พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และ Data Privacy
เมื่อการรั่วไหลของข้อมูลส่วนบุคคล คือความรับผิดชอบเต็มๆ ของผู้ประกอบการทุกคน
สถานการณ์
ดัชนีชี้วัดด้านไซเบอร์ซีเคียวริตี้ของไทยอยู่ในอันดับที่ 35 จากเดิมที่อยู่ในอันดับ 22 และประเทศไทยตั้งเป้าจะขยับไปอยู่ใน 20 อันดับแรก ซึ่งอันดับของดัชนีชี้วัดที่ลดลงนี้ ไม่เพียงกระทบต่อความน่าเชื่อถือในมาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศ แต่ยังรวมถึงโอกาสทางธุรกิจและความเสียหายทางการเงินด้วย ดังนั้นการมีกฎหมายไซเบอร์ซีเคียวริตี้จึงเป็นสิ่งสำคัญ เพื่อกำหนดหลักเกณฑ์ กลไก และมาตรการกํากับดูแลการจัดการข้อมูลอย่างเหมาะสม เพื่อป้องกันความเสี่ยงที่จะกระทบไปถึง การรักษาความลับ ความถูกต้องสมบูรณ์ และความพร้อมใช้งานของข้อมูล ที่อาจมีแนวโน้มสร้างความเสียหายในระดับบุคคล หรือองค์กร
แค่ไหนเรียกว่าข้อมูลส่วนบุคคล?
ข้อมูลส่วนบุคคลคือข้อมูลที่ทําให้เราสามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมเช่น เพศ อายุ ชื่อ วันเกิด เบอร์โทรศัพท์ เลขบัตรประชาชน อีเมล IP adress ประวัติการท่องเว็บ หรือ cookie (หน่วยความจําชั่วคราวที่คอยบันทึกความเคลื่อนไหวที่เกิดขึ้นบนหน้าเว็บ) ล้วนเป็นข้อมูลส่วนบุคคลที่ระบบเก็บไปเพื่อใช้ประมวลผล หรือทําประโยชน์ต่างๆ ไม่ว่าจะเป็นการตรวจสอบ วิเคราะห์พฤติกรรมผู้ใช้ ปรับปรุงบริการ ค้นหาวิดิโอที่ผู้ใช้ต้องการชม กรอกข้อมูลที่เคยบันทึกไว้อัตโนมัติ จนถึง นําเสนอโฆษณาที่ใกล้เคียงความสนใจของผู้ใช้ โดยข้อมูลเหล่านี้ ได้ถูกรวบรวมผ่านการยอมรับข้อตกลงและเงื่อนไขที่เราสมัครบัญชีผู้ใช้ในตอนแรก ซึ่งก็คือข้อมูลที่เรายินยอมให้ไปเอง
คําถามก็คือข้อมุลส่วนตัวที่ถูกเก็บรวบรวมไปนั้นมีความปลอดภัยแค่ไหน? ข้อมูลเราจะหลุดรั่วไปสู่คนนอกหรือไม่? เราจะวางใจได้อย่างไรว่าข้อมูลเราถูกเก็บรักษาอย่างดี? ดังนั้นการสร้างความมั่นใจให้กับผู้ใช้งาน ผ่านนโยบายความเป็นส่วนตัว และ การออกกฏหมายคุ้มครองข้อมูลส่วนบุคคล เช่น GDPR (General Data Protection Regulation ) ที่ประกาศ ใช้ในสหภาพยุโรป หรือ PIPEDA ( Personal information Protection and Electronic Document act) ในแคนาดา ต่างเป็นสิ่งจําเป็น เพื่อกำหนดหลักการและแนวทางปฏิบัติในการรักษาความมั่นคงปลอดภัยไซเบอร์ให้เป็นมาตรฐานเดียวกัน
และสําหรับประเทศไทย พรบ.คุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2563 ที่พึ่งประกาศในราชกิจจานุเบกษาในปีที่ผ่านมา กําลังจะมีผลบังคับใช้ในเดือนพฤษภาคม 2564
อะไรคือสาระสําคัญของ พ.ร.บ.นี้
- ผู้เก็บข้อมูลต้องได้รับอนุญาตหรือความยินยอมจากเจ้าของข้อมูลเท่านั้นจึงจะสามารถเก็บรวบรวม ใช้ และเข้าถึงข้อมูลของเจ้าของได้ เช่นหากแอปพลิเคชั่นหนึ่งจะเก็บข้อมูลของเราไว้ในระบบ ก็ต้องมีข้อความให้เรากดยืนยันเพื่อยินยอม พร้อมแจ้งวัตถุประสงค์ ในการเก็บ และการใช้ หากเจ้าของข้อมูลไม่ยินยอม ผู้เก็บไม่สามารถใช้ข้อมูลนั้นได้ หรือถ้านําไปใช้โดยไม่ได้รับอนุญาต จะผิดกฏหมายทันที
- ข้อมูลต้องถูกเก็บเป็นความลับโดยผู้เก็บรวบรวมข้อมูล ต้องรักษาความปลอดภัยของข้อมูลไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ไม่เกี่ยวข้อง เช่นสถานพยาบาล จะต้องเก็บข้อมูลของผู้ป่วยเป็นความลับ ธนาคารต้องเก็บรักษาข้อมูลเกี่ยวกับรายการ ฝากถอน
- เจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทําลายข้อมูลเมื่อไรก็ได้
พ.ร.บ. นี้มีผลกระทบกับใครแค่ไหน?
