ผู้เชี่ยวชาญจาก PwC ประเทศไทย แนะทุกองค์กรเร่งปรับปรุงระบบงานเพื่อรองรับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่เริ่มนับถอยหลังอีก 4 เดือนจะมีผลบังคับใช้ในวันที่ 1 มิ.ย.64 หลังจากเลื่อนมาให้เวลาเตรียมตัวเตรียมใจกันมาแล้วถึง 2 ปี เพราะจากการสำรวจเมื่อปลายปี 63 พบว่ายังมีกว่า 50% ยังไม่ได้มีการจัดการใด ๆ
นางสาวสวาสดิ์วดี อนุมานราชธน หุ้นส่วนสายงานตรวจสอบบัญชี PwC ประเทศไทย กล่าวว่า จากการสำรวจความพร้อมของบริษัทในประเทศไทยเมื่อเดือน ต.ค.63 พบว่าเกือบ 100% เข้าใจและรับรู้ว่ากฎหมายฉบับนี้กำลังจะมีผลบังคับใช้ โดยมีโทษค่อนข้างแรง ทั้งแพ่ง อาญา และโทษทางปกครอง แต่มีแค่ 70% ที่เข้าใจเนื้อหาเชิงลึกของกฎหมาย เพราะเป็นภาษาที่ค่อนข้างเข้าใจยาก
แต่มีบริษัทที่ตอบแบบสำรวจเพียง 50% มีอยู่ระหว่างกำหนดนโยบายและปฏิบัติตาม PDPA แต่ที่เหลือยังไม่ได้ดำเนินการใด ๆ เลย ซึ่งมองว่าค่อนข้างเสี่ยงที่จะเตรียมจัดการระบบภายในได้ทันการบังคับใช้กฎหมายในอีก 4 เดือนข้างหน้า
นางสาวสวาสดิ์วดี กล่าวอีกว่า สิ่งที่ทุกบริษัทและทุกองค์กรควรปฏิบัติในขณะนี้ คือ
1.ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
2.จัดทำการบันทึกรายการ (Records of processing activities: ROPA) ยิ่งบริษัทมีการจัดเก็บข้อมูลส่วนบุคคลมาก อาจจะใช้ Risk-Based Approach ในการจัดการ
3.เผยแพร่นโยบายความเป็นส่วนตัว (Privacy notice) ผ่านทางเว็บไซต์
4.เตรียมข้อความการให้ความยินยอม (Consent) และการจัดเก็บคำยินยอม
5.กำหนดผู้รับผิดชอบในการจัดการและขั้นตอนเพื่อมีการร้องขอ (Data subject rights) รวมถึงกำหนดขอบเขตว่าคำร้องใดที่มีสิทธิหรือไม่มีสิทธิที่จะดำเนินการ
6.วางแผนและกำหนดผู้รับผิดชอบในการรายงานเหตุการณ์การละเมิด (Incident response) ต่าง ๆ
7.จัดทำรายการบุคคลที่สาม และประมินความเสี่ยงที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล รวมทั้งจัดเตรียมข้อตกลงการประมวลผลข้อมูล (Data processing agreement)
8.ฝึกอบรมและให้ความรู้พนักงานเกี่ยวกับ PDPA เพื่อจะได้รับทราบถึงความสำคัญและบทบาทที่ต้องปฏิบัติตาม
ส่วนสิ่งที่ไม่ควรปฏิบัติ คือ อย่ารีบลงทุนติดตั้งระบบต่าง ๆ โดยไม่ได้มีการติดตั้งกระบวนการทำงานให้เป็นรูปเป็นร่างเสียก่อน เข่น อาจใช้เพียงไฟล์ excel ในการรับคำขอใช้สิทธิในช่วงต้น ก่อนที่จะไปลงทุนในโซลูชั่นที่มีราคาแพง และอาจไม่จำเป็น
นางวรรณิภา ร่วมรังษี หุ้นส่วนสายงานภาษีและกฎหมาย PwC กล่าวว่า ส่วนใหญ่ผู้บริหารรู้ว่าจะมีกฎหมายนี้แต่ยังไม่ได้รีบดำเนินการเตรียมความพร้อมเพราะรู้สึกว่าไกลตัว ประกอบกับ ยังไม่เข้าใจว่าจะต้องการจัดการอย่างไร และในระดับใด อย่างกรณีของโรงงานผลิตที่มีพนักงานจำนวนมาก แต่ไม่ได้ทำการตลาด เพราะส่งสินค้า 100% ให้บริษัทลูกติดต่อการค้ากับลูกค้า ก็คิดว่าไม่ต้องอยู่ภายใต้กฎหมายฉบับนี้ ซึ่งไม่ใช่ เพราะทุกคนในประเทศไทยต้องอยู่ภายใต้กฎหมายฉบับดังกล่าว
