เปิดข้อควรระวังของการจัดเก็บข้อมูลในองค์กรตามหลัก PDPA

ปัจจุบันเรื่องของกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีบทบาท และเป็นเรื่องที่สังคมให้ความสนใจเป็นอย่างมาก ซึ่งทุกองค์กรจำเป็นที่จะต้องเรียนรู้ ทำความเข้าใจ และนำไปปรับใช้ภายในองค์กรอย่างเหมาะสม

อ.ดร.นพ.นวนรรน ธีระอัมพรพันธุ์ นักวิชาการด้านสารสนเทศสุขภาพ รองคณบดีฝ่ายปฏิบัติการ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี ม.มหิดล คณะกรรมการผู้ทรงคุณวุฒิ ด้านการคุ้มครองส่วนบุคคล ได้อธิบาย PDPA ในเบื้องต้นว่า PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคลล ว่าด้วยเรื่องหลักการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล  ไม่ว่าจะเป็นมาตรการกำหนดการคุ้มครอง หลักการนำไปใช้ หรือการประกันข้อมูล โดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จะช่วยยกระดับการใช้งานบนยุคดิจิทัล เพื่อให้การดูแลข้อมูลของผู้ใช้งานในประเทศไทยมีมาตรฐานมากขึ้น

ถึงแม้เรื่องของ PDPA จะเป็นเรื่องที่ค่อนข้างใหม่สำหรับสังคม และองค์กร แต่ก็ถือเป็นเรื่องสำคัญ และเป็นเรื่องเร่งด่วนที่องค์กรต้องทำความเข้าใจ เพื่อนำไปปรับใช้ โดยองค์กรต้องมองหาว่ามีสิ่งไหนที่ต้องปรับปรุง และทำความเข้าใจเพิ่มเติม หรืออาจเป็นการมองหาที่ปรึกษาจากผู้เชี่ยวชาญในเรื่องดังกล่าว ซึ่งในขั้นตอนการพิจารณานี้ อ.ดร.นพ.นวนรรน เสริมว่า สิ่งที่เราจะได้เห็นเรียกว่า ‘Gap’ หรือช่องโหว่ของการทำงานที่มาจากการดำเนินการที่มาก่อนกฎหมายเกิด ซึ่งทำให้อาจเกิดช่องโหว่ที่องค์กรต้องรีบปิด หรือหาทางออกร่วมกันให้ถูกต้องตามหลัก PDPA

อ.ดร.นพ.นวนรรน กล่าวว่า การเริ่มต้นใช้ PDPA ในองค์กรถือเป็นโจทย์เร่งด่วน เนื่องจากกฎหมายมีผลบังคับใช้ สิ่งที่หน่วยงานและองค์กรควรทำคือ จัดตั้งทีมงานเข้ามาร่วมกันดำเนินการ โดยในกระบวนการดังกล่าวนั้น ไม่สามารถเปลี่ยนได้ด้วยคนเดียว หรือภายในแผนกเดียว แต่เรื่องของ PDPA ต้องพึ่งพาความรู้จากหลาย ๆ ฝ่าย เพราะเรื่องของการจัดการ PDPA มีความเกี่ยวข้องกับหลายหน่วยงาน บางหน่วยงานเป็นแหล่งดูแลเก็บรวบรวมข้อมูล บางหน่วยงานต้องพัฒนาโปรแกรม หรือบางหน่วยงานเป็นส่วนที่ต้องใช้ข้อมูลส่วนบุคคล

นอกจากนี้อีกหนึ่งเรื่องสำคัญของการใช้ PDPA ที่ควรมี คือ Privacy Notice หรือ การประกาศความเป็นส่วนตัว ซึ่งเป็นการแจ้งเตือนถึงข้อกำหนดของการเก็บรวบรวม การนำไปใช้ และการเปิดเผยข้อมูลให้กับเจ้าของข้อมูลได้ทราบถึงขอบเขตการใช้งานเพื่อเป็นอันเข้าใจร่วมกัน

โดย อ.ดร.นพ.นวนรรน ได้ให้ข้อควรระวังในการจัดเก็บข้อมูลขององค์กรไว้ 4 ข้อดังนี้ 1. เก็บข้อมูลเท่าที่จำเป็นต้องใช้ 2. PDPA ไม่ใช่เรื่องของฝ่ายใดฝ่ายหนึ่ง 3. การขอคำยินยอม หรือ Consent คือทางเลือกข้อสุดท้าย 4. Transaction Log ไม่ได้จำเป็นเสมอไป

“จะเห็นได้ว่าการนำไปใช้ในองค์กรให้เหมาะสมนั้น มีหลากหลายมิติที่หลายฝ่ายในองค์กรจำเป็นต้องหาทางออกร่วมกัน เพื่อนำหลักกฎหมาย PDPA ไปใช้อย่างถูกต้อง และเกิดประโยชน์สูงสุด”

บทความนี้เป็นส่วนหนึ่งของบทความเรื่อง “PDPA in Action ปรับองค์กรให้ทัน ตามหลัก PDPA” จากเว็บไซต์ ICHI ซึ่งสามารถอ่านบทความฉบับเต็มต่อได้ที่ ICHI Website : https://bit.ly/3vSVoAV