พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และ Data Privacy

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และ Data Privacy

เมื่อการรั่วไหลของข้อมูลส่วนบุคคล คือความรับผิดชอบเต็มๆ ของผู้ประกอบการทุกคน

สถานการณ์

ดัชนีชี้วัดด้านไซเบอร์ซีเคียวริตี้ของไทยอยู่ในอันดับที่ 35 จากเดิมที่อยู่ในอันดับ 22 และประเทศไทยตั้งเป้าจะขยับไปอยู่ใน 20 อันดับแรก ซึ่งอันดับของดัชนีชี้วัดที่ลดลงนี้ ไม่เพียงกระทบต่อความน่าเชื่อถือในมาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศ แต่ยังรวมถึงโอกาสทางธุรกิจและความเสียหายทางการเงินด้วย ดังนั้นการมีกฎหมายไซเบอร์ซีเคียวริตี้จึงเป็นสิ่งสำคัญ เพื่อกำหนดหลักเกณฑ์ กลไก และมาตรการกํากับดูแลการจัดการข้อมูลอย่างเหมาะสม เพื่อป้องกันความเสี่ยงที่จะกระทบไปถึง การรักษาความลับ ความถูกต้องสมบูรณ์ และความพร้อมใช้งานของข้อมูล ที่อาจมีแนวโน้มสร้างความเสียหายในระดับบุคคล หรือองค์กร


แค่ไหนเรียกว่าข้อมูลส่วนบุคคล?

ข้อมูลส่วนบุคคลคือข้อมูลที่ทําให้เราสามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมเช่น เพศ อายุ ชื่อ วันเกิด เบอร์โทรศัพท์ เลขบัตรประชาชน อีเมล  IP adress ประวัติการท่องเว็บ หรือ cookie (หน่วยความจําชั่วคราวที่คอยบันทึกความเคลื่อนไหวที่เกิดขึ้นบนหน้าเว็บ) ล้วนเป็นข้อมูลส่วนบุคคลที่ระบบเก็บไปเพื่อใช้ประมวลผล หรือทําประโยชน์ต่างๆ ไม่ว่าจะเป็นการตรวจสอบ วิเคราะห์พฤติกรรมผู้ใช้ ปรับปรุงบริการ ค้นหาวิดิโอที่ผู้ใช้ต้องการชม กรอกข้อมูลที่เคยบันทึกไว้อัตโนมัติ จนถึง นําเสนอโฆษณาที่ใกล้เคียงความสนใจของผู้ใช้ โดยข้อมูลเหล่านี้ ได้ถูกรวบรวมผ่านการยอมรับข้อตกลงและเงื่อนไขที่เราสมัครบัญชีผู้ใช้ในตอนแรก ซึ่งก็คือข้อมูลที่เรายินยอมให้ไปเอง

คําถามก็คือข้อมุลส่วนตัวที่ถูกเก็บรวบรวมไปนั้นมีความปลอดภัยแค่ไหน? ข้อมูลเราจะหลุดรั่วไปสู่คนนอกหรือไม่? เราจะวางใจได้อย่างไรว่าข้อมูลเราถูกเก็บรักษาอย่างดี? ดังนั้นการสร้างความมั่นใจให้กับผู้ใช้งาน ผ่านนโยบายความเป็นส่วนตัว และ การออกกฏหมายคุ้มครองข้อมูลส่วนบุคคล เช่น GDPR (General Data Protection Regulation ) ที่ประกาศ ใช้ในสหภาพยุโรป หรือ  PIPEDA ( Personal information Protection and Electronic Document act) ในแคนาดา ต่างเป็นสิ่งจําเป็น เพื่อกำหนดหลักการและแนวทางปฏิบัติในการรักษาความมั่นคงปลอดภัยไซเบอร์ให้เป็นมาตรฐานเดียวกัน 

และสําหรับประเทศไทย พรบ.คุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2563 ที่พึ่งประกาศในราชกิจจานุเบกษาในปีที่ผ่านมา กําลังจะมีผลบังคับใช้ในเดือนพฤษภาคม 2564

