]
GDPR คือ

Lesson Learned จากกรณีดัง GDPR สั่งปรับ H&M กว่าพันล้าน ฐานล้วงข้อมูลส่วนตัวพนักงานในเยอรมนี

เนื้อหาในบทความ

ราวเดือนตุลาคม ปี 2563 สำนักข่าว BBC รายงานข่าวใหญ่ของวงการธุรกิจเสื้อผ้า กรณี H&M ถูก หน่วยงานด้านการปกป้องข้อมูลของเมืองฮัมบูร์ก (Data Protection Authority of Hamburg – HmbBfDI) สั่งปรับกว่า 35.3 ล้านยูโร (1,300 ล้านบาท) จากกรณีนี้ทางแบรนด์เสื้อผ้าสัญชาติสวีเดนออกมาขอโทษพนักงานกว่าร้อยคน และให้การยินยอมจ่ายค่าปรับตามจำนวน ซึ่งถือเป็นเคสที่มีค่าปรับสูงเป็นอันดับสอง จาก 5 เคสที่เคยถูกสั่งปรับสูงสุด นับตั้งแต่มีกฎหมาย GDPR

กรณีนี้เกิดขึ้นได้อย่างไร? H&M ต้องรับผิดชอบยังไงบ้าง? หากเกิดกรณีนี้ในเมืองไทย องค์กรต้องปฏิบัติอย่างไร เพื่อหลีกเลี่ยงการถูกฟ้องร้อง หาคำตอบได้ในบทความนี้ 

เกิดอะไรขึ้นกับ H&M?

ในวันที่ 1 ตุลาคม ปี 2020 HmbBfDI ได้แจ้งข้อหากับบริษัท Hennes & Mauritz หรือ H&M ฐานละเมิดกฎระเบียบของ GDPR ความว่า H&M บันทึกข้อมูลส่วนบุคคลที่ละเอียดอ่อนของพนักงาน
รายละเอียดของเคสการละเมิดนี้ มาจากทีมสอบสวนซึ่งประกอบด้วยหน่วยงานด้านการปกป้องข้อมูลของเมืองฮัมบูร์ก (HmbBfDI) ได้ทำการสอบสวนกรณีนี้ พร้อมเปิดเผยว่า พนักงานระดับผู้จัดการของ H&M ได้ทำการเก็บข้อมูลส่วนบุคคลที่ละเอียดอ่อนจากพนักงาน ผ่านแหล่งต่างๆ เช่น โปรแกรม “Welcome Back Talk” ซึ่งบริษัทจะทำการสัมภาษณ์พนักงานที่กลับมาทำงานหลังจากเจ็บป่วยหรือขาดงาน 

นอกจากข้อมูลละเอียดอ่อนที่ HmbBfDI ตรวจพบแล้ว ยังมีข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม ไว้ในฐานข้อมูล เช่น บันทึกสุขภาพ รายละเอียดอาการและการวินิจฉัยโรคของพนักงานหลายร้อยคน รายละเอียดเกี่ยวกับการลากิจและการลาพักร้อน
รายละเอียดเกี่ยวกับชีวิตส่วนตัวของพนักงาน รวมทั้งความเชื่อทางศาสนาและชีวิตครอบครัว จากการสืบสวน พบว่า ข้อมูลที่เก็บมีการรวบรวมไว้ จะถูกนำมาใช้ เพื่อประกอบการตัดสินใจในการประเมินการทำงาน และตัดสินเกี่ยวกับการว่าจ้าง

กรณีการละเมิดนี้ถูกค้นพบจนกลายเป็นการตั้งข้อหาได้อย่างไร?
ในกรณีของ H&M เกิดจากการเข้าถึงฐานข้อมูลของพนักงานเกิดข้อผิดพลาด ทำให้ ทุกคนในบริษัทสามารถเข้าถึงข้อมูลบนไดรฟ์เครือข่ายของบริษัทได้ภายในเวลาไม่กี่ชั่วโมง
ข้อผิดพลาดที่เกิดขึ้นนี้ อาจทำให้ข้อมูลส่วนบุคคลภายในองค์กรรั่วไหลสู่ภายนอก หรืออาจเป็นช่องโหว่ที่มิจฉาชีพเจาะเข้าสู่ฐานข้อมูลเพื่อโจรกรรมข้อมูลหรือเรียกค่าไถ่จากบริษัทได้

