PDPA : ก้าวใหม่ของมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในองค์กรยุคดิจิทัล 

 ในยุคที่ "ข้อมูล" เปรียบเสมือนสินทรัพย์ที่มีมูลค่ามหาศาล
การบริหารจัดการข้อมูลอย่างถูกต้องและปลอดภัยจึงชี้วัดความเป็นมืออาชีพขององค์กร บทความนี้จะพาทุกท่านไปทำความเข้าใจแก่นแท้ของ PDPA เพื่อให้องค์กรสามารถนำไปปฏิบัติได้อย่างถูกต้องและปลอดภัย 

 ข้อมูลส่วนบุคคลคืออะไร
สิ่งแรกที่ต้องทำความเข้าใจคือ ความหมายของ "ข้อมูลส่วนบุคคล"
ตามกฎหมาย PDPA ข้อมูลส่วนบุคคลหมายถึง ข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล อายุ ที่อยู่ เบอร์โทรศัพท์ รวมถึงหมายเลขไอพี (IP Address) และอีเมลที่ระบุตัวตนได้
 นอกจากนี้ กฎหมายยังให้ความสำคัญเป็นพิเศษกับ "ข้อมูลส่วนบุคคลที่อ่อนไหว" (Sensitive Data) เช่น ข้อมูลสุขภาพ ประวัติอาชญากรรม ข้อมูลพันธุกรรม (DNA) ข้อมูลชีวภาพ และพฤติกรรมทางเพศ

 บทบาทสำคัญ 3 ประการในระบบ PDPA 
การดำเนินงานภายใต้ PDPA จะเกี่ยวข้องกับบุคคล 3 กลุ่มหลัก ได้แก่
 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller): ผู้ที่มีอำนาจ "ตัดสินใจ" ว่าจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างไร
 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor): ผู้ที่ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคล "ตามคำสั่ง" หรือตามสัญญาที่ทำไว้กับผู้ควบคุมข้อมูลส่วนบุคคล
 เจ้าของข้อมูลส่วนบุคคล (Data Subject): ตัวบุคคลที่ข้อมูลส่วนบุคคลนั้นระบุไปถึง

 กรณีศึกษา: เพื่อให้เห็นภาพชัดขึ้น จึงขอยกตัวอย่างกรณีศึกษาที่เคยเกิดขึ้นจริงในองค์กร เมื่อเจ้าหน้าที่ฝ่ายทรัพยากรบุคคล (HR) ของบริษัทแห่งหนึ่ง ได้ส่งเอกสารปรับโครงสร้างเงินเดือนประจำปีให้พนักงานผ่านบุคคลอื่น โดย "ไม่ปิดผนึกซองเอกสาร" เหตุการณ์นี้ส่งผลให้เพื่อนร่วมงานที่ไม่เกี่ยวข้องสามารถเปิดดูข้อมูลเงินเดือนได้

 จากกรณีนี้ คณะกรรมการผู้เชี่ยวชาญพิจารณาว่าบริษัทมีความผิด แม้จะเกิดจากความประมาทเลินเล่อ ไม่ได้ตั้งใจ แต่ก็ถือเป็นการละเมิด PDPA !!บทเรียนที่สำคัญจากเหตุการณ์นี้คือ ข้อมูลเงินเดือนถือเป็นข้อมูลที่มีความละเอียดอ่อน และความประมาทเลินเล่อแม้เพียงเล็กน้อย ก็อาจนำไปสู่ความรับผิดทางกฎหมาย

เพราะฉะนั้น PDPA จึงไม่ใช่เพียงข้อบังคับทางกฎหมายที่สร้างภาระให้องค์กร แต่เป็นเครื่องมือสร้าง #ความเชื่อมั่น ให้กับลูกค้าและพนักงาน  เพื่อป้องกันข้อผิดพลาด องค์กรควรจัดให้มีมาตรการจัดการเอกสารที่ปลอดภัยทั้งในรูปแบบทางกายภาพและดิจิทัล พร้อมทั้งจัดการอบรมให้ความรู้แก่เจ้าหน้าที่ที่เกี่ยวข้องอย่างสม่ำเสมอ

ท้ายที่สุดแล้ว ความตระหนักรู้และการวางระบบที่รัดกุมจะเป็นเกราะป้องกันที่ดีที่สุดสำหรับการดำเนินธุรกิจในยุคดิจิทัล
โดยเฉพาะอย่างยิ่ง สำหรับผู้ประกอบการกลุ่ม #อุตสาหกรรมสร้างสรรค์ (Creative Industry) ที่ต้องทำงานบนพื้นฐานแนวความคิดใหม่ร่วมกับผู้อื่น เพื่อป้องกันไม่ให้เกิดการคัดลอกหรือเลียนแบบ ทั้งรสนิยม ความชอบ และพฤติกรรมของลูกค้า การปฏิบัติตาม PDPA อย่างเคร่งครัดจะกุญแจสำคัญในการ "รักษาฐานข้อมูลลูกค้า” ที่มีค่าที่สุดไว้ เพราะเมื่อลูกค้าสัมผัสได้ถึงความปลอดภัยและความใส่ใจในการปกป้องข้อมูลส่วนบุคคล ความไว้วางใจ จะเกิดขึ้น ซึ่งส่งผลโดยตรงต่อภาพลักษณ์แบรนด์และความเป็นมืออาชีพ และส่งต่อความภักดีต่อแบรนด์ในระยะยาว และยังเป็นการยกระดับมาตรฐานธุรกิจให้พร้อมรองรับความร่วมมือหรือการขยายตลาดสู่ระดับสากลในอนาคตอีกด้วย 

 คุณธนพล หงษ์ภู่ นักวิทยาศาสตร์ปฏิบัติการ - ผู้เขียน
กลุ่มพัฒนาบุคลากรอุตสาหกรรมสร้างสรรค์
กองพัฒนาอุตสาหกรรมสร้างสรรค์
กรมส่งเสริมอุตสาหกรรม