สัมภาษณ์พิเศษ ดร.ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศและระบบเทคโนโลยีสารสนเทศ

PDPA Insight and Solutions for Business การปรับตัวครั้งใหญ่ของผู้ประกอบการ

ในแวดวงไอทีโดยเฉพาะเรื่องของ Cybersecurity หากเอ่ยชื่อ ดร.ปริญญา หอมเอนก คงเป็นที่คุ้นเคยและรู้จักกันเป็นอย่างดี ด้วยความคร่ำหวอดอยู่ในวงการไอทีมากกว่า 20 ปี มีบทบาทที่หลากหลายทั้งเป็นอาจารย์พิเศษสอนนิสิตปริญญาตรี โท เอกให้กับมหาวิทยาลัยชั้นนำ เป็นคอลัมนิสต์และนักเขียน เป็นวิทยากรและที่ปรึกษาด้านความมั่งคงปลอดภัยทางไซเบอร์ให้กับองค์กรของรัฐและเอกชน ปัจจุบันดำรงตำแหน่งกรรมการผู้ทรงคุณวุฒิ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด และประธานเจ้าหน้าที่บริหาร บริษัท ไซเบอร์ตรอน จำกัด

ด้วยความรู้และประสบการณ์ด้านสารสนเทศทั้งในและต่างประเทศ จึงได้รับความไว้วางใจให้เป็นกรรมาธิการในคณะกรรมมาธิการวิสามัญพิจารณาร่างพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act)

กฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลใช้บังคับทั้งฉบับในวันที่ 1 มิถุนายน 2565 จากการขยายการใช้บังคับเป็นครั้งที่ 2 อย่างไรก็ตาม ในระหว่างนี้ผู้ควบคุมข้อมูลส่วนบุคคลยังคงต้องปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล โดยต้องจัดให้มีมาตรการเรื่องการเข้าถึงและการควบคุมการใช้งานข้อมูลส่วนบุคคล และแจ้งมาตรการดังกล่าวพร้อมสร้างความตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ กระทรวงดิจิทัลฯ ยังมีแผนงานเตรียมความพร้อมและสร้างความเข้าใจเรื่องการคุ้มครองข้อมูลส่วนบุคคลให้ผู้ประกอบการทุกประเภทกิจการและทุกขนาด โดยเฉพาะกลุ่ม SMEs อีกด้วย

ถือเป็นโอกาสพิเศษที่วารสารเอกสารภาษีอากร ได้รับเกียรติจาก ดร.ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์และระบบเทคโนโลยีสารสนเทศ มือวางอันดับต้น ๆ ของเมืองไทย มาร่วมพูดคุยถึง PDPAกันแบบเจาะลึก พร้อมคำแนะนำสำหรับผู้ประกอบการถึงการเตรียมพร้อมและปรับตัวเมื่อ พ.ร.บ.ฉบับนี้มีผลบังคับใช้ทั้งฉบับ เพื่อที่จะได้ปฏิบัติได้ถูกต้องตามกฎหมาย … ไม่ต้องเสี่ยงกับโทษปรับที่สูงสุดถึง 5 ล้านบาท!

เรื่องที่ผู้บริหารหรือผู้ที่เกี่ยวข้องยังเข้าใจผิดเกี่ยว PDPA อยู่คือเรื่องใดคะ ?

จากการที่ได้ไปบรรยายเรื่องการเตรียมความพร้อมกับ PDPA สิ่งที่หน่วยงานต่างๆ ยังเข้าใจผิดกันอยู่ก็คือ

เรื่องเข้าใจผิดแรก : PDPA ทำเฉพาะเรื่อง Privacy เพียงอย่างเดียวเท่านั้น หลายๆ องค์กร เมื่อดำเนินการในเรื่องความเป็นส่วนตัวไปแล้ว ก็เข้าใจว่าได้ปฏิบัติตามข้อกำหนดในเรื่องของความเป็นส่วนตัวหรือ Privacy Compliance ครบถ้วนเรียบร้อย จึงอาจจะละเลยการทำให้ข้อมูลมีความมั่นคงปลอดภัยจากภัยคุกคามทางไซเบอร์ (Cybersecurity) เช่น ถูกแฮกหรือข้อมูลรั่วไหล ซึ่งเป็นเรื่องพื้นฐานสำคัญมากที่ควรจะดำเนินการก่อน ดังเช่นคำกล่าวที่ว่า “You can get security without privacy but you can’t get privacy without security” อยากให้ทุกคนเข้าใจหลักคิดเบื้องต้นตรงนี้ก่อน ก็คือ ต้องทำ Data Privacy กับ Data Security ควบคู่ไปด้วยกัน ถ้าเข้าใจแล้วการปฏิบัติตาม PDPA ก็จะสำเร็จได้ ดังนั้นองค์กรต้องดูแลความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลซึ่งเป็นเรื่องพื้นฐานเสียก่อน จึงจะสร้างความเป็นส่วนตัวของเจ้าของข้อมูลได้สำเร็จ