GDPR ดำเนินการอย่างไรกับกรณีนี้

ก่อนจะลงรายละเอียดเกี่ยวกับการวินิจฉัยโทษ กรณีของ H&M เราอยากพาทุกคนไปทำความรู้จักกฎหมาย GDPR กันก่อน

GDPR คือ

GDPR (The General Data Protection Regulation)  หรือ กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป ประกาศใช้อย่างเป็นทางการเมื่อ 25 พฤษภาคม 2018 เป้าหมายหลักของกฎหมาย GDPR คือการปกป้องพลเมืองของสหภาพยุโรปจากการโดนคุกคามข้อมูลส่วนบุคคลหรือการละเมิดความเป็นส่วนตัว เพิ่มสิทธิในการควบคุมข้อมูลส่วนตัวในทุกกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
ดังนั้นผู้ให้บริการ ห้างร้าน หรือองค์กร ที่ดำเนินกิจกรรมเกี่ยวเนื่องกับข้อมูลส่วนบุคคล จะต้องชี้แจงหลักเกณฑ์และความรับผิดชอบต่อข้อมูลให้กับเจ้าของข้อมูลส่วนบุคคล ที่เป็นพลเมืองสหภาพยุโรปทราบก่อนเสมอ

กฎหมาย GDPR มีผลบังคับใช้ต่อทุกธุรกิจในโลกที่มีประชากรยุโรปเป็นกลุ่มเป้าหมาย โดยมีการรวบรวม (Collect), ประมวลผล (Process), จัดการ (Manage) หรือจัดเก็บ (Store) ข้อมูลส่วนบุคคลของประชากรยุโรป
กฎหมายนี้มีผลกับทุกบริษัท ทั้งบริษัทที่ตั้งอยู่นอกสหภาพยุโรป หรือในภูมิภาคใดก็ตาม ไม่เว้นแม้แต่บริษัทสัญชาติไทย และมิได้จำกัดเฉพาะบริษัทของประเทศในยุโรปเท่านั้น อีกทั้งยังครอบคลุมทุกกลุ่มธุรกิจ ทั้งธุรกิจโรงแรม เว็บไซต์ บริการออนไลน์ แอพลิเคชั่น ฯลฯ ที่สำคัญคือ กฎหมายนี้ไม่ยกเว้นธุรกิจขนาดเล็ก ดังนั้นไม่ว่าองค์กรของคุณจะเป็นธุรกิจขนาดเล็กหรือขนาดใหญ่ ต่างก็ต้องดำเนินการตามกฎหมายฉบับนี้ทั้งหมด

ข้อมูลที่อยู่ภายใต้การคุ้มครองของกฎหมาย GDPR ได้แก่ข้อมูลส่วนบุคคล อาทิ ชื่อ รหัสประจำตัวประชาชน เพศ สัญชาติ  รวมถึงข้อมูลสารสนเทศที่แสดงให้เห็นกิจกรรม การใช้งานของบุคคลนั้นทั้งออนไลน์และออฟไลน์
ในส่วนของบทลงโทษในกรณีที่มีการกระทำความผิด กฎหมาย GDPR กำหนดบทลงโทษเป็นค่าปรับ ที่สูงถึง 20 ล้านยูโร (ราวๆ 740 ล้านบาท) หรือ 4% ของรายได้ต่อปีทั่วโลกของบริษัท นับได้ว่าเป็นกฎหมายที่มีค่าปรับสูงมากทีเดียว
ในกรณีของ H&M เมื่อ GDPR ตรวจสอบการกระทำผิดแล้ว ได้ดำเนินการทางกฎหมายกับบริษัท H&M และสั่งปรับเป็นเงินจำนวน 35.3 ล้านยูโร (ราว 1,300 ล้านบาท) พร้อมสั่งการให้ H&M จัดทำมาตรการป้องกันข้อมูล และทบทวนการเก็บข้อมูลส่วนบุคคลของพนักงานในองค์กรให้เป็นไปตามข้อบังคับและกฎหมาย GDPR

