DPU รุกอบรม PDPA บุคลากร เพื่อคุ้มครอง-ป้องกันข้อมูลส่วนบุคคลรั่วไหล
เมื่อเร็วๆนี้ อาจารย์ พิไลพรรณ นวานุช รองอธิการบดีสายงานทรัพยากรบุคคล มหาวิทยาลัยธุรกิจบัณฑิตย์ (DPU) ในฐานะคณะกรรมการ PDPA เป็นประธานเปิดการอบรม DPU PDPA ให้กับ DPC (Data Protection Controller) ประจำหน่วยงาน เพื่อให้เกิดการตระหนักรู้ และการให้ความสำคัญต่อการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย ซึ่งถือว่าการอบรมในครั้งนี้ คือ นโยบายและกระบวนการทำงาน เริ่มตั้งแต่ผู้บริหารระดับสูง และ นำไปต่อยอดกับ ผู้บริหารทุกระดับ จนถึง บุคลากรทุกคน ตลอดจนข้อควรระวัง และความเสี่ยงที่อยู่นอกตัวบทกฎหมาย รวมถึงบทบาทหน้าที่ของ DPO (Data Protection Officer) และการประสานงาน ณ ห้องประชุม 5-2 อาคารสำนักอธิการบดี มหาวิทยาลัยธุรกิจบัณฑิตย์ (DPU)
การอบรมในครั้งนี้ได้รับเกียรติจาก พ.ต.ท. เธียรรัตน์ วิเชียรสรรค์ คณะกรรมการร่างกฎหมาย PDPA และ ดร.วันชัย สอนศิริ ที่ปรึกษากฎหมายของมหาวิทยาลัย และ ได้รับแต่งตั้งให้เป็น DPO ของมหาวิทยาลัยฯ ได้บรรยายและร่วมปรึกษาหารือกัน ระดับรองอธิการบดี คณบดี และ ผู้บริหารของมหาวิทยาลัยธุรกิจบัณฑิตย์ (DPU) โดยมาให้ความรู้ในแง่มุมกฎหมาย PDPA และ ในการนำกฎหมายสู่การปฏิบัติได้จริง รวมถึงประเด็นที่ต้องระวังในกฎหมายลูก PDPA ข้อมูลวงในที่มหาวิทยาลัยควรระวัง ความเสี่ยงที่อยู่นอกตัวบทกฎหมาย บทบาทหน้าที่ของ DPO และการประสานงาน เพื่อให้เกิดความเข้าใจเหตุและผลของกฎหมายฉบับนี้ และความเชื่อมโยงกับกฎหมายที่เกี่ยวข้องต่างๆ รวมไปถึงการอัพเดตกรณีศึกษาที่เกิดขึ้นจริง
การอบรมครั้งนี้ ได้มีการพิจารณาความเสี่ยงโดยอาศัยกรณีศึกษาที่เกิดขึ้นจริง และมีการสรุปประเด็นเชิงปฏิบัติได้ จากผู้เชี่ยวชาญทางกฎหมายโดยตรง และ ยังได้มีการพูดถึง โครงสร้างการทำงานของ DPU และ Key Success Steps ในการ บริหารจัดการ การคุ้มครองข้อมูลส่วนบุคคล ให้ปฏิบัติได้จริง นอกเหนือจากความรู้ความเข้าใจทางกฎหมาย
อาจารย์ พิไลพรรณ กล่าวว่า บุคลากรภายในหน่วยงานมหาวิทยาลัยธุรกิจบัณฑิตย์ ควรต้องปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 เพื่อป้องกันข้อมูลส่วนบุคคลของอาจารย์และบุคลากรรั่วไหล รวมไปถึงการตรวจสอบ ROPA ของหน่วยงาน ให้มีความครบถ้วนถูกต้อง กำกับการนำ ROPA ไปสู่การปฏิบัติจริงในหน่วยงาน และจัดให้มีการทำลายข้อมูลหน่วยงานเกี่ยวข้อง เมื่อครบกำหนดและรายงาน ตลอดจนตรวจติดตามให้มั่นใจ ว่าหน่วยงานได้ทำตามระบบ พร้อมช่วยกำหนดแนวทางป้องกันแก้ไข
นอกจากนี้ยังได้มีการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และเจ้าหน้าที่คุ้มครองส่วนบุคคล พร้อมอำนาจหน้าที่จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล และ Privacy Notice (ประกาศความเป็นส่วนตัว) และเผยแพร่ไว้บน Website ของมหาวิทยาลัย ,จัดทำ CCTV Sign ที่ทางเข้าออกของมหาวิทยาลัย , จัดการแจ้งเตือนการจัดเก็บข้อมูล (Cookie) ไว้หน้า Website ,กระบวนการขอ consent ในการจัดเก็บลายนิ้วมือ
ในส่วนประเด็นที่ว่าทำไมเราต้องมีระบบ DPC อาจารย์ พิไลพรรณ กล่าวเสริมว่า การมีระบบดังกล่าวเปรียบเสมือนเป็นผู้แทนของเจ้าของข้อมูลว่า องค์กรนำข้อมูลไปใช้อย่างถูกต้องตามกฎหมายหรือไม่ ซึ่งเป็นการเตรียมป้องกันเหตุการณ์ข้อมูลรั่วไหลหรือเมื่อเกิดเหตุละเมิดขึ้น อีกทั้งเป็นการสร้างความเชื่อมั่นให้บุคคลภายนอก และนักศึกษาในการปกป้องข้อมูลส่วนบุคคล ตลอดจนรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคลในหน่วยงาน
