ทำไม “PDPA Awareness” ถึงสำคัญกับพนักงานในองค์กร

สวัสดีครับ เป็นอย่างไรกันบางครับกับการเลื่อนบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ปี 2562 หรือที่รู้จักกันสั้น ๆ ว่า PDPA ในบางมาตราเป็นครั้งที่ 2 ไปวันที่ 1 มิถุนายน 2565 เราก็จะเหลือเวลาอีกเกือบปี ที่จะเตรียมตัว หรือ ทบทวนให้พร้อมเมื่อกฎหมาย บังคับใช้จริง แต่ไม่ว่าองค์กรของท่านจะมีการประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล แนวปฏิบัติการรักษาความปลอดภัยข้อมูลส่วนบุคคล กระบวนการขอความยินยอม หรือ การเข้ารหัสข้อมูลส่วนบุคคลของลูกค้า ไปแล้ว แต่มีสิ่งหนึ่งที่ต้องจัดทำอย่างต่อเนื่อง นั้นคือ การสร้างความตระหนักรู้ หรือ PDPA Awareness ในเรื่องการใช้ข้อมูลส่วนบุคคลให้กับพนักงานในองค์กรที่สอดคล้องกับ พ.ร.บ. นี้นั้นเอง

ทำไม PDPA Awareness ถึงสำคัญต่อพนักงานในองค์กร

1. พนักงานเป็นผู้ที่ “เก็บ ใช้ เปิดเผย” ข้อมูลส่วนบุคคล

       พนักงานเป็นผู้ที่ “เก็บ ใช้ เปิดเผย” ข้อมูลส่วนบุคคล ไม่ว่าจะเป็นของลูกค้า หรือ พนักงานงานขององค์กรด้วยกัน ข้อมูลส่วนบุคคลในองค์กรถูกใช้ในการประมวลผลในหลากหลายรูปแบบตามรูปแบบกิจการขององค์กร เช่น ส่งเสริมการขาย วิเคราะห์ข้อมูลเพื่อปรับปรุงผลิตภัณฑ์/บริการ หรือ สรุปรายงานต่าง ๆ เป็นต้น ซึ่งในหลาย ๆ กิจกรรม พนักงานผู้มีหน้าที่รับผิดชอบ จะต้องใช้ข้อมูลส่วนบุคคลที่จัดเก็บมาใช้

ยกตัวอย่าง:

นางสาวบี พนักงานส่งเสริมการตลาด ได้รับมอบหมายให้ทำแคมเปญเพื่อเพิ่มยอดขายในเดือนนี้ ผ่านช่องทางอีเมลและ SMS และนางสาวบีก็ได้ทำการรวบรวมรายชื่ออีเมลพร้อมเบอร์โทรศัพท์ของลูกค้าทั้งหมด ส่งให้บริษัทเอเจนซี่ เพื่อดำเนินการทันทีเพื่อยอดขายที่จะกลับเข้ามาเร็วที่สุด

…แต่ถ้านางสาวบีพลาด โดยไม่ได้ตรวจสอบข้อมูลลูกค้าทั้งหมด ว่าได้ขอความยินยอมในการส่งเสริมการขายมาแล้วทั้งหมดทุกรายชื่อหรือไม่ หากไม่ได้ขอไว้หรือมียินยอมแค่บางส่วนละครับ…ความผิดพลาดที่หนึ่ง
และได้ตรวจสอบความยินยอมในการส่งข้อมูลไปยังภายนอกแล้วหรือไม่…ความผิดพลาดที่สอง อีกทั้งได้ตรวจสอบสัญญารักษาความปลอดภัยข้อมูลส่วนบุคคลระหว่างบริษัทเอเจนซี่ว่าได้ทำแล้วหรือไม่…ความผิดพลาดที่สาม