ประเด็นนี้ถือเป็นเรื่องที่คนส่วนใหญ่เข้าใจผิดกัน บริษัท/ผู้ประกอบการต่าง ๆ มุ่งแต่จะไปทำเรื่องของการเตรียมเอกสารนโยบายความเป็นส่วนตัว การขอความยินยอมหรือ Consent จากเจ้าของข้อมูลส่วนบุคคล ปรับปรุงเว็บไซต์เรื่องนโยบายคุกกี้ เมื่อทำเสร็จเรียบร้อยก็เข้าใจว่าปฏิบัติตามกฎหมายแล้ว แต่จริงๆ แล้วเป็นแค่เพียงขั้นตอนของการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (Data Subject) เนื่องจากกฎหมายกำหนดให้เจ้าของข้อมูลส่วนบุคคลต้องยินยอมเสียก่อน องค์กรต้องมีฐานในการประมวลผลข้อมูลส่วนบุคคล ซึ่งหนึ่งในฐานการประมวลผลคือฐานความยินยอม (ในการพิจารณาฐานความยินยอมองค์กรต้องศึกษารายละเอียดเพิ่มเติม เนื่องจากมักมีความเข้าใจผิดว่า PDPA กำหนดให้องค์กรต้องขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลเท่านั้น) แต่ขั้นตอนต่อมาคือเมื่อบริษัท/ผู้ประกอบการได้ข้อมูลมาเก็บรวบรวมแล้ว หากดูแลรักษาไม่ดีข้อมูลเกิดรั่วไหลก็มีโทษทางกฎหมายเช่นเดียวกัน ซึ่งจะกระทบกับมาตรฐานการรักษาข้อมูลให้มั่นคงปลอดภัยตามหลัก CIA คือ Confidentiality, Integrity และ Availability ซึ่งหมายถึง การรักษาความลับ (Confidentiality) สิทธิในการเข้าถึงข้อมูลเฉพาะผู้ได้รับอนุญาต ความถูกต้องครบถ้วน (Integrity) ข้อมูลที่จัดเก็บ ส่งต่อ และนำไปใช้ ต้องเป็นข้อมูลที่ถูกต้องและไม่ถูกแก้ไขโดยผู้ไม่มีสิทธิ และความพร้อมใช้งาน (Availability) ผู้มีสิทธิต้องเข้าถึงข้อมูลเพื่อใช้งานได้เมื่อจำเป็น

เรื่องเข้าใจผิดที่ 2 : PDPA เป็นภาระ หลายคนคิดว่าการดำเนินการตาม พ.ร.บ. PDPA ฉบับนี้ทำให้มีค่าใช้จ่ายที่ไม่เกิดประโยชน์กับองค์กร จริง ๆ แล้วสิ่งที่ทำนั้นเมื่อเป็นประโยชน์กับลูกค้าก็จะกลับมาเป็นประโยชน์กับองค์กรด้วยเช่นกัน PDPA ถือเป็นการลงทุน เพราะข้อมูลลูกค้าเป็นทรัพย์สินจึงต้องมีการป้องกัน ฉะนั้น การที่เราป้องกันไม่ให้ข้อมูลรั่วไหลหลังจากมีการจัดเก็บข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะเป็นข้อมูลลูกค้า ข้อมูลพนักงานจึงเป็นเรื่องสำคัญ ข้อมูลส่วนบุคคลต้องมีการดูแลและถือเป็นทรัพย์สินของบริษัท/ผู้ประกอบการ หากข้อมูลส่วนบุคคลรั่วไหลออกไปไม่ว่าทางตรงหรือทางอ้อมก็ถือว่ามีความผิดตามกฎหมาย แล้วหากไม่มีฐานในการประมวลผลให้ทำได้ตามกฎหมาย (Lawful basis) ความผิดก็ยิ่งรุนแรงขึ้น ฉะนั้น ผู้บริหารจึงต้องมองภาพใหญ่ว่า PDPA เป็นการลงทุนเพื่อความเติบโตอย่างยั่งยืน ไม่ใช่เป็นการใช้จ่ายเพื่อทำให้จบๆ ไปจะได้ไม่โดนปรับหรือมีความผิดเมื่อเจ้าหน้าที่ตามกฎหมายมาตรวจ

ให้ถือหลัก “ใจเขาใจเรา” เราอยากคนให้อื่นทำอย่างไรกับเราก็ควรทำแบบนั้นกับลูกค้าหรือพนักงานด้วยเช่นกัน การทำ PDPA ถือเป็นเสน่ห์ของบริษัท/ผู้ประกอบการ และแสดงถึงความมีธรรมาภิบาล ใส่ใจเรื่อง Corporate Governance (CG) และธรรมาภิบาลข้อมูล (Data Governance) แสดงให้เห็นว่าการบริหารจัดการของบริษัท/ผู้ประกอบการ มีประสิทธิภาพ โปร่งใส ตรวจสอบได้ และคำนึงถึงผู้มีส่วนได้เสียทุกฝ่าย ไม่ว่าบริษัท/ผู้ประกอบการ นั้นจะจดทะเบียนหรือไม่ หากดูแลเรื่องนี้อย่างดี มีการสื่อสารให้ลูกค้าทราบถึงวัตถุประสงค์ของการนำข้อมูลไปใช้อย่างชัดเจน มีการประมวลผลข้อมูลส่วนบุคคลในแต่ละวัตถุประสงค์ที่สัมพันธ์กับกฎหมาย ไม่มีการใช้ข้อมูลส่วนบุคคลเกินกว่าวัตถุประสงค์ หากมีข้อมูลรั่วไหลก็แจ้งให้ทราบภายใน 72 ชั่วโมง จะเป็นการแสดงความบริสุทธิ์ใจกับลูกค้า และกลายเป็นประโยชน์ของบริษัทเมื่อลูกค้าเกิดความประทับใจ