ทั้งนี้ จากที่เคยเข้าไปดูข้อมูลของโรงงานแห่งหนึ่งมีแผนกต่าง ๆ เกือบ 20 แผนก มีการเก็บข้อมูลส่วนบุคคลทั้งข้อมูลทั่วไป (General Information) และข้อมูลที่ละเอียดอ่อน (Sensitive Information) ดังนั้นระบบจัดเก็บมีความอันตรายที่จะขัดต่อกฎหมายฉบับนี้ได้ เพราะบางข้อมูลที่จัดเก็บไม่จำเป็น และเสี่ยงต่อการผิดกฎหมายดังกล่าว เช่น สำเนาบัตรประชาชน บัตรราชการต่าง ๆ เป็นต้น หรืออย่างกรณีห้องพยาบาลของโรงงานและบริษัทต่าง ๆ มีการจัดเก็บข้อมูลสุขภาพของพนักงานที่เข้ามาใช้บริการรักษาพยาบาล ซึ่งพนักงานทุกคนสามารถเข้าถึงข้อมูลของพนักงานอื่นได้ ซึ่งตามกฎหมายฉบับนี้ไม่สามารถจัดเก็บข้อมูลในลักษณะนี้ได้
กรณีการเก็บข้อมูลส่วนบุคคลของลูกค้า หรือผู้เข้ามาใช้บริการ จะต้องขออนุญาตยินยอมให้นำไปใช้เพื่อดำเนินการอย่างใดอย่างหนึ่ง ซึ่งไม่สามารถไปใช้นอกเหนือจากนั้นได้ อย่างที่ได้เห็นกันบ่อยในช่วงนี้ว่าการเข้าใช้เว็บไซต์ต่าง ๆ ผู้ใช้งานต้องอนุญาตให้ cookie หรือแม้กระทรวง IP address ของผู้ใช้บริการก็ถือเป็นข้อมูลส่วนบุคคลเพราะระบุตัวตนได้
"กฎหมายฉบับนี้ดูตัวบทแล้วดูเหมือนไม่มีอะไรมาก แต่การ Implement จริง ๆ แล้วมีความยากลำบากมาก แล้วจะส่งผลถึงโทษตามกฎหมาย...ต้องมาดูว่าวันนี้ข้อมูลที่เก็บมีความจำเป็นต้องเก็บไว้จริง ๆ หรือเปล่า เพราะกฎหมายกำหนดว่าเก็บเท่าที่มีความจำเป็นเท่านั้น อะไรที่ไม่จำเป็น อย่างศาสนา ก็ไม่จำเป็นต้องเก็บ เพราะหากรั่วไหลออกไปท่านต้องรับผิดชอบ ยิ่งถ้าเป็น Sensitive Information โทษสูงกว่า General Information" นางวรรณิภา กล่าว
การเก็บข้อมูลจะต้องเก็บข้อมูลให้ถูกต้องตามข้อกำหนดในแต่ละฐาน โดยฐานหลัก ได้แก่ ฐานกฎหมาย, ฐานสัญญา, ฐานประโยชน์อันชอบด้วยกฎหมาย และ ฐานของการให้ความยินยอม แต่งตั้งผู้ที่มีหน้าที่รับผิดชอบในการจัดเก็บข้อมูล จัดระบบการไหลของข้อมูลในแต่ละขั้นตอน และมีระบบป้องกันการรั่วไหล รวมทั้งเตือนได้อย่างรวดเร็วเมื่อมีการรั่วไหลเกิดขึ้น เหล่านี้เป็นเรื่องที่จะต้องมีการเปลี่ยนแปลงขั้นตอนการทำงานค่อนข้างมาก
นางสาววิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา และหัวหน้าสายงานกลุ่มธุรกิจบริการทางการเงิน PwC กล่าวว่า บริษัทต่าง ๆ ไม่ควรรีบซื้อเทคโนโลยีมาใช้จัดการข้อมูล เพราะอย่างแรกที่ควรทำคือประเมินก่อนว่าบริษัทมีการจัดเก็บข้อมูลประเภทใด จัดเก็บอย่างไร ระบบการไหลเวียนของข้อมูลเป็นอย่างไร เมื่อเข้าใจแล้วค่อยเริ่มนำซอฟต์แวร์เข้ามาช่วยบริหารจัดการทีละจุด เช่น อาจจะเริ่มจาก Data Inventory, Consent Management และ Data subject right management เป็นต้น