ประโยชน์ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ต่อองค์กรจะเกิดขึ้น เมื่อมีการเตรียมความพร้อมที่ถูกทาง

ในเดือนมิถุนายนปีนี้ เป็นจุดเริ่มต้นของการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ถ้าไม่มีเหตุอื่นใดเกิดขึ้น ทั้งนี้ พ.ร.บ. ฉบับนี้ได้มีการเลื่อนการบังคับใช้มาแล้วครั้งหนึ่ง โดย ณ ขณะนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รุ่นก่อตั้งนี้ ก็ยังไม่ได้มีการแต่งตั้งอย่างเป็นทางการ ทำให้ผู้ทรงคุณวุฒิหลายๆ ท่าน ต้องรอลุ้นระทึกกันอยู่

แต่ที่ลุ้นระทึกมากกว่า ก็คือองค์กรทั้งหลายในประเทศไทย ไม่ว่าจะใหญ่หรือเล็ก หรือจะเป็นหน่วยงานรัฐหรือองค์กรเอกชนก็ตาม ต่างก็โดนผลกระทบของ พ.ร.บ. ฉบับนี้กันโดยทั่วหน้า หลักใหญ่ใจความของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คือการกำหนด สิทธิของเจ้าของข้อมูลส่วนบุคคล ให้ได้รับความคุ้มครองตามกฎหมาย ดังนั้นใครก็ตามที่นำเอาข้อมูลส่วนบุคคล ของประชาชนคนไทย ไปเก็บรวบรวม ใช้ และเปิดเผย จะต้องยอมรับว่าเจ้าของข้อมูลส่วนบุคคล ยังคงสิทธิความเป็นเจ้าของอยู่ ไม่ว่าองค์กรจะลงทุนในระบบงาน ไปมากมายเท่าไหร่ก็ตาม เพื่อเก็บรวบรวมข้อมูลส่วนบุคคลเหล่านั้น แต่สิทธิยังอยู่ที่เจ้าของข้อมูลตลอดไป ดังนั้นองค์กรจึงต้องให้ความคุ้มครองที่ถูกต้องตามกฎหมาย ต่อเจ้าของข้อมูลส่วนบุคคล ซึ่งถ้าเกิดมีการละเมิด หรือไปใช้อย่างไม่ถูกต้อง ก็จะมีบทลงโทษทางกฎหมาย ซึ่งมีทั้งที่เป็น คดีทางแพ่ง ทางอาญา และทางการปกครอง

และที่จะลุ้นระทึกมากขึ้นไปอีกก็คือ การแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอยู่ในอำนาจของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ที่จะเสนอทางคณะรัฐมนตรีขออนุมัติ ก่อนหน้านี้ได้เคยมีการเตรียมรายชื่อเพื่อนำเสนอ ค.ร.ม. มาครั้งหนึ่งแล้ว แต่เนื่องจากมีผู้ท้วงติง จึงยังไม่ได้นำเรื่องเสนอ พอดีมาเกิดวิกฤติโควิด-19 เสียก่อน จึงได้โอกาสที่จะเลื่อนการแต่งตั้งคณะกรรมการ และบังคับใช้กฎหมาย

สิ่งที่เป็นเรื่องกังวลต่อองค์กรต่างๆ โดยเฉพาะองค์กรภาคเอกชน ก็คือ อำนาจที่กว้างขวางของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวคือ นอกจากจะเป็นองค์กรกำกับดูแล ตามอำนาจจาก พ.ร.บ. แล้ว ยังเป็นผู้ที่สามารถออกประกาศ ปรับปรุงเปลี่ยนแปลงข้อกำหนดต่างๆ ได้ เรียกได้ว่า เป็นเร็กกูเลเตอร์ ที่มีอำนาจเบ็ดเสร็จ สามารถเรียกเก็บค่าธรรมเนียม และดำเนินคดีต่างๆ ได้ เมื่อเร็กกูเลเตอร์ ในสาขาอื่น ซึ่งมีตัวอย่างให้เห็นอยู่แล้วว่า เมื่อมีองค์กรที่มีอำนาจมากมาย แต่ไม่มีองค์กรอื่นมากำกับดูแลอีกที่ จะเกิดปัญหาอะไรขึ้นบ้าง

