แนะปรับตัวสู่ “วิถีใหม่”รับพ.ร.บ.PDPA

การระบาดของโควิด-19 ได้สร้างผลกระทบอย่างใหญ่หลวง ไม่ว่าจะอุตสาหกรรมใด ๆ และได้สร้างการ เปลี่ยนแปลงครั้งใหญ่ ไม่ว่าจะเป็นการรักษาระยะห่างทางสังคม และการปิดพรมแดน ส่งผลให้การเดินทางเพื่อติดต่อธุรกิจถูกจำกัดลง สิ่งเหล่านี้คือ “วิถีใหม่” ที่ทุกคนกำลังเผชิญ ด้านพฤติกรรมผู้บริโภคเกิดการเปลี่ยนแปลงอย่างมาก เนื่องจากความจำเป็นในเรื่องของการรักษาระยะห่างทางสังคม ทำให้เทคโนโลยีได้กลายมาเป็นสิ่งสำคัญสำหรับทุกสิ่งและทุกอย่าง ปริมาณข้อมูลมหาศาลจากการใช้งานอินเทอร์เน็ตกำลังถูกสร้างและจัดเก็บ ไม่ว่าจะเป็นข้อมูลจากการช้อปปิ้งออนไลน์ การใช้จ่ายเงินผ่านกระเป๋าเงินอิเล็กทรอนิกส์ และเวลาที่ใช้ในการท่องอินเทอร์เน็ตและโซเชียลมีเดียที่เพิ่มมากขึ้น

 ทุกวันนี้ องค์กรต่าง ๆ ล้วนเก็บข้อมูลส่วนบุคคลจำนวนมากเพื่อใช้งานและเพื่อส่งต่อให้บุคคลที่สามด้วยเหตุผลที่หลากหลาย คาดการณ์ว่าแนวโน้มนี้จะเติบโตขึ้นอย่างมาก เนื่องจากการจัดการและการวิเคราะห์ข้อมูลได้กลายมาเป็นส่วนสำคัญที่มีเทคโนโลยีเข้ามาขับเคลื่อนสิ่งเหล่านี้  นำมาซึ่งคำถามที่ว่า “องค์กรต่าง ๆ จะรับมือกับข้อมูลส่วนบุคคลที่จัดเก็บมาใช้ และเปิดเผยข้อมูลส่วนบุคคลนี้อย่างไรให้ถูกต้องตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA” หรือ คำถามที่ว่า “ลูกค้าได้ตระหนักรู้อย่างเต็มที่แล้วใช่หรือไม่ ว่าองค์กรได้ขออนุญาตเก็บข้อมูลส่วนบุคคลเพื่อนำไปใช้สำหรับทำอะไร” รวมทั้งคำถามที่ว่า "สิทธิส่วนบุคคลของแต่ละคนอะไรบ้างที่ได้รับความคุ้มครองตามกฎหมาย" บริษัท เอบีม คอนซัลติ้ง (ประเทศไทย) จำกัด แนะองค์กรควรปกป้องข้อมูลส่วนบุคคลเชิงรุก ด้วยการปรับลักษณะของการจัดการ การปรับใช้เทคโนโลยี และการปฏิรูปกฎหมายที่จำเป็น เพื่อให้มั่นใจว่าได้ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลแล้ว

 นายอิชิโร ฮาระ กรรมการผู้จัดการ บริษัท เอบีม คอนซัลติ้ง (ประเทศไทย) จำกัด บริษัทที่ปรึกษาระดับโลก เปิดเผยว่า จากการที่เกิด “วิถีใหม่” ทำให้มีปริมาณการใช้ข้อมูลส่วนบุคคลจำนวนมากและจะมีเพิ่มขึ้นอย่างต่อเนื่อง ส่งผลให้เกิดความกังวลเกี่ยวกับความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล จากผลกระทบหลักที่อาจจะมาจากการใช้ข้อมูลส่วนบุคคลในทางที่ผิดและการละเมิดข้อมูลส่วนบุคคล อ้างถึงรายงานของ GDPR พบว่า มากกว่า 38% ของกรณีที่ละเมิด GDPR เป็นกรณีที่ใช้ข้อมูลส่วนบุคคลในทางที่ผิด โดยในเดือนพฤษภาคม 2563 มีรายงานว่า ทั่วโลกมีการละเมิดข้อมูลอยู่ประมาณ 8.8 พันล้านข้อมูล ซึ่งคิดเป็นมูลค่าความเสียหายประมาณ 3.92 ล้านเหรียญสหรัฐ โดยไม่สามารถปฏิเสธความรับผิดชอบจากเหตุการณ์ที่มีการละเมิดข้อมูลส่วนบุคคลซึ่งสร้างผลกระทบอย่างมากทางธุรกิจ ไม่ว่าจะเป็นการสูญเสียเงิน การหยุดชะงักของธุรกิจ ภาระผูกพันตามกฎหมาย และการทำให้ชื่อเสียงของแบรนด์ เกิดความเสี่ยง องค์กรจะต้องกลับมาพิจารณาอย่างจริงจังเกี่ยวกับความรับผิดชอบในการปกป้องข้อมูลส่วนบุคคลของลูกค้า และขั้นตอนในการดำเนินการเพื่อจะบรรเทาความเสี่ยงและป้องกันการเกิดการละเมิดข้อมูลส่วนบุคคลอย่างเหมาะสม

