เมื่อช่วงกลางปี ในวันที่ 1 มิถุนายน 2565 เราได้รู้จักกับกฎหมายตัวใหม่ นั่นคือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act) หรือที่เรียกกันว่า PDPA โดยกฎหมายตัวนี้มีขึ้นเพื่อยกระดับความปลอดภัยข้อมูลส่วนบุคคลของผู้บริโภคในทุกด้าน ซึ่งเป็นเรื่องดีกับเราทุกคน
แต่ในมุมมองของธุรกิจ กฎหมายตัวนี้ได้ส่งผลกระทบต่อการดำเนินการต่างๆ อยู่ไม่น้อย เพราะเป็นปกติที่ธุรกิจจะใช้ข้อมูลของผู้บริโภคในการวิเคราะห์เพื่อดำเนินกลยุทธ์ให้ถูกใจลูกค้ามากที่สุด ยกตัวอย่างเช่น Netflix ที่มีการนำข้อมูลสิ่งที่เราชอบ และมักจะเปิดดู มาเปรียบเทียบกัน และจัดแสดงเป็นคอนเทนต์ที่เราน่าจะชอบขึ้นมา หรือในแพลตฟอร์มตลาด E-Commerce มีการแสดงสินค้าที่ใกล้เคียงกับที่เรากำลังดูอยู่ ซึ่งตรงนี้สามารถเพิ่มโอกาสที่เราจะเห็นสินค้าได้มากขึ้น ส่งผลไปถึงการเพิ่มยอดขายได้อย่างมีประสิทธิภาพ
การวิจัยจาก Gartner ได้ระบุผลการสำรวจไว้ว่า ธุรกิจที่มีการใช้ข้อมูล หรือมีหัวหน้าฝ่ายข้อมูลเข้าร่วมการตัดสินใจด้านกลยุทธ์ และกำหนดทิศทางขององค์กร จะมีโอกาสเพิ่มมูลค่าทางธุรกิจได้มากกว่า 2.6 เท่า
แต่หลังจากมีการประกาศใช้ PDPA ธุรกิจจึงนำข้อมูลมาวิเคราะห์ได้ยากขึ้นกว่าเดิม วันนี้ Future Trends จึงอยากชวนทุกคนมาดูผลกระทบต่อภาคธุรกิจ ที่อาจเรียกได้ว่าเป็นความท้าทายสำหรับการเดินเกมในยุคนี้ แล้วจะมีตัวช่วยไหนไหม ที่ช่วยให้ธุรกิจดำเนินกิจการต่อได้อย่างลื่นไหล พร้อมกับปฏิบัติตามกฎหมายตัวนี้ได้อย่างเคร่งครัดโดยไม่ติดขัด Future Trends จะพาไปหาคำตอบกัน
3 เหตุผลที่ทำให้ PDPA เป็นเรื่องยากสำหรับธุรกิจ
แม้คนทั่วไปอาจจะยังไม่รู้ แต่นี่คือสิ่งที่ทำให้ PDPA กลายเป็นความท้าทายของธุรกิจ
ความยุ่งยาก (Complexity)
เพราะ PDPA เป็นเรื่องใหม่ และไม่ใช่ทุกแบรนด์ธุรกิจจะสามารถรับมือได้ทันที จึงจำเป็นต้องใช้เวลาในการศึกษา ปรับตัว และปรับรูปแบบการดำเนินการในหลายส่วน เช่น การขอความยินยอมด้านข้อมูลจากลูกค้า เพื่อให้สอดคล้องกับตัวกฎหมาย
งบประมาณ (Budget)
แน่นอนว่าเมื่อมีการเปลี่ยนแปลงการดำเนินการ สิ่งที่ตามมาคือ ‘รายจ่าย’ ที่ใช้ไปในแต่ละขั้นตอน ทั้งยังต้องดูแลกระบวนการให้มีความเสถียรภาพ แต่ความยากคือ ไม่มีใครทราบตัวเลขงบประมาณที่แน่นอนในการดำเนินตามรูปแบบของ PDPA และไม่ใช่ทุกธุรกิจจะมีงบประมาณเพียงพอในทุกด้าน
การตรวจสอบ (Audit Policy)
เมื่อดำเนินการเรียบร้อยแล้ว ต้องมีการตรวจสอบ และรักษามาตรฐานอยู่เสมอ เพื่อหลีกเลี่ยงการฟ้องร้อง ที่อาจนำผลเสียมากมายมาสู่ธุรกิจ เช่น ค่าปรับ หรือการเสียภาพลักษณ์ขององค์กร ทำให้การตรวจสอบทุกขั้นตอนนับเป็นความท้าทายที่ไม่ง่ายเลย
เมื่อ PDPA เข้ามา ธุรกิจต้องทำอะไรบ้าง ?
