Bluebik แนะองค์กรเร่งเตรียมพร้อมบุคลากร รับมือพ.ร.บ.ข้อมูลส่วนบุคคล หลังเลื่อนใช้ 1 ปี
Bluebik แนะองค์กรเร่งเตรียมพร้อมบุคลากร รับมือพ.ร.บ.ข้อมูลส่วนบุคคล หลังเลื่อนใช้ 1 ปี
นางฉันทชา สุวรรณจิตร์ ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ Chief Operation Officer (COO) บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik) บริษัทที่ปรึกษาด้านกลยุทธ์ และการจัดการนวัตกรรมและเทคโนโลยี เปิดเผยว่า เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ที่เดิมมีผลบังคับใช้ในวันที่ 28 พฤษภาคม 2563 นี้ ได้เลื่อนบังคับใช้ออกไปอีก 1 ปี โดยบทบาทสำคัญของ PDPA คือ การคุ้มครองข้อมูลส่วนบุคคล ที่ส่งผลกระทบโดยตรงต่อกระบวนการทำงานด้านการวิเคราะห์ข้อมูล (Data Analytics) ตั้งแต่ขั้นตอนจัดเก็บข้อมูล ตลอดจนถึงการนำไปใช้งานของหน่วยงานแต่ละฝ่ายในองค์กร
อย่างไรก็ตาม องค์กรควรใช้เวลา 1 ปีนี้ให้เกิดประโยชน์สูงสุด ตั้งแต่ไปสร้างความเข้าใจกับบุคลากรที่ถูกต้อง ปรับกลยุทธ์ และสร้างกระบวนการทำงานในองค์กรให้ทุกหน่วยงานเห็นความสำคัญของ PDPA โดยไม่ได้มองว่าเป็นเพียงหน้าที่ของฝ่ายกฎหมายที่ต้องร่างรายละเอียดการปฏิบัติให้ถูกกฎหมายเท่านั้น แต่ควรนำไปสู่การปรับและพัฒนาในกระบวนการทำงานขององค์กรเลย และดึงหน่วยงานทุกภาคส่วนเข้ามามีส่วนในกระบวนการทำงานให้มากที่สุด
ทั้งนี้ PDPA ของไทยถูกแปลงมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป (GDPR) ที่มีต้นเหตุจากกรณีที่มีบริษัทชั้นนำของโลกทำข้อมูลลูกค้ารั่วไหลและมีคนนำข้อมูลเหล่านั้นไปใช้ประโยชน์อย่างอื่น แต่ไทยมีบทลงโทษที่มีความเข้มข้นน้อยกว่า ขณะที่ผ่านมาองค์กรในไทยอาจจะคุ้นเคยกับมาตรฐานสากลสำหรับระบบการจัดการความปลอดภัยของข้อมูลเช่น ISO 27001 ซึ่งจะทำหรือไม่ทำก็ไม่ได้มีความผิด แต่เมื่อเป็น PDPA แล้ว มีผลการบังคับใช้จริงจังเพราะถือเป็นกฎหมาย ดังนั้น หากมีการทำผิด เช่นเกิดการรั่วไหลของข้อมูลส่วนบุคคลขึ้นมา โดยไม่ได้มีมาตรการป้องกัน หรือ การรับมืออย่างเพียงพอและเหมาะสมจะถือว่ามีความผิดและต้องถูกลงโทษในทางกฎหมาย
