Bluebik แนะองค์กรควรใช้โอกาสที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) เลื่อนบังคับใช้ไปอีก 1 ปีให้เกิดประโยชน์สูงสุด จัดทัพเตรียมความพร้อมบุคลากร ปรับกลยุทธ์และแนวทางการทำงาน
ความสำคัญของ PDPA เกี่ยวข้องกับทุกภาคส่วนในองค์กร ไม่ใช่แค่ร่างเป็นแบบฟอร์มให้ผ่านทางกฎหมายเท่านั้น หากรู้จังหวะและความเหมาะสมการใช้ Data ก็จะช่วยพัฒนานวัตกรรมเสริมขีดความสามารถในการแข่งขันกับองค์กรได้
4 องค์ประกอบที่เป็นหัวใจหลักให้องค์กรปรับใช้ PDPA ได้ตรงตามวัตถุประสงค์ มีดังนี้
- People – บุคลากรในองค์กร ที่ควรสร้างความรู้ความเข้าใจ PDPA และความพร้อมการทำงานเรื่องนี้ เพราะ PDPA จะมีความเกี่ยวข้องในการเก็บข้อมูล หรือการนำข้อมูลส่วนบุคคลไปใช้ในลักษณะงานที่แตกต่างกันของแต่ละหน่วยงานในองค์กร เช่น ฝ่ายการตลาด ฝ่ายไอที ฝ่ายพัฒนาผลิตภัณฑ์ก็ย่อมมีการใช้ข้อมูลที่แตกต่างกัน
- Process – กระบวนการทำงานที่ต้องมีความชัดเจนในนโยบาย กระบวนการทำงานด้านการบริหาร รวมถึงมีกระบวนการบริหารจัดการข้อมูลอย่างไร ตั้งแต่เริ่มต้นของการได้มาซึ่งข้อมูล จนไปถึงการลบข้อมูลที่ได้มา อีกทั้งระยะเวลาที่ใช้ในการจัดเก็บ การระบุความชัดเจนของสิทธิ์ หน้าที่ และความรับผิดชอบ รวมไปถึงขั้นตอนการตรวจสอบหากเกิดกรณีข้อมูลรั่วไหลขึ้นมาจริง จะมีขั้นตอนการจัดการอย่างไรบ้าง
- Data / Information – ข้อมูล ยุคดิจิทัลหลายๆองค์กรกระบวนการทางธุรกิจของพวกเขาทำงานบนระบบเทคโนโลยีสารสนเทศจึงทำให้ Data นั้นมีการไหลเวียนในองค์กร ดังนั้นความท้าทายด้าน Data คือ การกระจายของ Data ที่อาจจะไม่สามารถระบุแหล่งข้อมูล (Source of Data) ได้ชัดเจนว่ามีการจัดเก็บ Data อยู่ที่ไหนบ้าง เพราะสิ่งเหล่านี้มีความสำคัญเพราะ หากมีการขอให้ยกเลิกให้ข้อมูล หรือแม้เกิดกรณีข้อมูลรั่วไหลขึ้นมาองค์กรต้องสามารถระบุได้ชัดเจนว่า ประเภทข้อมูลดังกล่าวคืออะไร หรือต้องไปดำเนินการในขั้นตอนไหนของข้อมูล