สําหรับพลเมืองไซเบอร์ทุกคน …ไม่มีใครไม่เกี่ยวข้อง ซึ่งผลกระทบที่เกิดขึ้น อาจเกิดขึ้นได้ทั้งกับ เจ้าของข้อมูลและผู้เก็บข้อมูลโดย
เจ้าของข้อมูล อาจต้องเก็บบันทึกหลักฐานการให้ข้อมูลไว้ เพราะหาก เจ้าของข้อมูลพบว่า มีการนําข้อมูลไปใช้อย่างไม่ถูกต้อง ก็จะสามารถร้องเรียนแนบหลักฐานประกอบได้
เจ้าของข้อมูลต้องทําหน้าที่ คุ้มครองข้อมูลตัวเองด้วย โดยก่อนจะให้ข้อมูลแต่ละครั้ง ก็ควรพิจารณาอย่างรอบคอบก่อน ไม่ด่วนยินยอมหรือให้ข้อมูลโดยที่ยังไม่ศึกษารายละเอียด ขอบเขตการใช้และหากไม่จําเป็นก็ไม่ต้องอนุญาต ซึ่งถือเป็นการป้องกันข้อมูลของเราไม่ให้รั่วไหล
ผู้ประกอบการควรเตรียมความพร้อมอย่างไร
ในฐานะขององค์กรหรือหน่วยงานที่ต้องมีการเก็บข้อมูลส่วนบุคคล สิ่งสําคัญคือ
บทลงโทษหากฝ่าฝืนมีโทษจําคุกและปรับสูงสุด 5 ล้านบาท
หากฝ่าฝืนมีโทษทั้งทางอาญา ทางแพ่ง และทางปกครอง สํารับโทษทางอาญาหากมีการฝ่าฝืนจําคุกไม่เกิน 6เดือนถึง 1ปี หรือปรับไม่เกิน 500,000 ถึง 1,000,000 บาท หรือทั้งจําทั้งปรับ
ส่วนระวางโทษปรับทางการปกครองไม่เกิน 500,000 ถึง 5,000,000บาท
ได้เวลาอัพเลเวลระบบความปลอดภัยไซเบอร์ ด้วย Data Protection
เพื่อตอบรับข้อระเบียบใหม่ๆ ทางกฏหมาย
และถึงแม้เราจะเตรียมความพร้อมทั้งด้านกําหนดเป็นนโยบาย หรือมาตรการต่างๆ ให้กับคนในองค์กร
แล้วก็อาจยังไม่พอ เพราะจากสถิติหนึ่งในสาเหตุสําคัญของการรั่วไหลของข้อมูลบนโลกออนไลน์
เกิดจากการการกระทําของคนในองค์กร ซึ่งอาจเป็นความประมาทเลินเล่อของพนักงาน รวมถึงการนําไปใช้ในทางที่ผิด ไม่ว่าจะเป็นการแบ่งปันข้อมูลให้กับเพื่อนฝูงและครอบครัว หรือแม้แต่คนแปลกหน้า โดยเมื่อเกิดขึ้นแล้ว ไม่เพียงมูลค่าความเสียหายที่สูง แก้ไขได้ยาก และหากเมื่อกฎหมายคุ้มครองข้อมูลถูกบังคับใช้ ยังหมายถึงโทษทางอาญาและการฟ้องร้องในทางกฏหมายด้วย ดังนั้นการปกป้องข้อมูลและวางแผนรับมือเหตุการณ์เหล่านี้ จึงจําเป็นสําหรับการทําธุรกิจบริการในยุคที่อาชญากรรมทางไซเบอร์กําลังเติบโต
สร้างความเชื่อมั่นให้กับลูกค้าและธุรกิจของคุณด้วย Data Protection บริการรักษา
ความปลอดภัยและปกป้องข้อมูลไม่ให้รั่วไหลด้วย ระบบเซนเซอร์ AI-Based Security ที่ป้องกันไม่ให้ผู้ใช้งานระบบคอมพิวเตอร์ในองค์กร ส่งข้อมูลที่เป็นความลับ หรือข้อมูลส่วนบุคคลของลูกค้าออกไปนอกองค์กร โดยระบบจะทําการตรวจสอบและวิเคราะห์การเข้าถึงข้อมูลของอุปกรณ์ต่างๆในระบบงาน วิเคราะห์พฤติกรรมการใช้ข้อมูล และตอบสนองความผิดปกติด้วยการสกัดกั้นไม่ให้ข้อมูลสําคัญหลุดรั่วออกไป พร้อมทั้งแจ้งเตือนให้ผู้ดูแลระบบ เพื่อแก้ไขข้อผิดพลาดก่อนจะเป็นปัญหา