จากความเสียหายที่เกิดขึ้น H&M ได้ออกมายอมรับข้อผิดพลาดที่เกิดขึ้น พร้อมแถลงการขอโทษพนักงานที่ได้รับผลกระทบ ยังได้แต่งตั้งผู้ประสานงานด้านการปกป้องข้อมูล และดำเนินการอัปเดตสถานะการปกป้องข้อมูลเป็นประจำทุกเดือน

เพื่อฟื้นฟูความไว้วางใจระหว่างพนักงานและบริษัท  และกอบกู้ภาพลักษณ์ขององค์กร H&M ได้ออกแถลงการณ์บนเว็บไซต์อย่างเป็นทางการ เพื่อแสดงความรับผิดชอบ และประกาศการดำเนินงานตามกรอบของกฎหมาย GDPR เนื้อหาของแถลงการมีใจความว่า
“H&M Group เน้นย้ำถึงความมุ่งมั่นในการปฏิบัติตาม GDPR และมุ่งสร้างความมั่นใจให้กับลูกค้าและพนักงาน บริษัทให้ความสำคัญกับความเป็นส่วนตัวและการปกป้องข้อมูลส่วนบุคคลทั้งหมดเป็นอันดับแรก H&M Group จึงมุ่งปฏิบัติตามกฎหมายและข้อบังคับที่กำหนดโดยหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้องอย่างเคร่งครัด ตลอดจนมาตรฐานระดับสูงของบริษัทด้วย”

ประเทศไทยมีกฎหมายที่คล้าย GDPR บ้างหรือไม่?

หากเกิดเคสทำนองเดียวกันนี้ในประเทศไทย ไม่ว่าจะเป็นองค์กรใดก็ตามที่กระทำผิดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป กฎหมาย GDPR ของสหภาพยุโรป จะพิจารณาโทษเช่นเดียวกับกรณีของ H&M และกรณีอื่น ๆ แต่หากเกิดเคสที่คล้ายคลึงกันนี้กับคนไทย จะมีการใช้กฎหมาย PDPA มาพิจารณาความผิดแทน

กฎหมาย PDPA คืออะไร? 

PDPA หรือ Personal Data Protection Act B.E 2562 (2019) เป็น พ.ร.บ. ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ถูกร่างขึ้นเพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ตรงตามวัตถุประสงค์ ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่ทำกับข้อมูลส่วนบุคคล ทำความเข้าใจสาระสำคัญของกฎหมาย PDPA
ประเภทข้อมูลที่อยู่ภายใต้การคุ้มครองของกฎหมาย PDPAและ GDPR ได้แก่ ข้อมูลส่วนบุคคล (Personal Data) อาทิ ชื่อ-สกุล ข้อมูลที่อยู่ อายุ เบอร์โทรศัพท์ ข้อมูลการศึกษา ฯลฯ และ ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data) หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา พฤติกรรมทางเพศ ฯลฯ

บทลงโทษ หากฝ่าฝืนกฎหมาย PDPA
ในกรณีที่มีการกระทำผิดอย่างร้ายแรง หรือละเมิดความเป็นส่วนตัวจนก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลขั้นร้ายแรง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) จะเป็นหน่วยงานที่พิจารณาความผิดที่เกิดขึ้น พร้อมกับดำเนินการทางกฎหมายกับผู้ที่กระทำความผิด

