DOs & DON’Ts 8 ข้อ ที่องค์กรห้ามพลาดให้ถูกต้องตามหลัก PDPA

สำหรับการปฏิบัติตามกฎหมาย PDPA ที่บังคับใช้เมื่อไม่นานมานี้ ผู้ประกอบการและบริษัทต่างก็ตื่นตัวและมุ่งเตรียมพร้อมให้กระบวนการทำงานภายในบริษัทสอดคล้องกับ PDPA  แต่จากกรณีศึกษาที่ผ่านมาพบว่า ยังคงมีหลายกรณีที่บางบริษัทมีความสับสน และไม่มีความเข้าใจที่ถูกต้อง ทำให้การปฏิบัติตาม PDPA กลายเป็นเรื่องยุ่งยากและซับซ้อน ซึ่งสุดท้ายก็ไม่สามารถปฎิบัติตาม PDPA ได้อย่างถูกต้อง และเป็นการผิดต่อข้อกฎหมาย PDPA อยู่ดี ดังนั้น ในบทความนี้ CookiePlus ขอเปรียบเทียบ Dos & Dont เพื่อให้เข้าใจได้ง่ายขึ้น ดังนี้

DON’Ts สิ่งที่ไม่ควรทำเมื่อมีการประกาศใช้ PDPA

เก็บข้อมูลนานเกินความจำเป็น

จากที่ผ่านมา หลายบริษัทเน้นการเก็บข้อมูลส่วนบุคคล ทั้งไม่ว่าจะของลูกค้า หรือพนักงานในองค์กรเอง อย่างไม่มีกำหนดระยะเวลาที่แน่นอน เพราะเชื่อว่า ยิ่งเก็บไว้นานก็ยิ่งสามารถนำไปใช้ประโยชน์ได้มากขึ้น แต่แท้จริงแล้ว การทำอย่างนั้น มักจะส่งผลเสียมากกว่าผลดี เนื่องจากว่า หากบริษัทไม่มีการคัดกรองข้อมูลที่ยังคงใช้ประมวลผลอยู่ นอกจากจะไม่สามารถใช้ประโยชน์สูงสุดได้จากข้อมูลดังกล่าวแล้ว ยังต้องแบกรับภาระหน้าที่ในการดูแลรักษาความมั่นคงปลอดภัยของข้อมูลอีกด้วย เพราะหากว่ามีการรั่วไหลเกิดขึ้น แม้เป็นข้อมูลที่ไม่ได้ใช้ บริษัทก็ต้องรับโทษตามกฎหมายอยู่ดีนั่นเอง

Opt-in Consent

ตามกฎหมาย PDPA นั้น การให้ความยินยอมจะต้องเป็นอิสระ ไม่ถูกบังคับหรือมีเงื่อนไข เพราะฉะนั้น การ Opt-in Consent อย่างเช่น การตั้งค่าความยินยอมคุกกี้บนเว็บไซต์ไว้ก่อนที่เจ้าของข้อมูลจะให้ความยินยอมนั้น ถือเป็นความยินยอมที่ไม่ชอบด้วยกฎหมาย ทำให้เป็นการเก็บรวบรวมข้อมูลคุกกี้โดยไม่มีฐานทางกฎหมายที่ถูกต้องมารองรับ ดังนั้น จึงส่งผลให้บริษัทไม่สามารถนำข้อมูลดังกล่าวมาประมวลผลตามวัตถุประสงค์ที่คาดหมายได้ เพราะไม่เป็นไปตามที่กฎหมายกำหนด

วัฒนธรรมองค์กรที่หละหลวม

บ่อยครั้ง สิ่งที่บริษัทหลงลืมไป ก็คือการอบรมให้บุคลากรในองค์กรตระหนักถึงความสำคัญของข้อมูลที่ไหลเวียนอยู่ภายในบริษัท ซึ่งท้ายที่สุดแล้ว การหลงลืมหรือละเลยในจุดนี้ ก็สามารถนำไปสู่เหตุการณ์รั่วไหลของข้อมูลได้เช่นกัน จากสถิติที่ผ่านมาพบว่า ข้อมูลที่รั่วไหลนั้นมักเกิดจากความผิดพลาดของคนภายในองค์กรเอง (Human Error) มากกว่าอาชญากรรมไซเบอร์เสียด้วยซ้ำไป ถือเป็นความเสี่ยงที่องค์กรไม่ควรปล่อยปละละเลยเป็นอย่างยิ่ง

ใช้เอกสารเดิมที่เคยมี

บริษัทไม่มีการปรับเอกสารที่ใช้ภายในบริษัทให้เป็นปัจจุบัน สมบูรณ์และครบถ้วน อาจทำให้เกิดข้อผิดพลาดหรือความเข้าใจที่คลาดเคลื่อนได้ ทั้งต่อบุคคลภายนอก หรือบุคลากรภายในองค์กร เพราะหากยังคงใช้เอกสารชุดเดิม เช่น นโยบายบริษัท สัญญาระหว่างคู่ค้า เป็นต้น อาจทำให้บริษัทไม่สามารถปรับกระบวนการทำงานให้สอดคล้องและเป็นไปตามกฎหมาย PDPA ได้