อะไรคือสาระสําคัญของ พ.ร.บ.นี้

  1. ผู้เก็บข้อมูลต้องได้รับอนุญาตหรือความยินยอมจากเจ้าของข้อมูลเท่านั้นจึงจะสามารถเก็บรวบรวม ใช้ และเข้าถึงข้อมูลของเจ้าของได้ เช่นหากแอปพลิเคชั่นหนึ่งจะเก็บข้อมูลของเราไว้ในระบบ ก็ต้องมีข้อความให้เรากดยืนยันเพื่อยินยอม พร้อมแจ้งวัตถุประสงค์ ในการเก็บ และการใช้ หากเจ้าของข้อมูลไม่ยินยอม ผู้เก็บไม่สามารถใช้ข้อมูลนั้นได้ หรือถ้านําไปใช้โดยไม่ได้รับอนุญาต จะผิดกฏหมายทันที
  2. ข้อมูลต้องถูกเก็บเป็นความลับโดยผู้เก็บรวบรวมข้อมูล ต้องรักษาความปลอดภัยของข้อมูลไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ไม่เกี่ยวข้อง เช่นสถานพยาบาล จะต้องเก็บข้อมูลของผู้ป่วยเป็นความลับ ธนาคารต้องเก็บรักษาข้อมูลเกี่ยวกับรายการ ฝากถอน
  3. เจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทําลายข้อมูลเมื่อไรก็ได้

พ.ร.บ. นี้มีผลกระทบกับใครแค่ไหน?

สําหรับพลเมืองไซเบอร์ทุกคน …ไม่มีใครไม่เกี่ยวข้อง ซึ่งผลกระทบที่เกิดขึ้น อาจเกิดขึ้นได้ทั้งกับ เจ้าของข้อมูลและผู้เก็บข้อมูลโดย

เจ้าของข้อมูล อาจต้องเก็บบันทึกหลักฐานการให้ข้อมูลไว้ เพราะหาก เจ้าของข้อมูลพบว่า มีการนําข้อมูลไปใช้อย่างไม่ถูกต้อง ก็จะสามารถร้องเรียนแนบหลักฐานประกอบได้

เจ้าของข้อมูลต้องทําหน้าที่ คุ้มครองข้อมูลตัวเองด้วย โดยก่อนจะให้ข้อมูลแต่ละครั้ง ก็ควรพิจารณาอย่างรอบคอบก่อน ไม่ด่วนยินยอมหรือให้ข้อมูลโดยที่ยังไม่ศึกษารายละเอียด ขอบเขตการใช้และหากไม่จําเป็นก็ไม่ต้องอนุญาต ซึ่งถือเป็นการป้องกันข้อมูลของเราไม่ให้รั่วไหล


ผู้ประกอบการควรเตรียมความพร้อมอย่างไร

ในฐานะขององค์กรหรือหน่วยงานที่ต้องมีการเก็บข้อมูลส่วนบุคคล สิ่งสําคัญคือ 

  • ต้องรู้ขอบเขตการเข้าถึงข้อมูลส่วนบุคคล  
  • มีระบบยืนยันตัวตนของผู้ขอเข้าถึงข้อมูล 
  • รวมถึงต้องมีการกําหนดนโยบายสําหรับบุคคลภายในองค์กรที่ต้องเกี่ยวข้องกับการใช้งาน ต้องได้รับความยินยอมจากเจ้าของข้อมูลแล้ว
  • เนื่องจากเป็น พ.ร.บ. เท่ากับมีความเสี่ยงที่จะต้องรับโทษตามกฏหมายหากเกิดการละเมิด u003cstrongu003eองค์กรจึงควรต้องวางแผน และออกแบบระบบภายในเพื่อรับมือกับสถานการณ์นี้ ทั้งยังต้องให้ความรู้กับบุคคลากร ลงทุนปรับระบบงาน และระบบเครือข่าย ด้วยขั้นตอนง่ายๆu003c/strongu003e
  • ทําความเข้าใจลักษณะและโครงสร้างธุรกิจของตนเอง เช่นคู่ค้าคือใคร ทํางานรูปแบบไหนประสานงานกันอย่างไร เพื่อที่จะออกแบบระบบไอทีให้ครอบคลุมข้อกําหนดของกฏหมาย
  • กําหนดมาตรการ เริ่มจากมีนโยบายคุ้มครองข้อมูลส่วนบุคคล จัดทําคู่มือให้คนในองค์กร ปรับปรุงเอกสารและสัญญาที่เกี่ยวข้อง เช่นมีแบบฟอร์มขอความยินยอม เพื่อให้องค์กรมีความเข้าใจและปฏิบัติไปในทิศทางเดียวกัน
  • ออกแบบและแก้ไขระบบไอที เพื่อยกระดับความปลอดภัยสนองตอบระเบียบข้อบังคับต่างๆ ของกฏหมายใหม่