เรื่อง PDPA นี้ อาจมีบางคนคนพูดติดตลกว่า “ค่าดำเนินการ 1 ล้าน ค่าปรับ 1 แสน แบบนี้ยอมโดนปรับก็ได้” หากเป็นผู้บริหารด้วยแล้วความคิดแบบนี้คงต้องปรับเปลี่ยน เนื่องจากการดำเนินการเรื่อง PDPA จะสำเร็จได้ ผู้บริหารองค์กรต้องมี 2 เรื่องสำคัญคือ 1 . Top Management Leadership 2. Top Management Commitment ถ้าผู้บริหารขาด 2 เรื่องนี้ไปการทำ PDPA ไม่มีทางสำเร็จ ถือเป็นเรื่องน่าเสียดายหากองค์กรต้องจ่ายเงินทิ้งไปเสียเปล่า ดังนั้น ต้องทำด้วยความเข้าใจและเห็นประโยชน์ของ PDPA อย่างแท้จริง

เรื่องเข้าใจผิดที่ 3 : อาศัยเทคโนโลยีดีๆ เพียงอย่างเดียวก็ทำได้ หลายคนเข้าใจว่าเทคโนโลยีเพียงอย่างเดียวก็เพียงพอ อย่างเช่น ซื้อโปรแกรม ABC จากต่างประเทศมาแล้วถือว่าปลอดภัยแน่นอน อันนี้ไม่มีใครรับรองได้ สิ่งที่เป็นคำตอบคือ PPT concept ซึ่งได้แก่ People, Process และ Technology แนวคิด PPT เป็นแนวคิดในการบริหารจัดการเรื่องความมั่นคงปลอดภัยสารสนเทศ โดยไม่มุ่งเน้นแต่การนำเทคโนโลยีมาใช้เพียงด้านเดียว แต่ให้ความสำคัญกับกระบวนการทำงานให้ได้มาตรฐาน บุคลากรที่มีความเข้าใจและมีความตระหนักในเรื่องความมั่นคงปลอดภัยสารสนเทศทั้ง 3 ด้านควบคู่กับไป โดยเฉพาะอย่างยิ่งเรื่องความเข้าใจของคนในองค์กร การสื่อสารให้ความรู้กับพนักงานทุกคนให้เกิดความรู้ ความเข้าใจ และเกิดความตระหนักถึงโทษและประโยชน์ ถือเป็นที่เรื่องสำคัญมาก หากองค์กรออกนโยบายมาเพียงอย่างเดียว แต่ถ้าพนักงานไม่เข้าใจก็ไม่เกิดประโยชน์ ดังนั้น คน กระบวนการ และเทคโนโลยี จึงต้องไปด้วยกันทั้ง 3 ส่วนอย่างสมดุล

เรื่องเข้าใจผิดที่ 4 : “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” คือคนที่องค์กรแต่งตั้ง ในช่วงที่ผ่านมาหลายองค์กร/ผู้ประกอบการสอบถามว่าจะแต่งตั้งใครเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ให้สอดคล้องตามกฎหมาย ซึ่งเป็นความเข้าใจผิดว่าเป็นการแต่งตั้งบุคคลในองค์กรเพื่อทำหน้าที่นี้ แต่ที่จริงแล้วองค์กร/ผู้ประกอบการ คือ “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ส่วนบุคลากรในองค์กรเป็นพนักงาน ผู้บริหาร ซึ่งเป็นลูกจ้างในการปฏิบัติตามหน้าที่งาน อย่างเช่น บุคลากรหน่วยงานด้านไอที ปฏิบัติหน้าที่งานในการจัดการควบคุมข้อมูลและการประมวลผลข้อมูล ก็ไม่ได้ถือว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย บุคลากรหน่วยงานกำกับดูแลข้อมูล ปฏิบัติหน้าที่งานในการควบคุมดูแลข้อมูล ก็ไม่ได้ถือว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมาย

คำถามที่ถูกถามเสมอเกี่ยวกับ PDPA คือ ?

คำถามที่ถือเป็นคำถามยอดฮิตที่ถูกถามแทบจะทุกครั้งก็คือ

FAQ 1 : ฐาน Contract กับ Consent ต่างกันอย่างไร ? Contract กับ Consent ถือเป็น 2 ใน 7 ฐานในการประมวลผล (Lawful Basis) เมื่อจะมีการประมวลผลข้อมูลใดๆ จะต้องมีฐานทางกฎหมายที่ถูกต้องในการนำมาใช้ ขออธิบายไปทีละตัวเพื่อจะได้แยกความแตกต่างได้ชัดเจนขึ้น

ฐาน Contract หรือ ฐานสัญญา ในการประมวลผลข้อมูลจำเป็นในการปฏิบัติตามสัญญาเพื่อให้การดำเนินงานเป็นไปตามสัญญาได้ Contract จึงถือเป็นหนึ่งในฐานการประมวลผลที่องค์กรสามารถประมวลผลข้อมูลส่วนบุคคล เช่น เมื่อเราเปิดบัญชีเงินฝาก รวมทั้งการขอรับบริการโมบายแบงก์กิ้ง ธนาคารสามารถประมวลผลข้อมูลที่จำเป็นเพื่อการให้บริการดังกล่าวได้ ดังนั้นเมื่อจะใช้บริการจึงต้องมีการตกลงในสัญญาบริการเหล่านี้ระหว่างผู้ให้บริการกับผู้รับบริการ (เจ้าของข้อมูลส่วนบุคคล) ซึ่งบางบริการก็จะมีเอกสารมาให้เซ็น บางบริการมีข้อมูลยาวๆ มาให้อ่านผ่านโทรศัพท์มือถือ ต้องเลื่อนไปให้สุดแล้วกด Agree/Accept ถึงจะเข้าไปใช้งานต่อได้ อันนี้ถือเป็น Contract ที่คุณได้เซ็นไปเรียบร้อยแล้ว