GDPR คือ

โทษทางอาญา
ผู้กระทำผิดจะถูกลงโทษทางอาญา ในกรณีที่มีการนำข้อมูลส่วนบุคคลอ่อนไหว ไปประมวลผล เผยแพร่ทำให้เกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง โทษสูงสุดจำคุก 6เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
กรณีที่มีการนำข้อมูลส่วนบุคคลอ่อนไหว ไปหาประโยชน์แบบผิดกฎหมาย โทษสูงสุดคือจำคุก 1 ปีหรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

โทษทางแพ่ง
บทลงโทษทางแพ่ง ในกรณีที่ผู้ประสงค์ร้ายหรือผู้ร้าย  นำข้อมูลส่วนบุคคลไปสร้างความเสียหายแก่เจ้าของข้อมูล เจ้าของข้อมูลมีสิทธิเรียกร้องค่าเสียหาย เป็นค่าสินไหมทดแทนอิงจากความเสียหายที่ได้รับจริง ศาลใช้อำนาจสั่งลงโทษเพิ่มขึ้นได้แต่ไม่เกิน 2 เท่าของสินไหมทดแทนที่แท้จริง

โทษทางปกครอง  

  • กรณีที่มีการกระทำผิด เกี่ยวกับการประมวลผลขอมุลส่วนบุคคล โดยไม่มีการดำเนินการขอความยินยอมจากเจ้าของข้อมูล ไม่มีช่องทางรองรับให้เจ้าของข้อมูลใช้สิทธิ มีโทษปรับไม่เกิน 1,000,000 บาท

  • กรณีที่ทำการเก็บ รวบรวม เผยแพร่ข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย มีโทษปรับไม่เกิน 3,000,000 บาท

  • กรณีที่มีการเก็บ รวบรวม เผยแพร่ โอนถ่ายข้อมูลส่วนบุคคลอ่อนไหว โดยวัตถุประสงค์ที่ไม่ชอบด้วยกฎหมาย มีโทษปรับไม่เกิน 5,000,000 บาท

จะเห็นว่าบทลงโทษในกรณีที่มีการละเมิดกฎหมาย PDPA ในประเทศไทยนั้น มีโทษปรับทางกฎหมายกำหนดไว้อย่างชัดเจน เจ้าของข้อมูลส่วนบุคคลสามารถดำเนินการฟ้องร้องได้เมื่อถูกคุกคามความเป็นส่วนตัว หรือถูกฉกฉวยข้อมูลส่วนบุคคลไปใช้ในทางที่ผิด
ภายหลังมีการออกกฎหมาย PDPA ก็ได้เกิดกรณีที่มีการกระทำผิดเกิดขึ้นให้เห็นบ้างแล้ว เช่นในกรณีของ อิออนธรสินทรัพย์ ทำข้อมูลส่วนบุคคลของลูกค้ารั่วไหล ในกรณีนี้ ความผิดยังอยู่ระหว่างการพิจาณาของพนักงานสอบสวน แม้จะยังไม่มีการฟ้องร้อง แต่ชื่อเสียงขององค์กรได้รับความเสียหาย และอาจกลายเป็นภาพจำเชิงลบในสายตาผู้บริโภค ทำลายความเชื่อมั่นของผู้บริโภคหรือลูกค้าต่อธุรกิจไปเรียบร้อยแล้ว

ความเหมือนที่แตกต่าง ระหว่าง PDPA และ GDPR

ความคล้ายคลึงกันของกฎหมาย PDPA และ GDPR คือการปกป้องความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล และกำหนดขอบเขตของการใช้ข้อมูลส่วนบุคคลให้อยู่ภายใต้มาตรฐานความปลอดภัย รูปแบบของบทลงโทษที่คล้ายกันคือการสั่งปรับ ทว่าโทษปรับของกฎหมาย GDPR สูงกว่าโทษปรับของกฎหมาย PDPA หลายเท่าตัว
ในความเหมือน ยังมีความแตกต่าง ที่ยังมีความคาบเกี่ยวกันเล็กน้อย นั่นคือ กฎหมาย GDPR จะมีความเป็นสากลมากกว่า และมีผลบังคับใช้กับทุกองค์กรที่มีปฏิสัมพันธ์กับประชากรของสหภาพยุโรป ส่วนกฎหมาย PDPA มีผลบังคับใช้กับองค์กรที่อยู่ในประเทศไทย หรืออยู่นอกประเทศไทย ซึ่งมีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทยและมีการโอนถ่ายข้อมูลหรือเฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย

