8 สเต็ปขั้นตอนเตรียมพร้อมรองรับ ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคล’ (PDPA) ให้กับธุรกิจ และโอกาสในการเติบโต

  •  
  •  
  •  
  •  
  •  

ด้วยเทคโนโลยีที่มีความก้าวหน้า การเข้าถึงข้อมูลบนโลกออนไลน์จึงทั้งง่ายและสะดวกสบาย แต่ในขณะเดียวกันก็ง่ายต่อการเข้าถึงข้อมูลส่วนบุคคลที่สำคัญด้วย จุดนี้เองทำเกิดความกังวลเพิ่มมากขึ้นในปัจจุบัน ซึ่งกฎหมายเกี่ยวกับการปกป้องข้อมูลส่วนบุคคล หรือที่เรียกง่ายๆ ว่า PDPA (Personal Data Protection Act) โดยมีชื่ออย่างเป็นทางการว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  จะมีการประกาศใช้ในวันที่ 1 มิถุนายน 2565 แต่ผู้ประกอบการก็ดีหรือองค์กรธุรกิจบางแห่งอาจจะยังไม่เข้าใจและยังมองไม่เห็นว่ากฎหมายนี้จะเป็นตัวช่วยหรือสร้างโอกาสทางธุรกิจได้อย่างไร

เมื่อเร็วๆ นี้ บนเวที AIS Business Digital Future 2021 ภายใต้หัวข้อ How Business Landscape Change after PDPA ได้หยิบกฎหมายนี้ขึ้นมาพูดคุยและชี้ให้เห็นถึงช่องทางที่จะทำให้กฎหมายนี้กลายเป็นโอกาสสำคัญของการเติบโตทางธุรกิจได้ย่างน่าสนใจ จากกูรูและผู้เกี่ยวข้องกับกฎหมายตัวนี้โดยเฉพาะ ได้แก่ คุณภุชพงค์ โนดไธสง รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)  คุณคมศักดิ์ ฉิมนุตพาน Enterprise Cyber Security Manager, AIS Business  และ คุณมนฑกานติ์ อาขุบุตร Head of Data Protection Office Unit, AIS  ซึ่งสรุปใจความสำคัญทั้งหมดมาให้อ่านดังนี้

 

คำแนะนำ 8 ขั้นตอนพาองค์กรเตรียมพร้อมกับกฎหมาย PDPA

คุณคมศักดิ์ Enterprise Cyber Security Manager, AIS Business  ระบุว่า ภาคเอกชนควรมีการเตรียมความพร้อมสำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งหากใครยังไม่แน่ใจว่าควรเตรียมตัวหรือเริ่มต้นอย่างไร ก็ได้แนะนำ 8 ขั้นตอนในการดำเนินการ ซึ่งแต่ละองค์กรหรือผู้ประกอบการแต่ละท่านนั้นไม่จำเป็นต้องทำตามทั้งหมด 8 ขั้นตอนก็ได้ ขึ้นอยู่กับขนาดและประเภทของธุรกิจปรับเปลี่ยนได้ตามความเหมาะสม ดังนี้

