บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik Group) บริษัทที่ปรึกษาด้านกลยุทธ์และการจัดการด้วยนวัตกรรมและเทคโนโลยี แนะองค์กรควรใช้โอกาสที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) เลื่อนบังคับใช้ไปอีก 1 ปีให้เกิดประโยชน์สูงสุด จัดทัพเตรียมความพร้อมบุคลากร ปรับกลยุทธ์และแนวทางการทำงาน ให้เห็นความสำคัญ PDPA เกี่ยวข้องกับทุกภาคส่วนในองค์กร
นางฉันทชา สุวรรณจิตร์ ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ Chief Operation Officer (COO) บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik) บริษัทที่ปรึกษาด้านกลยุทธ์ และการจัดการนวัตกรรมและเทคโนโลยี เปิดเผยว่า เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ที่เดิมมีผลบังคับใช้ในวันที่ 28 พฤษภาคม 2563 นี้ ได้เลื่อนบังคับใช้ออกไปอีก 1 ปี องค์กรควรใช้เวลา 1 ปีนี้ให้เกิดประโยชน์สูงสุด ตั้งแต่ไปสร้างความเข้าใจกับบุคลากรที่ถูกต้อง ปรับกลยุทธ์ และสร้างกระบวนการทำงานในองค์กรให้ทุกหน่วยงานเห็นความสำคัญของ PDPA และดึงหน่วยงานทุกภาคส่วนเข้ามามีส่วนในกระบวนการทำงานให้มากที่สุด
ทั้งนี้ PDPA ของไทยถูกแปลงมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป (GDPR) ที่มีต้นเหตุจากกรณีที่มีบริษัทชั้นนำของโลกทำข้อมูลลูกค้ารั่วไหลและมีคนนำข้อมูลเหล่านั้นไปใช้ประโยชน์อย่างอื่น แต่ไทยมีบทลงโทษที่มีความเข้มข้นน้อยกว่า ขณะที่ผ่านมาองค์กรในไทยอาจจะคุ้นเคยกับมาตรฐานสากลสำหรับระบบการจัดการความปลอดภัยของข้อมูลเช่น ISO 27001 ซึ่งจะทำหรือไม่ทำก็ไม่ได้มีความผิด แต่เมื่อเป็น PDPA แล้ว มีผลการบังคับใช้จริงจังเพราะถือเป็นกฎหมาย ดังนั้น หากมีการทำผิด เช่นเกิดการรั่วไหลของข้อมูลส่วนบุคคลขึ้นมา โดยไม่ได้มีมาตรการป้องกัน หรือ การรับมืออย่างเพียงพอและเหมาะสมจะถือว่ามีความผิดและต้องถูกลงโทษในทางกฎหมาย
คุณฉันทชา สุวรรณจิตร์ ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ Chief Operation Officer (COO) บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik)
“สิ่งสำคัญที่สุดคือ ต้องสร้างความเข้าใจใหม่ในองค์กรให้ได้ว่า เมื่อได้ Data มาจะสามารถทำอะไรกับ Data ก็ได้นั้นเป็นความเข้าใจที่ไม่ถูกต้อง เพราะความจริงองค์กรไม่ใช่เจ้าของข้อมูลของลูกค้า แต่องค์กรเป็นเพียงคนที่ดูแลข้อมูลและต้องดูแลข้อมูลนั้นให้มีความปลอดภัย พร้อมต้องดูด้วยว่าจะทำอย่างไรให้ข้อมูลที่ได้มานั้นเกิดประโยชน์สูงสุดต่อเจ้าของข้อมุล ถ้าหากองค์กรใช้สิทธิ์ในข้อมูลโดยไม่ได้ไตร่ตรอง อาจส่งผลกระทบต่อชื่อเสียงและความเชื่อมั่นของลูกค้าที่มีต่อองค์กรที่เป็นผู้ใช้ข้อมูลที่ขาดความตระหนักถึงสิทธิ์ในข้อมูลนั้น” นางฉันทชา กล่าว
อย่างไรก็ดี หัวใจหลักของ พ.ร.บ.ฯ ฉบับนี้อยู่ที่องค์กรสามารถจะรักษาความสมดุลของ 4 องค์ประกอบหลักก่อนที่จะทำ PDPA ได้มากน้อยขนาดไหน นั่นคือ
