3 สเต็ปรับมือ "กม.ข้อมูล" เฟ้นหา DPO ประสานสิบทิศ

27 พ.ค.นี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะมีผลบังคับใช้ทั้งฉบับ ซึ่งรวมถึงบทลงโทษทางปกครองที่จะกระทบกับทุกองค์กรธุรกิจ ไม่ว่าจะขนาดเล็กหรือขนาดใหญ่ เมื่อเร็ว ๆ นี้สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ได้เปิดเวทีให้ผู้เชี่ยวชาญร่วมเตรียมความพร้อมให้กับผู้บริหารระดับสูงว่าด้วย “personal data protection”

แนวทางรับมือ กม.ใหม่

ผศ.ปิยะบุตร บุญอร่ามเรือง ที่ปรึกษาเลขาธิการสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวถึงแนวทางในการเตรียมรับมือกฎหมายใหม่ไว้ 3 ข้อ ได้แก่ ข้อแรก การออกกฎระเบียบ พ.ร.บ. นี้ได้กำหนดหน้าที่ผู้ประกอบการในฐานะผู้ควบคุมข้อมูล แต่ละองค์กรจึงต้องมีระเบียบข้อบังคับ รวมถึงกระบวนการทำงานที่จะต้องปฏิบัติตามกรอบของกฎหมาย โดยอาจจะมี “privacy policy” ที่จะอธิบายวิธีการ แนวนโยบายที่จะจัดการกับ “ข้อมูล” ที่แยกตามประเภทของกลุ่มผู้ที่ติดต่อด้วย

ข้อที่ 2 สำรวจ processing activity ในองค์กรมีกิจกรรมอะไรที่เกี่ยวกับการใช้ข้อมูล เพื่อนำไปเขียนระเบียบ-นโยบาย ที่สำคัญคือ ต้องมีการบันทึกกิจกรรมประมวลผลที่เกี่ยวกับข้อมูล เพื่อจะประเมินความเสี่ยงได้ และข้อ 3 คือ security ในการเก็บข้อมูลให้ปลอดภัย

“ปริญญา หอมเอนก” กรรมการผู้ทรงคุณวุฒิด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ กล่าวว่า การปฏิบัติตามกฎหมายนี้ จำเป็นต้องเข้าใจทั้งด้านกฎหมาย และเทคโนโลยี แต่ที่สำคัญคือองค์กรและพนักงานต้อง “ตระหนัก” ก่อน

“ความล้มเหลวที่มักเกิดขึ้น คือ องค์กรไม่มี data governance framework ไม่ได้ทำ data classification มาก่อน ต่อให้มีเงินซื้อเทคโนโลยีมาก็ไม่ตอบโจทย์”

ส่วนคนที่เกี่ยวข้องตามกฎหมายฉบับนี้มี 4 กลุ่ม กลุ่มแรก ได้แก่ เจ้าของข้อมูล ลูกค้าเรา พนักงานของเรา กลุ่มที่ 2 data controller ตรงนี้คือ นิติบุคคล หรือตัวแทน หรือใครที่ต้องรับผิดชอบ กลุ่มที่ 3 data protester คือ out-source ที่ประมวลผลให้เรา และกลุ่มที่ 4 DPO : data protection officers เจ้าหน้าที่คุ้มครองข้อมูล ซึ่งกรณีที่คนในองค์กรไม่พร้อมอาจจะต้อง outsource

เฟ้นหา DPO ประสานสิบทิศ

โดยองค์กรที่มี data จำนวนมากในกระบวนการทำธุรกิจจำเป็นจะต้องมี DPO ซึ่งต้องเป็นคนที่เข้าใจหลักเกณฑ์ของกฎหมาย

“สำหรับผมมองว่า DPO ที่ดีจะต้องแก่ทั้งในเรื่องวัยวุฒิและคุณวุฒิ เพราะจะต้องประสานงานกับคนจำนวนมาก ไม่จำเป็นต้องเป็นนักกฎหมาย เป็นไอที แต่ต้องเข้าใจธุรกิจขององค์กรแบบที่พอรู้แล้วว่าองค์กรทำงานยังไง ลูกค้าอยู่ตรงไหน

ยังไง แล้วต้องไปคุยกับเจ้าหน้าที่ฝ่ายต่าง ๆ ด้วย เพราะ DPO ไม่สามารถทำงานคนเดียวได้ ต้องมีทีมสนับสนุน ทั้งยังต้องติดต่อกับองค์กรกำกับดูแลด้วย แต่ถ้าคนในองค์กรไม่พอหรือขัดแย้งกันสูง การ outsource ก็เป็นทางเลือกที่ดี แต่ต้องมีสัญญาชัดเจนโดยเฉพาะเรื่องเพดานความรับผิดชอบจะเป็นในรูปแบบไหน”

ด้าน ผศ.ปิยะบุตร กล่าวเสริมว่า DPO มีหน้าที่ให้คำแนะนำในทุกเรื่องที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ไม่ใช่แค่คอยตรวจสอบ แต่ต้องประเมินว่ากิจกรรมนั้นขององค์กรมีความเหมาะสมปลอดภัยหรือไม่ ถ้ามีความเสี่ยงแล้วจะต้องเพิ่มมาตรการใดให้สอดคล้องกับกฎหมาย