ด้านพ.ต.ท. เธียรรัตน์ วิเชียรสรรค์ คณะกรรมการร่างกฎหมาย PDPA ระบุว่า ข้อมูลส่วนบุคคล Personal Data คือ ข้อมูลใดๆ ที่สามารถระบุตัวบุคคลได้ (ระบุไปถึงเจ้าของข้อมูล) ไม่ว่าจะเป็นทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล ,บัตรประชาชน ,เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, รวมไปถึงข้อมูลของผู้ที่เสียชีวิตแล้ว หรือ ข้อมูลของนิติบุคคล เช่น บริษัท มูลนิธิ สมาคม องค์กร
ส่วนข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) คือ ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียด สุ่มเสี่ยงต่อการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อลัทธิ ศาสนาหรือปรัชญา ข้อมูลสุขภาพ ความพิการ ข้อมูลสุขภาพจิต ข้อมูลพันธุกรรม ข้อมูลสหภาพแรงงาน ข้อมูลชีวภาพ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด เพราะการเปิดเผยข้อมูลข่าวสารส่วนบุคคลต้องได้รับความยินยอมเป็นหนังสือจากเจ้าของข้อมูล เว้นแต่เป็นการเปิดเผยตามที่กฎหมายกำหนด
ทั้งนี้ข้อมูลที่มหาวิทยาลัยต้องระมัดระวัง จะเป็นข้อมูลนักศึกษา: ชื่อ, หมายเลขนักศึกษา, ผลการเรียน, ข้อมูลสุขภาพ และ ข้อมูลบุคลากร: ประวัติส่วนตัว, ข้อมูลบัญชีธนาคาร ข้อมูลที่เกี่ยวข้องกับงานวิจัย: ข้อมูลอาสาสมัคร ข้อมูลจากระบบเทคโนโลยีสารสนเทศ: การล็อกอิน, CCTV เป็นต้น
ขณะที่ ดร.วันชัย สอนศิริ ที่ปรึกษากฎหมายของมหาวิทยาลัย และ ได้รับแต่งตั้งให้เป็น DPU DPO เปิดเผยถึงความสำคัญของ DPO คือ บุคคลหลักที่มีบทบาทสำคัญในการดูแลรักษาข้อมูลส่วนบุคคล (Personal Data) ทั้งหมดขององค์กรไม่ว่าจะเป็นทั้งข้อมูลส่วนบุคคลทั้งภายใน เช่น ข้อมูลพนักงาน หรือ ภายนอก (ข้อมูลลูกค้า) ตั้งแต่การจัดเก็บรวบรวม, เปิดเผย, และนำข้อมูลไปใช้รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
โดยบทบาท และหน้าที่ ของ DPO จะประกอบด้วย Law Compliance : ให้คำแนะนำทางกฎหมาย แก่ Steering Committee และ Project Team ในการกำหนดนโยบายและขั้นตอนการปฏิบัติงานด้านการคุ้มครองข้อมูลส่วนบุคคล (PDPA) ให้สอดคล้อง ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล , Consultation : ให้คำปรึกษาในการกำหนดแนวทางการตอบสนองต่อคำร้องขอต่างๆ ตามสิทธิของเจ้าของข้อมูล , Liaison : ประสานงานและให้ความร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล (หรือหน่วยงานที่เกี่ยวข้อง) ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล เช่น เมื่อเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลจากองค์กร ประสานงานในการออกแจ้งเตือนข้อมูลรั่วไหลให้กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง
“เราพยายามทำตามกฎระเบียบของ PDPA เพื่อป้องกันไม่ให้เกิดข้อพิพาทฟ้องร้องขึ้นมา เราระงับตั้งแต่ต้นทางที่จะเกิดเหตุ หรือเมื่อเกิดเหตุแล้วเราพยายามทำให้ผลกระทบเกิดน้อยที่สุด จึงเป็นที่มาของการจัดอบรมในวันนี้ ผมคิดว่าสิ่งที่เราดำเนินการอยู่นี้เป็นเรื่องที่ดี เพื่อป้องกันการละเมิดหรือข้อมูลรั่วไหล เพราะถ้าเราไม่ดำเนินการตามPDPA ผมมองว่าเราจะเสียหายไปมากกว่านี้ ทั้งเสียเงินและเสียชื่อด้วย ดังนั้นในเมื่อเรามาเจอกันในวันนี้ผมว่าสิ่งอะไรที่ไม่ดีก็จะไม่เกิดขึ้น หรือถ้าเรารู้ตัวเร็วว่าเกิดมีข้อมูลรั่วไหลและเราระงับหรือแจ้งทางสำนักงานคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง ก็จะเป็นการบรรเทาเหตุ เพื่อป้องกันการเกิดคดีความ ซึ่งจะนำไปสู่การจ่ายค่าเสียหายเป็นจำนวนหลายล้านบาท” ดร.วันชัย กล่าวทิ้งท้าย
