การพัฒนาซอฟต์แวร์หนึ่งระบบต้องผ่านหลายขั้นตอน ตั้งแต่การออกแบบ พัฒนา ทดสอบ ไปจนถึงการดูแลหลังใช้งาน และในทุกขั้นตอนมี “การจัดการข้อมูลส่วนบุคคล” เข้ามาเกี่ยวข้อง
แต่มี “องค์ประกอบสำคัญ” อย่างหนึ่งที่หลายบริษัทมักมองข้าม นั่นคือเรื่อง กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ซึ่งเกี่ยวข้องโดยตรงกับแอปและซอฟต์แวร์แทบทุกประเภท ไม่ว่าจะเป็นระบบสมาชิก แอปขายของ ระบบ HR หรือแพลตฟอร์มออนไลน์ต่าง ๆ
หากองค์กรของคุณกำลังพัฒนาซอฟต์แวร์ หรือระบบที่เกี่ยวข้องกับข้อมูลผู้ใช้งาน การเข้าใจ PDPA อย่างถูกต้องถือเป็นสิ่งจำเป็นตั้งแต่เริ่มต้น
PDPA คืออะไร?
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรียกสั้น ๆ ว่า PDPA (Personal Data Protection Act) คือกฎหมายที่ออกมาเพื่อปกป้อง “ข้อมูลส่วนบุคคล” ของเรา
พูดให้เข้าใจง่ายที่สุดคือ
องค์กรจะเก็บ ใช้ หรือเปิดเผยข้อมูลของเราไม่ได้ หากไม่มีเหตุผลที่กฎหมายรับรอง เช่น ได้รับความยินยอมจากเรา หรือมีความจำเป็นตามสัญญาหรือหน้าที่ตามกฎหมาย และต้องแจ้งให้เราทราบอย่างชัดเจนเสมอ
ตัวอย่างที่เห็นภาพชัดในชีวิตประจำวัน:
แบบที่ถูกกฎหมาย
- ร้านค้าออนไลน์เก็บที่อยู่เพื่อจัดส่งสินค้า: ทำได้ เพราะจำเป็นต่อการปฏิบัติตามสัญญาซื้อขาย
- โรงพยาบาลเก็บประวัติการรักษา: ทำได้ เพราะเป็นหน้าที่ตามกฎหมาย
- แอปขอ consent ก่อนส่ง newsletter: ทำได้ เพราะได้รับความยินยอมชัดเจน
แบบที่ผิดกฎหมาย
- เว็บไซต์ขายข้อมูลลูกค้าให้บริษัทโฆษณา โดยไม่แจ้งและไม่ขอ consent
- บริษัทนำเบอร์โทรที่ลูกค้าให้ไว้เพื่อติดต่องาน ไปใช้ส่ง SMS โปรโมชัน
- HR ส่งข้อมูลพนักงานให้บุคคลภายนอกโดยไม่มีเหตุผลรองรับ
สรุปง่าย ๆ คือ เก็บข้อมูลได้เฉพาะสิ่งที่จำเป็น ใช้ได้เฉพาะตามวัตถุประสงค์ที่แจ้งไว้ และห้ามนำไปใช้เรื่องอื่นโดยพลการ
ข้อมูลส่วนบุคคลคืออะไร?
ตัวอย่างข้อมูลที่ PDPA คุ้มครอง เช่น
- ชื่อ–นามสกุล
- ที่อยู่
- เบอร์โทรศัพท์
- อีเมล
- รูปถ่าย
- เลขบัตรประชาชน
- เลขบัญชีธนาคาร
- รหัสผ่าน
รวมถึงข้อมูลที่ละเอียดอ่อนมากขึ้น เช่น ข้อมูลสุขภาพ ศาสนา หรือข้อมูลชีวภาพ
PDPA เกี่ยวข้องกับ Custom Software อย่างไร
ระบบซอฟต์แวร์ส่วนใหญ่ที่องค์กรใช้งาน มักมีการประมวลผลข้อมูลส่วนบุคคลอยู่เสมอ โดยเฉพาะ Custom Software ที่ออกแบบมาเพื่อรองรับการทำงานเฉพาะขององค์กร ตัวอย่างเช่น
- ระบบ HR ที่เก็บข้อมูลพนักงาน
- ระบบ CRM ที่เก็บข้อมูลลูกค้า
- ระบบ E-commerce ที่เก็บข้อมูลการสั่งซื้อ
- Mobile Application ที่เก็บข้อมูลผู้ใช้งาน
- ระบบสมาชิกที่เก็บข้อมูลบัตรประชาชน เบอร์โทร หรืออีเมล
เมื่อมีการออกแบบระบบเหล่านี้ เท่ากับกำลังออกแบบกระบวนการจัดการข้อมูลส่วนบุคคลไปพร้อมกัน
ดังนั้น การพัฒนา Custom Software ตั้งแต่ขั้นตอนแรกจนถึงขั้นตอนสุดท้าย จึงควรคำนึงถึงหลักการของ PDPA ควบคู่กันไป แนวคิดนี้เรียกว่า Privacy by Design ซึ่งหมายถึงการฝัง privacy เข้าไปในโครงสร้างของระบบตั้งแต่ต้น ไม่ใช่นำมาแก้ไขทีหลัง เพื่อให้ระบบสามารถจัดการข้อมูลได้อย่างเหมาะสม ปลอดภัย และลดความเสี่ยงในการละเมิดข้อมูลส่วนบุคคล
เหตุผลที่ต้องมี PDPA
PDPA มีจุดประสงค์หลักในการคุ้มครองสิทธิของเจ้าของข้อมูล แต่ยังครอบคลุมความสำคัญในหลายมิติที่ส่งผลต่อการดำเนินงานขององค์กรโดยตรง
การคุ้มครองสิทธิของเจ้าของข้อมูล
PDPA ให้อำนาจแก่เจ้าของข้อมูลในการควบคุมข้อมูลของตนเองได้มากขึ้น เช่น สิทธิในการขอเข้าถึงข้อมูล สิทธิในการแก้ไขข้อมูลที่ไม่ถูกต้อง และสิทธิในการขอให้ลบข้อมูลเมื่อไม่มีความจำเป็นต้องเก็บอีกต่อไป
การป้องกันการละเมิดข้อมูล
กฎหมายกำหนดให้องค์กรต้องมีมาตรการด้านความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลจากการสูญหาย รั่วไหล หรือถูกเข้าถึงโดยไม่ได้รับอนุญาต ในทางปฏิบัติ องค์กรควรดำเนินการทดสอบความมั่นคงปลอดภัยของระบบอย่างสม่ำเสมอ เช่น การทำ QA Testing เพื่อตรวจสอบความถูกต้องของการทำงาน และ Security Testing เพื่อประเมินช่องโหว่ที่อาจเป็นความเสี่ยงต่อข้อมูล ซึ่งเป็นแนวทางที่ช่วยลดโอกาสการรั่วไหลได้อย่างเป็นรูปธรรม
การสร้างความโปร่งใส
องค์กรมีหน้าที่แจ้งให้เจ้าของข้อมูลทราบอย่างชัดเจนว่าข้อมูลถูกเก็บรวบรวมเพื่อวัตถุประสงค์ใด นำไปใช้อย่างไร และเปิดเผยให้ใครบ้าง ความโปร่งใสนี้ไม่เพียงแต่เป็นข้อกำหนดทางกฎหมาย แต่ยังช่วยสร้างความไว้วางใจระหว่างองค์กรและผู้ใช้งานในระยะยาว
การยกระดับมาตรฐานสากล
PDPA ช่วยยกระดับมาตรฐานการจัดการข้อมูลของประเทศไทยให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลในระดับสากล โดยเฉพาะ GDPR ของสหภาพยุโรป ซึ่งเป็นหนึ่งในกฎหมายคุ้มครองข้อมูลที่เข้มงวดที่สุดในโลกและถูกใช้เป็นต้นแบบในการร่าง PDPA สิ่งนี้ช่วยให้องค์กรไทยที่ทำธุรกิจกับคู่ค้าต่างประเทศสามารถสร้างความน่าเชื่อถือด้านการจัดการข้อมูลได้ในระดับที่เป็นที่ยอมรับสากล
ขั้นตอนทำให้ระบบตรงตามมาตรฐาน PDPA คืออะไร ?