 ทั้งนี้ แม้ว่าการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะถูกเลื่อนออกไปถึงวันที่ 31 พฤษภาคม 2564 แต่หน่วยงานภาครัฐที่ดูแลเรื่องการบังคับใช้ พ.ร.บ.ฉบับนี้ได้มีการเดินหน้าจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นที่เรียบร้อย โดยในช่วงรอยต่อของช่องว่างการบังคับใช้ พ.ร.บ.ฉบับนี้ เป็นช่วงเวลาที่ดีที่องค์กรต่าง ๆ จะเตรียมความพร้อมต่าง ๆ ที่จำเป็นตามที่กฎหมายระบุไว้ให้พร้อม เพื่อให้มั่นใจว่าองค์กรมีความพร้อมที่จะรับมือกับการบังคับใช้กฎหมายลูกฉบับต่าง ๆ ของ พ.ร.บ.ฉบับนี้ ที่คาดว่าจะทยอยออกมาบังคับใช้ในอนาคตอันใกล้นี้

จากรายงาน IAPP-EY Annual Privacy Governance Report 2019 เปิดเผยว่า มีเพียง 45% ขององค์กรเท่านั้น ที่ปฏิบัติตาม GDPR อย่างสมบูรณ์เต็มที่ และมี 42% ที่อยู่เพียงขั้นปานกลางในการทำให้การจัดเก็บจัดการข้อมูลส่วนบุคคลของลูกค้าให้เป็นไปตามกรอบของกฎหมาย GDPR ประกาศใช้มา 4 ปี และมีผลบังคับใช้เต็มที่เมื่อพฤษภาคม 2561 เท่ากับว่าองค์กรต่าง ๆ มีเวลามากกว่า 1 ปีในการเตรียมตัวให้พร้อมก่อนที่ GDPR จะมีผลบังคับใช้จริง แต่กระนั้นก็ตาม มีองค์กรประมาณ 54% ใช้เวลามากกว่าที่คาดการณ์ไว้ และมีหลายองค์กรที่ยอมรับว่ายังติดขัดกับการความท้าทายในการทำให้สอดคล้องกับกฎหมาย โดยเฉพาะอย่างยิ่งระบบการบริหารจัดการความยินยอมของลูกค้า (Consent Management) และระบบการขอเข้าถึงข้อมูล (Data Subject Access Requests Management)

ความยากอันดับต้น ๆ ขององค์กรที่จะทำการจัดการข้อมูลส่วนบุคคลของลูกค้าให้เป็นไปตามกฎหมาย คือ การบริหารจัดการการยินยอมของลูกค้าและมาตรฐานการดำเนินการที่มีประสิทธิภาพและหลีกเลี่ยงความเสี่ยงจากการสูญเสียข้อมูล ซึ่ง “Centralized Consent Management Platforms” สามารถเข้ามาช่วยในส่วนนี้ได้ เพียงแต่ในความเป็นจริงแล้ว 44% ขององค์กร มีระบบจัดเก็บการยินยอมของลูกค้ามากกว่า 25 ระบบ ดังนั้น มีความจำเป็นจะต้องรวบรวมระบบต่าง ๆ เข้าสู่แพลตฟอร์ม ซึ่งจะนำมาซึ่งการเปลี่ยนแปลงกระบวนการทำธุรกิจ และกลไกในการตรวจสอบข้อมูลตั้งแต่ต้นทางถึงปลายทาง เพื่อมั่นใจได้ว่าระบบจัดเก็บการยินยอมของลูกค้านั้นเป็นปัจจุบัน และต้องทำให้ลูกค้าสามารถทำการอนุญาตละถอนการอนุญาตได้ด้วยตัวเอง อาทิ องค์กรจะต้องตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูลภายในเวลาที่กำหนด คือ ภายใน 72 ชั่วโมงหลังจากที่มีการตรวจสอบการร้องขอจากลูกค้า