สร้างความตระหนัก

“พิเชษฐ สิทธิอำนวย” นายกสมาคมบริษัทหลักทรัพย์ไทย กรรมการผู้อำนวยการหลักทรัพย์บัวหลวง จำกัด (มหาชน) กล่าวว่า สิ่งสำคัญคือ ต้องตระหนักก่อนในต่างประเทศเองกฎหมายคุ้มครองส่วนบุคคล (GDPR) ประกาศใช้ไปแล้ว 1 ปี ประชาชนทั่วไปยังรับรู้แค่ 60-70%

ฉะนั้น องค์กรอย่างสมาคมหลักทรัพย์จึงพยายามสร้าง awareness ให้ทุกคนเข้าใจว่ามีกฎหมายนี้เกิดขึ้น แต่ละคนมีหน้าที่อะไรบ้าง และตั้งคณะทำงานเพื่อจ้างที่ปรึกษาทางกฎหมายมาช่วยดูเพราะแต่ละหน่วยงานก็เก็บแตกต่างกัน

“บางรายการงงมาก มีการเก็บข้อมูลว่าลูกค้าแพ้อาหารอะไรบ้าง ไซซ์เสื้ออะไร เราก็เลยต้องมานั่งคุยกับที่ปรึกษาว่าข้อมูลแต่ละอย่างอันไหนเพื่อการทำธุรกรรม อันไหนต้องเก็บตามกฎหมาย อันไหนที่มันไม่ใช่และพยายามทำให้ทั้งอุตสาหกรรมไปในแนวทางเดียวกัน”

ฉะนั้น เป็นหน้าที่ของซีอีโอที่จะทำให้องค์กรพร้อมรับมือให้เร็วที่สุด ซึ่งเป็นโจทย์ที่ยากเพราะกฎหมายลูกยังไม่มี

“ก็ต้องทำขนานเพื่อซ้อม ๆ ไปก่อนให้ได้ตามแนวของกฎหมาย แต่สุดท้ายกฎหมายลูกจะออกมาอย่างไรก็ไม่รู้ ก็ทำให้มีแนวที่คล้าย ๆ กันก่อน และพยายามส่งข้อมูลให้ทุกคนในอุตสาหกรรมเข้าใจ”

ข้อมูล “เจ้าของ” ต้องยินยอม

สำหรับการเก็บข้อมูลและประมวลผลขององค์กรธุรกิจ ผศ.ปิยะบุตร กล่าวว่า สิ่งที่สำคัญมากในการเก็บข้อมูลคือจะต้องขอความยินยอมจากเจ้าของข้อมูลทุกครั้ง โดยอ้างอิงไปที่นโยบายในการเก็บข้อมูลที่จะต้องระบุว่า เก็บข้อมูลอะไร อย่างไร นำไปใช้เพื่ออะไร มีการจัดส่งข้อมูลไปให้ใครบ้าง สิทธิของเจ้าของข้อมูลมีอย่างไรบ้าง

“ปัญหาการถูกละเมิดความเป็นส่วนตัว ไม่ว่าจะโทร.มาขายประกัน นำข้อมูลไปขายต่อ คือต้นเหตุหนึ่งของการต้องมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ฉะนั้น หัวใจหลักคือ หากบริการใดที่เจ้าของข้อมูลไม่ได้ต้องการให้ทำ หรือไม่ได้เป็นบริการที่จำเป็นกับเจ้าของข้อมูล การจะเก็บหรือประมวลผลข้อมูลส่วนบุคคลนั้นจะต้องได้รับความยินยอมจากเจ้าของก่อน”

ส่วนการเก็บข้อมูลไว้บนคลาวด์จะทำได้ตามกฎหมายนี้หรือไม่ ผศ.ปิยะบุตร กล่าวว่า ในกฎหมายของยุโรป GDPR ได้ระบุไว้อย่างชัดเจนว่า การใช้บริการ “คลาวด์” จะถือเป็น processor หรือผู้ให้บริการ ต่อเมื่อได้ทำตามคำสั่งของผู้ใช้บริการที่เป็นองค์กรต่าง ๆ แต่ไม่ได้มาจัดการ data ให้

ขณะที่การลงทุนเพื่อเตรียมรับมือกับกฎหมายฉบับนี้นั้น “ปริญญา หอมเอนก” กล่าวว่า ขึ้นอยู่กับว่าองค์กรจะรับความเสี่ยงได้แค่ไหน ซึ่งไม่ได้หมายถึงแค่ค่าปรับทางปกครองจากการฝ่าฝืนกฎหมาย แต่ยังหมายถึงความเสี่ยงด้านชื่อเสียง ความเสี่ยง “SOFC” ได้แก่ strategy risk/operational risk/financial risk และ compliance risk

“ไม่ใช่แค่ SOFC แต่ยังหมายถึงด้านชื่อเสียงที่ไปฉาวโซเชียล ความเสี่ยงจากการที่ลูกค้าหนี ถ้ารับไม่ไหวก็ต้องจัดเต็ม ลงทุนกันเต็มที่ แต่ถ้ามีงบฯจำกัดก็ต้องรอเกณฑ์ขั้นต่ำขององค์กรกำกับที่จะออกมา ซึ่งหากปฏิบัติได้ตามเกณฑ์โอกาสที่จะโดนฟ้องก็จะลดลง แต่ก็ต้องยอมรับว่าไม่มีทางที่จะลดความเสี่ยงได้ 100% เพราะเป็นกระบวนการที่จะต้องปรับปรุงอยู่ตลอดเวลา”