Checklist เช็คความพร้อม PDPA พรบ. ใหม่ที่ทำให้องค์กรไม่ว่าจะเล็กหรือใหญ่ต้องขยับ!

พรบ.นี้มีผลกับทุกองค์กรทั่วโลกที่เก็บข้อมูลของคนไทย จึงไม่มีองค์กรไหนสามารถทำเพิกเฉยกับมันได้กับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เรียกกันว่า PDPA ( Personal Data Protection Act ) ที่กำลังจะมีผลบังคับใช้เต็มรูปแบบวันที่ 27 พ.ค.2563 นี้แล้ว

อีก 3 เดือนเท่านั้น ขยับตอนนี้ก็ยังทันนะคะ

โดยบทความนี้จะช่วยท่านผู้บริหารและ CEO ให้เข้าใจผลของการมีพรบ.นี้มากขึ้น และเราได้เตรียม Roadmap การเตรียมพร้อมขององค์กรมาไว้ให้ด้วย หากท่านยังไม่แน่ใจว่าการมีกฎหมายนี้อาจสร้างความเสี่ยงให้บริษัทได้มากแค่ไหน ลองดูกรณีศึกษาจากต่างประเทศที่มีการใช้กฎหมายนี้มาก่อนเราที่มีการปรับจริง เจ็บจริงกันไปแล้ว


Facebook ทำรายได้ มากถึง 5.5 หมื่นล้านดอลลาร์สหรัฐ ในปี 2018
แต่โดนปรับจาก FTC กรณีละเมิดสิทธิ์ไปประมาณ 5 พันกว่าล้านดอลลาร์สหรัฐ หรือ คิดเป็นประมาณ 10% ของรายได้ทั้งหมด จากกรณีแชร์ข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 50 ล้านคนให้บริษัท Cambridge Analytica วิเคราะห์ความคิดเห็นของประชาชนด้านการเมือง โดยที่ไม่ได้ขอความยินยอมจากผู้ใช้งาน ว่ากันว่าคดีนี้เป็นคดีละเมิดสิทธิ์ข้อมูลส่วนบุคคลที่มีค่าปรับสูงที่สุดในประวัติศาสตร์โลกเลยทีเดียว


Google ทำรายได้ 1แสนสามหมื่นล้านดอลลาร์สหรัฐ ในปี 2018
แต่ก็โดนปรับไปประมาณ 300 ล้านดอลลาร์สหรัฐ หรือคิดเป็นประมาณ 1.5% ของรายได้ โดย Google มีโดนหลายเคสมาก แต่ที่โด่งดังคือการประมวลผลข้อมูลของผู้เยาว์เพื่อทำการขายโฆษณาแบบเจาะจง ( Re-targeting Ad ) โดยไม่ได้ขอคำยินยอมจากผู้ปกครอง และอีกเคสที่ดังมาก เพราะยอดค่าปรับสูงที่สุดในประวัติศาสตร์ของ GDPR เลย คือ กรณีทำ Consent แบบแอบซ่อน ไม่ชัดเจนตอนที่รับสมัครสมาชิก Google account ต้องให้ผู้ใช้งานกดหลายขั้นตอน และมีการนำข้อมูลไปทำ Personalized Advertisement


British Airways ทำรายได้ 1 หมื่นสามพันล้านปอนด์ ในปี 2018
แต่ก็โดนปรับจากไป 204 ล้านปอนด์ หรือ คิดเป็นประมาณ 1% ของรายได้
จากกรณีถูกเจาะระบบข้อมูลทำให้ข้อมูลลูกค้ากว่า 500,000 คนถูกขโมยไปจากการแฮกเวบไซต์ คล้ายๆ Phishing
ข้อมูลที่ถูกขโมยได้แก่ ชื่อ ที่อยู่ อีเมล และข้อมูลการชำระเงิน
คดีนี้เป็นคดีละเมิดสิทธิ์ข้อมูลส่วนบุคคลที่มีค่าปรับสูงที่สุดในประวัติศาสตร์ ICO เลยทีเดียว


Marriott International เครือโรงแรม W, Westin, Le Meridien และ Sheraton ถูกปรับจาก GDPR 99.2 ล้านปอนด์ เนื่องจากข้อมูลส่วนบุคคล รวมถึงรายละเอียดบัตรเครดิต หมายเลขพาสปอร์ต และวันเดือนปีเกิดของลูกค้ากว่า 339 ล้านคนถูกแฮ๊คไป