ฐาน Consent หรือ ฐานความยินยอม เป็นตัวเลือกหรือทางเลือกของเจ้าของข้อมูลส่วนบุคคลที่จะยินยอมหรือไม่ยินยอมให้ใช้ข้อมูลก็ได้ ตัวอย่างเช่น อีเมลสําหรับการส่งจดหมายข่าว ข้อมูลบัตรเครดิตที่เลือกให้เว็บไซต์จําไว้เพื่อความสะดวกในการจ่ายเงินครั้งต่อไป ส่วนนี้เจ้าของข้อมูลสามารถปฏิเสธไม่ให้ได้เพราะถือเป็นส่วนที่เพิ่มเติม และกฎหมายก็ไม่อนุญาตให้มัดมือชก แต่ทุกวันนี้เรามักจะเห็นว่าผู้ให้บริการบางรายมักจะเลือกให้ความยินยอม (opt-in) มาให้ก่อน แล้วให้ลูกค้าเลือกไม่ให้ความยินยอม (opt-out) ได้ถ้าลูกค้าสังเกต หรือบางทีลูกค้าก็เลือกไม่ให้ความยินยอมไม่ได้ (ถ้าทำแบบนี้ถือว่าผิดกฎหมายชัดเจน) แต่ในทุกวันนี้เรามักจะเห็นว่าผู้ให้บริการจะเลือกให้ความยินยอมมาให้ก่อนเรียบร้อยแล้ว และให้ลูกค้าเลือกไม่ให้ความยินยอมเอง ตรงนี้มีความเสี่ยงที่จะทำผิดกฎหมาย แต่ถ้าจะให้ดีที่สุดควรเปิดช่องว่างไว้แล้วให้ลูกค้าเลือกให้ความยินยอม (opt-in) เองจะดีกว่า

FAQ 2 : แนวทางการเลือกเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือที่เรียกโดยย่อว่า DPO (Data Protection Officer) สำหรับองค์กร ควรเป็นอย่างไร? เป็นอีกประเด็นที่ยังมีความสงสัยกันอยู่ หากไปดู พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ส่วนที่เกี่ยวกับ DPO อยู่ที่มาตรา 41 “ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้ (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่คณะกรรมการประกาศกำหนด (2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนด (3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26”

เมื่อดูจากกฎหมายก็เห็นได้ว่า ทุกองค์กรไม่จำเป็นต้องมี DPO แต่เนื่องจากใน (2) ไม่ได้ระบุว่าข้อมูลจำนวนมากคือเท่าไร เมื่อยังไม่ได้กำหนดจำนวนข้อมูลชัดเจน จึงต้องรอการตีความและรอประกาศอีกครั้ง ผมเห็นว่าองค์กร บริษัทระดับกลางขึ้นไปจนถึงกิจการขนาดใหญ่ อันนี้เข้าข่ายต้องมี DPO แน่นอน แต่ถ้าเป็นบริษัทเล็กๆ อย่าง SMEs OTOP มีพนักงานแค่ 5-10 คน คงต้องมาดูอีกครั้งว่า Guideline SMEs เป็นอย่างไร ซึ่งต้องมีความชัดเจนจากกฎหมายลูกและประกาศจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลก่อน

สำหรับองค์กรที่ต้องมี DPO จาก PDPA มาตรา 41 และ 42 ตำแหน่งนี้สามารถว่าจ้างคนนอกได้ และต้องเป็นบุคคลที่ระบุชื่อ-นามสกุล เบอร์โทรศัพท์ อีเมลอย่างชัดเจน เพื่อส่งไปลูกค้าและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่า บุคคลคนนี้คือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีปัญหาหรือต้องการสอบถามเรื่องใด สามารถติดต่อได้อย่างชัดเจน

ส่วนคุณสมบัติของคนที่จะมาทำงานในตำแหน่ง DPO ได้ ควรเป็นมีความรู้ความเชี่ยวชาญทั้งด้านกฎหมายและด้านไอที และควรมีการระบุหน้าที่ของ DPO ไว้ให้ชัดเจน ดังนี้

1. ให้คำแนะนำได้ ต้องเป็นผู้รู้ผู้เชี่ยวชาญ

2. ตรวจสอบการประมวลผลของผู้ดำเนินงานได้ จึงไม่ควรให้พนักงานไอทีมารับตำแหน่งนี้ เพราะเป็นOperation แนะนำว่าควรแต่งตั้งบุคคลหรือทีมงานที่มีความเป็นอิสระ รายงานตรงต่อ CEO และมีเวลาเพียงพอต่อการปฏิบัติหน้าที่ DPO

3. ประสานงานกับหน่วยงานต่าง ๆ แนะนำว่าควรเลือกพนักงานที่อยู่ในระดับ Senior มีประสบการณ์พอที่จะประสานขอความร่วมมือ รวมถึงต้องมี Soft Skill สามารถสื่อสารกับผู้บังคับบัญชา ผู้ใต้บังคับบัญชา คนในแผนก รวมถึงหน่วยงานกำกับดูแลหรือ Regulator ได้อย่างชัดเจนและราบรื่นเพื่อสร้างความน่าเชื่อถือให้กับองค์กร