แต่ประเด็นนี้อาจจะเป็นสิ่งที่กังวลกันไปล่วงหน้า ทั้งนี้การร่างกฎหมาย และประกาศใช้ของประเทศไทยนั้น ก็ยังคงเป็นการเลียนแบบ หลักสากลที่เรียกว่า Privacy Regime อันเป็นกระแสโลกที่สำคัญอย่างหนึ่งในการพัฒนาปรับเปลี่ยนดิจิทัล (Digital Transformation) และมีกฎหมาย GDPR (General Data Protection Regulation) ของสหภาพยุโรปเป็นแม่แบบอยู่ ดังนั้น เร็กกูเลเตอร์ไทย คงจะไม่ทำอะไร ที่นอกเหนือไปจากกระแสโลก

การเตรียมความพร้อมต่อ พ.ร.บ. ฉบับนี้ขององค์กร จึงไม่ควรที่จะกระทำเพียงแค่แก้ไขตามตัวบทกฎหมาย หรือที่จะเรียกว่าแนวทาง Compliance เพราะถ้าถามนักกฎหมาย การตีความตามตัวบทก็ตีความไม่เหมือนกัน และเมื่อคณะกรรมการเกิดขึ้นแล้ว ก็จะมีการออกประกาศปรับปรุงเปลี่ยนแปลงอีก ซึ่งถ้าทำตามเป็นข้อๆ ก็อาจจะเปลืองต้นทุน และไม่สามารถตอบสนองต่อลูกค้าหรือผู้เกี่ยวข้องได้

แนวทางสำคัญที่จะช่วยให้องค์กรเตรียมความพร้อมได้อย่างถูกต้อง คือการใช้แนวทางธรรมาภิบาล ซึ่งการพัฒนาองค์กรตามแนวทางธรรมาภิบาลนั้น มีการพัฒนาส่วนหนึ่งที่สำคัญ คือการพัฒนาการบริหารความเสี่ยงขององค์กร แบบองค์รวมที่เรียกว่า GRC – Governance, Risk and Compliance ซึ่งหมายถึงการบูรณาการระหว่าง ธรรมาภิบาล, การบริหารความเสี่ยง และการพัฒนาการกำกับดูแล เข้าด้วยกัน

แนวทางของ GRC นี้นอกจากจะช่วยในเรื่องการเตรียมความพร้อมขององค์กรแล้ว ยังเป็นการสร้างมูลค่าเพิ่มและความเชื่อมั่นให้แก่ลูกค้าและผู้มีส่วนเกี่ยวทั้งหลาย ทั้งนี้แนวทางธรรมาภิบาลคือการพัฒนาความสัมพันธ์เชิงสร้างสรรค์ให้แก่ผู้มีส่วนเกี่ยวข้องทุกฝ่าย ให้เกิดความเชื่อมั่น ให้เกิดมูลค่าเพิ่ม ซึ่งความสัมพันธ์เชิงองค์รวมดังกล่าว มีเกิดขึ้นได้ระหว่างองค์กร กับลูกค้า กับเร็กกูเลเตอร์ กับพนักงาน กับคู่ค้า กับชุมชน ฯลฯ และความสัมพันธ์เชิงสร้างสรรค์ดังกล่าว อาจกล่าวได้ว่ามีจริยธรรมเป็นพื้นฐานที่สำคัญ จึงจะสามารถสร้างความเชื่อมั่นได้

สำหรับผู้ที่สนใจในรายละเอียด ของการใช้ GRC และธรรมาภิบาล ในการเตรียมความพร้อมกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ติดตามได้จากบทความถัดๆ ไปครับ