ด้วยเทคโนโลยีที่มีความก้าวหน้า การเข้าถึงข้อมูลบนโลกออนไลน์จึงทั้งง่ายและสะดวกสบาย แต่ในขณะเดียวกันก็ง่ายต่อการเข้าถึงข้อมูลส่วนบุคคลที่สำคัญด้วย จุดนี้เองทำเกิดความกังวลเพิ่มมากขึ้นในปัจจุบัน ซึ่งกฎหมายเกี่ยวกับการปกป้องข้อมูลส่วนบุคคล หรือที่เรียกง่ายๆ ว่า PDPA (Personal Data Protection Act) โดยมีชื่ออย่างเป็นทางการว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีการประกาศใช้ในวันที่ 1 มิถุนายน 2565 แต่ผู้ประกอบการก็ดีหรือองค์กรธุรกิจบางแห่งอาจจะยังไม่เข้าใจและยังมองไม่เห็นว่ากฎหมายนี้จะเป็นตัวช่วยหรือสร้างโอกาสทางธุรกิจได้อย่างไร
เมื่อเร็วๆ นี้ บนเวที AIS Business Digital Future 2021 ภายใต้หัวข้อ How Business Landscape Change after PDPA ได้หยิบกฎหมายนี้ขึ้นมาพูดคุยและชี้ให้เห็นถึงช่องทางที่จะทำให้กฎหมายนี้กลายเป็นโอกาสสำคัญของการเติบโตทางธุรกิจได้ย่างน่าสนใจ จากกูรูและผู้เกี่ยวข้องกับกฎหมายตัวนี้โดยเฉพาะ ได้แก่ คุณภุชพงค์ โนดไธสง รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) คุณคมศักดิ์ ฉิมนุตพาน Enterprise Cyber Security Manager, AIS Business และ คุณมนฑกานติ์ อาขุบุตร Head of Data Protection Office Unit, AIS ซึ่งสรุปใจความสำคัญทั้งหมดมาให้อ่านดังนี้
คำแนะนำ 8 ขั้นตอนพาองค์กรเตรียมพร้อมกับกฎหมาย PDPA
คุณคมศักดิ์ Enterprise Cyber Security Manager, AIS Business ระบุว่า ภาคเอกชนควรมีการเตรียมความพร้อมสำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งหากใครยังไม่แน่ใจว่าควรเตรียมตัวหรือเริ่มต้นอย่างไร ก็ได้แนะนำ 8 ขั้นตอนในการดำเนินการ ซึ่งแต่ละองค์กรหรือผู้ประกอบการแต่ละท่านนั้นไม่จำเป็นต้องทำตามทั้งหมด 8 ขั้นตอนก็ได้ ขึ้นอยู่กับขนาดและประเภทของธุรกิจปรับเปลี่ยนได้ตามความเหมาะสม ดังนี้
- จัดตั้งทีม DPO (Data Protection Officer) คือตำแหน่งที่สำคัญสำหรับองค์กรที่รวบรวมหรือจัดเก็บข้อมูล ซึ่งหน้าที่ความรับผิดชอบของตำแหน่งนี้ก็จะรวมถึงการให้ความรู้แก่บริษัทและพนักงานเกี่ยวกับข้อบังคับ ฝึกอบรมพนักงานที่เกี่ยวข้องกับการประมวลผลข้อมูล และดำเนินการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ ซึ่งบทบาททีม DPO สำคัญมากที่จะคอยช่วยเหลือองค์กร
- Build Awareness to all User คือการสร้างการรับรู้ในบริษัทหรือองค์กร แต่มากกว่าการสร้างการตระหนักรู้ คือต้องทำให้ทุกคนได้เข้าใจและระมัดระวังในการทำงาน รวมถึงต้องระวังอย่างไรด้วย เพื่อลดความผิดพลาดให้น้อยลงที่สุด
- Data Mapping เมื่อเริ่มเข้าใจกระบวนการต่างๆ แล้วก็เริ่มที่จะต้องทำ Data Mapping ในกิจกรรมของแต่ละแผนกว่า แผนกไหนเกี่ยวข้องกับกฎหมาย PDPA อย่างไรบ้างหรือไม่ และต้องปฏิบัติตามอย่างไร
- Implement Privacy Policy and Notice มีการประกาศอยางชัดเจนว่า ข้อมูลั้นทำอะไรบ้าง และต้องมีวิธีในการรักษาที่ดีอย่างไร ตรงนี้องค์กรต้องทำอย่างชัดเจน
- Prepare Legal Basic เตรียมพื้นฐานทางกฎหมายต่างๆ ให้พร้อมสำหรับกฎหมาย PDPA
- Data Protection Impact Assessment มีความรู้โดยผ่านขั้นตอนจาก 3 ข้อด้านบนมาแล้ว เป็นการประเมินความเสี่ยงและให้น้ำหนักได้ถูกต้องว่าควรเข้มข้นในส่วนไหนเป็นพิเศษ
- Develop Breach Notification เป็นการเตรียมความพร้อมเผื่อกรณีที่มีข้อมูลรั่วไหล โดยเป็นการวางแผนกระบวนการในการรับมือ คล้ายกับการซักซ้อมหนีไฟ
