กรอบแนวทางแสดงกระบวนการที่องค์ต้องควรปฏิบัติเพื่อให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และหลักธรรมาภิบาลข้อมูล

ความพร้อมสำหรับ PDPA [ตอนที่ 1]

โดยทั่วไปบทบัญญัติของกฎหมายจะวางสาระสำคัญว่า “อะไรที่ทำแล้ว” หรือ “อะไรที่ไม่ได้ทำแล้ว” เป็นสิ่งที่ถูกหรือผิดกฎหมาย แต่กฎหมายอาจจะไม่ได้บอกชัดเจนว่า “ต้องทำอย่างไร” (How-to) ให้ถูกกฎหมาย ในกรณีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทยก็เช่นเดียวกัน งานเขียนนี้มุ่งนำเสนอแนวคิดเชิงกระบวนการว่า องค์ต้องทำอะไรบ้างและทำอย่างไรตามลำดับ เพื่อให้ถูกกฎหมายและลูกค้าขององค์กรเกิดความมั่นใจในการดำเนินงานเกี่ยวข้องข้อมูลส่วนบุคคลขององค์กร

องค์กรต้องทำความเข้าใจขอบเขตของกฏหมาย

กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทย มุ่งคุ้มครองเฉพาะ “ข้อมูล” ส่วนบุคคล ดังนั้นสิ่งแรกที่ธุรกิจควรทำความเข้าใจ คือ “ขอบเขตของข้อมูลส่วนบุคคล” ซึ่งควรเริ่มต้นจากการอ่านทำความเข้าใจ นิยามศัพท์ต่างๆ ที่กฎหมายบัญญัติไว้อย่างละเอียด บางกรณีต้องตีความตามเจตนารมย์ของกฎหมาย ด้วยเหตุนี้หากไม่เข้าใจกฎหมายอย่างแท้จริงแล้วจะทำให้เข้าใจผิดได้ ยกตัวอย่างเช่น “เจ้าของข้อมูลส่วนบุคคล” ซึ่งกฏหมายไม่ได้เขียนไว้ชัดเจน แต่เจ้าของข้อมูลส่วนบุคคล คือ Data Subject ซึ่งหมายถึง “บุคคลที่ข้อมูลระบุถึง” เป็นต้น
รายการต่อไปนี้คือ Link ที่เชื่อมโยงไปยังงานเขียนอื่นๆ ซึ่งผู้เขียนเห็นว่าได้ระบุขอบเขตของข้อมูลส่วนบุคคลไว้อย่างดี และง่ายต่อการทำความเข้าใจ

(1) Thailand Data Protection Guidelines 3.0
(2) Guideline on Personal Data Protection for Thai Banks

องค์กรต้องมีการตั้งโจทย์การดำเนินงานให้ชัดเจน และแสวงหาคำตอบที่ตรงกับโจทย์

การปฏิบัติตามกฎหมายเป็น “ต้นทุน” อย่างหนึ่งที่องค์กรจะต้องมีการเปลี่ยนแปลงกระบวนงานต่างๆ ภายในองค์กรให้เป็นไปตามกฎหมาย มีการกำหนดตำแหน่งงานใหม่อย่างเช่น DPO และเจ้าหน้าที่ซึ่งจะมาปฏิบัติงานด้านการคุ้มครองข้อมูลส่วนบุคคล และมีการจัดหาเครื่องมือใหม่ๆ มาใช้ รวมถึงการจ่ายเงินเดือนและค่าตอบแทนอื่นๆ สำหรับบุคคลที่มาดำรงตำแหน่งนั้นด้วย โดยองค์กรมุ่งหวังว่าเมื่อได้ปฏิบัติตามกฎหมายแล้ว จะสามารถ “ควบคุม/จัดการความเสี่ยง” ไม่ให้เกิดประเด็นการฟ้องร้องดำเนินกันในทางอาญาและทางแพ่งต่อไป แม้ว่าหลายๆ องค์กรจะได้มีการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลไปแล้ว แต่การตั้งโจทย์ที่เกี่ยวข้องและชัดเจน 5 ข้อต่อไปนี้ เป็นการทบทวนตนเองว่ามีสิ่งใดที่จำเป็นต้องทำแต่ยังไม่ได้ทำหรือไม่ อีกทั้งยังเป็นจุดเริ่มต้นที่ดีขององค์กรซึ่งยังไม่ได้จริงจังกับเรื่องนี้ ให้มีการดำเนินงานที่เกี่ยวข้องกับข้อมูลทั้งหมดเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างแท้จริงได้ต่อไปด้วย