ส่วนประเทศในเอเชียอย่างสิงคโปร์ที่ถึงแม้จะมีการบังคับใช้กฎหมายเรื่องนี้มานานกว่า 10 ปีแล้ว ก็มีการเพิ่มความเข้มงวดมากยิ่งขึ้นในปีที่ผ่านมา เนื่องจากมีเหตุการณ์ที่ระบบ IT ของ SingHealth ถูกแฮ็ค ส่งผลให้ข้อมูลผู้เข้ารับการรักษาในโรงพยาบาลและคลีนิกในเครือ 1.5 ล้านคนถูกขโมยออกไป ข้อมูลได้แก่ ชื่อ ที่อยู่ เพศ สัญชาติ วันเกิด และหมายเลขบัตรประจำตัวประชาชน นอกจากนี้ ข้อมูลการจ่ายยาผู้ป่วยนอกอีกประมาณ 160,000 รายก็ได้ถูกขโมยออกไปด้วย หนึ่งในนั้นคือข้อมูลของ Lee Hsien Loong นายกรัฐมันตรีคนปัจจุบันของสิงคโปร์ ค่าปรับจากคดีนี้สูงถึง 1 ล้านดอลลาร์สิงคโปร์ ทำให้ในปี 2019 มียอดการปรับรวมสูงถึง 1.54 ล้านดอลลาร์สิงคโปร์ สูงสุดในประวัติกาลของสิงคโปร์และก็สูงกว่า 3 ปีก่อน (2016-2018) รวมกันถึงเกือบ 5 เท่า โดยในกว่า 100 องค์กรที่โดนปรับมาจากทุกอุตสาหกรรม โดยเฉพาะค้าปลีก, การเงิน, วิชาชีพเฉพาะทาง เช่น แพทย์ ส่วนใหญ่มาจากการมีระบบปกป้องข้อมูลที่ไม่ถูกต้องตามมาตรฐาน และ ที่น่าแปลกใจคือ องค์กรการกุศลมีถึง 10 แห่ง

บทลงโทษของต่างประเทศ

  1. GDPR ของทางสหภาพยุโรป ปรับสูงสุด 20 ล้านยูโร หรือ 4% ของรายได้รวมทั้งปีของธุรกิจ แล้วแต่ว่าจำนวนใดจะมากกว่า
  2. PDPA ของสิงคโปร์ ปรับสูงสุด 1 ล้านดอลลาร์สิงคโปร์
  3. PDPA ของมาเลเซีย ปรับสูงสุด 500,000 ริงกิต

บทลงโทษจาก PDPA ของไทย
ถือว่ารุนแรงกว่า GDPR ของยุโรป คือ มีโทษจำคุกด้วยซึ่งกรรมการบริษัทคือผู้รับโทษนี้ ขณะที่ GDPR มีเฉพาะโทษทางเแพ่งอย่างเดียว

  1. โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท
  2. โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  3. โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

GDPR ใช้เวลาเพียง 2 ปีก็สามารถแผลงฤทธิ์ใส่องค์กรใหญ่ๆไปได้หนักหน่วงทีเดียว

และ PDPA ในประเทศที่มีใช้มานานแล้วก็มีการตื่นตัวเพิ่มขึ้นเพื่อรองรับการเติบโตของเทรนด์การเก็บข้อมูลของผู้บริโภคเพื่อนำมาวิเคราะห์

เห็นความเสี่ยงใกล้ๆตัวหรือยังคะ ? หากเราดูจากเคสตัวอย่าง เทียบค่าปรับจากเปอร์เซ็นต์ของยอดขายอาจดูไม่เยอะ เพียงแค่ 1-10% ถ้าเทียบจากรายได้มหาศาลของบริษัทเหล่านั้น กลับกันหากเป็นบริษัทเล็กที่มีรายได้ต่อปีไม่ถึง 50 ล้านบาท แล้วโดนปรับ 5 ล้านบาท อาจเป็น 10% ที่แสนสาหัสมากเลยทีเดียว สำหรับในบ้านเรานี้ คงไม่มีใครอยากเจิม PDPA เป็นคดีแรกหรอกใช่มั้ยคะ

จะเริ่มอย่างไรดี เรามี 5 Step roadmap มาให้ค่ะ


1) องค์กรคุณถูกบังคับใช้พรบ.นี้ด้วยหรือไม่ ? ถ้าเข้าข่าย 3 แบบข้างล่าง ถือว่าใช่ค่ะ

  • หากองค์กรของคุณมีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล
    ตัวอย่าง เช่น ร้านค้าที่เก็บรายชื่อลูกค้าเป็น Excel เก็บไว้, Kerry ส่งของ หรือ องค์กรใหญ่อย่าง AIS
  • หากองค์กรคุณเป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใดๆ ตามคำสั่งของผู้ควบคุมข้อมูล
    ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล
  • หากองค์กรของคุณอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล
    หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย เช่น Online Targeting Ads, การรับจองโรงแรมผ่านเวบไซต์


