กุนซือโลกการเงิน


กุนซือโลกการเงิน เช็คความพร้อมก่อน พ.ร.บ.ข้อมูลส่วนบุคคลบังคับใช้เดือนพ.ค. โดย PWC .

โดย
PWC .

:PWC
.

เช็คความพร้อมก่อน พ.ร.บ.ข้อมูลส่วนบุคคลบังคับใช้เดือนพ.ค.

โดย นิพันธ์ ศรีสุขุมบวรชัย และ วรรณิภา ร่วมรังสี

หุ้นส่วนสายงานภาษีและกฎหมาย บริษัท PwC ประเทศไทย

    ช่วงนี้คงไม่มีประเด็นอะไรที่จะร้อนแรงไปกว่าสถานการณ์การแพร่ระบาดของโรคติดเชื้อไวรัสโคโรน่า หรือ โควิด-19 เพราะเจ้าไวรัสตัวนี้ได้ส่งผลกระทบอย่างใหญ่หลวงต่อระบบเศรษฐกิจและการดำเนินธุรกิจขององค์กรไม่ใช่เฉพาะในไทย แต่กระทบไปทั่วโลกเลยทีเดียว PwC ประเทศไทย 

    ต้องขอเป็นกำลังใจให้กับทุกฝ่าย โดยเฉพาะอย่างยิ่ง ทีมแพทย์ พยาบาลและบุคลากรทางการแพทย์อื่น ๆ ที่ทำงานอย่างหนักในการรักษาผู้ป่วยอยู่ในเวลานี้ นอกจากนี้ ยังอยากฝากความห่วงใยไปถึงภาครัฐและเอกชน รวมถึงผู้ประกอบการอย่างพวกเราเองที่ช่วยกันดูแลลูกค้า พนักงาน และซัพพลายเออร์กันอย่างเต็มที่ เพื่อให้รอดพ้นจากวิกฤตนี้ไปด้วยกัน

    นอกเหนือไปจากโควิด-19 แล้ว เห็นจะมีอีกหนึ่งประเด็นที่ต้องย้ำเตือนผู้อ่านทุกท่านอีกครั้งนั่นก็คือ เรื่องของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะเริ่มบังคับใช้ในวันที่ 27 พฤษภาคมนี้แล้ว ซึ่งหากผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามจะมีบทลงโทษทั้งทางแพ่งและทางอาญาตามมา โดยเมื่อพิจารณาจากชื่อของพรบ. แล้ว 

    หลายท่านอาจจะคิดว่า เป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลซึ่งก็ถือว่าถูกต้องบางส่วน แต่ความจริงแล้ว พ.ร.บ. ฉบับนี้เป็นการกำหนด “มาตรฐาน” ให้องค์กร บริษัท หรือหน่วยงานต่าง ๆ ทำการจัดเก็บข้อมูลส่วนบุคคลตามที่มีการใช้จริงอย่างเหมาะสม เพื่อป้องกันความเสี่ยงที่จะมีผลไปถึงการรักษาความลับและป้องกันการรั่วไหลของข้อมูลของเจ้าของข้อมูลหรือองค์กรที่มีการนำข้อมูลมาใช้ 

เริ่มด้วยการขอสรุปสาระสำคัญของพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเพื่อให้เข้าใจง่ายขึ้น ดังนี้ 

    หนึ่ง เจ้าของข้อมูลต้องให้ความยินยอม (Consent) ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลตามวัตถุประสงค์ที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ใช้ (องค์กร บริษัท หรือหน่วยงาน) แจ้งไว้ต่อเจ้าของข้อมูลตั้งแต่แรก ยกตัวอย่าง เช่น แอปพลิเคชันสั่งอาหารรายหนึ่งต้องการเก็บข้อมูลบัตรเครดิตของลูกค้า ต้องมีข้อความให้ลูกค้ากดยืนยันเพื่อยินยอม และต้องแจ้งวัตถุประสงค์อย่างชัดเจนในการเก็บข้อมูลและใช้ข้อมูลด้วย เมื่อลูกค้ากดยินยอมแล้ว ก็ถือว่าได้มอบ consent ให้แอปพลิเคชันนั้น ๆ ใช้ข้อมูลบัตรเครดิตได้ นอกจากนี้ การเก็บข้อมูลและการยินยอมต้องมาจากเจ้าของข้อมูลโดยตรงเท่านั้น


    สอง ผู้ควบคุมข้อมูลส่วนบุคคลต้องมีระบบ วิธีในการรักษาความปลอดภัยของข้อมูล มีการจำกัดบุคคลที่จะมีสิทธิเข้าถึงข้อมูลได้ เช่น ธนาคารต้องเก็บรักษาข้อมูลเกี่ยวกับธุรกรรมทางการเงินของลูกค้า หรือ โรงพยาบาลต้องเก็บข้อมูลของผู้ป่วยเป็นความลับและไม่เปิดเผยให้แก่ผู้อื่นได้ทราบ แต่หากข้อมูลเกิดรั่วไหล หรือถูกขโมย ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้คณะกรรมการคุ้มครองข้อมูส่วนบุคคลทราบภายใน 72 ชั่วโมงนับจากเวลาที่ทราบเหตุ และต้องแจ้งเจ้าของข้อมูลโดยทันที หากมีการกระทบถึงสิทธิเสรีภาพ