บทลงโทษหากฝ่าฝืนมีโทษจําคุกและปรับสูงสุด 5 ล้านบาท

หากฝ่าฝืนมีโทษทั้งทางอาญา ทางแพ่ง และทางปกครอง สํารับโทษทางอาญาหากมีการฝ่าฝืนจําคุกไม่เกิน 6เดือนถึง 1ปี หรือปรับไม่เกิน 500,000 ถึง 1,000,000 บาท หรือทั้งจําทั้งปรับ

ส่วนระวางโทษปรับทางการปกครองไม่เกิน 500,000 ถึง 5,000,000บาท

ได้เวลาอัพเลเวลระบบความปลอดภัยไซเบอร์ ด้วย Data Protection
เพื่อตอบรับข้อระเบียบใหม่ๆ ทางกฏหมาย

และถึงแม้เราจะเตรียมความพร้อมทั้งด้านกําหนดเป็นนโยบาย หรือมาตรการต่างๆ ให้กับคนในองค์กร
แล้วก็อาจยังไม่พอ เพราะจากสถิติหนึ่งในสาเหตุสําคัญของการรั่วไหลของข้อมูลบนโลกออนไลน์
เกิดจากการการกระทําของคนในองค์กร ซึ่งอาจเป็นความประมาทเลินเล่อของพนักงาน รวมถึงการนําไปใช้ในทางที่ผิด ไม่ว่าจะเป็นการแบ่งปันข้อมูลให้กับเพื่อนฝูงและครอบครัว หรือแม้แต่คนแปลกหน้า โดยเมื่อเกิดขึ้นแล้ว ไม่เพียงมูลค่าความเสียหายที่สูง แก้ไขได้ยาก และหากเมื่อกฎหมายคุ้มครองข้อมูลถูกบังคับใช้ ยังหมายถึงโทษทางอาญาและการฟ้องร้องในทางกฏหมายด้วย  ดังนั้นการปกป้องข้อมูลและวางแผนรับมือเหตุการณ์เหล่านี้  จึงจําเป็นสําหรับการทําธุรกิจบริการในยุคที่อาชญากรรมทางไซเบอร์กําลังเติบโต

สร้างความเชื่อมั่นให้กับลูกค้าและธุรกิจของคุณด้วย Data Protection บริการรักษา
ความปลอดภัยและปกป้องข้อมูลไม่ให้รั่วไหลด้วย ระบบเซนเซอร์ AI-Based Security ที่ป้องกันไม่ให้ผู้ใช้งานระบบคอมพิวเตอร์ในองค์กร ส่งข้อมูลที่เป็นความลับ หรือข้อมูลส่วนบุคคลของลูกค้าออกไปนอกองค์กร โดยระบบจะทําการตรวจสอบและวิเคราะห์การเข้าถึงข้อมูลของอุปกรณ์ต่างๆในระบบงาน วิเคราะห์พฤติกรรมการใช้ข้อมูล และตอบสนองความผิดปกติด้วยการสกัดกั้นไม่ให้ข้อมูลสําคัญหลุดรั่วออกไป พร้อมทั้งแจ้งเตือนให้ผู้ดูแลระบบ เพื่อแก้ไขข้อผิดพลาดก่อนจะเป็นปัญหา