ความแตกต่างที่เห็นได้ชัดของ PDPA และ GDPR  มีดังนี้

  • ขอบเขตของบุคคลที่กฎหมายบังคับใช้

GDPR ระบุแนวทางในการประมวลผลข้อมูลให้บังคับใช้กับบุคคลธรรมดาไม่ว่าจะสัญชาติใดหรือมีถิ่นพำนักอยู่ที่ใด ส่วนกฎหมาย PDPA บังคับใช้ต่อเจ้าของข้อมูลที่อยู่ในประเทศไทยโดยไม่ได้กล่าวถึงเรื่องของสัญชาติหรือถิ่นที่อยู่ไว้อย่างชัดเจน

  • ขอบเขตการบังคับใช้กฎหมาย

อำนาจของกฎหมาย GDPR ครอบคลุมวิธีการประมวลผลข้อมูล ทั้งระบบอัตโนมัติหรือระบบไฟล์ลิ้ง แต่ไม่บังคับใช้กับข้อมูลนิรนาม และไม่ครอบคลุมการประมวลผลข้อมูลโดยองค์กรนิติบัญญัติ ส่วนกฎหมาย PDPA ของไทยไม่ได้มีการกล่าวถึง อำนาจของกฎหมายต่อการควบคุมการประมวลผลข้อมูลแบบอัตโนมัติ

  • ความหมายของข้อมูลส่วนบุคคล

GDPR ระบุว่าข้อมูลออนไลน์ต่าง ๆ เช่น IP Address และ Cookie ถือเป็นข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของกฎหมายนี้ ขณะที่กฎหมาย PDPA ยังมิได้มีการระบุว่าข้อมูลออนไลน์ดังกล่าวเข้าข่ายข้อมูลส่วนบุคคล
นอกจากความเหมือนที่แตกต่างเหล่านี้ ยังมีรายละเอียดปลีกย่อยเกี่ยวกับ GDPR กับ PDPA สามารถอ่านข้อมูลเพิ่มเติมเกี่ยวกับ การเปรียบเทียบกฎหมาย GDPR กับ PDPA ได้ที่นี่

Lesson Learned จากกรณีของ H&M

กลับมาที่กรณีของ H&M เราได้เห็นแล้วว่าการละเมิดความเป็นส่วนตัว และการเก็บ รวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลอย่างไม่รัดกุมพอ ส่งผลเสียต่อองค์กรมากมายมหาศาล ทั้งในแง่ของทรัพย์สินและชื่อเสียงขององค์กร กรณีนี้เป็นตัวอย่างที่ชี้ให้เห็นว่า การปฏิบัติตามกรอบและขอบเขตของกฎหมายเป็นสิ่งที่สำคัญ องค์กรต้องให้ความสำคัญกับการทำความเข้าใจกฎหมายอย่างลึกซึ้ง จัดทำมาตรการ ข้อปฏิบัติ หรือหา Solution เพื่อป้องกันเหตุที่อยู่นอกเหนือการควบคุม หรือข้อผิดพลาดที่เกิดจากมนุษย์ (Human Error)

หากถอดบทเรียนจาก กรณีของ H&M เทียบกับกฎหมาย PDPA สามารถสรุปแนวทางป้องกันได้ดังนี้