อย่างที่เราทราบกันว่า PDPA คือกฎหมายที่เกิดขึ้นเพื่อคุ้มครอง ‘ข้อมูล’ ของผู้บริโภค แล้วในมุมของธุรกิจที่อยู่ในฐานะ ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ (Data Controller) จะต้องทำอะไรบ้าง เพื่อคุ้มครองข้อมูลส่วนบุคคลที่ไม่ใช่แค่ของลูกค้า หรือผู้บริโภคเท่านั้น แต่ยังรวมไปถึงเจ้าหน้าที่พนักงานทุกคนด้วย
Future Trends ได้สรุปมาเป็นประเด็นสำคัญ 5 ส่วน ที่ธุรกิจต้องดำเนินการด้านข้อมูล ตามรูปแบบของ PDPA
1. การเก็บรวบรวมข้อมูลส่วนบุคคล
– ต้องมีการจัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ ว่าจะขอข้อมูลอะไรบ้าง เพื่อใช้ประโยชน์ในทางใด
– แจ้งสิทธิของเจ้าของข้อมูล ว่าสามารถถอนความยินยอมได้ทุกเมื่อ
– การขอจัดเก็บ Cookie จะต้องแจ้งขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานเสมอ
– การเก็บข้อมูลส่วนบุคคลของพนักงาน ต้องมีนโยบายความเป็นส่วนตัวโดยเฉพาะ (HR Privacy Policy)
2. การใช้หรือประมวลผลข้อมูลส่วนบุคคล
– ธุรกิจควรจัดทำแนวทาง หรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure)
– จัดทำบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บ หรือใช้ (Records of Processing Activity: ROPA)
– ห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง
3. มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล
– ธุรกิจต้องกำหนดมาตรฐานขั้นต่ำด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล (Minimum Security Requirements)
– กำหนดนโยบายการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Retention)
– ต้องแจ้งเจ้าของข้อมูลเมื่อเกิดการรั่วไหล (Breach Notification Protocol)
4.การส่งหรือเปิดเผยข้อมูลส่วนบุคคล
– หากมีการส่งต่อข้อมูลเพื่อนำไปใช้งาน จะต้องมีการทำสัญญาข้อตกลงกับผู้ให้บริการภายนอก (Data Processing Agreement)
– หากมีการนำข้อมูลออกนอกประเทศ จะต้องมีการทำสัญญาเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA
5.การกำกับดูแลข้อมูลส่วนบุคคล
– ธุรกิจหรือองค์กรที่มีการเก็บรวบรวมข้อมูลควรมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) คอยดูแล
‘มีแต่ความยุ่งยากจริงหรือ?’ พลิกดูข้อดี PDPA ต่อภาคธุรกิจ
แม้การมาถึงของ PDPA จะทำให้ธุรกิจต้องปรับตัวกันยกใหญ่ และเพิ่มการดำเนินการเข้ามาหลายส่วน แต่ดูเหมือนว่ากฎหมายตัวนี้จะไม่ได้ทำให้ธุรกิจต้องลำบากโดยเปล่าประโยชน์ และนี่คือข้อดีของ PDPA ต่อภาคธุรกิจ มาดูกันว่ามีอะไรบ้าง
สร้างฐานความเชื่อมั่นให้กับตัวแบรนด์ธุรกิจเอง
