องค์กรควรรีบเตรียมการตั้งแต่วันนี้ ให้สอดคล้องกับ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ และพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ก่อนที่จะมีเหตุไม่พึงประสงค์เกิดขึ้นในองค์กรของเรา
อย่างที่ทุกคนทราบว่า กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ที่กำลังจะมีผลบังคับใช้ในเดือนมิถุนายน 2565 นี้ หลายองค์กร ยังมองเรื่องการทำ PDPA เป็นเรื่องของหน่วยงานไอที (IT) เพียงเท่านั้น
ที่ผ่านมา หลายธุรกิจตื่นตัวในเรื่องข้อบังคับตามกฎหมายอย่างเคร่งครัด เนื่องจากมีบทลงโทษทางแพ่ง ทางอาญาและทางปกครองหลายประการสำหรับผู้ที่กระทำความผิดต่อการควบคุมข้อมูลของประชาชน
ถ้าไม่มีอะไรเปลี่ยนแปลง อีกไม่กี่เดือนที่จะถึงนี้ การบังคับใช้กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (???????? ???? ?????????? ???) ที่ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562
เพื่อนๆ ทราบไหมครับว่ากฎหมาย GDPR ของสหภาพยุโรปนั้น มีโทษปรับสูงสุด 20 ล้านยูโร หรือ 4% ของรายได้รวมทั่วโลกของธุรกิจ ขึ้นอยู่กับว่าจำนวนใดจะมากกว่ากัน
แม้จะมีประกาศอย่างเป็นทางการจากเว็บไซต์ราชกิจจานุเบกษา ได้ประกาศเมื่อวันที่ 21 พฤษภาคม 2563 ที่ผ่านมา โดยมาตรา 4 ได้ระบุไว้ชัดเจน ว่า องค์กรที่ได้รับการยกเว้นทั้ง 22 องค์กร
PDPA เป็น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่ใช้ในประเทศไทย ส่วน GDPR นั้น เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้ในฝั่งยุโรป ซึ่งกฎหมายทั้ง 2 แบบนี้มีข้อแตกต่าง
4 ขั้นตอนเพื่อเตรียมพร้อมปฏิบัติตาม PDPA มีกระบวนการอะไรบ้าง ลองดูกันเลย
ถึงแม้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะเลื่อนไป 1 ปี ในบางมาตรา แต่เรื่องความปลอดภัย (Security) ไม่ได้ถูกเลื่อนออกไป