- Technology – เทคโนโลยี จะเป็นตัวช่วยในการบริหารจัดการความปลอดภัยข้อมูลแก่ผู้ที่มีหน้าที่ดูแลข้อมูล Data Privacy Owner (DPO) ทั้งนี้ราต้องยอมรับว่า ระบบงานต่างๆ หรือ เทคโนโลยีที่องค์กรใช้ในการดำเนินธุรกิจนั้นอาจได้รับการพัฒนาต่างวาระกัน ต่างวัตถุประสงค์ตามแต่ละหน่วยงาน ซึ่งที่ผ่านมาบางหน่วยงานอาจมีการรวมศูนย์ข้อมูลไว้ แต่บางหน่วยงานไม่มี หรือบางหน่วยงานเป็นการใช้เทคโนโลยีแบบเก่าซึ่งอาจไม่ได้เอื้อต่อการบูรณการมาตรการป้องกัน/รักษาความปลอดภัยข้อมูล ซึ่งหากองค์กรไม่มีเครื่องมือหรือเทคโนโลยีมาช่วย DPO ในการบริหารจัดการ หรือการตรวจทานก็จะทำให้การบริหารจัดการในเรื่องนี้เป็นเรื่องยากต่อการปฏิบัติ
อย่างไรก็ดี ความยากหรือข้อจำกัดขององค์กรในช่วง 1 ปีก่อนที่จะมีการใช้ PDPA เป็นทางการ คือ องค์กรไม่รู้ว่าจะประเมินความพร้อมและความเหมาะสมของ 4 องค์ประกอบหลักอย่างไร เนื่องจาก พ.ร.บ.ฯ ดังกล่าวเป็นกฎหมายฉบับแม่ที่ออกมากว้าง แต่ยังมีรายละเอียดที่ต้องนำไปปรับใช้อีกมากตามแต่ลักษณะงานและธุรกิจ
ดังนั้น หากองค์กรมีที่ปรึกษาที่สามารถช่วงวางแผนและให้คำแนะนำ พร้อมมาช่วยประเมินความพร้อมว่า ปัจจุบันองค์กรมีความพร้อมหรือขาดทางด้านใดบ้าง และแต่ละด้านมีอะไรที่มากไปหรือน้อยไป ที่พอจะมาช่วยเติมหรือปรับลดเพื่อให้เกิดความพอดี และเกิดลำดับขั้นตอนว่าควรมีการจัดลำดับแผนงานแต่ละเฟส หรือถ้าไปซื้อเทคโนโลยีมาใช้เลยอาจจะไม่ได้ใช้อย่างคุ้มค่าเหมือนกันที่ได้ทุ่มเม็ดเงินลงทุนไป ทั้งหมดนี้เพื่อไปสู่แนวทางการปฏิบัติตัวให้ตรงตามเกณฑ์ PDPA และขณะเดียวกันสามารถช่วยปรับแนวทางการใช้ข้อมูลส่วนบุคคลได้ไม่ผิดวัตถุประสงค์หรือกฎหมายแล้ว ยังช่วยปรับกลยุทธ์และกระบวนการทำงานการใช้ข้อมูลพัฒนานวัตกรรมสิ่งใหม่ๆ หรือเพิ่มขีดความสามารถในการแข่งขันให้กับองค์กรมากขึ้น
ข้อแนะนำสำหรับแนวทางในการสร้างความตระหนักถึงบทบาทหน้าที่ในการเป็นผู้ดูแลข้อมูลในองค์กรที่ควรปฏิบัติมีอยู่ 4 ข้อด้วยกันคือ
- จัดทำรายงานความรับผิดชอบต่อข้อมูล (Data Accountability Report) ถือเป็นการทำรายงานความรับผิดชอบข้อมูลในการแสดงจำนวนการเข้าถึงข้อมูลของพนักงานว่ามีใครเข้ามาใช้ข้อมูลบ้าง ซึ่งเป็นการแสดงความชัดเจนและแสดงความโปร่งใสในการรับผิดชอบข้อมูล ขณะเดียวกันยังเป็นการแสดงถึงความรับผิดชอบว่าองค์กรมีการปกป้องและดูแลข้อมูลอย่างไรบ้าง