2) แล้วมีเก็บข้อมูลใดของผู้บริโภคอยู่บ้างที่เข้าข่าย ?
ความหมายของข้อมูลส่วนบุคคลตามพรบ.นี้
คือ ข้อมูลที่สามารถระบุตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม ที่ถูกเก็บทั้งแบบ Online และ Offline
ซึ่งหมายความกว้างมาก คีย์อยู่ที่การทำให้การระบุตัวตนได้ เช่น

  • ชื่อ นามสกุล
  • หมายเลขโทรศัพท์
  • ที่อยู่
  • อีเมล
  • หมายเลขบัตรประจำตัวประชาชน
  • รูปถ่าย
  • ประวัติการทำงาน
  • อายุ ( หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง )

นอกจากนั้นก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น

  • เชื้อชาติ
  • ชาติพันธุ์
  • ความคิดเห็นทางการเมือง ( ตย. เช่น social media monitoring tools ที่จับประเด็นการเมือง)
  • ความเชื่อทางศาสนา หรือ ปรัชญา ( ตย.เช่น บันทึกการลาบวช ของพนักงาน )
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลด้านสุขภาพ ความพิการ
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ
  • ข้อมูลสุขภาพ ( ตย. เช่น ใบรับรองแพทย์ )
  • หรือ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด

ใจความของตัวพรบ. คือการให้สิทธิเหล่านี้แก่ของเจ้าของข้อมูล

  1. สิทธิที่จะได้รับแจ้ง
  2. สิทธิในการแก้ไข
  3. สิทธิในการได้รับและโอนถ่ายข้อมูล
  4. สิทธิในการเข้าถึง
  5. สิทธิคัดค้าน
  6. สิทธิในการลบ (ถูกลืม)
  7. สิทธิในการจำกัด
  8. สิทธิในการเพิกถอนคำยินยอม
    โดยพรบ.กำหนดระยะในการทำตามคำร้องขอให้แล้วเสร็จภายใน 30 วัน

3) ซึ่งหมายถึงการที่องค์กรจะมีหน้าที่ตามกฎหมาย ดังนี้

  1. การเก็บข้อมูล ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น
    ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ
    เก็บเท่าที่จำเป็น ชอบด้วยกฎหมาย และต้องลบเมื่อพ้นระยยะเวลาที่จำเป็นหรือที่ได้แจ้งไว้

    • การขอความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ
      • ทำผ่านกระดาษ หรือ ระบบออนไลน์ก็ได้
      • อ่านง่าย เข้าใจง่าย
      • ไม่หลอกลวงให้เข้าใจผิด
      • แยกชัดเจนจากเงื่อนไขอื่นๆ และไม่เอาเงื่อนไขอื่นมาผูกพันธ์
    • การถอนความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ
      • ทำเมื่อไหร่ก็ได้
      • ทำได้ง่ายเช่นเดียวกับการให้ความยินยอม
      • แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบ
  2. การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และจะต้องใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น
  3. การเข้าถึงและแก้ไข ต้องมีช่องทางให้เจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขได้ เช่น เวบ CRM หรือ Call Center
  4. การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองที่เพียงพอ ( เช่น การนำข้อมูลขึ้น Cloud หรือ Server อยู่ที่ต่างประเทศ )
  5. มีมาตรการการรักษาความปลอดภัย ต้องจัดให้มีระบบป้องกันข้อมูลที่ได้มาตรฐาน และหากพบว่ามีการรั่วของข้อมูล จะต้องแจ้งเจ้าของข้อมูลภายใน 72 ชม.จากที่ทราบเหตุ

แต่มีข้อยกเว้นที่ชอบด้วยกฎหมาย ที่ทำให้การเก็บข้อมูลบางอย่างไม่ต้องได้รับความยินยอม

  1. เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ
  2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
  3. มีความจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล
  4. มีความจำเป็นเพื่อดำเนินการเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล หรือปฏิบัติหน้าที่ในการใช้ อำนาจรัฐที่ได้รับมอบหมายแก่ผู้คุ้มครองข้อมูลส่วนบุคคล
  5. มีความจำเป็นในการดำเนินการเพื่อผลประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล แต่ต้องไม่ ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล
  6. เป็นการปฏิบัติตามกฎหมายของผู้คุ้มครองข้อมูลส่วนบุคคล


ถ้าองค์กรเราไม่มีเข้าข้อยกเว้นเลย ก็เริ่มงานได้แล้วค่ะ
4) เริ่มจากส่วนกลางก่อนเลยค่ะ

