่า ความไม่เข้าใจทำให้หลายองค์กรยังไม่เห็นถึงความสำคัญ และยังไม่คิดที่จะเริ่มปฏิบัติตามข้อกฎหมาย โดบพบว่า ปัญหาหนึ่งเกิดจากผู้บริหารองค์กรเองคิดว่าไม่ใช่เรื่องสำคัญ หรือ ไม่รู้ว่าต้องมอบหมายให้ใครเป็นผู้รับผิดชอบ
ทั้งนี้ ตามกฎหมายไม่ได้มีการกำหนดหน้าที่ความรับผิดชอบในการจัดทำ PDPA ไว้ให้กับหน่วยงานใดในองค์กร เพียงแต่ระบุในมาตรา 41 ไว้ว่า
“ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้
(1) ผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล เป็นหน่วยงานของรัฐตามที่คณะกรรมการประกาศกำหนด
(2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล ในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคล หรือ ระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก ตามที่คณะกรรมการประกาศกำหนด
(3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล เป็น การเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26”
ดังนั้นผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งก็คือองค์กร สามารถแต่งตั้งให้ใครเป็นผู้ริเริ่มจัดทำ PDPA ก็ได้ โดยกระบวนการจัดทำ PDPA อันดับแรกควรมีการจัดตั้ง DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเสียก่อน (DPO อาจเป็นใครก็ได้ในองค์กร ที่มีความรู้เกี่ยวกับกฎหมาย PDPA หรือ หากไม่มีบุคลากรที่มีความรู้ในเรื่องนี้ ก็สามารถจัดจ้างบุคคลภายนอก หรือจัดตั้งคณะทำงานเข้ามาเป็น DPO ได้เช่นเดียวกัน)
และเนื่องจากในกระบวนการจัดทำ PDPA จะต้องมีการรวบรวบ ตรวจสอบ และจัดทำบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคลในองค์กรให้ครบถ้วน ในส่วนนี้จึงอาจเป็นการมอบหมายให้หน่วยงาน หรือ ฝ่ายต่าง ๆ ที่เกี่ยวข้องกับการจัดเก็บ หรือประมวลผลข้อมูลนั้น ๆ เป็นผู้จัดทำ PDPA ร่วมกันอย่างเป็นระบบ
ทั้งนี้ก็เพื่อเป็นฐานข้อมูลให้องค์กร รวมไปถึง DPO และคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ทราบว่า องค์กรมีการรับข้อมูลส่วนบุคคลใดบ้างเข้าสู่ระบบ และข้อมูลเดินทางไปยังกระบวนการจัดเก็บ หรือ ประมวลผลต่อไปอย่างไรบ้าง
อย่างไรก็ตาม การจัดทำ PDPA แบบแยกส่วน ที่ให้แผนกต่าง ๆ รับผิดชอบข้อมูลส่วนบุคคลที่เกี่ยวข้องกับงานตนเอง เช่น ให้ฝ่ายบุคคลจัดเก็บข้อมูลส่วนบุคคลของพนักงาน ฝ่ายการตลาดจัดเก็บข้อมูลของลูกค้า หรือ ให้ฝ่ายไอทีดูแลเรื่องการจัดเก็บข้อมูลจากเว็บไซต์ อย่าง ข้อมูลคุกกี้ ซึ่งหากไม่มีการบูรณาการร่วมกัน อาจนำมาซึ่งปัญหาการทำงานที่ล่าช้า และซ้ำซ้อนได้ ร้ายแรงที่สุด คืออาจเกิดช่องโหว่จนทำให้ผู้ไม่หวังดีเข้าถึงข้อมูลส่วนบุคคลในองค์กรได้ ขณะเดียวกันหากเกิดเหตุข้อมูลรั่วไหล การจะหาต้นตอ หรือที่มาของช่องโหว่ก็จะเป็นไปได้ยากเช่นเดียวกัน
ฉะนั้นจะดีกว่าหรือไม่? หากมีระบบที่สามารถเข้ามาช่วยบริหารจัดการข้อมูลส่วนบุคคลในองค์กร ให้ง่าย และเป็นระบบมากขึ้นได้ โดยรวมศูนย์ช่องทางและรายงานต่าง ๆ ไว้ในที่เดียว
Security Pitch มองเห็นความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล เราจึงให้ความสำคัญกับความปลอดภัย และความเป็นส่วนตัว โดยได้พัฒนาแพลตฟอร์ม OneFence เพื่อเป็นเครื่องมือช่วยบริหารจัดการด้านความปลอดภัยแบบรวมศูนย์
Privacy Management โซลูชันด้านความปลอดภัยของข้อมูลส่วนบุคคลภายใต้ OneFence คือระบบบริหารจัดการเพื่อให้องค์กรสามารถจัดทำ PDPA เป็นระบบ และช่วยให้องค์กรสามารถปฎิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง
เชื่อมั่นในความปลอดภัย เชื่อมั่นใน OneFence
สอบถามข้อมูลผลิตภัณฑ์ “OneFence”
Tel. : 081-972-2500
Line : @securitypitch
Email : [email protected]
บทความที่น่าสนใจ