DNA ของ พรบ. คุ้มครองข้อมูลส่วนบุคคล

พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 ได้ถูกเลื่อนการบังคับใช้ออกไปจากเดิมจะมีผลตั้งแต่ 28 พฤษภาคม 2563 ไปเป็นมีผลบังคับใช้ ตั้งแต่ 1 มิถุนายน 2564 ท่ามกลางความโล่งอก และเสียงถอนหายใจของบริษัทห้างร้านต่างๆที่ส่วนใหญ่แล้วยังไม่มีความพร้อมด้วยเหตุผลต่างๆกัน

สาเหตุหนึ่งของความไม่พร้อม ส่วนหนึ่งมาจากความไม่แน่ใจของคนในองค์กรต่างๆว่า หน่วยงานใด หรือ ใครกันแน่ ที่จะเป็นคนลุกขึ้นมานำ หรือ มาเป็นคนสร้างความพร้อมในการนำกฎหมายฉบับนี้ไปปับใช้ เมื่อช่วงที่กฎหมายออกมาเมื่อกลางปี 2562

จึงเกิดปรากฏการณ์ที่คล้ายคลึงกันในแทบทุกองค์กรคือ เกิดการเกี่ยงกันว่าเป็นหน่วยงานนั้น หน่วยงานนี้ต้องเป็นคนริเริ่มขึ้นมา ซึ่งก็มักจะวนกันอยู่ใน 3-4 หน่วยงานนี้

คือ หน่วยงานกฎหมายจะเป็นคนต้นเรื่องศึกษาเบื้องต้น แล้วบอกว่า ไม่ใช่เรื่องกฎหมายเพราะเกี่ยวกับระบบ IT ก็ส่งต่อไปที่หน่วยงาน IT หน่วยงาน IT รับลูกมา บางองค์กรก็เริ่มลงมือทำมุ่งเน้นที่ระบบ IT ระบบการเก็บข้อมูล

แต่หน่วยงาน IT บางองค์กรศึกษาแล้วก็บอกว่า ไม่ใช่ IT เป็นเพียงคนสนับสนุน ก็ส่งต่อไป HR โดยบอกว่า HR ต้องนำเพราะเป็นหน่วยงานที่เก็บข้อมูลสาวนบุคคลมากที่สุด พอ HR รับมาดูแล้วก็บอกว่า ไม่ใช่ HR เพราะ HR จะเป็นส่วนเดียว คนทำเรื่องนี้จะต้องเป็นหน่วยงานที่ดูภาพรวม อย่างเช่น หน่วยงาน Compliance จะถูกต้องกว่า

อะไรเป็นสาเหตุสำคัญทีทำให้เกิดความไม่แน่ใจว่า ใครหรือหน่วยงานไหนจะต้องเป็นคนนำ ตัวผมเองก็ไม่ต่างจากหลายๆคนที่มีความไม่แน่ใจและสับสนเมื่อตอนที่กฎหมายนี้ออกมาใหม่ๆ

และเมื่อถูกมอบหมายให้เป็นหัวหน้าคณะทำงานขององค์กรแห่งหนึ่ง ได้เข้าไปศึกษาและทำความเข้าใจกฎหมายฉบับนี้อย่างละเอียด จึงได้เข้าใจว่า สาเหตุสำคัญคือ DNA ของพรบ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA คือ สาเหตุหลักที่ทำให้เกิดความสับสนในทั่วทุกองค์กร

อะไรคือ DNA ของ PDPA ของไทย PDPA ไม่ใช่เป็นกฎหมายที่งอกขึ้นมา หรือ อยู่บนฐานของวิถีชีวิตปกติ หรืออยู่บนกฎเกณฑ์ทางธรรมชาติ แต่เป็นถ่ายพันธุกรรมมาจากกฎหมายที่เป็นขนบความเชื่อของต่างประเทศที่เรียกว่า GDPR หรือ General Data Protection Act

โดยมุ่งที่จะปกป้องข้อมูลส่วนบุคคลไม่ให้มีโอกาสถูกผู้อื่นนำไปใช้ได้ในทุกโอกาสความเป็นไปได้ ดังนั้น DNA ของ PDPA จึงเข้ามายุ่งเหยิง มายุ่งเกี่ยวกำกับดูแลเรื่องที่เกี่ยวข้องกับข้อมูลส่วนบุคคลใน 3 ด้าน อันประกอบด้วย