คำถามข้อ 1 Data Discovery: “ข้อมูลอะไรบ้าง” ที่ธุรกิจได้รวบรวมมา และกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลให้การคุ้มครองข้อมูลนั้นไว้

เป็นที่น่าสังเกตว่า หากเรายังไม่ทราบว่าเราได้เคยรวบรวมข้อมูลอะไรไว้บ้าง แล้วเราจะมั่นใจได้อย่างไรว่า มีข้อมูลใดเป็นข้อมูลที่กฎหมายให้ความคุ้มครอง และเราได้มีการคุ้มครองที่เป็นไปตามกฎหมายแล้ว

คำถามข้อ 2 Data Lifecycle: “เกิดอะไรขึ้นกับข้อมูลส่วนบุคคล ตลอดวงจรชีวิตของมัน” เช่น มีการเก็บรวบรวมผ่านระบบการลงทะเบียน มีการส่งต่อข้อมูล มีการประมวลผลข้อมูลที่ส่งต่อมานั้น จนกระทั่งมีการทำลายข้อมูลส่วนบุคคล เป็นต้น

คำถามข้อ 3 Data Lineage: “ใครบ้าง” ทั้งภายในองค์กรและภายนอกองค์กร ที่ “เข้าถึง” ข้อมูลส่วนบุคคลที่ท่านรวบรวมมา โดยการเข้าถึงนี้เป็นการเข้าถึง “แบบไหน” อ่าน แก้ไข ส่งต่อ เผยแพร่ หรืออื่นๆ และธุรกิจได้มีการ “การควบคุม กำกับ ดูแลข้อมูล” (Data Governance) แล้วหรือไม่ ด้วย “กิจกรรม” อะไรบ้าง

คำถามข้อ 4 Risk Assessment: “ความเสี่ยงมีอะไรบ้าง” ที่สามารถควบคุม/จัดการได้ และ “ส่งผลกระทบต่อองค์กรในด้านไหน” รวมถึง “มากน้อยรุนแรงแค่ไหน” อีกด้วย

คำถามข้อ 5 Data Protection: “อะไรคือมาตรการในการปกป้องคุ้มครองข้อมูลส่วนบุคคล” ที่เป็นไปตามกฎหมาย เช่น การมีนโยบายธรรมาภิบาลข้อมูล และแนวปฏิบัติด้านการปกป้องคุ้มครองข้อมูลส่วนบุคคลขององค์กร เป็นต้น

การแสวงหาคำตอบตามโจทย์บางกรณีเป็นเรื่องที่ตอบได้เลยโดยอาศัยความร่วมมือของคนในองค์กร แต่บางกรณีจำเป็นต้องใช้เทคโนโลยี ยกตัวอย่างเช่น การตอบคำถามข้อ 1 องค์กรอาจตอบว่ามีแค่ข้อมูล A, B และ C ที่รวบรวมมา แต่คำตอบนี้อาจจะผิดได้ทันทีหากในขณะที่ตอบนั้นมีการรวบรวมข้อมูล D เข้ามาผ่านทาง API ดังนั้นเพื่อจะให้ได้คำตอบที่ถูกต้องเป็นปัจจุบันอย่างต่อเนื่อง จึงอาจต้องลงทุนซื้อเครื่องมือที่เป็นระบบอัตโนมัติซึ่งมีความสามารถด้าน Data Discovery มาใช้ เป็นต้น

สรุป

งานเขียนฉบับนี้ แนะนำว่ามี “อะไรบ้าง” ที่ธุรกิจต้องทำเพื่อให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ตั้งแต่การทำความเข้าใจขอบเขตของกฎหมาย การตั้งโจทย์การดำเนินงาน และการแสวงหาคำตอบซึ่งจะสะท้อนให้เห็นว่าแท้จริงแล้วองค์กรมีความพร้อมในการก้าวเข้าสู่ยุคสมัยที่มีการบังคับใช้กฎหมายแล้วหรือยัง มากน้อยแค่ไหน สำหรับงานเขียนฉบับต่อไป จะเป็นการนำคำถามและคำตอบ 5 ข้อที่ผ่านมาลงสู่การปฏิบัติที่สอดคล้องกับแนวปฏิบัติของสำนักกฎหมายต่างๆ และ Domain ต่างๆ อย่างเช่น การเงิน สาธารณสุข ฯลฯ ต่อไป