“สิ่งสำคัญที่สุดคือ ต้องสร้างความเข้าใจใหม่ในองค์กรให้ได้ว่า เมื่อได้ Data มาจะสามารถทำอะไรกับ Data ก็ได้นั้นเป็นความเข้าใจที่ไม่ถูกต้อง เพราะความจริงองค์กรไม่ใช่เจ้าของข้อมูลของลูกค้า แต่องค์กรเป็นเพียงคนที่ดูแลข้อมูลและต้องดูแลข้อมูลนั้นให้มีความปลอดภัย พร้อมต้องดูด้วยว่าจะทำอย่างไรให้ข้อมูลที่ได้มานั้นเกิดประโยชน์สูงสุดต่อเจ้าของข้อมุล ถ้าหากองค์กรใช้สิทธิ์ในข้อมูลโดยไม่ได้ไตร่ตรอง อาจส่งผลกระทบต่อชื่อเสียงและความเชื่อมั่นของลูกค้าที่มีต่อองค์กรที่เป็นผู้ใช้ข้อมูลที่ขาดความตระหนักถึงสิทธิ์ในข้อมูลนั้น” นางฉันทชา กล่าว
โดยที่ผ่านมาหลายองค์กรอาจทำ PDPA ขึ้นมาเพื่อให้ผ่านกระบวนการตามขั้นตอนทางกฎหมายที่จะเริ่มใช้เมื่อ 28 พฤษภาคม ซึ่งความจริงการปฏิบัติไม่ได้ทำในรูปเชิงของแบบฟอร์มเชิงกฎหมายเท่านั้น ยังมีรายละเอียดของตัวบทกฎหมายอีกมาก และถ้าไม่ทำให้เกิดความเข้าใจในองค์กรไปในทิศทางเดียวกัน หรือหากองค์กรทำตามตัวบทกฎหมายทุกข้อ ก็อาจกลายเป็นข้อจำกัดในการทำธุรกิจไปในที่สุด เนื่องจากอาจทำให้ฝ่ายการตลาด การประชาสัมพันธ์ ฝ่ายพัฒนาผลิตภัณฑ์ไม่สามารถใช้ประโยชน์ของข้อมูลที่ได้รับมาสร้างกลยุทธ์ หรือพัฒนานวัตกรรมเพื่อสร้างการเติบโตให้องค์กรได้เต็มที่
อย่างไรก็ดี หัวใจหลักของ พ.ร.บ.ฯ ฉบับนี้อยู่ที่องค์กรสามารถจะรักษาความสมดุลของ 4 องค์ประกอบหลักก่อนที่จะทำ PDPA ได้มากน้อยขนาดไหน นั่นคือ
1.People : บุคลากรในองค์กร ที่ควรสร้างความรู้ความเข้าใจ PDPA และความพร้อมการทำงานเรื่องนี้ เพราะ PDPA จะมีความเกี่ยวข้องในการเก็บข้อมูล หรือการนำข้อมูลส่วนบุคคลไปใช้ในลักษณะงานที่แตกต่างกันของแต่ละหน่วยงานในองค์กร เช่น ฝ่ายการตลาด ฝ่ายไอที ฝ่ายพัฒนาผลิตภัณฑ์ก็ย่อมมีการใช้ข้อมูลที่แตกต่างกัน
2.Process : กระบวนการทำงาน ที่ต้องมีความชัดเจนในนโยบาย กระบวนการทำงานด้านการบริหาร รวมถึงมีกระบวนการบริหารจัดการข้อมูลอย่างไร ตั้งแต่เริ่มต้นของการได้มาซึ่งข้อมูล จนไปถึงการลบข้อมูลที่ได้มา อีกทั้งระยะเวลาที่ใช้ในการจัดเก็บ การระบุความชัดเจนของสิทธิ์ หน้าที่ และความรับผิดชอบ รวมไปถึงขั้นตอนการตรวจสอบหากเกิดกรณีข้อมูลรั่วไหลขึ้นมาจริง จะมีขั้นตอนการจัดการอย่างไรบ้าง
3.Data / Information : ข้อมูล ยุคดิจิทัลหลายๆองค์กรกระบวนการทางธุรกิจของพวกเขาทำงานบนระบบเทคโนโลยีสารสนเทศจึงทำให้ Data นั้นมีการไหลเวียนในองค์กร ดังนั้นความท้าทายด้าน Data คือ การกระจายของ Data ที่อาจจะไม่สามารถระบุแหล่งข้อมูล (source of data) ได้ชัดเจนว่ามีการจัดเก็บ Data อยู่ที่ไหนบ้าง เพราะสิ่งเหล่านี้มีความสำคัญเพราะ หากมีการขอให้ยกเลิกให้ข้อมูล หรือแม้เกิดกรณีข้อมูลรั่วไหลขึ้นมาองค์กรต้องสามารถระบุได้ชัดเจนว่า ประเภทข้อมูลดังกล่าวคืออะไร หรือต้องไปดำเนินการในขั้นตอนไหนของข้อมูล