เพราะวันนี้ผู้คนต่างให้ความสำคัญกับความปลอดภัยของข้อมูลส่วนตัวมากขึ้น การที่ธุรกิจดำเนินการรักษาความปลอดภัยส่วนนี้ให้ลูกค้าตามข้อกำหนดของ PDPA จึงสร้างความมั่นใจ และภาพลักษณ์ที่ดีให้กับธุรกิจ ไม่ใช่แค่กับลูกค้า แต่สำหรับผู้มีส่วนร่วมอื่นๆ เช่น หุ้นส่วน เพื่อสร้างการเติบโตต่อไปในอนาคต
เตรียมความพร้อมให้ธุรกิจสู่ระดับสากล
ไม่ใช่แค่ไทยเราเท่านั้นที่เริ่มมองเรื่องความปลอดภัยของข้อมูล แต่ทั่วโลกต่างเดินหน้าผลักดันประเด็นนี้กันอย่างแข็งขัน อย่างในทวีปยุโรปเองได้มีกฎหมายคุ้มครองข้อมูลผู้บริโภคเช่นกัน โดยใช้ชื่อว่า GDPR (General Data Protection Regulation) ซึ่งมีข้อกำหนดว่าการแลกเปลี่ยนข้อมูลใดๆ ก็ตามกับธุรกิจในสหภาพยุโรป จะต้องดำเนินการด้วยมาตรฐานเดียวกัน เมื่อเป็นเช่นนั้น PDPA จึงทำให้ธุรกิจมีโอกาสเติบโตไปสู่ระดับสากลได้ง่ายขึ้นนั่นเอง
รู้จัก ‘WhiteFact’ จาก G-Able ตัวช่วยให้ธุรกิจ จัดการ PDPA ได้ง่ายๆ
ด้วยทั้งหมดที่กล่าวมา ทำให้ PDPA อาจจะดูเป็นเรื่องซับซ้อน และดำเนินการได้ยาก แต่ทาง G-Able ผู้ให้บริการไอทีครบวงจรระดับประเทศ กลับมองว่าเรื่อง PDPA ไม่จำเป็นต้องยาก เพราะธุรกิจเจอกับปัญหาอื่นๆ มากพอแล้ว จึงได้ออกโซลูชันตัวใหม่ในชื่อ ‘WhiteFact’ เพื่อเป็นตัวช่วยให้ธุรกิจจัดการทุกอย่างเกี่ยวกับ PDPA ให้เป็นระบบในที่เดียวได้อย่างง่ายดาย
โดยความสามารถของ WhiteFact ครอบคลุมตั้งแต่การอบรมพนักงานในองค์กร ไปจนถึงการกำหนด Data Policy และการวางนโยบายสำหรับช่องทางให้เจ้าของข้อมูลส่วนบุคคลตรวจสอบ นอกจากนี้ยังมีพาร์ตเนอร์ชั้นนำมากมายซึ่งช่วยทำให้การ Implement กับระบบเดิมที่องค์กรมีอยู่สามารถทำได้ทันทีโดยไม่ต้องลงทุนระบบใหม่
Future Trends ได้สรุปรวมเหตุผลที่ธุรกิจควรเลือกใช้ WhiteFact จาก G-Able ไว้ดังนี้
– ทีมงานมีประสบการณ์ด้านไอทีนานกว่า 28 ปี
– 80% ของลูกค้าอยู่ในตลาดหลักทรัพย์ ได้รับความไว้วางใจจากองค์กรขนาดใหญ่
– มีพันธมิตรกับแบรนด์ระดับโลก เช่น Microsoft, Oracle, Cisco HP
– ฟีเจอร์ใช้งานง่าย มีผู้เชี่ยวชาญคอยช่วยเหลือตลอดการใช้งาน
– Data Centralized ช่วยให้การทำงานในองค์กรง่ายขึ้น
– มั่นใจทุกขั้นตอนถูกต้องตามกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
ด้วยความเป็น Technology Enabler ของ G-Able จึงให้ความสำคัญว่านวัตกรรมที่ดี จะต้องเป็นนวัตกรรมที่ตอบโจทย์ความต้องการของธุรกิจได้อย่างครอบคลุม และมีความเป็นมืออาชีพ เพื่อตอบรับ และผลักดันให้ธุรกิจก้าวเดินไปข้างหน้าได้อย่างมั่นคง
ศึกษารายละเอียดเพิ่มเติมของ ‘WhiteFact’ ได้ที่: https://whitefact.co/
Source: https://gtnr.it/3GhgwHz