หลังจากเรารู้จักว่า PDPA คืออะไรแล้ว มาดูกันเลยว่าทำอย่างไร ระบบซอฟต์แวร์ หรือแอปฯ ของเราจะได้มาตรฐาน PDPA และสามารถนำไปใช้งานได้อย่างปลอดภัย
ขั้นตอนที่ 1: การรวบรวมข้อมูลส่วนบุคคล (Privacy Policy)
ขั้นตอนนี้มีหลายแง่มุม ไม่ว่าจะเป็นการสร้าง Privacy Policy ที่เหมาะสมกับระบบที่คุณต้องการ โดยมีนโยบายหลากหลายรูปแบบ ไม่ว่าจะเป็น HR Privacy Policy, CCTV Policy, Data Processing Agreement โดยแต่ละนโยบาย จะต้องเลือกให้เหมาะสมกับระบบของคุณ
ในกรณีที่มีการแชร์ข้อมูลจาก Cookie หรือข้อมูลส่วนบุคคลอื่น ๆ ให้กับผู้ให้บริการภายนอก (Third Party) เช่น บริษัทโฆษณา หรือเครื่องมือวิเคราะห์พฤติกรรมผู้ใช้ องค์กรต้องแจ้งวัตถุประสงค์ให้ชัดเจน มีฐานทางกฎหมายที่เหมาะสมรองรับ และต้องมีข้อตกลงกับผู้ให้บริการภายนอกเพื่อให้มั่นใจว่าข้อมูลจะถูกดูแลและใช้งานในขอบเขตที่กำหนดเท่านั้น การนำข้อมูลส่วนบุคคลไปแชร์กับ Third Party โดยไม่มีฐานทางกฎหมายรองรับ ไม่แจ้งให้เจ้าของข้อมูลทราบ หรือไม่มีมาตรการคุ้มครองที่เพียงพอ ถือเป็นการละเมิด PDPA และอาจมีโทษทั้งทางแพ่ง ทางอาญา และโทษปรับทางปกครอง
ขั้นตอนที่ 2: การใช้ หรือประมวลผลข้อมูลส่วนตัว
แต่ละหน่วยงานในองค์กรควรร่วมกันกำหนดแนวปฏิบัติในการจัดการข้อมูลส่วนบุคคล (SOP) และจัดทำบันทึกรายการการประมวลผลข้อมูล (ROPA) ให้ครบถ้วน ครอบคลุมทั้งข้อมูลในระบบอิเล็กทรอนิกส์และเอกสารกระดาษ รวมถึงข้อมูลทั่วไปและข้อมูลอ่อนไหว เช่น เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลสุขภาพ หรือข้อมูลชีวภาพอย่างใบหน้าและลายนิ้วมือ
พร้อมกันนี้ ต้องจำกัดการเข้าถึงและไม่เปิดเผยข้อมูลให้ผู้ที่ไม่เกี่ยวข้องโดยตรง เพื่อป้องกันความเสี่ยงและการละเมิดข้อมูล
ขั้นตอนที่ 3: มาตรการด้านความปลอดภัยของข้อมูลส่วนตัว
สร้างระบบการรักษาข้อมูลส่วนบุคคลที่มีความปลอดภัย และแน่นหนา การรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard)
มาตรการสำคัญอีกประการหนึ่งที่ PDPA กำหนดคือการบริหารจัดการระยะเวลาการเก็บข้อมูล (Data Retention) องค์กรควรกำหนดนโยบายให้ชัดเจนว่าข้อมูลแต่ละประเภทจะถูกเก็บไว้นานเพียงใด โดยยึดหลักการเก็บเท่าที่จำเป็นต่อวัตถุประสงค์ที่แจ้งไว้เท่านั้น