- การใช้ข้อมูลและวิเคราะห์อย่างรับผิดชอบ ก่อนหน้าที่มี พ.ร.บ.ฯ ออกมาใช้หลายคนอาจจะไม่ได้ให้น้ำหนักเรื่องการรักษาหรือดูแลข้อมูลส่วนบุคคลมาก จึงทำให้ทุกคนสามารถเข้าถึงการใช้สิทธิ์เพื่อดูข้อมูลได้หมด แต่ความเป็นจริงพนักงานทุกคน หรือบางสายงานไม่จำเป็นต้องเข้าถึงข้อมูลดังกล่าว ดังนั้น ถึงเวลาที่องค์กรต้องกลับมาพิจารณาแล้วว่าที่ผ่านมาองค์กรได้ใช้การเข้าถึงข้อมูลฟุ่มเฟือยหรือไม่ เพราะการที่มีจำนวนผู้ที่สามารถเข้าถึงข้อมูลได้มากขนาดไหน ก็มีโอกาสที่ข้อมูลรั่วไหลมากขึ้น
- การกำหนดการเข้าถึงข้อมูลที่สำคัญ เพื่อแสดงความรับผิดชอบต่อการใช้ข้อมูลมีการกำหนดการเข้าถึงข้อมูล ควรกำหนดชัดเจนว่ามีกี่คนที่มีสิทธิ์เข้าถึงข้อมูลนี้ได้ ซึ่งสามารถดูความถี่ของผู้ที่มาดูข้อมูลได้ด้วย ซึ่งอาจนำไปสู่การดูความผิดปกติของการเข้าไปดูข้อมูลได้ด้วยว่าทำไมคนนี้ถึงเข้ามาดูข้อมูลนี้บ่อย อีกทั้งยังทำให้เกิดกระบวนการ Check and Balance หรือ การตรวจสอบความถูกต้องของข้อมูลที่มีการปรับแก้เพื่อไม่ให้เกิดข้อผิดพลาดขึ้นได้
- จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Privacy Committee) ซึ่งควรจัดตั้งเป็นคณะกรรมการจริงจังเป็นระดับองค์กรและผู้มีส่วนได้ส่วนเสียทั้งหมดมาร่วมกัน เพื่อช่วยมีส่วนช่วยให้เกิดการตัดสินใจระดับสำคัญขององค์กร โดยให้มีความหลากหลายของผู้บริหารหรือฝ่ายงานต่างๆ ของบริษัท ทั้งนี้เพื่อให้เกิดความหลากหลายในมุมมองของการรับผิดชอบในการใช้ข้อมูล
“การสร้างความสมดุลการใช้ PDPA ในมุมที่ไม่ขัดต่อกฎหมาย และไม่ทำให้เสียโอกาสความสามารถในการแข่งขันของธุรกิจจึงเป็นเรื่องสำคัญ เพราะถ้าปล่อยให้น้ำหนักหรือให้ความสำคัญด้านใดด้านหนึ่งมากไป นั่นหมายความว่าองค์กรจะขับเคลื่อนได้ยาก อีกทั้งไม่สามารถเติบโตในอนาคตเหมือนที่ตั้งเป้าหมายไว้ เช่น ถ้าให้น้ำหนักกับการใช้ข้อมูลทางการตลาดมากไป ก็อาจส่งผลกระทบต่อความน่าเชื่อถือองค์กรและความภักดีต่อแบรนด์และสินค้าได้ เพราะมีโอกาสที่ข้อมูลจะรั่วไหลได้มาก โดยเฉพาะอย่างยิ่งยุคปัจจุบันที่ผู้บริโภคเริ่มมีความตระหนักเรื่องข้อมูลส่วนบุคคลมากขึ้นจนมีการฟ้องร้องมากขึ้น แต่หากจะทำตามกฎหมายอย่างเดียว ก็มีผลกับการตลาดที่ทำให้ไม่สามารถพัฒนาสินค้าหรือนวัตกรรมใหม่ๆ ออกมาได้ และอาจทำให้เดินช้ากว่าคู่แข่งได้” นางฉันทชา กล่าวทิ้งท้าย
ขอขอบคุณแหล่งที่มา :
https://www.moneyandbanking.co.th/article/bluebikgroup-pdpa-09062020