องค์กรไทยตื่นตัวเร่งเต็มสูบปรับตัวรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)


องค์กรไทยตื่นตัวเร่งเต็มสูบปรับตัวรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

Bluebik เผย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act กำลังเข้ามา Disrupt โลกการทำงานด้าน Data Analytics ทำให้ข้อมูลซึ่งเป็น “หัวใจ” สำคัญของการแข่งขันยุคใหม่มีกระบวนการซับซ้อนและอ่อนไหวมากขึ้น ส่งผลให้องค์กรธุรกิจไทยเร่งวางแผนและเตรียมความพร้อมเพื่อรับมือ แนะปรับตัวได้ก่อน เดินหน้าได้เร็ว ไม่เสียโอกาสทางธุรกิจ สบช่องออกบริการช่วยองค์กรเตรียมปฏิบัติให้เข้ากับหลักเกณฑ์ ตั้งแต่ต้นน้ำ ประเมิน ศักยภาพและความพร้อม กลางน้ำ วางแผนการทำ งานให้สอดรับ พ.ร.บ. และปลายน้ำ บริหารจัดการโครงการที่รองรับ พ.ร.บ.ข้อมูลส่วนบุคคล

พชร อารยะการกุล

พชร อารยะการกุล ประธานเจ้าหน้าที่บริหาร บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik) บริษัทที่ปรึกษาด้านกลยุทธ์ และการจัดการนวัตกรรมและเทคโนโลยี เปิดเผยว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำลังจะมีผลบังคับใช้ในวันที่ 28 พฤษภาคม 2563 นี้ จะเข้ามาเปลี่ยนแปลงและเป็นตัวแปรสำคัญที่จะส่งผลกระทบต่อกระบวนการทำงานด้านการวิเคราะห์ข้อมูล (Data Analytics) นับตั้งแต่ขั้นตอนจัดเก็บข้อมูล ไปจนถึงการนำไปใช้งาน ซึ่งข้อมูลถือเป็น “สินทรัพย์” สำคัญสำหรับองค์กรที่จะสามารถนำมาสร้างเป็น Insight ช่วยให้หลายองค์กรรู้จักตัวเองและลูกค้าของตัวเองอย่างถ่องแท้ จนนำมาซึ่งการนำเสนอสินค้าและบริการได้อย่างตรงใจ อีกทั้งข้อมูลส่วนบุคคลถือเป็น “หัวใจ” สำคัญสำหรับการทำ Big Data Analytics เพื่อหาสิ่งเชื่อมโยงของข้อมูลเหล่านั้นไว้ด้วยกัน โดยนำไปค้นหาแนวโน้มทางการตลาด หาความต้องการของลูกค้า รวมทั้งข้อมูลอื่นๆ ที่เป็นประโยชน์ต่อธุรกิจ ซึ่งเมื่อถึงวันที่ พ.ร.บ. ดังกล่าวถูกบังคับใช้โดยกฎหมาย องค์กรจะต้องดำเนินการจัดเก็บและใช้ข้อมูลส่วนบุคคลให้ถูกต้องและรัดกุม

อย่างไรก็ดี ในส่วนขององค์กรธุรกิจที่กำลังเตรียมความพร้อมในการปรับใช้ พ.ร.บ.ข้อมูลส่วนบุคคล ให้เริ่มจากศึกษาความเข้าใจเกี่ยวกับข้อกำหนดที่สำคัญ 4 ข้อหลัก ได้แก่

  1. การขอความยินยอมจากเจ้าของข้อมูล เริ่มตั้งแต่การเก็บรวบรวม การใช้งานหรือการเปิดเผยข้อมูลต่อบุคคลอื่น ต้องได้รับการยินยอมเป็นลายลักษณ์อักษร และต้องไม่กระทำเกินกว่าที่ขอความยินยอมไว้
  2. การแจ้งวัตถุประสงค์ในการใช้ข้อมูลต่อเจ้าของข้อมูล ต้องชัดเจนและเข้าใจได้โดยง่าย ระบุระยะเวลาการจัดเก็บข้อมูลที่ชัดเจน
  3. การรักษาความปลอดภัยของข้อมูล (Data Security) ต้องได้มาตรฐาน
  4. สิทธิของเจ้าของข้อมูล ต้องมีการกำหนดสิทธิการเข้าถึง ส่งผลให้องค์กรต้องมีระบบในการรองรับสิทธิของเจ้าของข้อมูล ตัวอย่างเช่น กรณีที่เจ้าของข้อมูลขอให้องค์กรลบข้อมูลส่วนบุคคลของตนเอง องค์กรจะต้องดำเนินการลบข้อมูลเหล่านั้นออก “ทั้งระบบ” เป็นต้น ซึ่งอาจเป็นปัญหากับองค์กรที่ยังมีการจัดเก็บข้อมูลแยกกันตามกลุ่มธุรกิจ (Silo) จะทำให้ไม่สามารถลบออกจากทั้งระบบ ที่สำคัญ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้กำหนดนิยามบทบาทหน้าที่ใหม่ของผู้มีส่วนเกี่ยวข้องกับข้อมูลต่างๆ เช่น Data Controller, Data Processor, Data Protection Officer ทำให้มีองค์กรจำนวนมากมองหาผู้เชี่ยวชาญเข้าช่วยวางแผนรับมือ เนื่องจากองค์กรต่างเล็งเห็นว่าการเร่งปรับองค์กรให้สอดรับกับ พ.ร.บ.ข้อมูลส่วนบุคคลอย่างรวดเร็วจะช่วยให้สามารถแข่งขันในอุตสาหกรรมได้โดยไม่ทำให้เสียโอกาสทางธุรกิจ