ตัวอย่างเช่น ข้อมูลธุรกรรม ข้อมูลการสนทนา หรือข้อมูลที่ละเอียดอ่อนอื่น ๆ ที่เก็บอยู่บนเซิร์ฟเวอร์หรือแอปพลิเคชัน เมื่อหมดวัตถุประสงค์หรือพ้นระยะเวลาที่กำหนดแล้ว องค์กรมีหน้าที่ลบหรือทำลายข้อมูลเหล่านั้นอย่างเหมาะสม เพื่อไม่ให้ข้อมูลส่วนบุคคลถูกเก็บไว้โดยไม่จำเป็นและเกิดความเสี่ยงต่อการรั่วไหลในภายหลัง
การมีนโยบาย Data Retention ที่ชัดเจนจึงไม่ใช่เพียงข้อกำหนดทางกฎหมาย แต่ยังเป็นแนวปฏิบัติที่ดีที่ช่วยลดความเสี่ยงและสร้างความน่าเชื่อถือให้กับองค์กรในระยะยาว
นอกจากนั้นยังต้องมีกระบวนการ Breach Notification Protocol หรือการแจ้งเตือนข้อมูลหลังจากที่มีผู้ประสงค์ร้ายพยายามเข้าถึงระบบของผู้ใช้โดยพลการ
ขั้นตอนที่ 4: การส่งหรือเปิดเผยข้อมูลส่วนบุคคล
ควรทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก เช่น จัดทำ Data Processing Agreement (DPA) เพื่อกำหนดหน้าที่และความรับผิดชอบในการดูแลข้อมูลส่วนบุคคล ให้เป็นไปตามมาตรฐานของ PDPA อย่างชัดเจน
ตัวอย่างเช่น หากมีการโอนข้อมูลไปต่างประเทศ ควรมีสัญญากับบริษัทปลายทาง เพื่อยืนยันว่าจะดูแลและปกป้องข้อมูลตามมาตรฐานเดียวกับที่กฎหมายกำหนด
ขั้นตอนที่ 5: การกำกับดูแลข้อมูลส่วนบุคคล
องค์กรควรมีผู้รับผิดชอบด้านการคุ้มครองข้อมูล ไม่ว่าจะเป็น DPO (Data Protection Officer) สำหรับองค์กรที่กฎหมายกำหนด หรือทีมกำกับดูแลภายในสำหรับองค์กรทั่วไป โดยผู้รับผิดชอบควรมีความรู้ทั้งด้านกฎหมาย PDPA และด้านเทคโนโลยี และทำงานร่วมกับทีมกฎหมายและทีมเทคนิคอย่างใกล้ชิด
นอกจากนี้ ควรเตรียมช่องทางรองรับการใช้สิทธิ์ของเจ้าของข้อมูลให้พร้อม เช่น การขอเข้าถึง แก้ไข ลบข้อมูล หรือการร้องเรียน เพื่อให้สามารถตอบสนองได้อย่างถูกต้องตามที่กฎหมายกำหนด
เจ้าหน้าที่คุ้มครองข้อมูล DPO คือ
DPO หรือ Data Protection Officer คือผู้รับผิดชอบกำกับดูแลการจัดการข้อมูลส่วนบุคคลทั้งหมดขององค์กร ทั้งข้อมูลที่ใช้ภายในและที่เกี่ยวข้องกับภายนอก ทำหน้าที่ให้คำแนะนำ ตรวจสอบ และควบคุมการใช้ข้อมูลให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล องค์กรไม่สามารถขัดขวางการปฏิบัติหน้าที่ตามกฎหมายของ DPO หรือเลิกจ้างเพียงเพราะการทำหน้าที่ดังกล่าวได้
ทุกองค์กรต้องมี DPO หรือไม่?