  • เบื้องต้น H&M ต้องทำการสำรวจข้อมูลส่วนบุคคลภายในองค์กร โดยดูว่ามีข้อมูลส่วนบุคคลประเภทไหนบ้าง ข้อมูลนั้นถูกจัดเก็บไว้ที่ไหน แผนกหรือทีมไหนเป็นผู้จัดเก็บ ใครคือผู้ดูแล ระยะเวลาในการเก็บข้อมูล และวัตถุประสงค์ของการเก็บข้อมูลคืออะไร จากนั้นจึงทำวงจรของข้อมูล ที่ระบุตั้งแต่การเก็บรวบรวม ใช้ และเผยแพร่ จนไปถึงการทำลายข้อมูลส่วนบุคคล ขั้นตอนนี้เรียกว่า Record of Processing Activities (RoP หรือ RoPA)
  • หลังจากที่มีแบบบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลหรือ RoPA เรียบร้อยแล้ว ให้องค์กรจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) และประกาศแนวทางการปฏิบัติให้พนักงานในองค์กรได้ทราบ โดยเนื้อหาของ Privacy Policy ครอบคลุมแนวทางการกำกับดูแลข้อมูลของคนในองค์กร  ขอบเขตความรับผิดชอบขององค์กรหากเกิดความเสียหายต่อข้อมูลส่วนบุคคล พร้อมระบุรายชื่อของผู้ที่สามารถเข้าถึงคลังข้อมูล ผู้ที่มีหน้าที่ควบคุมหรือกระทำการใด ๆ กับข้อมูลส่วนบุคคลในองค์กรอย่างชัดเจน เพื่อไม่ให้ผู้ที่ไม่เกี่ยวข้อง มีสิทธิเข้าถึงข้อมูลที่บอบบางขององค์กรได้
  • จัดตั้งบุคคลหรือคณะทำงาน ในตำแหน่ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer)

    เพื่อควบคุม ดูแลกระบวนการหรือกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ดูแลสิทธิของเจ้าของข้อมูล และเป็นผู้ที่แจ้งต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือหน่วยงานอื่นที่เกี่ยวข้องเมื่อเกิดกรณีการโจรกรรม หรือการละเมิดกฎหมาย PDPA ในองค์กร หรือระหว่างองค์กร

  •  

    สร้าง Security Awareness หรือการตระหนักรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล วิธีการป้องกันที่ยั่งยืนที่สุด จากกรณีของ H&M คือการสร้างความเข้าใจ สร้างการตระหนักรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้กับพนักงานทุกภาคส่วนขององค์กร  นโยบายและแนวทางขององค์กรจะไม่สูญเปล่า และจะยิ่งมีประสิทธิภาพ หากพนักงานในองค์กรตระหนักรู้และเห็นความสำคัญโดยพร้อมเพรียงกัน และจะช่วยให้ความเข้าใจเกิดขึ้นในกระบวนการทำงานได้อย่างอัตโนมัติ
  • พิจารณาเรื่อง Data Security Foundation ที่เป็นเทคโนโลยี หรือปัญญาประดิษฐ์ที่เข้ามาช่วยจัดการความเสี่ยงหรือการโจรกรรมข้อมูลโดยบุคคลภายนอก การสร้างการรับรู้เพียงอย่างเดียวอาจไม่สามารถปกป้องข้อมูลส่วนบุคคลภายในองค์กรได้อย่างเต็มที่ การมีเทคโนโลยี หรือ Solution ที่เข้ามาทำหน้าที่ป้องกัน หรือพิทักษ์ความปลอดภัยของข้อมูลจากความเสี่ยงที่อยู่นอกเหนือการควบคุม หากองค์กรมีระบบรักษาความปลอดภัยที่เข้มงวดพอ จะช่วยลดความเสี่ยงต่อการโจรกรรมหรือคุกคามจากอาชญากรทางไซเบอร์ได้ด้วย  