  1. จัดตั้งทีม DPO (Data Protection Officer) คือตำแหน่งที่สำคัญสำหรับองค์กรที่รวบรวมหรือจัดเก็บข้อมูล ซึ่งหน้าที่ความรับผิดชอบของตำแหน่งนี้ก็จะรวมถึงการให้ความรู้แก่บริษัทและพนักงานเกี่ยวกับข้อบังคับ ฝึกอบรมพนักงานที่เกี่ยวข้องกับการประมวลผลข้อมูล และดำเนินการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ ซึ่งบทบาททีม DPO สำคัญมากที่จะคอยช่วยเหลือองค์กร
  2. Build Awareness to all User คือการสร้างการรับรู้ในบริษัทหรือองค์กร แต่มากกว่าการสร้างการตระหนักรู้ คือต้องทำให้ทุกคนได้เข้าใจและระมัดระวังในการทำงาน รวมถึงต้องระวังอย่างไรด้วย เพื่อลดความผิดพลาดให้น้อยลงที่สุด
  3. Data Mapping เมื่อเริ่มเข้าใจกระบวนการต่างๆ แล้วก็เริ่มที่จะต้องทำ Data Mapping ในกิจกรรมของแต่ละแผนกว่า แผนกไหนเกี่ยวข้องกับกฎหมาย PDPA อย่างไรบ้างหรือไม่ และต้องปฏิบัติตามอย่างไร
  4. Implement Privacy Policy and Notice มีการประกาศอยางชัดเจนว่า ข้อมูลั้นทำอะไรบ้าง และต้องมีวิธีในการรักษาที่ดีอย่างไร ตรงนี้องค์กรต้องทำอย่างชัดเจน
  5. Prepare Legal Basic เตรียมพื้นฐานทางกฎหมายต่างๆ ให้พร้อมสำหรับกฎหมาย PDPA
  6. Data Protection Impact Assessment มีความรู้โดยผ่านขั้นตอนจาก 3 ข้อด้านบนมาแล้ว เป็นการประเมินความเสี่ยงและให้น้ำหนักได้ถูกต้องว่าควรเข้มข้นในส่วนไหนเป็นพิเศษ
  7. Develop Breach Notification เป็นการเตรียมความพร้อมเผื่อกรณีที่มีข้อมูลรั่วไหล โดยเป็นการวางแผนกระบวนการในการรับมือ คล้ายกับการซักซ้อมหนีไฟ
  8. Provide Technology Control ขั้นตอนนี้คือการำเทคโนโลยีเข้ามาควบคุมและบริหารจัดการ แต่อย่างไรก็ตาม สำหรับบางบริษัทหรือบางธุรกิจที่มีข้อมูลไม่มากก็ไม่จำเป็นต้องใช้เทคโนโลยีก็ได้ สามารถดำเนินการในระบบแมนวลได้เลย จะเป็นการจัดเก็บเอกสาร หรือการกรอกเอกสารด้วยมือก็ทำได้ ขึ้นอยู่กับปริมาณของดาต้าที่คุณมี

ทั้ง 8 ขั้นตอนการทำให้องค์กรพร้อมสำหรับกฎหมายข้อมูลส่วนบุคคล ซึ่งจะสามารถสร้างความแตกต่างให้กับธุรกิจของคุณได้ แต่ย้ำอีกครั้งว่าไม่จำเป็นต้องครบทั้งหมด 8 ข้อ ขึ้นอยู่กับพื้นฐานทางธุรกิจของคุณว่าเกี่ยวข้องกับเรื่องอะไรบ้าง

 

ภาครัฐยืนยัน กฎหมาย PDPA สร้างการเติบโตให้กับธุรกิจได้อย่างแน่นอน

ด้าน คุณภุชพงค์ กล่าวในมุมภาครัฐ มองว่า หากเกิดการบังคับใช้เต็มรูปแบบแล้ว ภาคธุรกิจต้องมีความพร้อมอย่างมาก ซึ่งมองว่าทำตามแค่ 3 ขั้นตอนที่ AIS แนะนำก็เพียงพอครบถ้วนแล้ว ไม่ว่าจะเป็นการ ให้ความรู้พนักงาน เจ้าหน้าที่ และสเต็กโฮลเดอร์ การที่มีมาตรการแยกข้อมูลส่วนบุคคลออกจากข้อมูลส่วนอื่น รวมถึงการจัดตั้งทีมงานรับผิดชอบอย่างชัดเจน สามารถตรวจสอบขั้นตอนการเข้าถึงข้อมูลได้ และขั้นสาม คือการประเมินผล ซึ่งถูกต้องและดีมากๆ เพราะเราย้ำมาเสมอว่าไม่จำเป็นต้องที่จะต้องเก็บในรูปแบบดิจิทัล แม้แต่กระดาษในระดับธุรกิจเอสเอ็มอีเองก็ทำได้ ซึ่งตรงนี้หลายท่านอาจจไม่ทราบ ซึ่งถ้าธุรกิจของท่านไม่ได้มีข้อมูลเยอะก็ไม่จำเป็นต้องลงทุนกับเทคโนโลยีก็ได้ จากเพียงสามขั้นตอนนี้ถ้าภาคธุรกิจเตรียมให้ดี ก็จะครบถ้วนตามกฎหมาย