คำตอบคือ ทุกองค์กรไม่จำเป็นที่จะต้องมี DPO ซึ่งหากองค์กรธุรกิจมีขนาดเล็กหรือไม่ได้มีกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูล อาจจะไม่จำเป็นต้องจ้าง DPO เข้ามาทำหน้าที่ในส่วนนี้ ซึ่งองค์กรที่ควรที่จะมี DPO จะต้องเข้าข่ายเหล่านี้:
- องค์กร หรือหน่วยงานของรัฐ
- ธุรกิจที่มีการเก็บ ใช้ หรือวิเคราะห์ข้อมูลส่วนบุคคลจำนวนมากเป็นประจำ
- ธุรกิจที่จัดการข้อมูลอ่อนไหว (Sensitive Data) จำนวนมาก เช่น ข้อมูลสุขภาพ ชีวภาพ
PDPA Checklist สำหรับองค์กรที่พัฒนาซอฟต์แวร์
สำหรับองค์กรที่กำลังพัฒนาเว็บไซต์ แอปพลิเคชัน หรือระบบ Custom Software สามารถใช้ checklist ต่อไปนี้เพื่อตรวจสอบความพร้อมของระบบ
✔ มี Privacy Policy ที่ชัดเจน
✔ มีระบบขอความยินยอมจากผู้ใช้งาน
✔ เก็บข้อมูลเท่าที่จำเป็นต่อการใช้งาน
✔ มีการกำหนดสิทธิ์การเข้าถึงข้อมูลในระบบ
✔ ระบบสามารถบันทึกการเข้าถึงข้อมูล (Audit Log)
✔ มีมาตรการด้านความปลอดภัยของข้อมูล
✔ มีการเข้ารหัสข้อมูลสำคัญ
✔ มี Data Retention Policy
✔ มีการลบข้อมูลเมื่อหมดความจำเป็น
✔ มีข้อตกลงกับผู้ให้บริการภายนอก (DPA)
Manao Software และการพัฒนาซอฟต์แวร์ตามมาตรฐาน PDPA
ที่ Manao Software เราออกแบบและพัฒนาระบบโดยคำนึงถึง Data Privacy และ Security ตั้งแต่ต้น (Privacy by Design) เพื่อให้ลูกค้าสามารถใช้งานระบบได้อย่างมั่นใจ ทั้งในด้านกฎหมาย ความปลอดภัย และความเสถียรในระยะยาว
- ประสบการณ์ทำงานที่มีมากกว่า 18 ปี พัฒนาซอฟต์แวร์ทั้งที่ใช้ใน และนอกประเทศ โดย Project Manager และโปรแกรมเมอร์มืออาชีพ
- การทดสอบคุณภาพซอฟต์แวร์ (Quality Assurance) มาตรฐาน ISTQB ระดับ Gold ISTQB-Certified แห่งเดียวในประเทศไทย การันตีคุณภาพทุกขั้นตอน
- มีประสบการณ์ด้าน Penetration Testing และการพัฒนาระบบที่มีมาตรการความปลอดภัยในระดับองค์กรนานาชาติ โดยออกแบบและทดสอบระบบให้รองรับข้อกำหนดด้านการคุ้มครองข้อมูลส่วนบุคคลตามแนวทางของ PDPA และ GDPR
หากองค์กรของคุณกำลังพัฒนาหรือปรับปรุงระบบซอฟต์แวร์ และต้องการให้กระบวนการจัดการข้อมูลส่วนบุคคลรองรับข้อกำหนดของ PDPA ตั้งแต่ขั้นตอนการออกแบบ ทีม Manao Software มีประสบการณ์ในการพัฒนาระบบที่คำนึงถึงความปลอดภัยและการคุ้มครองข้อมูลควบคู่กับคุณภาพของซอฟต์แวร์ หากต้องการปรึกษาแนวทางที่เหมาะกับองค์กรของคุณ ทีมของเรายินดีให้คำแนะนำ