จากคดี H&M สู่การทำความเข้าใจกฎหมาย PDPA

สรุปความเสียหายมูลค่ามหาศาลที่เกิดขึ้นกับ H&M เกิดจากหลายปัจจัยประกอบกัน ทั้งการเก็บข้อมูลเกินความจำเป็น โดยไม่คำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูล ความผิดพลาดของระบบเข้าถึงข้อมูล ที่เกิดจากความประมาทของมนุษย์ การขาดความตระหนักรู้เกี่ยวกับการคุ้มครองความเป็นส่วนตัว สิ่งเหล่านี้สามารถเกิดขึ้นได้กับทุกองค์กร ไม่ว่าขนาดเล็กหรือขนาดใหญ่ ในฐานะองค์กร ต้องหันมาให้ความสำคัญกับการประมวลผลข้อมูลส่วนบุคคล และดำเนินการให้สอดคล้องกับกฎหมาย เพื่อหลีกเลี่ยงไม่ได้เกิดกรณีการละเมิด เฉกเช่นกรณีของ H&M

แม้ในไทยอาจจะยังไม่พบกรณีที่คล้ายกับ H&M ในแง่ของการฟ้องร้องและโทษปรับมูลค่ามหาศาล แต่ในไทย เริ่มพบข่าวการละเมิดความเป็นส่วนตัว หรือข่าวการประมวลผลข้อมูลส่วนบุคคลที่ลุกล้ำความเป็นส่วนตัวของเจ้าของข้อมูลบ้างแล้ว เป็นระยะเวลากว่า 1 เดือน (นับตั้งแต่วันที่ 1 มิถุนายน 2565) ที่ประเทศไทย ได้บังคับใช้กฎหมาย PDPA ที่มีเนื้อหาสำคัญคือการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยระบุหลักเกณฑ์ ข้อควรปฏิบัติ แนวทางในการดำเนินการ บทลงโทษและกฎหมายเพิ่มเติมเกี่ยวกับ PDPA เอาไว้อย่างครบถ้วนแล้ว หน้าที่ขององค์กร คือการปฏิบัติตามแนวทางของกฎหมาย บนพื้นฐานของความเข้าใจ และการตระหนักรู้เกี่ยวกับความสำคัญของกฎหมาย นอกเหนือไปจากการปฎิบัติตามกรอบกฎหมาย การดำเนินงานตามแนวทางที่กฎหมาย PDPA ประกาศออกมา จะช่วยให้องค์กรมีความหน้าเชื่อถือ และลดความเสี่ยงในการกระทำผิด ดังกรณีของ H&M ได้อีกด้วย

หากท่านมีความสนใจริเริ่มทำโครงการ PDPA เพื่อปฏิบัติตามแนวทางของกฎหมาย สร้างความเข้าใจ และสร้างการตระหนักรู้เกี่ยวกับความสำคัญของกฎหมาย ให้กับองค์กรอย่างครบวงจร เริ่มตั้งแต่การทำ RoPA การร่าง Privacy Policy การสร้างการตระหนักรู้ให้พนักงาน หรือต้องการที่ปรึกษาที่คอยให้คำแนะนำในระหว่างการทำโครงการ PDPA ติดต่อใช้บริการแพลตฟอร์ม t-reg เพื่อให้เราช่วยท่านบรรลุโครงการ PDPA ได้อย่างครบถ้วน ครบวงจร ติดต่อเราได้ที่ t-reg.co

แหล่งการเรียนรู้ PDPA

Openpdpa.org เป็นแหล่งข้อมูลสำหรับองค์กรและบุคคลที่ค้นคว้าเกี่ยวกับกฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) คุณจะได้รับข้อมูลที่ตรงไปตรงมารวมถึงทำอย่างไรให้คุณสามารถทำ PDPA ได้ด้วยตนเอง อีกทั้งยังมีเอกสารที่จำเป็นต่อการทำ PDPA ที่สามารถดาวน์โหลดไปใช้ได้เลย ฟรี!

บทความที่เกี่ยวข้อง​

ส่งต่อบทความดีๆ ได้ที่นี่