ตอบคำถามว่าหากปฏิบัตามกฎมาย PDPA จะดีต่อธุรกิจอย่างไร แน่นอนว่าจะทำให้ธุรกิจของท่านได้รับการยอมรับ โดยเฉพาะอย่างยิ่งหากต้องติดต่อค้าขายกับต่างประเทศ เพราะธุรกิจข้ามชาติให้ความสำคัญกับเรื่องนี้สูงมาก ไม่ว่าจะเป็นการโอนข้มข้อมูล ท่านจะถูกถามว่าบริษัทของคุณได้รับการรับรอง PDPA หรือไม่

ส่วนที่หลายคนยังสงสัยว่าจะเป็นอุปสรรคต่อการเข้าถึงข้อมูลภาครัฐหรือไม่ โดยเฉพาะประเด็น Open data ตนยืนยันว่า ไม่ใช่ อะไรที่รัฐเปิดได้รัฐต้องทำ โดยเฉพาะข้อมูลที่เกี่ยวข้องกับการนำเงินภาษีของประชาชนไปใช้ แต่ไม่เกี่ยวกับข้อมูลส่วนบุคคล ดังนั้น กฎหมายฉบับนี้จะเข้ามาเร่งให้เกิดการเปลี่ยนแปลงในภาคธุรกิจอย่างแน่นอน

 

AIS ตอกย้ำความมั่นใจการป้องกันข้อมูลส่วนบุคคล และทุกระบบพร้อมมาก

คุณมนฑกานติ์ Head of Data Protection Office Unit, AIS  กล่าวถึงการเตรียมความพร้อมของ AIS ว่า เป็นองค์กรที่เตรียมขั้นตอนครบทั้ง 8 ขั้นตอนอย่างเข้มข้น และให้ความสำคัญในเรื่องการปกป้องข้อมูลส่วนบุคคลอย่างมาก โดยเฉพาะข้อมูลของลูกค้า เรามีการทบทวนการทำงานอย่างสม่ำเสมอ ทำความเข้าใจกับพนักงานในทุกขั้นตอน ว่าใครจะสามารถเข้าถึงได้มากน้อยแค่ไหน องค์กรใหญ่อย่าง AIS จำเป็นต้องใช้เทคโนโลยีเข้ามาช่วยบริหารจัดการ เพราะมีข้อมูลเป็นจำนวนมาก แต่ก็จะเข้าถึงได้ตามความจำเป็นเท่านั้น นอกจากลูกค้าที่เป็น end user แล้วเรายังให้ความสำคัญกับข้อมูลของพาร์ทเนอร์และเวนเดอร์ทุกรายอีกด้วย

ในขณะที่เรื่องของการสร้างความเข้าใจให้กับบุคลาการในองค์กร AIS ก็ให้ความสำคัญมากเช่นกัน โดยมีการอบรมให้ความรู้ตั้งแต่พนักงานไปจนถึงผู้บริหารระดับสูง กรรมการบริหาร ทุกท่านมีส่วนร่วมด้วยกันหมด โดย AIS กำหนดเลยว่าสิ่งนี้คือ Corporation Culture ขององค์กร


  •  
  •  
  •  
  •  
  •  
pigabyte
pigabyte
การเรียนรู้ไม่มีวันจบสิ้น มาเรียนรู้และสนุกไปกับบทความ จาก MarketingOops! กันนะคะ แล้วเราจะได้ค้นพบว่าโลกของ MarTech นั้น So Sexy and Cool!