ความท้าทายเหล่านี้สัมพันธ์กับความซับซ้อนในการบริหารจัดการระบบที่เกี่ยวข้องทั้งหมดภายในระยะเวลาที่กำหนด จากสถิติ พบว่าประมาณ 36% ขององค์กร ใช้เวลามากกว่า 3 สัปดาห์ในการตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูล (DSR) ขณะที่ 58% มีพนักงานเพียง 26 คนในการบริหารจัดการคำขอสิทธิ์ของเจ้าของข้อมูลที่มีเข้ามา ค่าเฉลี่ยอยู่ที่ 50 คนในการตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูล ซึ่งคิดเป็นเงินลงทุนประมาณ 70,000 เหรียญต่อเดือน หรือคิดเป็นต้นทุน ประมาณ 1,400 เหรียญต่อหนึ่งคำขอสิทธิ์ของเจ้าของข้อมูล

เอบีม แนะใช้เครื่องมืออัตโนมัติในการทำให้การบริหารจัดการคำขอและแพลตฟอร์มการคำขอสิทธิ์ของเจ้าของข้อมูล ทำงานร่วมกันอย่างไร้รอยต่อ แบ่งออกได้เป็น 2 เฟส คือ

เฟส 1: การเตรียมความพร้อมพื้นฐานสำหรับ PDPA มี 4 การเตรียมความพร้อมพื้นฐานสำหรับ PDPA ที่ให้ความสำคัญกับ บุคลากร กระบวนการ และ เทคโนโลยี คือ การจัดการ การกำกับดูแลข้อมูล (Data Governance) กระบวนการธุรกิจ (Business Process) การเปลี่ยนผ่านแอปพลิเคชัน (Application Transformation) และการบริหารจัดการการเปลี่ยนแปลง (Change Management) สิ่งเหล่านี้ จะช่วยให้องค์กรสามารถปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้ และสามารถที่จะบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลได้อย่างยั่งยืนในระยะยาว

เฟส 2: การลงมือทำ มีข้อแนะนำสำหรับการทำระบบการจัดเก็บและบริหารจัดการข้อมูลให้สำเร็จโดยเร็วโดยที่ยังสามารถทำให้สอดคล้องตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยที่ธุรกิจก็ไม่ต้องหยุดชะงัก นั่นคือการจัดลำดับความสำคัญของระบบต่าง ๆ ได้แก่ Data Subject Journey, Consent Management Platform, Data Subject Rights Execution, Data Privacy Impact Assessment (DPIA) & Privacy by Design, Business Change Management, Business Partner Due-Diligence,

Breach Management และ Storage Limitation แนะองค์กรควรเริ่มจากกระบวนการทำธุรกิจ โครงสร้างพื้นฐานทางเทคโนโลยี สภาพแวดล้อม และการใช้ข้อมูลส่วนบุคคลในปัจจุบันที่มีการใช้ข้ามองค์กรสำหรับการวินิจฉัยประเด็นที่เหมาะสม

อย่างไรก็ตาม กระบวนการทั้งหมดที่เกี่ยวกับการปกป้องข้อมูลส่วนบุคคล รวมถึงกระบวนการในการคุ้มครอง ข้อมูลส่วนบุคคลที่จะเกิดขึ้นในอนาคต ทั้งหมดจะต้องเปิดเผย โปร่งใส ที่สำคัญที่สุด องค์กรต่าง ๆ ควรทำงานร่วมกับผู้เชี่ยวชาญที่มีประสบการณ์ ทั้งในเรื่องเทคโนโลยีและโซลูชันสำหรับ PDPA ใน แต่ละอุตสาหกรรมที่มีโซลูชันครบวงจรตั้งแต่ต้นน้ำถึงปลายน้ำ เพื่อให้องค์กรสามารถติดตั้งและดำเนินการระบบได้อย่างรวดเร็วและประสบความสำเร็จในการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล