ผ่านมาเกือบ 1 ปีแล้วสำหรับการประกาศ พ.ร.บ คุ้มครองส่วนบุคคล เมื่อวันที่ 27 พฤษภาคม 2562 ที่ผ่านมา ในปีนี้ถือเป็นปีที่จะมีการบังคับใช้อย่างจริงจังแล้ว ดังนั้นหลายๆองค์กรไม่ควรจะมองข้ามนะคะ
หลายๆท่านอาจจะยังไม่ค่อยคุ้นเคยกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของไทยเท่าไหร่ แต่รู้ไหมว่าจริงๆแล้ว พ.ร.บ.นี้มีการปรับรายละเอียดมาจาก “กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (GDPR)” นั่นเอง
โดยวัตถุประสงค์หลักของ พ.ร.บ.ฉบับนี้คือเพื่อป้องกันข้อมูลส่วนบุคคลหรือข้อมูลส่วนตัวของเราไม่ให้รั่วไหลและเกิดผลเสียต่อเจ้าของข้อมูลนั่นเอง โดยมีบทบัญญัติดังต่อไปนี้
ผู้รับผิดชอบการออกเงื่อนไข กฎระเบียบและแนวทางของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เรียกว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Commission)
หน่วยงานที่ถือครองข้อมูลและหน่วยประมวลผลข้อมูลของทุกองค์กรต้องแต่งตั้งพนักงานดูแลป้องกันข้อมูลและวางมาตรการเพื่อแจ้งเจ้าหน้าที่หรือแจ้งเจ้าของข้อมูลในกรณีที่ข้อมูลเกิดรั่วไหล
แม้แต่บริษัทฯต่างชาติที่ทำธุรกิจในไทยก็ควรตื่นตัวเรื่องนี้เช่นกัน เพราะ พ.ร.บ. ฉบับนี้มีผลบังคับควบคุมต่อการเสนอบริการและสินค้าให้กับเจ้าของข้อมูลทุกคนที่อยู่ในประเทศไทยและเกิดขึ้นในประเทศไทย
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้ควบคุมสิทธิ์เจ้าของข้อมูลเช่นเดียวกันกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ตัวอย่างเช่น
“ผู้ถือครองข้อมูล” หมายถึงบุคคลหรือองค์กรที่สามารถตัดสินใจเรื่องการเก็บข้อมูล การนำข้อมูลไปใช้หรือการเปิดเผยข้อมูล ตามเงื่อนไขของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ถือครองข้อมูลจะต้อง
“ผู้ประมวลผลข้อมูล” หมายถึงคนหรือบริษัทฯที่ประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์และวิธีการของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งในบางครั้ง “ผู้ประมวลผลข้อมูล”กับ “ผู้ควบคุมข้อมูล” อาจจะเป็นคนเดียวกันก็ได้ ผู้ประมวลผลข้อมูลจะต้องมั่นใจว่ามีมาตรการป้องกันข้อมูลส่วนตัวที่เพียงพอและมีการลงบันทึกหลังจากการประมวลข้อมูลทุกครั้ง
ในกรณีผู้ควบคุมข้อมูลไม่ทำตาม พ.ร.บ.ที่กำหนด จะมีโทษทางแพ่ง อาญาและปกครอง
การฝ่าฝืนหรือไม่ทำตามอาจนำไปสู่การฟ้องร้องจากเจ้าของข้อมูล (ปรับไม่เกิน 2 เท่า) และอาจต้องระวางโทษจำคุกหรือปรับ นอกจากนี้อาจมีค่าปรับ สูงสุดถึง 5 ล้านบาท
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถผ่อนผันได้ 1 ปี ซึ่งกฎเสริมอื่นๆจะออกโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ปีนี้อาจเป็นจุดเปลี่ยนของหลายๆบริษัทฯ เพราะปีที่ผ่านๆมากฎหมายคุ้มครองข้อมูลส่วนตัวในประเทศไทยยังถือว่าหละหลวมอยู่เมื่อเทียบกับ พ.ร.บ.ฉบับใหม่นี้
ผลที่ตามมาคือค่าใช้จ่ายในระบบปฏิบัติการของบริษัทฯอาจจะสูงขึ้น และอาจต้องหันกลับมาทบทวนระเบียบการรักษาความปลอดภัยของข้อมูลใหม่ ระหว่างที่ยังไม่ได้ประกาศใช้ พ.ร.บ. อย่างเป็นทางการ แต่ละบริษัทฯอาจเริ่มจากวิเคราะห์สถานะปัจจุบันของบริษัทฯตัวเอง หาช่องโหว่ที่ต้องเติมเต็ม ค่อยๆหามาตรการป้องกันหรืออุดช่องโหว่นั้นตามระดับความปลอดภัยของข้อมูลและการคุ้มครองข้อมูลส่วนบุคคล เช่น การจัดการระบบโครงสร้างสภาพแวดล้อมด้าน IT ใหม่
หากคุณไม่แน่ใจว่าจะจัดการกับโครงสร้างสภาพแวดล้อมด้าน IT ของคุณอย่างไรเพื่อให้รองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัทฯ นีออส ไอที เซอร์วิสเซส สามารถช่วยคุณสรรหาเทคโนโลยีที่เหมาะสมในการรักษาระดับความปลอดภัยในข้อมูลขององค์กรคุณหรือข้อมูลของลูกค้าในองค์กรคุณได้
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ควรเป็นเรื่องที่ฝ่ายบริหารให้ความสนใจเป็นอันดับต้นๆ เนื่องจากมีความซับซ้อนและหากปฏิบัติผิด อาจสร้างผลกระทบอย่างมหาศาลต่อบริษัทฯ