ธนาคารแห่งประเทศไทย (ธปท.) ร่วมกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จัดงานสัมมนา “PDPA ก่อนบังคับใช้…อะไรที่ต้องพร้อม” สำหรับผู้ประกอบธุรกิจทางการเงินที่มิใช่สถาบันการเงิน เพื่อส่งเสริมความรู้ความเข้าใจในแนวทาง PDPA
ธนาคารแห่งประเทศไทย (ธปท.) ร่วมกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ส่งเสริมความรู้ความเข้าใจในแนวทางการกำกับดูแลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งจะมีผลบังคับใช้ในส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ในวันที่ 1 มิถุนายน 2564 นี้ และเป็นการซักซ้อมเตรียมความพร้อมของผู้ประกอบธุรกิจในการปฏิบัติงานให้เป็นไปตามกฎหมายดังกล่าวได้อย่างถูกต้อง สำหรับสถาบันการเงินได้มีการเตรียมการและซักซ้อมการเตรียมความพร้อมก่อนหน้านี้แล้ว สิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงินและเทคโนโลยีทางการเงิน ธปท. กล่าวว่า ปัจจุบันมีพัฒนาการด้านเทคโนโลยีและนวัตกรรมการเงินที่มีการนำข้อมูลมาใช้ในการพัฒนาผลิตภัณฑ์และบริการทางการเงินที่มีประสิทธิภาพและตรงความต้องการของลูกค้ามากขึ้น ทำให้ผู้ประกอบธุรกิจทางการเงินต้องมีการกำกับดูแลและป้องกันข้อมูลของลูกค้าอย่างระมัดระวังและได้มาตรฐาน จึงมีความจำเป็นที่ต้องเข้าใจในหลักการของกฎหมายและสามารถนำไปใช้ในทางปฏิบัติได้อย่างถูกต้อง ก่อนที่กฎหมายจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2564 ยกระดับมาตรฐานเทียบสากล ดร.สุนทรีย์ ส่งเสริม ผู้เชี่ยวชาญจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า มูลค่าของเศรษฐกิจดิจิทัลในประเทศไทยมีอัตราการเติบโตเพิ่มขึ้นอย่างรวดเร็ว จากเดิมคาดว่าจะขยายตัวร้อยละ 25 ใน 5 ปีข้างหน้า โดยปี 2563 ที่ผ่านมามีมูลค่า 1.8 หมื่นล้านดอลลาร์สหรัฐ เนื่องจากสถานการณ์โควิด-19 เข้ามาเป็นตัวเร่งให้ประชาชนหันมาใช้เทคโนโลยีมากขึ้น โดยเฉพาะช่องทางมือถือที่มี 187 เปอร์เซ็นต์ ของจำนวนประชากรในประเทศไทย และมีการใช้อินเทอร์เน็ตผ่านมือถือ 108 เปอร์เซ็นต์ ดังนั้นภาครัฐจึงต้องเร่งสร้างความเชื่อมั่นในการใช้เทคโนโลยี ผ่านการออกกฎหมาย เช่น พรบ.ความปลอดภัยไซเบอร์ พรบ.คุ้มครองข้อมูลส่วนบุคคล สำหรับ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2564 เป็นการยกระดับการคุ้มครองข้อมูลส่วนบุคคลให้เข้มข้นขึ้น หลังจากสหภาพยุโรป หรือ อียู ได้ออกกฎหมายที่เรียกว่า General Data Protection Regulation – GDPR ที่ใช้บังคับกับผู้ประกอบการที่ประมวลผลข้อมูลของคนยุโรป แม้ว่าจะไม่มีสถานประกอบการตั้งอยู่ในยุโรปก็ตาม และที่ผ่านมา มีการบังคับใช้กฎหมายที่มีบทลงโทษรุนแรง ต้องจ่ายค่าปรับไม่ต่ำกว่า 20 ล้านยูโร เช่น กูเกิล เสียค่าปรับ 50 ล้านยูโร ในกรณีขอความยินยอมจากเจ้าของข้อมูลไม่ชัดเจน ทำให้หลายประเทศต้องยกระดับกฎหมายให้เข้มข้น รวมถึงประเทศไทย ทั้งนี้ สรุปสาระของกฎหมายคุ้มครองข้อมูลส่วนบุคคล และหลักการสำคัญในการดูแลข้อมูลส่วนบุคคล เพื่อให้ผู้ประกอบธุรกิจดำเนินการได้ถูกต้อง มีดังนี้ 1. หลักในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 2. มาตรฐานในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ 3. มาตรการดูแลรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล 4. การดูแลสิทธิของเจ้าของข้อมูลส่วนบุคคล สำหรับในส่วนของประชาชนที่ควรระมัดระวังและควรทราบถึงสิทธิข้อมูลส่วนบุคคลของตนมี 3 ประเด็นสำคัญ คือ 1. บุคคลหรือนิติบุคคลที่ได้รับข้อมูลห้ามใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่ได้รับความยินยอม (เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้ โดยได้รับยกเว้นไม่ต้องขอความยินยอม) 2. บุคคลหรือนิติบุคคลที่ได้รับข้อมูลจะต้องไม่ใช้หรือเปิดเผยข้อมูลเพื่อวัตถุประสงค์อื่น 3. การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกการใช้หรือเปิดเผยนั้นไว้ ซึ่งเรื่องนี้ ถือเป็นส่วนหนึ่งในการสร้างความมั่นใจในการนำเทคโนโลยีและนวัตกรรมทางการเงิน เพิ่มความปลอดภัย ให้อยู่ภายใต้หลักในการคุ้มครองสิทธิข้อมูลสิทธิส่วนบุคคลตามหลักกฎหมายเพื่อก่อให้เกิดประโยชน์สูงสุด เช็คลิสต์ 9 เรื่องสำคัญผู้ประกอบการต้องรู้ ผู้ช่วยศาสตราจารย์ ดร.ปิยะบุตร บุญอร่ามเรือง อาจารย์คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ได้อธิบายถึงแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่ผู้ประกอบธุรกิจสามารถนำไปประยุกต์ใช้ให้สอดคล้องตาม PDPA โดยผู้ประกอบธุรกิจควรสอบทานความพร้อมของตนให้ครบตาม PDPA Checklist 9 เรื่อง ดังต่อไปนี้ 1. มีนโยบายของหน่วยงานที่สนับสนุนการปฏิบัติตาม PDPA 2. มีการแจ้งวัตถุประสงค์หรือนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคล 3. จัดทำแบบขอความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล 4. มีการบันทึกกิจกรรม การประมวลผลข้อมูลส่วนบุคคล 5. มีแนวทางรองรับการใช้สิทธิเจ้าของข้อมูลในการเข้าถึงข้อมูลส่วนบุคคลของตน 6. มีแนวทางในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล 7. จัดทำข้อตกลงหรือสัญญาประมวลผลข้อมูล 8. มีมาตรฐานในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ 9. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แนวปฏิบัตินี้เป็นการส่งเสริมและสนับสนุนให้เกิดการใช้ประโยชน์ข้อมูลส่วนบุคคลอย่างปลอดภัย และสอดคล้องตามมาตรฐานสากล อ่านเพิ่มเติม: SCB ชิงผู้นำตลาดเวลธ์ 11 ล้านล้านบาทไม่พลาดเรื่องราวน่าสนใจอื่นๆ ของเรา ติดตามเราได้ที่เฟซบุ๊ก Forbes Thailand Magazine