กรณีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) แถลงข่าวการลงโทษสั่งปรับบริษัท เอกชนขนาดใหญ่สูงถึง 7 ล้านบาท ด้วยมีความผิดฐานไม่ดำเนินการตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA เมื่อวันที่ 21 สิงหาคม 2567 ที่ผ่านมา
ดร.อุดมธิปก ไพรเกษตร ประธานเจ้าหน้าที่บริหาร บริษัท ดีบีซี กรุ๊ป จำกัด และผู้ก่อตั้ง PDPA Thailand ในฐานะผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลไทย เผยถึงอุทาหรณ์และข้อคิดที่องค์กรทั่วประเทศได้รับ จากเคสดังกล่าว และสามารถนำไปประยุกต์ใช้กับการดำเนินงานให้สอดคล้องตามกฎหมาย PDPA ในหลากหลาย ประเด็น ดังนี้
เหตุสั่งปรับ 7 ล้านบาท องค์กรพลาดอะไร?
3 เรื่องใหญ่ที่องค์กรเอกชนแห่งนั้นพลาดคือ
1. ไม่มี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เมื่อเข้าข่ายจำเป็นต้องแต่งตั้ง ตาม PDPA มาตรา 41(2)
2. ไม่มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลที่เพียงพอ ตาม PDPA มาตรา 37(1) และ
3. ไม่มีการแจ้งเหตุละเมิดภายใน 72 ชั่วโมงนับตั้งแต่ทราบเรื่อง ตาม PDPA มาตรา 37 (4)”
องค์กรหลาย ๆ แห่ง (รวมถึงบริษัทที่โดนปรับ) อาจจะไม่รู้ว่าต้องมี DPO ไม่ว่าจะด้วยไม่ได้ติดตาม ข่าวสารอย่างใกล้ชิด หรือตีความเงื่อนไขในกฎหมายแม่/กฎหมายลูกไม่ถูก ไม่ชัวร์ว่าต้องทำอย่างไร ความซับซ้อน ของปัญหาและการโดนปรับทั้งหมดเริ่มต้นที่จุดนี้ ซึ่งหากคุณมี DPO คุณก็จะไม่ผิดแล้วในกระทงตามข้อ 1. เมื่อมี DPO แล้วก็จะช่วยแนะนำการทำตามกฎหมายในแง่มุมต่าง ๆ ทั้งมาตรการรักษาความมั่นคงปลอดภัยข้อมูล และ การแจ้งเหตุละเมิดความเสี่ยงที่จะผิดกฎหมาย PDPA ในแง่มุมอื่น ๆ ก็ลดลงตามไปด้วย ด้านมาตรการรักษา ความมั่นคงปลอดภัย องค์กรมักเน้นการคุ้มครองข้อมูลจากคนภายนอก เจาะระบบเข้ามาเอาข้อมูลไป แต่จาก กรณีศึกษาทั่วโลกจะพบว่า หลายครั้งการละเมิดข้อมูลมีที่มาจากคนในองค์กรเอง ด้วยสาเหตุเช่น ความไม่ชอบ หน้ากัน ผลประโยชน์ และความประมาท เป็นต้น การมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่ครอบคลุม ทั้งในและนอกองค์กรจึงมีความสำคัญ DPO ที่มีประสบการณ์และความชำนาญจะเข้าใจ
ดังนั้นเพื่อลดโอกาสพลาดยิ่งขึ้นไปอีก DPO ที่แต่งตั้ง (และทีม) ต้องมีความรู้ความเข้าใจในตัวบทกฎหมาย และการปรับองค์กรตามกฎหมายที่มากพอ ซึ่งสมัยนี้ก็มีหลักสูตรฝึกอบรมที่เปิดสอนแบบเจาะลึก และหลาย ๆ แห่ง ก็มีเนื้อหาของหลักสูตรที่สอดคล้องตามที่สคส.กำหนด
ค่าปรับเหมาะสมหรือไม่กับเคสนี้?
ดร.อุดมธิปก กล่าวว่า หลาย ๆ คนโดยเฉพาะผู้บริโภคส่วนใหญ่คงบอกว่า บริษัทขนาดใหญ่รายได้มากมาย โดนปรับจำนวนนี้คงเหมือนแค่สะเก็ดหินกระเด็นมาโดน ไม่รู้สึกอะไร ส่วนตัวมองความเสียหายว่าไม่ได้เป็นเพียง แค่จำนวนเงิน เพราะการถูกสั่งปรับกระทบต่อชื่อเสียงแน่นอน อาจสร้างความเสียหายเชิงธุรกิจตามมาอย่างไม่ สามารถประเมินได้ก็เป็นได้ ซึ่งเรื่องการพิจารณาค่าปรับเป็นเรื่องที่ยากจะให้ความเห็น เนื่องจากมีหลายปัจจัยมา เกี่ยวข้อง แต่เชื่อว่าทางคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 คงได้พินิจพิเคราะห์อย่างถี่ถ้วนแล้ว ขณะเดียวกันผู้เสียหายไม่ว่าจะโดนหลอกหรือไม่ แต่เป็นลูกค้าของบริษัทนี้ที่ข้อมูลรั่วออกไป มีสิทธิที่ยื่น ฟ้องทางแพ่งตาม PDPA เพื่อเรียกค่าเสียหายจากบริษัทกับศาลแพ่งต่อไปได้อีกด้วย
สำหรับองค์กรที่ผิด PDPA หลังจากนี้ มองว่า หากมีเคสแบบเดียวกันในช่วงเวลาก่อนหน้านี้ เชื่อว่า การพิจารณาสั่งลงโทษปรับคงไม่แตกต่างกันเท่าไหร่ แต่ก็เชื่อว่า หลังจากนี้หากองค์กรละเมิดกฎหมาย PDPA ในลักษณะแบบเดียวกัน อาจมีการลงโทษที่รุนแรงเพิ่มขึ้น เพราะการสั่งปรับได้สร้างความตระหนักรู้ต่อสังคมแล้ว มาตรฐานถูกยกขึ้นมาแล้ว การตัดสินของคณะกรรมการผู้เชี่ยวชาญก็อาจเข้มงวดมากขึ้น เพราะอย่าลืมว่า ยังมีอีกหลายมาตราและลักษณะความผิดตามกฎหมายที่เรายังไม่ทราบว่าได้รับการพิจารณาในการกระทำความผิดครั้งนี้ด้วยหรือไม่ ทั้งนี้ต้องพิจารณาขนาดขององค์กร รายได้ และพฤติกรรม/กิจกรรมขององค์กรร่วมด้วย
ทิศทางการคุ้มครองข้อมูลฯ หลังจากนี้จะเป็นอย่างไร?
