พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้นจะมีผลบังคับใช้ในวันที่ 1 มิถุนายนนี้แล้ว และแม้จะเลื่อนกำหนดการบังคับใช้มาหลายปี บางองค์กรก็ยังคงมีความกังวลว่าอาจจะยังเตรียมตัวไม่พร้อมสำหรับเดดไลน์ที่ใกล้เข้ามา ในบทความนี้ อ.ดร.นพ.นวนรรน ธีระอัมพรพันธ์ นักวิชาการด้านสารสนเทศสุขภาพ รองคณบดีฝ่ายปฏิบัติการ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี ม.มหิดล ได้มาให้มุมมอง รวมถึงแนะนำข้อควรระวังสำหรับองค์กรในการปฏิบัติตามกฎหมาย PDPA เพื่อไม่ให้เกิดข้อผิดพลาดขึ้น
PDPA เป็นกฎหมายที่เกิดตามหลังกระบวนการ ดังนั้นช่องโหว่อาจเกิดขึ้นได้
อ.ดร.นพ.นวนรรน มองว่ากฎหมายคุ้มครองความเป็นส่วนตัวนั้นเป็นเรื่องที่ค่อนข้างใหม่สำหรับสังคม ซึ่งรวมผู้บริโภค องค์กร และหน่วยงานกำกับดูแลด้วย เมื่อกฎเกณฑ์ตามมาหลังจากที่ธุรกิจดำเนินการมานานแล้ว ช่องว่างหรือ Gap ตามธรรมชาติย่อมเกิดขึ้นได้ ในอดีต ธุรกิจมีการเก็บรวบรวมข้อมูล ประมวลผล และส่งต่อข้อมูลกันเป็นปกติ ซึ่งเมื่อ PDPA บังคับใช้ ธุรกิจย่อมต้องพยายามสำรวจช่องโหว่ที่มีและหาทางปรับแก้ให้เป็นไปตามกฎหมาย
สิ่งแรกๆที่ธุรกิจสามารถทำได้ คือการพิจารณาว่าแนวทางที่ดำเนินธุรกิจอยู่นั้นมีส่วนใดไม่สอดคล้องกับส่ิงที่ PDPA กำหนดบ้าง ซึ่งแน่นอนว่าการพิจารณาเช่นนี้ย่อมต้องอาศัยความร่วมมือจากสมาชิกฝ่ายต่างๆภายในองค์กร ร่วมสำรวจงานที่ทำ ข้อมูลที่เก็บ และขั้นตอนต่างๆ จากนั้นจึงรวบรวมเพื่อกำหนดแนวทางในการแก้ไขต่อไป
จากตรงนี้ จะเห็นได้ว่า PDPA นั้นไม่ใช่งานของแผนกไอที กฎหมาย หรือแผนกใดแผนกหนึ่ง แต่เป็นสิ่งที่ทุกคนในบริษัทต้องทำความเข้าใจและพึ่งพากันและกันเพื่อปรับกระบวนการให้เป็นไปตาม PDPA โดยเฉพาะอย่างยิ่งในปัจจุบันที่องค์กรมีการใช้ข้อมูลในการทำงานที่หลากหลายกันมากขึ้น ทุกคนในองค์กรควรจะเข้าใจขั้นตอนที่ PDPA กำหนดไว้ เช่น การทำ Privacy Notice ในการขอข้อมูลส่วนตัวทุกครั้ง หรือการระมัดระวังในขั้นตอนการส่งต่อ เพื่อช่วยกันลดความเสี่ยงขององค์กร
4 ไฮไลท์การจัดเก็บข้อมูลขององค์กร
นอกจากนี้ อ.ดร.นพ.นวนรรน ยังได้มีคำแนะนำ 4 ข้อที่ฝากไว้ให้กับธุรกิจ เพื่อให้องค์กรสามารถเก็บข้อมูลได้อย่างดี เป็นไปตาม PDPA และลดความเสี่ยงในการทำผิดกฎหมาย