4. รักษาความลับ เนื่องจาก DPO เกี่ยวข้องกับข้อมูลจำนวนมาก และหน้าที่ก็ต้องมีความรับผิดทางกฎหมายหรือ Legal liability ฉะนั้น ผู้ที่มารับตำแหน่งนี้ผู้บริหารควรพิจารณาขึ้นเงินเดือนหรือทำประกันให้ หากถูกฟ้องร้องขึ้นมาบริษัทประกันภัยจะได้ช่วยรับภาระนี้ไป มุมมองของผมตำแหน่งนี้หากใช้ Outsource น่าจะเป็นทางเลือกที่ดี เพราะเป็นการโอนถ่ายความเสี่ยง (Risk Transfer) ให้กับบุคคลที่ 3 ในระดับหนึ่ง รวมถึงผู้บริหารควรพิจารณาทำ Cyber Insurance ให้กับองค์กรเพิ่มเติมด้วย เมื่อมีปัญหาเกิดขึ้นจะได้มีบริษัทประกันมาช่วยจ่ายหรือรับความเสี่ยงนี้ไปแทนในระดับหนึ่ง

PDPA จะทำให้เกิดบรรทัดฐานใหม่ในการใช้ชีวิตของพลเมืองดิจิทัลอย่างไรบ้างคะ ?

PDPA จะเป็นบรรทัดฐานให้กับพลเมืองดิจิทัลในเรื่องของความปลอดภัย มุมที่ดีคือประชาชนจะเกิดความตระหนักให้ความสำคัญกับเรื่องนี้มากขึ้น มีความรู้ความเข้าใจ เมื่อจะนำข้อมูลส่วนบุคคลไปใช้จะระแวดระวังกันทั้งสองฝ่าย การดำเนินการเรื่อง PDPA ตอนนี้คงยังไม่มีใครทำถูกต้องได้ 100 % เนื่องจากกฎหมายยังไม่บังคับทั้งหมด แต่ทุกคนทุกองค์กรขอให้พยายามทำให้ถูกต้องให้มากที่สุดเท่าที่จะทำได้ และติดตามเรื่องของประกาศกฎหมายลำดับรอง/กฎหมายลูกที่จะออกตามมาเพื่อเป็นแนวทางในการปฏิบัติตาม PDPA ได้อย่างครบถ้วน

แนวทางที่จะแนะนำภาคธุรกิจถึงสิ่งที่ควรปฏิบัติเพื่อบริหารความเสี่ยงองค์กรเกี่ยวกับประเด็นการคุ้มครองข้อมูลส่วนบุคคล ก่อนที่ PDPA มีผลบังคับใช้

สำหรับแนวปฏิบัติในเรื่องการรับมือความเสี่ยงขององค์กรซึ่งในตัวกฎหมายควรมีแต่ยังขาดไปนั่นคือ เรื่องของ DPIA (Data Protection Impact Assessment) การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล และการประเมินผลกระทบด้านความเป็นส่วนตัว (Privacy Impact Assessment) ทั้งนี้การประเมินความเสี่ยงในด้านการคุ้มครองข้อมูลส่วนบุคคล (Privacy Risk Management) เป็นสิ่งที่จำเป็นต้องทำ แต่เมื่อไปดู PDPA แล้วเรื่อง DPIA ไม่อยู่ในตัวพระราชบัญญัติ สาเหตุก็เนื่องจากคณะกรรมมาธิการวิสามัญพิจารณาร่างสรุปว่าจะนำประเด็นออกไปเขียนในกฎหมายลูกเพิ่มเติมแทน เพื่อจะกำหนดว่าองค์กรแบบใดต้องประเมินความเสี่ยง จริงๆ แล้วการปฏิบัติตาม PDPA ต้องมีการประเมินความเสี่ยงด้วยไม่ว่าจะเป็นบริษัทขนาดเล็กหรือใหญ่ แต่การทำ Privacy Risk Assessment ของบริษัทแต่ละขนาดจะทำการประเมินแตกต่างกัน อย่าง SMEs ทำประเมินด้วยชุดเล็ก หรือ Lightweight Privacy Risk Assessment Version การประเมินความเสี่ยงมี Checklist ที่ไม่ยุ่งยากและเป็นภาระมากนัก แต่ถ้าเป็นองค์กรขนาดใหญ่ มีงบประมาณ มีบุคลากร ก็ควรจะทำประเมินแบบเต็มรูปแบบ ทำแบบ Full Assessment Version ซึ่ง Guideline ตรงนี้ยังไม่ออกมา ดังนั้นคงต้องรอก่อนว่าเมื่อมีกฎหมายลูกหรือประกาศออกมาก็จะทราบถึงแนวทางในการประเมินความเสี่ยงว่าจะต้องประเมินอย่างไร