    สาม แม้ว่าบุคคลจะได้ยินยอมให้ข้อมูลไปแล้ว แต่ผู้มีสิทธิ์ขาดในข้อมูลยังคงเป็นเจ้าของข้อมูล โดยเจ้าของข้อมูลมีสิทธิถอนความยินยอม ขอให้ยกเลิก หรือทำลายข้อมูลเมื่อใดก็ได้ โดยผู้เก็บข้อมูลไม่สามารถปฏิเสธได้ ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดช่องทางให้เจ้าของข้อมูลมีทำการยกเลิกได้สะดวกเช่นเดียวกับการยินยอมด้วย การคุ้มครองนี้รวมถึงข้อมูลที่ใช้เพื่อสมัครงาน โดยหากผู้สมัครแจ้งให้ส่งข้อมูลกลับ หรือให้ทำลายสำเนาบัตรประชาชน รูปถ่าย หรือ เอกสารการศึกษา ผู้เก็บรวบรวมข้อมูลก็จะต้องปฏิบัติตาม


เมื่อทราบสาระสำคัญบางส่วนของพ.ร.บ. ฉบับนี้ไปแล้ว PwC ประเทศไทย ยังมี 6 หลักปฏิบัติง่าย ๆ สำหรับองค์กร บริษัท หรือหน่วยงานที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล และผู้ใช้ข้อมูลอื่น ๆ ดังนี้ 

    1. แจ้งจุดประสงค์การเก็บ ใช้ และเปิดเผยข้อมูลให้ลูกค้าทราบ 

    2. เมื่อได้ข้อมูลจากลูกค้า หรือคู่ค้ามาแล้ว ต้องรู้ว่า ข้อมูลส่วนบุคคลนั้น ๆ มีอะไรบ้าง มีใคร หรือแผนกใดเป็นผู้จัดเก็บ และเก็บไว้ที่ใด เช่น บนดาต้าเบส ในแชร์ไฟล์ หรือบนคลาวด์ 

    3. จัดทำข้อมูลให้ถูกต้อง มีระบบการรักษาความปลอดภัยที่ดี และอัปเดตข้อมูลให้เป็นข้อมูลล่าสุดอยู่เสมอ

    4. ต้องมีการจัดทำบันทึกรายการข้อมูลส่วนบุคคลเพื่อให้เจ้าของข้อมูลส่วนบุคคลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถขอดูข้อมูลส่วนบุคคลได้ เพื่อให้มั่นใจว่า เป็นข้อมูลที่ถูกต้องและสามารถตรวจสอบได้เสมอ 

    5. เปิดช่องทางให้ลูกค้า คู่ค้า หรือบุคคล สามารถร้องขอให้ลบข้อมูลส่วนบุคคลได้

    6. องค์กร หรือบริษัทต้องตรวจสอบและประมวลผลข้อมูลโดยตรวจสอบว่า มีการใช้ข้อมูลอย่างไรบ้าง หรือการโยกย้ายข้อมูลถูกต้องตามที่กำหนดไว้หรือไม่ 

    ดังนั้น หากท่านอยู่ในองค์กร หรือหน่วยงานใดที่ต้องมีการเก็บข้อมูลส่วนบุคคล สิ่งสำคัญคือ ต้องกำหนดขอบเขตการเข้าถึงข้อมูลส่วนบุคคล มีระบบควบคุม มีระบบยืนยันตัวตนของผู้เข้าถึงข้อมูล รวมถึงต้องมีนโยบายในองค์กรที่เกี่ยวข้องกับการใช้งานข้อมูลส่วนบุคคลที่ได้รับการยินยอมจากเจ้าของข้อมูลแล้ว 

    เนื่องจากพรบ. ฉบับนี้มีบทลงโทษที่เคร่งครัด โดยแบ่งออกเป็น 3 รูปแบบ ได้แก่ 

    หนึ่ง บทลงโทษทางอาญา คือมีโทษทั้งจำ ทั้งปรับ โดยจำคุกสูงสุด 1 ปี และโทษปรับสูงสุด 1 ล้านบาท 

    สอง บทลงโทษทางการปกครอง โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจสั่งปรับบริษัทที่ไม่ปฏิบัติตามกฎหมาย โดยค่าปรับจะสูงกว่าแบบที่หนึ่งมาก คือ โทษปรับสูงสุดถึง 5 ล้านบาทต่อหนึ่งเรื่องที่มีการร้องเรียน 

    และสุดท้าย บทลงโทษทางแพ่ง บุคคลธรรมดาสามารถเรียกร้องค่าเสียหายได้เป็นจำนวนเงิน 2 เท่าของค่าเสียหายที่พิสูจน์ได้

    จะเห็นได้ว่าพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ถือเป็นเรื่องใกล้ตัวที่เราทุกคนต้องศึกษาและทำความเข้าใจ เพื่อเตรียมพร้อมกับการเปลี่ยนแปลงเมื่อกฎหมายถูกบังคับใช้ โดยเฉพาะอย่างยิ่ง ผู้ที่ต้องเก็บข้อมูลและผู้ใช้ข้อมูล ฉะนั้น เราหวังว่าทุกท่านจะเร่งเตรียมการทั้งระบบ ทีมงาน รวมทั้งเรียนรู้เงื่อนไขต่าง ๆ ในการกำหนดการใช้ข้อมูล จัดเก็บ และเปลี่ยนแปลงข้อมูลที่ต้องชัดเจนในทุกขั้นตอน เพราะเชื่อว่า คงไม่มีท่านใดอยากเผชิญกับปัญหาที่คาดไม่ถึงในช่วงเวลาแบบนี้… และอย่าลืมรักษาสุขภาพในช่วงอยู่บ้าน  เพื่อช่วย หยุดเชื้อ ช่วยชาติ ไปด้วยกัน
 







บทความอื่นๆที่น่าสนใจ



RECOMMENDED NEWS

ข่าวหุ้นยอดนิยม

Refresh