ดร.อุดมธิปก กล่าวว่า ขอแบ่งออกเป็น 3 กลุ่ม กลุ่มแรกสำหรับองค์กรเอกชน ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จะตื่นตัวเรื่องนี้มากเป็นพิเศษ เพราะโทษชัดเจนว่า 1) การมี DPO สำคัญ และ 2) ต้องปฎิบัติตามกฎหมาย PDPA โดยจะให้ความสำคัญกับ Cyber Security ก่อน ซึ่งอาจจะไม่ถูกสักทีเดียว เพราะท้ายที่สุดการถูกร้องเรียน จากเจ้าของข้อมูลส่วนบุคคลอาจไม่ได้เกิดจากกรณีที่มีข้อมูลถูกละเมิดหรือรั่วไหลเพียงอย่างเดียว และการแจ้งเหตุ การละเมิดข้อมูลส่วนบุคคลไปที่ สคส.จะมีมากขึ้นเรื่อย ๆ ในทุกรูปแบบ เพราะไม่มั่นใจว่าควรแจ้งหรือไม่
ส่วนกลุ่มที่ 2 คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) จะมาใช้สิทธิข้อมูลส่วนบุคคลของตนเอง กับทางผู้ควบคุมข้อมูลส่วนบุคคลกันมากขึ้น และจะร้องเรียนกับทาง สคส.เพิ่มมากขึ้น เพราะเริ่มรู้กันแล้วว่า สามารถทำได้ ร้องเรียนได้ และมีต้นทุนในการร้องเรียนต่ำ
และกลุ่มสุดท้ายคือหน่วยงานของรัฐ ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล อาจจะยังไม่ตระหนักถึงความเสี่ยง และผลกระทบต่อข้อมูลส่วนบุคคลมากนัก แต่จะเริ่มปฏิบัติตาม PDPA เพิ่มมากขึ้น เพราะคาดว่าแรงกดดันจากสังคม ที่จะให้ลงโทษหน่วยงานรัฐที่ละเมิดไม่ปฏิบัติตามกฎหมาย PDPA จะสูงขึ้น
องค์กรอยากเริ่มทำ PDPA ทำอย่างไร?
การทำ PDPA ให้ถูกต้องเป็นเรื่องไม่ยาก แต่ต้องมีความเข้าใจในธุรกิจขององค์กร กฎหมายที่เกี่ยวข้อง ไม่เฉพาะ PDPA กระบวนการทำงานขององค์กร และเทคโนโลยีสารสนเทศที่เกี่ยวข้อง โดยมีขั้นตอนดังนี้
ขั้นตอนที่ 1 - องค์กรควรเริ่มด้วยการตั้งคำถามว่า องค์กรเราต้องใช้ข้อมูลส่วนบุคคลจากใคร แบบไหน เพื่อไปทำอะไร รวมทั้งสำรวจข้อมูลส่วนบุคคลที่องค์กรองค์กรมีอยู่
ขั้นตอนที่ 2 - แต่งตั้ง DPO หากเข้าข่ายจำเป็นต้องมี มีพนักงานหรือคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล หากไม่มั่นใจก็อาจจะหาคนที่เข้าใจเรื่องนี้มาช่วย หรือพัฒนาบุคลากรขององค์กรเพื่อให้เข้าใจเรื่อง PDPA องค์กรที่มีการเก็บข้อมูลส่วนบุคคลจำนวนมาก (เกิน 100,000 ราย) หรือทำกิจกรรมที่มีการประมวลผลข้อมูลโดยตรงเป็นหลัก ให้ตีไว้ก่อนเลยว่าต้องมี DPO
ขั้นตอนที่ 3 - มอบหมายให้คนที่ดูแลรับผิดชอบเริ่มต้นจัดทำ บันทึกรายการกิจกรรมการประมวลผล (RoPA) เพื่อให้มองเห็นและติดตามข้อมูลในองค์กรได้ จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ให้เจ้าของข้อมูลส่วนบุคคลทราบแสดงความโปร่งใส มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล และเริ่มสร้างมาตรการความมั่นคงปลอดภัยข้อมูลที่เหมาะสมกับองค์กรและระดับความเสี่ยงของข้อมูล โดยอาจเริ่มจากมาตรการที่ลงทุนน้อย ทำได้ง่าย และขยับไปสู่การปรับเปลี่ยนโครงสร้างขนาดใหญ่ตามลำดับ