จะเห็นได้ว่าเหตุการณ์นี้องค์กรจะมีความผิดตามกฎหมายในมาตรา 27 เป็นอย่างน้อยในการใช้ หรือ เปิดเผยข้อมูล ผิดวัตถุประสงค์หรือไม่ได้รับความยินยอม

2. ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลพ.ศ.๒๕๖๓ ในข้อ ๔ ได้กำหนดไว้ว่า

“ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามประกาศนี้ให้แก่บุคลากรพนักงานลูกจ้างหรือบุคคลที่เกี่ยวข้องทราบรวมถึงสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าวปฏิบัติตามมาตรการที่กำหนดอย่างเคร่งครัด”

เพราะฉะนั้นแล้ว… เราจึงไม่อาจละเลยการสร้างความตระหนักรู้เกี่ยว พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ได้เลยโดยเฉพาะเหตุการณ์ที่ 1 ของนางสาวบี ที่สามารถทำให้องค์กรผิดกฎหมาย โดนปรับ และเสื่อมเสียชื่อเสียงได้ เพราะโลกโซเชียวข่าวเสียหายจากองค์กรมักแพร่กระจายไปไวเกินกว่าที่เราจะควบคุม

แล้วเราจะเริ่มอย่างไร ?

       คำตอบ: ง่าย ๆ เลยครับ แจก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ให้ทุกคนไปคัดมา 100 จบแล้วส่งที่ HR โดยกำหนดเป็น KPI ในการขึ้นเงินเดือนและตำแหน่ง….

       ผมล้อเล่นนะครับ ทำอย่างนี้ไม่เป็นผลดีต่อองค์กรและพนักงานเองแน่นอน 😅

ผมมีแนวทางมานำเสนอทำได้จริงเพียง 3 ขั้นตอน

3 ขั้นตอนเตรียมตัวทำ PDPA Awareness ให้กับพนักงานอย่างไรให้มีประสิทธิภาพ

ขั้นตอนที่ 1: รวบรวมเนื้อหา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยมีหัวข้อที่พนักงานควรรู้ควรประกอบไปด้วย

• หน้าที่หลักของ Data Controller ตามกฎหมายมีอะไรบ้าง
• ทำไมต้องขอความยินยอมในการใช้ข้อมูลส่วนบุคคล
• ข้อยกเว้นการข้อความยินยอมตามกฎหมายมีอะไรบ้าง
• อะไรคือข้อมูลส่วนบุคคลตามกฎหมาย และข้อยกเว้น (มาตรา 24)
• อะไรคือข้อมูลที่มีความอ่อนไหวสูงตามกฎหมาย และข้อยกเว้น (มาตรา 26)
• สิทธิ์ของเจ้าของข้อมูลมีอะไรบ้าง
• ใครคือ Data Process แล้วเราต้องปฏิบัติอย่างไรเมื่อมีการส่งข้อมูลส่วนบุคคลไปยัง Data Processor
• รูปแบบและรายละเอียดบทลงโทษทางกฎหมาย (อาญา, แพ่ง และ ปกครอง)
• ข้อมูลติดต่อ DPO ในองค์กรและการแจ้งเหตุข้อมูลรั่วไหล

