ธนาคารแห่งประเทศไทย (ธปท.) ร่วมกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จัดงานสัมมนา “PDPA ก่อนบังคับใช้…อะไรที่ต้องพร้อม” สำหรับผู้ประกอบธุรกิจทางการเงินที่มิใช่สถาบันการเงิน(นันแบงก์)โดยมีวัตถุประสงค์เพื่อส่งเสริมความรู้ความเข้าใจในแนวทางการกำกับดูแลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งจะมีผลบังคับใช้ในส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ในวันที่ 1 มิถุนายน 2564 นี้ และเป็นการซักซ้อมเตรียมความพร้อมของผู้ประกอบธุรกิจในการปฏิบัติงานให้เป็นไปตามกฎหมายดังกล่าวได้อย่างถูกต้อง สำหรับด้านสถาบันการเงินได้มีการเตรียมการและซักซ้อมการเตรียมความพร้อมก่อนหน้านี้แล้ว
นางสาวสิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงินและเทคโนโลยีทางการเงิน ธปท. กล่าวเปิดสัมมนาว่า “พัฒนาการด้านเทคโนโลยีและนวัตกรรมการเงินที่มีการนำข้อมูลมาใช้ในการพัฒนาผลิตภัณฑ์และบริการทางการเงินที่มีประสิทธิภาพและตรงความต้องการของลูกค้ามากขึ้น ทำให้ผู้ประกอบธุรกิจทางการเงินต้องมีการกำกับดูแลและป้องกันข้อมูลของลูกค้าอย่างระมัดระวังและได้มาตรฐาน จึงมีความจำเป็นที่ต้องเข้าใจในหลักการของกฎหมายและสามารถนำไปใช้ในทางปฏิบัติได้อย่างถูกต้อง สอดคล้องกับเจตนารมณ์”
ดร.สุนทรีย์ ส่งเสริม ผู้เชี่ยวชาญจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล(สคส.) สรุปสาระของกฎหมาย พร้อมหลักการสำคัญในการดูแลข้อมูลส่วนบุคคล เพื่อให้ผู้ประกอบธุรกิจดำเนินการได้ถูกต้อง ได้แก่ (1) หลักในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (2) มาตรฐานในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (3) มาตรการดูแลรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (4) การดูแลสิทธิของเจ้าของข้อมูลส่วนบุคคล
ทั้งนี้ ภายในงานได้มีการข้อมูลที่สำคัญในส่วนของประชาชนที่ควรระมัดระวังและควรทราบถึงสิทธิข้อมูลส่วนบุคคลของตนใน 3 ประเด็นสำคัญ คือ (1) บุคคลหรือนิติบุคคลที่ได้รับข้อมูลห้ามใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่ได้รับความยินยอม (เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้ โดยได้รับยกเว้นไม่ต้องขอความยินยอม) (2) บุคคลหรือนิติบุคคลที่ได้รับข้อมูลจะต้องไม่ใช้หรือเปิดเผยข้อมูลเพื่อวัตถุประสงค์อื่น (3) การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกการใช้หรือเปิดเผยนั้นไว้ ซึ่งเรื่องนี้ ถือเป็นส่วนหนึ่งในการสร้างความมั่นใจในการนำเทคโนโลยีและนวัตกรรมทางการเงิน เพิ่มความปลอดภัย ให้อยู่ภายใต้หลักในการคุ้มครองสิทธิข้อมูลสิทธิส่วนบุคคลตามหลักกฎหมายเพื่อก่อให้เกิดประโยชน์สูงสุด
ขณะที่ ผู้ช่วยศาสตราจารย์ ดร.ปิยะบุตร บุญอร่ามเรือง อาจารย์คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ได้อธิบายถึงแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่ผู้ประกอบธุรกิจสามารถนำไปประยุกต์ใช้ให้สอดคล้องตาม PDPA โดยผู้ประกอบธุรกิจควรสอบทานความพร้อมของตนให้ครบตาม PDPA Checklist 9 เรื่อง ดังต่อไปนี้ (1) มีนโยบายของหน่วยยงานที่สนับสนุนการปฏิบัติตาม PDPA (2) มีการแจ้งวัตถุประสงค์หรือนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคล (3) จัดทำแบบขอความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (4) มีการบันทึกกิจกรรม การประมวลผลข้อมูลส่วนบุคคล (5) มีแนวทางรองรับการใช้สิทธิเจ้าของข้อมูลในการเข้าถึงข้อมูลส่วนบุคคลของตน (6) มีแนวทางในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (7) จัดทำข้อตกลงหรือสัญญาประมวลผลข้อมูล (8) มีมาตรฐานในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (9) แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แนวปฏิบัตินี้เป็นการส่งเสริมและสนับสนุนให้เกิดการใช้ประโยชน์ข้อมูลส่วนบุคคลอย่างปลอดภัย และสอดคล้องตามมาตรฐานสากล