1. เก็บข้อมูลเท่าที่จำเป็นต้องใช้
การเก็บข้อมูลที่มากเกินจำเป็นแล้วบ่อยครั้งสร้างภาระในการจัดเก็บให้กับองค์กรมากกว่าที่จะสร้างประโยชน์ องค์กรสามารถลดภาระและความเสี่ยงได้ตั้งแต่แรกเพียงพิจารณาให้รอบคอบว่าข้อมูลส่วนใดที่จำเป็นจะต้องใช้จริงๆ เมื่อข้อมูลน้อยลง ความเสี่ยงย่อมน้อยลง ปริมาณงานลดลง อีกทั้งค่าใช้จ่ายยังอาจจะลดลงด้วย
2. ระดมความคิดทุกฝ่ายเพื่อหาแนวทาง PDPA
แนวปฏิบัติที่นำไปสู่การทำตามกฎหมาย PDPA นั้นแตกต่างกันไปในแต่ละองค์กร ซึ่งสมาชิกภายในองค์กรทุกฝ่ายจะต้องร่วมมือกันคิดหาแนวทางที่เหมาะสมสำหรับรูปแบบการทำงานและลักษณะของธุรกิจให้ได้ และการที่ทุกฝ่ายได้เข้ามาแชร์มุมมองและออกความคิดเห็นยังจะช่วยให้แผนการปฏิบัติตาม PDPA ของธุรกิจสมบูรณ์ยิ่งขึ้น
3. ขอ Consent จำเป็น แต่ไม่เสมอไป
ธุรกิจต้องศึกษาข้อกำหนดของกฎหมายให้เข้าใจอย่างถ่องแท้ รวมถึงรายละเอียดข้อยกเว้นในบางกรณีด้วย หลายองค์กรอาจเข้าใจว่าในการเก็บหรือเปิดเผยข้อมูลส่วนบุคคลนั้นจะต้องขอความยินยอม (Consent) จากเจ้าของข้อมูลทุกครั้ง แต่แท้จริงแล้ว การจัดเก็บข้อมูล การใช้ หรือการเปิดเผยนั้น มีกฎหมายรองรับตามเงื่อนไขอยู่ด้วยกัน 7 ฐานกฎหมาย ได้แก่ ฐานปฎิบัติตามกฎหมาย ฐานประโยชน์สำคัญต่อชีวิต ฐานตามอำนาจรัฐ ฐานวิจัย ฐานสัญญา ฐานประโยชน์อันชอบด้วยกฎหมาย และฐานความยินยอม ที่เป็นตัวเลือกสุดท้ายจากการเทียบข้อกำหนดจาก 6 ฐานข้างต้น
อย่างไรก็ตาม Privacy Notice ในการเก็บข้อมูลทุกครั้งนั้นยังจำเป็นอยู่
4. PDPA ยังไม่บังคับในส่วน Transaction Log
กฎหมาย PDPA ในปัจจุบันนั้นยังไม่ได้บังคับให้องค์กรต้องมี Transaction Log ในการนำข้อมูลไปใช้แต่ละครั้ง อีกทั้งยังไม่ได้กำหนดให้องค์กรต้องเปิดให้เจ้าของข้อมูลเข้ามาตรวจสอบประวัติการใช้งานข้อมูลของตัวเองได้ ดังนั้นธุรกิจอาจข้ามการรองรับในส่วนนี้ไปก่อนและไปจัดการในส่วนอื่นๆที่จำเป็นมากกว่า อย่างไรก็ตาม Transaction Log ก็ยังมีประโยชน์ในแง่ของการเตรียมการเผื่ออนาคต และการรองรับมาตรฐานสากล
––––––––––
อ่านความคิดเห็นของอ.ดร.นพ.นวนรรน ธีระอัมพรพันธ์ เพิ่มเติมได้ที่ https://www.jrit-ichi.com/cutting/2022/05/05/1095/