    สร้างตำแหน่งใหม่

  • ผู้ควบคุมข้อมูล : บุคคล/นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูล
  • ผู้ประมวลผล : มีบทบาท บุคคล/นิติบุคลซึ่งดำเนินการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลตามคำสั่ง หรือ ในนามของผู้ควบคุม ( ต้องเป็นคนละคนกับผู้ควบคุม )
  • หากมีการเก็บข้อมูลจำนวนมาก ต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ( DPO )คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ( legal, IT, Marketing, Sales, Data controller, Data processor, CRM ) ยังไม่มีกำหนดว่าจะต้องมี Certificates เหมือนของ GDPR หรือไม่ แต่สามารถเป็นคนในบริษัทก็ได้ และเป็นตำแหน่งที่ทำพร้อมกับตำแหน่งอื่นได้ เห็นหลายที่ให้คนที่ทำ VP Compliance รับไปค่ะ หน้าที่หลักคือ ให้คำแนะนำ ตรวจสอบ ประสานงาน ให้บริษัททำหน้าที่ตามกฎหมายได้

5) และขอบอกเลยว่า เกี่ยวทุกแผนกนะคะ
แยกงานเป็นแต่ละแผนกมาให้คร่าวๆแล้ว ใครเสี่ยงมาก เสี่ยงน้อย ต้อง assess และ prioritize กันให้ดีค่ะ

  • Legal and Compliance น่าจะต้องเกี่ยวข้องในหลายๆส่วน โดยเฉพาะการเขียนสัญญา, ข้อตกลง และนโยบายต่างๆ เพื่อที่จะรับรองความ
  • IT จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตามมาตรฐานขั้นต่ำที่คณะกรรมการกำหนด
    • ป้องกันการเปิดเผยโดยปราศจากอำนาจ หรือ โดยมิชอบ และลบเมื่อถึงเวลา หรือ เกินความจำเป็น
  • เวบ /แอพ/ ระบบสมาชิก ก็ต้องปรับ Consent ให้ตรงตามที่พรบ.กำหนด
  • Marketing : การตลาดคือผู้ใช้และเก็บข้อมูลมากที่สุด ยิ่งมีการตลาดแบบ Personalized Marketing ก็ยิ่งต้องทำประเมินความเสี่ยงและรีบแก้ไขค่ะ
  • Sales : หากมีการเก็บข้อมูลใดๆของทั้งลูกค้าและข้อมูลติดต่อของ Leads (ผู้ที่แสดงความสนใจ) ก็จำต้องปรับแก้ Consent
  • Operation : หากมีการเก็บข้อมูลรูปบัตรประชาชนก่อนขึ้นอาคาร มีการติดตั้งกล้องถ่ายภาพถ่ายวีดีโอทั้งคนในและคนนอก เข้าข่ายหมดนะคะ แต่อาจเข้าข้อยกเว้นได้
  • HR : ข้อมูลของพนักงาน รวมถึงใบสมัครและ CV จาก Candidates ก็นับค่ะ

ตัวกฎหมายเองยังลงรายละเอียดไม่สุด และอีกภายใน 1 ปีจะต้องมีกฎหมายลูกที่ระบุแน่ชัดออกมารองรับเคลียร์ความเทาในหลายๆกรณี
แต่ไม่เป็นการเสียหายหากองค์กรจะเริ่มทำแบบ Best Practice ไว้ก่อน
เพราะกฎมีแต่แนวโน้มว่าจะเข้มงวดขึ้นเรื่อยๆ มากกว่าอ่อนลงค่ะ

เหนือกว่าสิ่งใด คือ การแสดงความจริงใจในการดูแลผู้บริโภค
โดยเฉพาะลูกค้าของท่านที่มอบข้อมูลให้ท่านได้เก็บไว้

Analytist มีบทความเกี่ยวกับ PDPA อีกหลายชิ้นที่น่าสนใจ
คลิกไปอ่านต่อได้เลยค่ะ

และหากสนใจอ่านเพิ่มเติมเกี่ยวกับ พรบ.นี้ได้ที่นี่
เวบไซต์ PDPA Thailand https://sites.google.com/view/pdpa-2019/pdpa-home
หรือ Thailand Data Protection Guidelines 1.0 จากทางศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
https://www.law.chula.ac.th/wp-content/uploads/2019/06/tdpg.pdf

มาร่วมกัน Building insightful decision-making culture
หากคุณกำลังวางแผนสิ่งใด จงใช้ข้อมูลมาประกอบการตัดสินใจเสมอ
แต่ถ้ามีปัญหาเรื่องข้อมูล ? ปรึกษาพวกเราได้ค่ะ

CONTACT US
Have fun discovering !
Analytist Team

Share

Related Posts