การปรับเปลี่ยน หรือบางเอกสารที่ไม่เคยมี ก็ต้องถูกจัดทำขึ้นมาเพื่อให้สอดคล้องกับสิ่งที่กฎหมายกำหนด

DOs สิ่งที่ควรทำเมื่อมีการประกาศใช้ PDPA

หลัก Data Minimization

มากกว่าการปฏิบัติตามกฎหมาย PDPA ก็คือการปรับการทำงานภายในบริษัทให้มีประสิทธิภาพยิ่งขึ้น ดังนั้น บริษัทควรปรับใช้หลักการจัดเก็บข้อมูลเท่าที่จำเป็น (Data Minimization) โดยคัดกรองข้อมูลที่จำเป็นต่อกระบวนการทำงานภายในบริษัท พร้อมทั้งกำหนดระยะเวลาจัดเก็บที่จำกัด และไม่นานเกินความจำเป็นตามวัตถุประสงค์ เพื่อให้บริษัทได้ใช้ข้อมูลที่มีอยู่ในมือจนเกิดประโยชน์สูงสุด

สามารถตั้งค่าให้ความยินยอมคุกกี้ได้

การที่บริษัทจะสามารเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้อย่างถูกต้องตามกฎหมาย PDPA นั้น จะต้องมีฐานทางกฎหมายที่ชอบด้วยกฎหมายรองรับ ยกตัวอย่างเช่น การขอความยินยอมคุกกี้บนเว็บไซต์ จะต้องเป็นการขอความยินยอม ที่ให้อิสระแก่เจ้าของข้อมูลในการตัดสินใจ โดยไม่ถือวิสาสะเลือกไว้ก่อน ดังนั้น การที่หน้าเว็บไซต์ของบริษัทมี Cookie Consent Banner ที่ถูกต้องตามหลักกฎหมายจึงสำคัญมาก เนื่องจากเป็นหน้าด่านในการรับข้อมูลเข้ามาภายในบริษัทนั่นเอง

อบรมบุคลากรในบริษัท (PDPA Awareness Training)

นอกจากมาตรการรักษาความมั่นคงปลอดภัยในด้านต่าง ๆ แล้ว สิ่งที่บริษัทขาดไม่ได้และต้องจัดให้มีขึ้นตามกฎหมาย PDPA ก็คือ การอบรมพนักงานภายในองค์กรอย่างสม่ำเสมอเพื่อให้มีความรู้และความเข้าใจเกี่ยวกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เพื่อที่พนักงานแต่ละแผนกจะได้สามารถนำความรู้ความเข้าใจนี้ไปประยุกต์และปรับใช้ให้สอดคล้องกับกระบวนการทำงานภายในบริษัทและหน้าที่ของตนได้อย่างถูกต้อง

Update เอกสารที่จำเป็น

เนื่องจากการปฏิบัติตามกฎหมาย PDPA ทำให้บริษัทต้องปรับเปลี่ยนกระบวนการทำงานภายในองค์กร รวมไปถึงเอกสารที่เกี่ยวข้องที่ต้องเป็นปัจจุบัน บริษัทจึงควรอัพเดตเอกสารเหล่านี้อยู่สม่ำเสมอ เพื่อไม่ให้การสื่อสารขององค์กรตกหล่นไป เช่น นโยบายความเป็นส่วนตัว นโยบายคุกกี้ สัญญาการประมวผลข้อมูลส่วนบุคคล เป็นต้น จะเห็นได้ว่า บางเอกสารต้องแก้ไขเปลี่ยนแปลงใหม่โดยอ้างอิงจากกระบวนการทำงานที่ถูกปรับเปลี่ยน หรือบางเอกสารที่ไม่เคยมี ก็ต้องถูกจัดทำขึ้นมาเพื่อให้สอดคล้องกับสิ่งที่กฎหมายกำหนด

จากข้อปฏิบัติที่ "ควรทำ" และ "ไม่ควรทำ" ทั้งหมดนี้ บริษัทควรตรวจสอบกระบวนการทำงานภายในบริษัทของตนว่ามีสิ่งใดที่ควรทำ หรือสิ่งใดที่ควรถูกปรับเปลี่ยน เพื่อให้องค์กรสามารถปฏิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง ครบถ้วนและเกิดประโยชน์สูงสุดต่อบริษัท  เรายินดีให้คำปรึกษาโดยไม่มีค่าใช้จ่ายเกี่ยวกับขั้นตอนเริ่มต้น ที่บริษัทของคุณควรจะต้องมีตาม PDPA ทั้งนี้ สามารถติดต่อเข้ามารับคำปรึกษาได้ทันที