1. People : บุคลากรในองค์กร ที่ควรสร้างความรู้ความเข้าใจ PDPA และความพร้อมการทำงานเรื่องนี้ เพราะ PDPA จะมีความเกี่ยวข้องในการเก็บข้อมูล หรือการนำข้อมูลส่วนบุคคลไปใช้ในลักษณะงานที่แตกต่างกันของแต่ละหน่วยงานในองค์กร เช่น ฝ่ายการตลาด ฝ่ายไอที ฝ่ายพัฒนาผลิตภัณฑ์ก็ย่อมมีการใช้ข้อมูลที่แตกต่างกัน
2. Process : กระบวนการทำงาน ที่ต้องมีความชัดเจนในนโยบาย กระบวนการทำงานด้านการบริหาร รวมถึงมีกระบวนการบริหารจัดการข้อมูลอย่างไร ตั้งแต่เริ่มต้นของการได้มาซึ่งข้อมูล จนไปถึงการลบข้อมูลที่ได้มา อีกทั้งระยะเวลาที่ใช้ในการจัดเก็บ การระบุความชัดเจนของสิทธิ์ หน้าที่ และความรับผิดชอบ รวมไปถึงขั้นตอนการตรวจสอบหากเกิดกรณีข้อมูลรั่วไหลขึ้นมาจริง จะมีขั้นตอนการจัดการอย่างไรบ้าง
3. Data / Information : ข้อมูล ยุคดิจิทัลหลายๆองค์กรกระบวนการทางธุรกิจของพวกเขาทำงานบนระบบเทคโนโลยีสารสนเทศจึงทำให้ Data นั้นมีการไหลเวียนในองค์กร ดังนั้นความท้าทายด้าน Data คือ การกระจายของ Data ที่อาจจะไม่สามารถระบุแหล่งข้อมูล (source of data) ได้ชัดเจนว่ามีการจัดเก็บ Data อยู่ที่ไหนบ้าง เพราะสิ่งเหล่านี้มีความสำคัญเพราะ หากมีการขอให้ยกเลิกให้ข้อมูล หรือแม้เกิดกรณีข้อมูลรั่วไหลขึ้นมาองค์กรต้องสามารถระบุได้ชัดเจนว่า ประเภทข้อมูลดังกล่าวคืออะไร หรือต้องไปดำเนินการในขั้นตอนไหนของข้อมูล
4. Technology : เทคโนโลยี จะเป็นตัวช่วยในการบริหารจัดการความปลอดภัยข้อมูลแก่ผู้ที่มีหน้าที่ดูแลข้อมูล Data Privacy Owner (DPO) ทั้งนี้ราต้องยอมรับว่า ระบบงานต่างๆ หรือ เทคโนโลยีที่องค์กรใช้ในการดำเนินธุรกิจนั้นอาจได้รับการพัฒนาต่างวาระกัน ต่างวัตถุประสงค์ตามแต่ละหน่วยงาน ซึ่งที่ผ่านมาบางหน่วยงานอาจมีการรวมศูนย์ข้อมูลไว้ แต่บางหน่วยงานไม่มี หรือบางหน่วยงานเป็นการใช้เทคโนโลยีแบบเก่าซึ่งอาจไม่ได้เอื้อต่อการบูรณการมาตรการป้องกัน/รักษาความปลอดภัยข้อมุล ซึ่งหากองค์กรไม่มีเครื่องมือหรือเทคโนโลยีมาช่วย DPO ในการบริหารจัดการ หรือ การตรวจทานก็จะทำให้การบริหารจัดการในเรื่องนี้เป็นเรื่องยากต่อการปฏิบัติ
อย่างไรก็ดี ความยากหรือข้อจำกัดขององค์กรในช่วง 1 ปีก่อนที่จะมีการใช้ PDPA เป็นทางการ คือ องค์กรไม่รู้ว่าจะประเมินความพร้อมและความเหมาะสมของ 4 องค์ประกอบหลักอย่างไร เนื่องจาก พ.ร.บ.ฯ ดังกล่าวเป็นกฎหมายฉบับแม่ที่ออกมากว้าง แต่ยังมีรายละเอียดที่ต้องนำไปปรับใช้อีกมากตามแต่ลักษณะงานและธุรกิจ
ดังนั้น หากองค์กรมีที่ปรึกษาที่สามารถช่วงวางแผนและให้คำแนะนำ พร้อมมาช่วยประเมินความพร้อมว่า ปัจจุบันองค์กรมีความพร้อมหรือขาดทางด้านใดบ้าง และแต่ละด้านมีอะไรที่มากไปหรือน้อยไป ที่พอจะมาช่วยเติมหรือปรับลดเพื่อให้เกิดความพอดี และเกิดลำดับขั้นตอนว่าควรมีการจัดลำดับแผนงานแต่ละเฟส หรือถ้าไปซื้อเทคโนโลยีมาใช้เลยอาจจะไม่ได้ใช้อย่างคุ้มค่าเหมือนกันที่ได้ทุ่มเม็ดเงินลงทุนไป ทั้งหมดนี้เพื่อไปสู่แนวทางการปฏิบัติตัวให้ตรงตามเกณฑ์ PDPA และขณะเดียวกันสามารถช่วยปรับแนวทางการใช้ข้อมูลส่วนบุคคลได้ไม่ผิดวัตถุประสงค์หรือกฎหมายแล้ว ยังช่วยปรับกลยุทธ์และกระบวนการทำงานการใช้ข้อมูลพัฒนานวัตกรรมสิ่งใหม่ๆ หรือเพิ่มขีดความสามารถในการแข่งขันให้กับองค์กรมากขึ้น