หลังจากที่ประเมินแล้วเมื่อผลออกว่ามีความเสี่ยงระดับสูง ระดับกลาง หรือระดับต่ำ ก็ต้องมาดูว่าจะจัดการความเสี่ยงหรือถ่ายโอนความเสี่ยงไปได้อย่างไร และความเสี่ยงที่หลงเหลืออยู่ (Residual Risk) จะมีการจัดการต่ออย่างไร ซึ่งเรื่องของระดับความเสี่ยงแนะนำให้กลับไปที่หลักการว่า 1.ข้อมูลส่วนบุคคลที่เก็บไว้ไม่ควรจะรั่วไปยังบุคคลที่ไม่เกี่ยวข้อง ความเสี่ยงคือถูกฟ้องจากเจ้าของข้อมูล และ 2.ข้อมูลที่เก็บไว้ไม่ควรไปละเมิดหรือไปรบกวนลูกค้า ความเสี่ยงคือถูกลูกค้าฟ้องร้อง ฉะนั้นควรจะมีคณะกรรมการ/คณะทำงานประเมินความเสี่ยงเพื่อว่าดูว่า ความเสี่ยงเหล่านี้องค์กรเรารับได้หรือไม่ อย่างไร ยกตัวอย่างธนาคารขนาดใหญ่ ธนาคารขนาดกลาง ธนาคารขนาดเล็ก ก็จะมีความสามารถในการรับความเสี่ยงได้ต่างกัน ระดับของการรับความเสี่ยงของผู้บริหารแต่ละธนาคารก็ไม่เท่ากันถึงจะอยู่ในสายธุรกิจเดียวก็ตาม ฉะนั้น ผู้บริหารระดับสูงรับความเสี่ยงได้เท่าไรถือว่าสิ้นสุด จากนั้นจึงนำผลการประเมินเพื่อนำไปดำเนินการ ถ้าองค์กรดำเนินการแบบนี้ก็จะถือว่าได้ปฏิบัติเรื่อง PDPA เรียบร้อยแล้วในระดับหนึ่ง เมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ Regulator มาตรวจ องค์กรอาจแจ้งว่าประเมินความเสี่ยงแล้วได้ผลรายงานความเสี่ยงมาให้ Regulator ตรวจสอบ แต่ถ้าหากองค์กรถูกแฮกข้อมูลแบบสุดวิสัย พิสูจน์ทราบตรงนี้ได้เรื่องที่มีโทษทางอาญาก็น่าจะผ่อนหนักให้เป็นเบาได้ในระดับหนึ่ง แต่ถ้ามีการแจ้งให้ดำเนินการแล้วเพิกเฉย ไม่เคยทำตาม PDPA เลย แล้วมาโดนแฮกข้อมูลก็ต้องรับความผิดไปเต็มที่ สิ่งที่ทุกองค์กรต้องประเมินความเสี่ยงไม่ว่าชุดเล็กชุดใหญ่ก็คือ องค์กรมีความเสี่ยงใดบ้าง ความเสี่ยงอยู่ระดับใด เพื่อจะได้ทราบและวางแผนแก้ไขเพื่อลดความเสี่ยง

ทั้งนี้ กระทรวงดิจิทัลฯ ได้จัดทำร่างกฎหมายลำดับรอง และร่างแผนแม่บทการส่งเสริมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งผ่านการรับฟังความเห็นสาธารณะไว้แล้ว รวมทั้งอยู่ระหว่างการจัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลสำหรับ 7 ด้าน ได้แก่ ด้านการท่องเที่ยว ด้านสาธารณสุข ด้านการศึกษา ด้านค้าปลีกและค้าออนไลน์ ด้านการคมนาคมและขนส่ง ด้านอสังหาริมทรัพย์ และด้านภารกิจของหน่วยงานรัฐ มีการทำประชาพิจารณ์ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของการประมวลผลข้อมูลส่วนบุคคล พ.ศ.2564 เพื่อเป็นแนวทางในการปฏิบัติ ซึ่งเมื่อปี 2563 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ออกประกาศ มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ.2563 กำหนดมาตรการให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” ต้องดำเนินการ แม้ว่าจะมีการเลื่อนการบังคับใช้ PDPA แต่ไม่ได้เลื่อนเรื่องความมั่นคงปลอดภัย ยังต้องทำให้อยู่ในมาตรฐาน โดยกำหนดมาตรการขั้นต่ำในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access control) จึงควรไปศึกษาประกาศฉบับนี้ไว้ด้วยว่ามาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เคยประกาศไว้มีรายละเอียดอย่างไรบ้าง

จากยุค Cybersecurity ก้าวเข้าสู่ยุคของ Cyber Resilience อาจารย์จะแนะนำองค์กรถึงการเตรียมตัวอย่างไร ?

Cyber Resilience ความหมายคือ การเตรียมพร้อมเมื่อเกิดการคุกคามทางไซเบอร์และรับมือวิกฤตนี้เพื่อให้กลับมาดำเนินการได้ตามปกติ เพราะภัยคุกคามทางไซเบอร์ปัจจุบันมีหลากหลายรูปแบบ และถึงป้องกันก็ไม่มีระบบไหนปลอดภัย 100% คุณมีสิทธิ์ถูกเจาะข้อมูลอยู่ตลอดเวลา ต้องเตรียมความพร้อมว่าถ้าแฮกเกอร์มาจะทำอย่างไรถึงจะผ่านพ้นวิกฤตการณ์ตรงนี้ไปได้โดยธุรกิจไม่สะดุดและยังบริการลูกค้าต่อไปได้ หลายคนคิดว่าจะป้องกันหรือคิดในเรื่องCybersecurity เพียงอย่างเดียว แต่ปัจจุบันการป้องกันคงไม่เพียงพอแล้ว ดังนั้นไม่ต้องถามว่า Are We Secure? แต่จะต้องถามว่า Are we Ready? เราพร้อมรับมือกับปัญหาหรือเปล่า เพราะไม่มีใครมาการันตีว่าปลอดภัยแน่นอน 100% ดังนั้น Resilience คือการเตรียมพร้อมให้ทนทานกับปัญหาได้มากขึ้นโดยไม่สะดุดหยุดให้บริการนั่นเอง