4.Technology : เทคโนโลยี จะเป็นตัวช่วยในการบริหารจัดการความปลอดภัยข้อมูลแก่ผู้ที่มีหน้าที่ดูแลข้อมูล Data Privacy Owner (DPO) ทั้งนี้ราต้องยอมรับว่า ระบบงานต่างๆ หรือ เทคโนโลยีที่องค์กรใช้ในการดำเนินธุรกิจนั้นอาจได้รับการพัฒนาต่างวาระกัน ต่างวัตถุประสงค์ตามแต่ละหน่วยงาน ซึ่งที่ผ่านมาบางหน่วยงานอาจมีการรวมศูนย์ข้อมูลไว้ แต่บางหน่วยงานไม่มี หรือบางหน่วยงานเป็นการใช้เทคโนโลยีแบบเก่าซึ่งอาจไม่ได้เอื้อต่อการบูรณการมาตรการป้องกัน/รักษาความปลอดภัยข้อมุล ซึ่งหากองค์กรไม่มีเครื่องมือหรือเทคโนโลยีมาช่วย DPO ในการบริหารจัดการ หรือ การตรวจทานก็จะทำให้การบริหารจัดการในเรื่องนี้เป็นเรื่องยากต่อการปฏิบัติ
อย่างไรก็ดี ความยากหรือข้อจำกัดขององค์กรในช่วง 1 ปีก่อนที่จะมีการใช้ PDPA เป็นทางการ คือ องค์กรไม่รู้ว่าจะประเมินความพร้อมและความเหมาะสมของ 4 องค์ประกอบหลักอย่างไร เนื่องจาก พ.ร.บ.ฯ ดังกล่าวเป็นกฎหมายฉบับแม่ที่ออกมากว้าง แต่ยังมีรายละเอียดที่ต้องนำไปปรับใช้อีกมากตามแต่ลักษณะงานและธุรกิจ
ดังนั้น หากองค์กรมีที่ปรึกษาที่สามารถช่วงวางแผนและให้คำแนะนำ พร้อมมาช่วยประเมินความพร้อมว่า ปัจจุบันองค์กรมีความพร้อมหรือขาดทางด้านใดบ้าง และแต่ละด้านมีอะไรที่มากไปหรือน้อยไป ที่พอจะมาช่วยเติมหรือปรับลดเพื่อให้เกิดความพอดี และเกิดลำดับขั้นตอนว่าควรมีการจัดลำดับแผนงานแต่ละเฟส หรือถ้าไปซื้อเทคโนโลยีมาใช้เลยอาจจะไม่ได้ใช้อย่างคุ้มค่าเหมือนกันที่ได้ทุ่มเม็ดเงินลงทุนไป ทั้งหมดนี้เพื่อไปสู่แนวทางการปฏิบัติตัวให้ตรงตามเกณฑ์ PDPA และขณะเดียวกันสามารถช่วยปรับแนวทางการใช้ข้อมูลส่วนบุคคลได้ไม่ผิดวัตถุประสงค์หรือกฎหมายแล้ว ยังช่วยปรับกลยุทธ์และกระบวนการทำงานการใช้ข้อมูลพัฒนานวัตกรรมสิ่งใหม่ๆ หรือเพิ่มขีดความสามารถในการแข่งขันให้กับองค์กรมากขึ้น
“การสร้างความสมดุลการใช้ PDPA ในมุมที่ไม่ขัดต่อกฎหมาย และไม่ทำให้เสียโอกาสความสามารถในการแข่งขันของธุรกิจจึงเป็นเรื่องสำคัญ เพราะถ้าปล่อยให้น้ำหนักหรือให้ความสำคัญด้านใดด้านหนึ่งมากไป นั่นหมายความว่าองค์กรจะขับเคลื่อนได้ยาก