“การสร้างความสมดุลการใช้ PDPA ในมุมที่ไม่ขัดต่อกฎหมาย และไม่ทำให้เสียโอกาสความสามารถในการแข่งขันของธุรกิจจึงเป็นเรื่องสำคัญ เพราะถ้าปล่อยให้น้ำหนักหรือให้ความสำคัญด้านใดด้านหนึ่งมากไป นั่นหมายความว่าองค์กรจะขับเคลื่อนได้ยาก อีกทั้งไม่สามารถเติบโตในอนาคตเหมือนที่ตั้งเป้าหมายไว้ เช่น ถ้าให้น้ำหนักกับการใช้ข้อมูลทางการตลาดมากไป ก็อาจส่งผลกระทบต่อความน่าเชื่อถือองค์กรและความภักดีต่อแบรนด์และสินค้าได้ เพราะมีโอกาสที่ข้อมูลจะรั่วไหลได้มาก โดยเฉพาะอย่างยิ่งยุคปัจจุบันที่ผู้บริโภคเริ่มมีความตระหนักเรื่องข้อมูลส่วนบุคคลมากขึ้นจนมีการฟ้องร้องมากขึ้น แต่หากจะทำตามกฎหมายอย่างเดียว ก็มีผลกับการตลาดที่ทำให้ไม่สามารถพัฒนาสินค้าหรือนวัตกรรมใหม่ๆ ออกมาได้ และอาจทำให้เดินช้ากว่าคู่แข่งได้ ”นางฉันทชา กล่าวทิ้งท้าย
นอกจากนี้ บลูบิคยังมีข้อแนะนำสำหรับแนวทางในการสร้างความตระหนักถึงบทบาทหน้าที่ในการเป็นผู้ดูแลข้อมูลในองค์กรที่ควรปฏิบัติมีอยู่ 4 ข้อด้วยกันคือ
1. จัดทำรายงานความรับผิดชอบต่อข้อมูล (Data Accountability Report) ถือเป็นการทำรายงานความรับผิดชอบข้อมูลในการแสดงจำนวนการเข้าถึงข้อมูลของพนักงานว่ามีใครเข้ามาใช้ข้อมูลบ้าง ซึ่งเป็นการแสดงความชัดเจนและแสดงความโปร่งใสในการรับผิดชอบข้อมูล ขณะเดียวกันยังเป็นการแสดงถึงความรับผิดชอบว่าองค์กรมีการปกป้องและดูแลข้อมูลอย่างไรบ้าง
2. การใช้ข้อมูลและวิเคราะห์อย่างรับผิดชอบ ก่อนหน้าที่มี พ.ร.บ.ฯ ออกมาใช้หลายคนอาจจะไม่ได้ให้น้ำหนักเรื่องการรักษาหรือดูแลข้อมูลส่วนบุคคลมาก จึงทำให้ทุกคนสามารถเข้าถึงการใช้สิทธิ์เพื่อดูข้อมูลได้หมด แต่ความเป็นจริงพนักงานทุกคน หรือบางสายงานไม่จำเป็นต้องเข้าถึงข้อมูลดังกล่าว ดังนั้น ถึงเวลาที่องค์กรต้องกลับมาพิจารณาแล้วว่าที่ผ่านมาองค์กรได้ใช้การเข้าถึงข้อมูลฟุ่มเฟือยหรือไม่ เพราะการที่มีจำนวนผู้ที่สามารถเข้าถึงข้อมูลได้มากขนาดไหน ก็มีโอกาสที่ข้อมูลรั่วไหลมากขึ้น
3. การกำหนดการเข้าถึงข้อมูลที่สำคัญ เพื่อแสดงความรับผิดชอบต่อการใช้ข้อมูลมีการกำหนดการเข้าถึงข้อมูล ควรกำหนดชัดเจนว่ามีกี่คนที่มีสิทธิ์เข้าถึงข้อมูลนี้ได้ ซึ่งสามารถดูความถี่ของผู้ที่มาดูข้อมูลได้ด้วย ซึ่งอาจนำไปสู่การดูความผิดปกติของการเข้าไปดูข้อมูลได้ด้วยว่าทำไมคนนี้ถึงเข้ามาดูข้อมูลนี้บ่อย อีกทั้งยังทำให้เกิดกระบวนการ Check and Balance หรือ การตรวจสอบความถูกต้องของข้อมูลที่มีการปรับแก้เพื่อไม่ให้เกิดข้อผิดพลาดขึ้นได้
4. จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Privacy Committee) ซึ่งควรจัดตั้งเป็นคณะกรรมการจริงจังเป็นระดับองค์กรและผู้มีส่วนได้ส่วนเสียทั้งหมดมาร่วมกัน เพื่อช่วยมีส่วนช่วยให้เกิดการตัดสินใจระดับสำคัญขององค์กร โดยให้มีความหลากหลายของผู้บริหารหรือฝ่ายงานต่างๆ ของบริษัท ทั้งนี้เพื่อให้เกิดความหลากหลายในมุมมองของการรับผิดชอบในการใช้ข้อมูล