พ.ร.บ.ข้อมูลส่วนบุคคล

ทั้งนี้ เพื่อเตรียมความพร้อมขององค์กร เราสามารถพิจารณาแนวทางการเตรียมความพร้อมขององค์กร พร้อมเสนอความช่วยเหลือในการเตรียมพร้อมให้กับองค์กรให้เข้ากับหลักเกณฑ์ พ.ร.บ. ดังกล่าว ออกเป็น 3 ขั้นตอน ดังนี้

  1. ขั้นต้นน้ำ องค์กรควรประเมินขีดความสามารถและความพร้อมของระบบต่างๆ ในองค์กร อาทิ โครงสร้างและระบบด้านไอที (IT Infrastructure) เพื่อหาช่องว่างที่ต้องปรับปรุงให้สามารถรองรับการดำเนินงานตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล รวมทั้งประเมินกระบวนการทำงาน (Process) โดยจะต้องดูตั้งแต่ขั้นตอนการขอความยินยอมจากเจ้าของข้อมูล (Consent) การจัดเก็บและบริหารจัดการข้อมูล และต้องมีแผนว่าจะจัดเก็บข้อมูลในอนาคตอย่างไร
  2. ขั้นกลางน้ำ องค์กรควรวางแผนในการจัดทำธรรมมาภิบาลข้อมูล (Data Governance) ตั้งแต่การจำแนกข้อมูล (Data Classification) ไปจนถึงการกำหนดมาตรการในการปกป้องข้อมูลต่างๆ การวางแผนและการคัดเลือกเครื่องมือในการปกป้องข้อมูล เช่น เครื่องมือในการทำ Data Masking (การปกปิดข้อมูลส่วนบุคคลบางอย่างที่ปรากฏอยู่ในฐานข้อมูล) Data Encryption (การรักษาความปลอดภัยด้านข้อมูลผ่านการเข้ารหัสข้อมูล) เป็นต้น รวมทั้งการวางแผนวางระบบไอทีที่ต้องสอดคล้องกับ พ.ร.บ.คุ้มครองส่วนบุคคล
  3. ขั้นปลายน้ำ องค์กรควรมีทีมงานเฉพาะกิจในการวางแผนและบริหารจัดการ เพื่อผลักดันให้การปฏิบัติตามกฎหมาย (Implementation) เป็นไปอย่างถูกต้องและมีประสิทธิภาพ โดยคณะทำงานนี้ควรมาจากตัวแทนที่เหมาะสมจากแต่ละฝ่ายงานที่เกี่ยวข้อง เพื่อให้มั่นใจได้ว่าการบริหารจัดการข้อมูลสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล รวมทั้งเป็นไปตามเป้าหมายเชิงยุทธศาสตร์ได้

“องค์กรธุรกิจจะต้องเตรียมความพร้อมเพื่อรับมือกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยต้องประเมินทั้งในเชิงนโยบายกระบวนการทำงานและเทคโนโลยีขององค์กร ว่าจะสอดคล้องกับบทบัญญัติของ พ.ร.บ. มากน้อยเพียงใด เพื่อทำให้ทราบว่าองค์กรต้องปรับปรุงด้านใดบ้างให้รองรับกับข้อบังคับของกฎหมาย หากองค์กรทำผิด พ.ร.บ. ดังกล่าว นอกจากจะถูกดำเนินการทางกฎหมายแล้วภาพลักษณ์ความน่าเชื่อถือขององค์กรและแบรนด์ก็จะเสียหายตามไปด้วย” พชร กล่าวทิ้งท้าย