ขั้นตอนที่ 2: แบ่งพนักงานออกเป็น 2 กลุ่ม

1. กลุ่มพนักงานทั่วไปที่ไม่ได้มีหน้าที่ประมวลผลข้อมูลส่วนบุคคล
   กลุ่มนี้ควรได้รับข้อมูลที่จัดเตรียมไว้ในขั้นตอนที่ 1 ทั้งหมด
2. กลุ่มพนักงานที่มีหน้าที่ เก็บ ประมวลผล และเปิดเผยข้อมูลส่วนบุคคล โดยตรง
   กลุ่มนี้นอกจากควรได้รับข้อมูลที่จัดเตรียมไว้ในขั้นตอนที่ 1 ทั้งหมดแล้วควรมีหัวข้อเพิ่มเติมดังนี้
   – ระเบียบปฏิบัติในการเก็บข้อมูลและขอความยินยอม เช่น การใช้แบบฟอร์มต่าง ๆ และการแจ้งต่อเจ้าของข้อมูล
   – ระเบียบปฏิบัติในการประมวลผลข้อมูล ขั้นตอนในการตรวจสอบความยินยอมก่อนนำข้อมูลไปใช้ ตามที่องค์กรกำหนด
   – ระเบียบปฏิบัติในการส่งหรือโอนข้อมูลไปประมวลผลภายนอกองค์กร
   – ขั้นตอนให้การรับแจ้งสิทธิของเจ้าของข้อมูล เช่น การเปลี่ยนแปลงให้ถูกต้อง การระงับ หรือ การลบ/ทำลาย

ขั้นตอนที่ 3: กำหนดรูปแบบการสอน

• การจัดอบรมตามกลุ่มที่แบ่งในขั้นตอนที่ 2 ทั้งในรูปแบบ Online และ Offline โดยพนักงานที่มีความรู้ความเข้าใจในหัวข้อที่กำหนดไว้และสามารถถ่ายทอดความรู้ได้ หรือ เชิญผู้เชี่ยวชาญภายนอกมาให้ความรู้
• จัดทำสื่อการเรียน Online โดยพนักงานที่มีความรู้ความเข้าใจในหัวข้อที่กำหนดไว้และสามารถถ่ายทอดความรู้ได้ หรือ เชิญผู้เชี่ยวชาญภายนอก เป็นวิดีโอหลักสูตรในระบบ E-Learning ขององค์กร
• ทำจดหมายข่าวส่งเป็นรายเดือนหรือรายสัปดาห์โดยมีเนื้อหาในแต่ละฉบับตามหัวข้อที่จัดเตรียมไว้แบ่งเป็นกลุ่มพนักงานในขั้นตอนที่ 2
• รวบรวมและจัดทำระเบียบปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลขององค์กรให้พนักงานในกลุ่มที่ 2 โดยอยู่ในอินทราเน็ตภายในหรือไฟล์ดิจิทัลในการเข้าใช้ข้อมูลได้ง่าย

แต่…การสร้างความตระหนักรู้ หรือ PDPA Awareness จะไม่เกิดผล ถ้าขาดความต่อเนื่อง ถ้าไม่ทำตาม 3 ข้อนี้

องค์กรควรมีการทบทวนและปรับปรุงอย่างสม่ำเสมอโดยเฉพาะ

1. ขั้นตอนที่ 1 ควรทบทวนอย่างน้อยทุก ๆ 6 เดือน เพราะอาจจะมีประกาศใหม่ที่เกี่ยวข้องกับกฎหมายออกมา
2. ขั้นตอนที่ 2 ควรทบทวนอย่างน้อยทุก ๆ 6 เดือน เพราะอาจมีการเพิ่มลดหรือปรับเปลี่ยนหน้าที่รับผิดชอบของพนักงาน
3. ขั้นตอนที่ 3 ควรสื่อสารอย่างสม่ำเสมอหรือ อย่างน้อยปีละครั้งสำหรับการอบรม เพื่อเป็นการย้ำเตือนพนักงานในด้านความสำคัญในการรักษาความปลอดภัยข้อมูลส่วนบุคคล

ทั้งหมดนี้ยังเป็นแค่ส่วนหนึ่งของการสร้างความตระหนักรู้เกี่ยว พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล(PDPA Awareness) ในส่วนการ “เก็บ ใช้ เปิดเผย” ข้อมูลส่วนบุคคลเท่านั้น ยังมีอีกส่วนที่สำคัญมากคือ การป้องกันข้อมูลรั่วไหลจากภัยไซเบอร์ (Cybersecurity) ซึ่งจะมีรายละเอียดอย่างไรเตรียมพบกันในบทความต่อไปครับ