จุดนี้องค์กรก็ต้องเตรียม “PPT” คือ “คน กระบวนการ และเทคโนโลยี” ให้พร้อมด้วย ปกติเราซ้อมหนีไฟกันทุกปี แต่เราเคยซ้อมหนีไฟทางไซเบอร์กันหรือเปล่า ควรมีปีละครั้งเช่นเดียวกัน หากเกิดถูกคุกคามข้อมูลโดนแฮกจะทำอย่างไร ผู้บริหารจะทำอย่างไร มีการสื่อสารอย่างไร เป็นเรื่องที่ต้องเตรียมความพร้อมตรงนี้ด้วย การทำ Cyber Drill หรือจำลองเหตุการณ์ภัยคุกคามทางไซเบอร์เพื่อสร้างความพร้อมทางไซเบอร์ให้องค์กร ซึ่งธนาคารแห่งประเทศไทยทำทุกปีและยังได้ออกประกาศเรื่อง “กรอบการประเมินความพร้อมด้าน Cyber Resilience” มาเมื่อ 2 ปีที่แล้ว จึงทำให้เกิดการตื่นตัวในเรื่อง Cyber Resilience ซึ่งถึงเราจะอยู่ในภาคธุรกิจอื่นก็ควรศึกษาไว้ด้วยเช่นกัน

คำแนะนำสำหรับผู้บริหารระดับสูงขององค์กรในการช่วยสนับสนุนเรื่องการคุ้มครองข้อมูลส่วนบุคคลในองค์กรเพื่อให้สำเร็จลุล่วง

ในเอกสาร Thailand Data Protection Guidelines 3.0 Extension แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล Version 3.0 Extension ซึ่งเป็นฉบับล่าสุด ซึ่งผมเป็นที่ปรึกษาและทีมงานเอซิสของเรามีส่วนร่วมในการเขียนบทความ ร่วมกับ ดร.ปิยะบุตร บุญอร่ามเรือง จากคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย และคณะทำงาน เล่มนี้มีการเพิ่มหมวดพิเศษเป็นแนวปฏิบัติสำหรับผู้บริหารโดยเฉพาะที่หลายคนรอคอย เพื่อให้ผู้บริหารระดับ Board of Directors, Board of Executive Directors, Senior Management including C-Level , กรรมการบริษัท กรรมการบริหาร ผู้บริหารระดับสูง ซึ่งเป็นกลุ่มที่กำหนดทิศทางการดำเนินการขององค์กร มีแนวทางในการปฏิบัติเพื่อสนับสนุนการดำเนินการเรื่องการคุ้มครองข้อมูลส่วนบุคคลขององค์กร ซึ่งมีแนวทางทั้งหมดอยู่ 14 ข้อ คือ

1. สนับสนุนให้องค์กรมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

2. พิจารณาอนุมัติ สื่อสารนโยบายการคุ้มครองข้อมูลส่วนบุคคลและนโยบายความเป็นส่วนตัว

3. พิจารณาอนุมัติแผนงานบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลในระดับองค์กร

4. กำหนดให้องค์กรมีการประเมินความเสี่ยง/ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล

5. สนับสนุนและจัดให้มีการฝึกอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้บริหารและพนักงานในทุกระดับ

6. จัดสรรทรัพยากรให้เพียงพอในการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล

7. กลยุทธ์ในการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลทั้งในระยะสั้นและระยะยาว

8. กำหนดทิศทางการทำงานของ DPO ในการกำหนดแนวปฏิบัติในการเผชิญเหตุและตอบรับการร้องเรียนเมื่อมีการรั่วไหลของข้อมูลส่วนบุคคล

9. กำหนดแนวทางของ DPO ในการสื่อสาร ประสานงาน และรายงานข้อมูลต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

10. พิจารณาอนุมัติและสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ

11. จัดให้มีผู้รับผิดชอบในการปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยสารสนเทศ

12. จัดให้มีการตรวจสอบความเข้าใจเรื่องการคุ้มครองข้อมูลส่วนบุคคลของพนักงานในทุกระดับ

13. จัดให้มีการสื่อสารกับลูกค้า

14. บริหารจัดการความเสี่ยงองค์กรอย่างมีประสิทธิภาพ

ซึ่งจะเห็นได้ว่าผู้บริหารมีส่วนสำคัญอย่างมาก มีหลายๆ คนเข้าใจผิดว่าเป็นหน้าที่ของฝ่ายไอที ฝ่าย HR หรือฝ่ายกำกับดูแลฯ (Compliance) แต่จริงๆ แล้วเป็นหน้าที่ของผู้บริหาร เพราะถึงจะยังไม่มีกำหนดในกฎหมายแต่จะมีประกาศออกมาแน่นอน ฉะนั้นผู้บริหารต้องจัดสรรทรัพยากร กำลังคน กำลังเงิน และติดตามความคืบหน้าเพื่อให้การดำเนินการเรื่องของ PDPA สำเร็จ