- Provide Technology Control ขั้นตอนนี้คือการำเทคโนโลยีเข้ามาควบคุมและบริหารจัดการ แต่อย่างไรก็ตาม สำหรับบางบริษัทหรือบางธุรกิจที่มีข้อมูลไม่มากก็ไม่จำเป็นต้องใช้เทคโนโลยีก็ได้ สามารถดำเนินการในระบบแมนวลได้เลย จะเป็นการจัดเก็บเอกสาร หรือการกรอกเอกสารด้วยมือก็ทำได้ ขึ้นอยู่กับปริมาณของดาต้าที่คุณมี
ทั้ง 8 ขั้นตอนการทำให้องค์กรพร้อมสำหรับกฎหมายข้อมูลส่วนบุคคล ซึ่งจะสามารถสร้างความแตกต่างให้กับธุรกิจของคุณได้ แต่ย้ำอีกครั้งว่าไม่จำเป็นต้องครบทั้งหมด 8 ข้อ ขึ้นอยู่กับพื้นฐานทางธุรกิจของคุณว่าเกี่ยวข้องกับเรื่องอะไรบ้าง
ภาครัฐยืนยัน กฎหมาย PDPA สร้างการเติบโตให้กับธุรกิจได้อย่างแน่นอน
ด้าน คุณภุชพงค์ กล่าวในมุมภาครัฐ มองว่า หากเกิดการบังคับใช้เต็มรูปแบบแล้ว ภาคธุรกิจต้องมีความพร้อมอย่างมาก ซึ่งมองว่าทำตามแค่ 3 ขั้นตอนที่ AIS แนะนำก็เพียงพอครบถ้วนแล้ว ไม่ว่าจะเป็นการ ให้ความรู้พนักงาน เจ้าหน้าที่ และสเต็กโฮลเดอร์ การที่มีมาตรการแยกข้อมูลส่วนบุคคลออกจากข้อมูลส่วนอื่น รวมถึงการจัดตั้งทีมงานรับผิดชอบอย่างชัดเจน สามารถตรวจสอบขั้นตอนการเข้าถึงข้อมูลได้ และขั้นสาม คือการประเมินผล ซึ่งถูกต้องและดีมากๆ เพราะเราย้ำมาเสมอว่าไม่จำเป็นต้องที่จะต้องเก็บในรูปแบบดิจิทัล แม้แต่กระดาษในระดับธุรกิจเอสเอ็มอีเองก็ทำได้ ซึ่งตรงนี้หลายท่านอาจจไม่ทราบ ซึ่งถ้าธุรกิจของท่านไม่ได้มีข้อมูลเยอะก็ไม่จำเป็นต้องลงทุนกับเทคโนโลยีก็ได้ จากเพียงสามขั้นตอนนี้ถ้าภาคธุรกิจเตรียมให้ดี ก็จะครบถ้วนตามกฎหมาย
ตอบคำถามว่าหากปฏิบัตามกฎมาย PDPA จะดีต่อธุรกิจอย่างไร แน่นอนว่าจะทำให้ธุรกิจของท่านได้รับการยอมรับ โดยเฉพาะอย่างยิ่งหากต้องติดต่อค้าขายกับต่างประเทศ เพราะธุรกิจข้ามชาติให้ความสำคัญกับเรื่องนี้สูงมาก ไม่ว่าจะเป็นการโอนข้มข้อมูล ท่านจะถูกถามว่าบริษัทของคุณได้รับการรับรอง PDPA หรือไม่
ส่วนที่หลายคนยังสงสัยว่าจะเป็นอุปสรรคต่อการเข้าถึงข้อมูลภาครัฐหรือไม่ โดยเฉพาะประเด็น Open data ตนยืนยันว่า ไม่ใช่ อะไรที่รัฐเปิดได้รัฐต้องทำ โดยเฉพาะข้อมูลที่เกี่ยวข้องกับการนำเงินภาษีของประชาชนไปใช้ แต่ไม่เกี่ยวกับข้อมูลส่วนบุคคล ดังนั้น กฎหมายฉบับนี้จะเข้ามาเร่งให้เกิดการเปลี่ยนแปลงในภาคธุรกิจอย่างแน่นอน
AIS ตอกย้ำความมั่นใจการป้องกันข้อมูลส่วนบุคคล และทุกระบบพร้อมมาก
คุณมนฑกานติ์ Head of Data Protection Office Unit, AIS กล่าวถึงการเตรียมความพร้อมของ AIS ว่า เป็นองค์กรที่เตรียมขั้นตอนครบทั้ง 8 ขั้นตอนอย่างเข้มข้น และให้ความสำคัญในเรื่องการปกป้องข้อมูลส่วนบุคคลอย่างมาก โดยเฉพาะข้อมูลของลูกค้า เรามีการทบทวนการทำงานอย่างสม่ำเสมอ ทำความเข้าใจกับพนักงานในทุกขั้นตอน ว่าใครจะสามารถเข้าถึงได้มากน้อยแค่ไหน องค์กรใหญ่อย่าง AIS จำเป็นต้องใช้เทคโนโลยีเข้ามาช่วยบริหารจัดการ เพราะมีข้อมูลเป็นจำนวนมาก แต่ก็จะเข้าถึงได้ตามความจำเป็นเท่านั้น นอกจากลูกค้าที่เป็น end user แล้วเรายังให้ความสำคัญกับข้อมูลของพาร์ทเนอร์และเวนเดอร์ทุกรายอีกด้วย
ในขณะที่เรื่องของการสร้างความเข้าใจให้กับบุคลาการในองค์กร AIS ก็ให้ความสำคัญมากเช่นกัน โดยมีการอบรมให้ความรู้ตั้งแต่พนักงานไปจนถึงผู้บริหารระดับสูง กรรมการบริหาร ทุกท่านมีส่วนร่วมด้วยกันหมด โดย AIS กำหนดเลยว่าสิ่งนี้คือ Corporation Culture ขององค์กร