อีกทั้งไม่สามารถเติบโตในอนาคตเหมือนที่ตั้งเป้าหมายไว้ เช่น ถ้าให้น้ำหนักกับการใช้ข้อมูลทางการตลาดมากไป ก็อาจส่งผลกระทบต่อความน่าเชื่อถือองค์กรและความภักดีต่อแบรนด์และสินค้าได้ เพราะมีโอกาสที่ข้อมูลจะรั่วไหลได้มาก โดยเฉพาะอย่างยิ่งยุคปัจจุบันที่ผู้บริโภคเริ่มมีความตระหนักเรื่องข้อมูลส่วนบุคคลมากขึ้นจนมีการฟ้องร้องมากขึ้น แต่หากจะทำตามกฎหมายอย่างเดียว ก็มีผลกับการตลาดที่ทำให้ไม่สามารถพัฒนาสินค้าหรือนวัตกรรมใหม่ๆ ออกมาได้ และอาจทำให้เดินช้ากว่าคู่แข่งได้ ”นางฉันทชา กล่าว
นอกจากนี้ บลูบิคยังมีข้อแนะนำสำหรับแนวทางในการสร้างความตระหนักถึงบทบาทหน้าที่ในการเป็นผู้ดูแลข้อมูลในองค์กรที่ควรปฏิบัติมีอยู่ 4 ข้อด้วยกันคือ
1.จัดทำรายงานความรับผิดชอบต่อข้อมูล (Data Accountability Report) ถือเป็นการทำรายงานความรับผิดชอบข้อมูลในการแสดงจำนวนการเข้าถึงข้อมูลของพนักงานว่ามีใครเข้ามาใช้ข้อมูลบ้าง ซึ่งเป็นการแสดงความชัดเจนและแสดงความโปร่งใสในการรับผิดชอบข้อมูล ขณะเดียวกันยังเป็นการแสดงถึงความรับผิดชอบว่าองค์กรมีการปกป้องและดูแลข้อมูลอย่างไรบ้าง
2.การใช้ข้อมูลและวิเคราะห์อย่างรับผิดชอบ ก่อนหน้าที่มี พ.ร.บ.ฯ ออกมาใช้หลายคนอาจจะไม่ได้ให้น้ำหนักเรื่องการรักษาหรือดูแลข้อมูลส่วนบุคคลมาก จึงทำให้ทุกคนสามารถเข้าถึงการใช้สิทธิ์เพื่อดูข้อมูลได้หมด แต่ความเป็นจริงพนักงานทุกคน หรือบางสายงานไม่จำเป็นต้องเข้าถึงข้อมูลดังกล่าว ดังนั้น ถึงเวลาที่องค์กรต้องกลับมาพิจารณาแล้วว่าที่ผ่านมาองค์กรได้ใช้การเข้าถึงข้อมูลฟุ่มเฟือยหรือไม่ เพราะการที่มีจำนวนผู้ที่สามารถเข้าถึงข้อมูลได้มากขนาดไหน ก็มีโอกาสที่ข้อมูลรั่วไหลมากขึ้น
3.การกำหนดการเข้าถึงข้อมูลที่สำคัญ เพื่อแสดงความรับผิดชอบต่อการใช้ข้อมูลมีการกำหนดการเข้าถึงข้อมูล ควรกำหนดชัดเจนว่ามีกี่คนที่มีสิทธิ์เข้าถึงข้อมูลนี้ได้ ซึ่งสามารถดูความถี่ของผู้ที่มาดูข้อมูลได้ด้วย ซึ่งอาจนำไปสู่การดูความผิดปกติของการเข้าไปดูข้อมูลได้ด้วยว่าทำไมคนนี้ถึงเข้ามาดูข้อมูลนี้บ่อย อีกทั้งยังทำให้เกิดกระบวนการ Check and Balance หรือ การตรวจสอบความถูกต้องของข้อมูลที่มีการปรับแก้เพื่อไม่ให้เกิดข้อผิดพลาดขึ้นได้
4.จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Privacy Committee) ซึ่งควรจัดตั้งเป็นคณะกรรมการจริงจังเป็นระดับองค์กรและผู้มีส่วนได้ส่วนเสียทั้งหมดมาร่วมกัน เพื่อช่วยมีส่วนช่วยให้เกิดการตัดสินใจระดับสำคัญขององค์กร โดยให้มีความหลากหลายของผู้บริหารหรือฝ่ายงานต่างๆ ของบริษัท ทั้งนี้เพื่อให้เกิดความหลากหลายในมุมมองของการรับผิดชอบในการใช้ข้อมูล