ด้านที่หนึ่ง : ด้านการดำเนินการให้สอดรับกับกฎหมาย กับข้อบังคับที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (Policy & Legal Compliance) เข้ามากำกับและประเมินในมุมมองทางกฎหมายที่เกี่ยวกับการเก็บรวบรวม ใช้

เปิดเผยข้อมูลส่วนบุคคลว่า มีประเด็นที่ต่างจากข้อกฎหมายอย่างไรหรือไม่

โดยองค์กรจะต้องกำหนดนโยบาย มาตรการแนวปฏิบัติต่างๆเพื่อให้สอดคล้องกับกฎหมาย

ด้านที่สอง: ด้านการประเมินการดำรงอยู่ของข้อมูล (Data Assessment & Record of Processing)

เข้ามากำกับและประเมินการเก็บข้อมูลฯ การเดินทางของข้อมูล การปกป้อง และการป้องกันข้อมูลฯ การลบทำลาย รวมทั้งการบันทึกหลักฐาน

ทำให้องค์กรต้องทำ Data Assessment เพื่อให้เห็นสิ่งที่เป็นอยู่ เพื่อจะนำไปปรับปรุงพัฒนาระบบเพิ่มเติม หรือจัดทำกระบวนการเพิ่มเติม

ด้านที่สาม: ด้านการปกป้องการละเมิด การเข้ามาโจมตี การเข้ามาล้วงข้อมูลส่วนบุคคล (IT System & Data Security) เข้ามากำกับและประเมิน Data Security เพื่อให้มั่นใจองค์กรมีความพร้อมในแง่ของเทคโนโลยีและหรือกระบวนการที่จะปกป้อง ป้องกัน การถูกโจมตี การถูกล้วง การถูกทำลายโดยไม่ชอบด้วยกฎหมาย

ซึ่งทำให้องค์กรต้องทำ IT Assessment เพื่อหารูโหว่หรือช่องโหว่ของระบบแล้วหาแนวทางที่จะปิดช่องโหว่นั้นเราได้อะไรจากการถอด DNA ของ PDPA

การถอด DNA ของ PDPA ไทยให้ได้เห็นมิติทั้ง 3 ด้านนั้น จะมีส่วนช่วยได้อย่างมากกับการนำไปปรับใช้เพื่อดำเนินการให้สอดคล้องกับกฎหมายดังนี้

1. ช่วยลดความสับสนว่า ใครควรนำ หรือเป็นตัวหลัก เพราะ DNA จะบอกเราว่า ใครก็ได้ที่สามารถระดมคน และสร้างความเข้าใจให้กับคนที่มีความรู้ในDNA สามด้านนั้น เข้ามาเป็นคณะทำงานร่วมกัน

2. นำ DNA ตัวนี้ไปใช้ในการวางแผนการสื่อสารให้คนในองค์กร วางแผนทำ Workshop แบบเจาะกลุ่มเป้าหมายได้

3. กำหนดคณะทำงานที่สอดรับกับ DNA ของ PDPA

4. วางแผนการทำงาน การติดตามในแต่ละขั้นตอน ตามกรอบของ DNA ทั้ง 3 ด้าน ซึ่งจะทำให้แผนมีความรัดกุมและครบถ้วน

5. กรณีหากจะมีการจ้างที่ปรึกษา สามารถนำ DNA ตัวนี้ไปเป็นกรอบในการกำหนดคุณสมบัติของบริษัทที่ปรึกษาได้ว่า เขาจะต้องสามารถให้คำปรึกษาได้ในทั้ง 3 ด้าน จึงจะครอบคลุม 

ในช่วงเวลา 1 ปีจากนี้ไป ผมเชื่อว่า การได้เขาใจใน DNA ของ PDPA ที่ได้กล่าวไปแล้วนำไปปรับใช้ จะทำให้เรามีความพร้อมมากขึ้นในการปฏิบัติตามพรบ.คุ้มครองข้อมูลส่วนบุคคลอย่างแน่นอน