สิ่งที่ฝากทิ้งท้ายถึงผู้ประกอบการเกี่ยวกับ PDPA

ผมขอฝากถึงผู้อ่านและผู้ประกอบการซึ่งจัดเป็น 3 กลุ่มได้แก่ กิจการขนาดเล็ก SMEs กิจการขนาดกลาง และขนาดใหญ่ก็คือ สำหรับกิจการขนาดกลางและขนาดใหญ่ซึ่งต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO แนะนำว่าควรมีการแต่งตั้งพนักงานในองค์กรอีกหนึ่งตำแหน่ง หรือทำการ “outsource DPO” ให้บุคคลภายนอกมารับผิดชอบซึ่งกฎหมายเปิดทางให้ทำได้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO มีหน้าที่เป็นเจ้าภาพรับผิดชอบเรื่อง PDPA โดยตรง คอยเกาะติด ศึกษาข้อมูล อบรมหากความรู้เพิ่มเติม รวมถึงเป็นศูนย์กลางในการประสานงานต่างๆ ไม่ว่าจะเป็นการประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลและหน่วยงานต่างๆ ที่เกี่ยวข้อง รวมถึงการประสานงานภายในทั้งกับผู้บริหาร พนักงาน แต่ไม่ควรมอบหมายตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO ให้ฝ่ายไอทีมาทำตำแหน่งนี้เพราะไอทีควรทำหน้าที่เป็นฝ่าย Operation ถ้ามาเป็น DPO จะเกิด Conflict of Interest ส่วนกิจการขนาดเล็กหรือ SMEs ต้องดูว่าเข้าเกณฑ์ที่บริษัทต้องมี DPO หรือไม่ แต่ถึงจะไม่เข้าเกณฑ์ก็ต้องปฏิบัติให้ครบถ้วนถูกต้องตาม PDPA ถึงจะไม่ต้องทำครบทุกข้อแต่อย่างไรเสียก็คงต้องทำบางส่วนของ PDPA ต้องเคารพสิทธิของลูกค้า จะนำเอาข้อมูลส่วนตัวของลูกค้าไปขายต่อ ไปส่งอีเมลรบกวน อันนี้ทำไม่ได้ ถ้าไม่ได้มีการแจ้งหรือขออนุญาตไว้ก่อน หลักสำคัญที่ทำได้ง่ายมากคือ จะทำอะไรต้องแจ้งเจ้าของข้อมูลให้ทราบ จริงใจกับลูกค้าให้มากที่สุด แล้วตรงนี้จะเป็นเสน่ห์ที่จะทำให้ลูกค้าเกิดความประทับใจ

ขอฝากว่าผู้ประกอบการควรจะติดตามศึกษากฎหมายลำดับรองและประกาศที่จะออกมาเพื่อให้เกิดความรู้และความเข้าใจ PDPA จากนั้นควรประเมินความพร้อมและผลกระทบที่จะเกิดขึ้นเตรียมการเมื่อกฎหมายบังคับใช้จริง เมื่อมีการทำประชาพิจารณ์ก็ควรไปมีส่วนร่วม ติดตามข่าวประกาศต่าง ๆ เพื่อให้ทราบและปรับตัวให้ทันกับข้อกฎหมายที่กำลังจะถาโถมเข้ามา มีความยืดหยุ่นพร้อมเปลี่ยนแปลงปรับตัว สื่อสารให้ผู้ใต้บังคับบัญชา ลูกค้า พนักงาน ให้รับรู้เกี่ยวกับกฎหมายนี้ และแนวทางที่ต้องปฏิบัติว่าจะเป็นอย่างไร

ปัจจัยแห่งความสำเร็จในการปฏิบัติตาม PDPA ได้แก่ เรื่องการสื่อสารและฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัย ถือเป็นเรื่องสำคัญที่ช่วยปลูกจิตสำนึกในด้านความมั่นคงปลอดภัยให้เกิดขึ้นในองค์กร ต้องทำให้รู้และเข้าใจ เพราะถ้าคนในองค์กรไม่เข้าใจ PDPA ก็อาจมีคำถาม…ทำไมต้องทำ ทำไมต้องนำมาใช้ ฯลฯ ไม่เห็นความสำคัญ อยากให้เน้นไปที่การสื่อสารและฝึกอบรมทำความเข้าใจ PDPA ให้ถ่องแท้เสียก่อนเพื่อให้เกิดความตระหนักในการเปลี่ยนแปลงอย่างเร่งด่วน (Sense of Urgency) ขึ้นในองค์กร ศึกษาดูว่าคนอื่นๆ เขาทำกันไปถึงไหนอย่างไร เพื่อที่องค์กรของเราจะได้ปฏิบัติได้อย่างถูกต้อง ซึ่งจะส่งผลดีทั้งกับลูกค้า ทั้งกับพนักงาน ทั้งกับภาพลักษณ์ขององค์กร และกับตัวผู้บริหารเองอีกด้วย

สัมภาษณ์พิเศษ ดร.ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศและระบบเทคโนโลยีสารสนเทศ PDPA Insight and Solutions for Business การปรับตัวครั้งใหญ่ของผู้ประกอบการ

(วารสารเอกสารภาษีอากร ฉบับเดือนมิถุนายน 2564)

สนใจสมัครสมาชิก รับวารสาร 12 ฉบับ/ปี (เฉลี่ย 192.-/ฉบับ) ได้ที่ https://bit.ly/3fzaVP3

สิทธิประโยชน์สำหรับสมาชิกวารสารเอกสารภาษีอากร :

1. รับหนังสือประมวลรัษฎากร ฉบับสมบูรณ์ ปีละ 1 เล่ม (มูลค่า 500 บาท)
2. รับสิทธิใช้ฟรี e-Magazine Index & Audio Book (อ่าน สืบค้นข้อมูลบทความด้านบัญชีภาษีในวารสารได้)
3. รับส่วนลดในการอบรมสัมมนาของบริษัท ฝึกอบรมและสัมมนาธรรมนิติ จำกัด www.dst.co.th
4. รับสิทธิเข้าสัมมนาพิเศษฟรี ปีละ 2 ครั้ง
5. รับส่วนลดในการซื้อหนังสือของธรรมนิติ www.dharmnitibook.com
6. รับส่วนลดในการลงประกาศหนังสือพิมพ์ข่าวผู้ถือหุ้น www.thaicorporatenews.com