รู้ก่อนเริ่ม ‘PDPA’ ทำไมคนทำธุรกิจต้องใส่ใจ คู่มือเตรียมความพร้อมจาก AIS The StartUp
รู้รึเปล่าว่าธุรกิจยุคดิจิทัลจะต้องเตรียมรับมือกับอะไรบ้าง?
ปฏิเสธไม่ได้ว่ายุคนี้มีเทรนด์หนึ่งที่ Digital Business จะขาดไม่ได้เลยคือเรื่องของ ‘ข้อมูล’ (Data) เพราะเป็นเหมือนอาวุธลับหนึ่งที่จะสามารถสร้างความได้เปรียบทางการแข่งขัน รวมไปถึงสามารถคาดการณ์อนาคตบางอย่าง และนำไปสู่การหา Insight ที่ตรงใจผู้บริโภคได้มากขึ้นอีกด้วย ธุรกิจมากมายประสบความสำเร็จได้โดยมีข้อมูลเป็นตัวขับเคลื่อนหลัก
ทว่าในปัจจุบันการนำข้อมูลบางอย่างไปใช้ก็ต้องระวังมากยิ่งขึ้น ในรายงานของ GDPR ในปี 2563 ระบุว่าทั่วโลกมีการนำข้อมูลส่วนบุคคลไปใช้ในทางที่ผิด โดยพบว่าทั่วโลกมีการละเมิดข้อมูลอยู่กว่า 8.8 พันล้านครั้ง ในเดือนพฤศจิกายนเพียงเดือนเดียว ซึ่งส่งผลให้ธุรกิจเสียหาย โดนดำเนินคดีความทางกฎหมาย และสูญเงินไปมากมาย
เมื่อข้อมูลส่วนบุคคล มีมูลค่ามากมายมหาศาล การคุ้มครองข้อมูลเหล่านี้จึงเป็นเรื่องสำคัญ ในวันที่ 1 มิถุนายน 2564 นี้เอง ประเทศไทยก็กำลังจะมีการบังคับใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) ซึ่งประกาศไว้เมื่อ 27 พฤษภาคม 2562 ซึ่งธุรกิจทั้งหมดที่มีการเก็บข้อมูล ไม่ว่าจะเป็นข้อมูลลูกค้าผู้ใช้งาน หรือแม้กระทั่งข้อมูลพนักงานในองค์กร ต้องรับผิดชอบและคุ้มครองข้อมูลส่วนบุคคลที่เก็บไว้
ทาง AIS The StartUp ได้มีการจัด PDPA in Practice ให้กับบริษัทสตาร์ตอัปชั้นนำที่ร่วมเป็นพันธมิตรทางธุรกิจกับ AIS และได้อธิบายถึงพื้นฐานเรื่อง PDPA รวมไปถึงการเตรียมความพร้อม Digital Business สู่อนาคต และนี่คือคู่มือสรุปที่จะช่วยให้เราเข้าใจ และนำ PDPA ไปปรับใช้กับธุรกิจได้อย่างมีประสิทธิภาพมากยิ่งขึ้น
รู้ก่อนเริ่ม ‘PDPA’ คืออะไร ทำไมคนทำธุรกิจต้องรู้จัก
PDPA หรือ พรบ. คุ้มครองข้อมูลส่วนบุคคล คือกฎหมายที่กำหนดขึ้นเพื่อคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล โดยกำหนดให้การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลทุกครั้ง โดยที่เจ้าของข้อมูลสามารถถอนความยินยอมได้ทุกเมื่อ และผู้เก็บข้อมูลมีหน้าที่ในการรักษาความปลอดภัยของข้อมูลเหล่านั้น
ส่วน “ข้อมูลส่วนบุคคล” (Personal Data) คือข้อมูลที่มีความเฉพาะเจาะจง สามารถระบุถึงตัวตนของผู้เป็นเจ้าของข้อมูลได้ โดยข้อมูลส่วนบุคคล (Personal Data) ในที่นี้ก็ได้แก่ ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, อีเมล และข้อมูลอื่น ๆ ที่สามารถย้อนรอยกลับไปหาตัวเจ้าของข้อมูลได้
นอกจากนี้ยังมี “ข้อมูลส่วนบุคคลที่ละเอียดอ่อน” (Personal Sensitive Data) ที่มีข้อกำหนดควบคุมอย่างเข้มงวด ซึ่งหมายถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหวสูง เช่น ข้อมูลด้านเชื้อชาติ ความคิดเห็นทางการเมือง ประวัติทางการแพทย์ ประวัติอาชญากรรม พฤติกรรมทางเพศ และข้อมูลอื่น ๆ ที่เกี่ยวข้องกับประเด็นที่ละเอียดอ่อนของเจ้างของข้อมูล
สำหรับข้อมูลส่วนบุคคลใน PDPA ครอบคลุมทั้งข้อมูลภายนอก ซึ่งหมายถึงข้อมูลลูกค้า ข้อมูลผู้ใช้บริการ ข้อมูลที่ธุรกิจเก็บรวบรวมมาได้ จนถึงข้อมูลภายใน ซึ่งหมายถึงข้อมูลของพนักงานในองค์กร และข้อมูลผู้สมัครงาน หรือข้อมูลส่วนบุคคลใด ๆ ที่องค์กรเก็บไว้
นอกจากนี้ PDPA ยังได้กำหนดบทลงโทษทั้งทางอาญา ทางแพ่ง และ ทางปกครองสำหรับผู้ที่ละเมิดข้อกำหนดในการคุ้มครองข้อมูล ซึ่งได้แก่
– โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท
– โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
– โทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท
“PDPA จะกระทบธุรกิจทั้งด้านการจัดการ กฎหมาย และผู้ใช้บริการ”
PDPA เป็นกฎหมายใหม่ที่เกิดขึ้นมาเพื่อรองรับการเติบโตของเทคโนโลยี และให้การคุ้มครองกับข้อมูลส่วนบุคคลของเจ้าของข้อมูล ซึ่งส่งผลกระทบต่อธุรกิจในหลายระดับ ทั้งในด้านกฎหมาย ด้านการสร้างพันธมิตรทางธุรกิจ ตลอดจนถึงด้านของลูกค้า และผู้ใช้บริการ
- ในด้านกฎหมาย นอกจาก PDPA จะมีบทลงโทษที่รุนแรงแล้ว PDPA ยังเป็นกฎหมายที่อนุญาตให้เจ้าของข้อมูลสามารถฟ้องร้องผู้เก็บข้อมูลได้ ในกรณีที่ผู้เก็บข้อมูลไม่ทำตามมาตรฐานในการรักษาความปลอดภัยของข้อมูล หรือมีความประมาทเลินเล่อ ในการรักษาความปลอดภัย
- ในด้านการสร้างพันธมิตรทางธุรกิจ PDPA จะกลายเป็นมาตรฐานใหม่ ที่ทุกธุรกิจต่างต้องทำตาม และธุรกิจใดก็ตามที่จะร่วมพาร์ทเนอร์ หรือทำธุรกิจร่วมกัน ก็จำเป็นจะต้องปฏิบัติตามมาตรฐานในการรักษาความปลอดภัยของข้อมูลเดียวกันทั้งสองฝ่าย ในจุดนี้จึงทำให้การไม่ปฏิบัติตาม PDPA สามารถทำให้เสียโอกาสทางธุรกิจได้ นอกจากนี้ในระดับที่เป็นสากลยิ่งขึ้น ประเทศต่าง ๆ ที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ก็จะไม่สามารถทำธุรกิจร่วม หรือส่งข้อมูลจากธุรกิจตนเอง มาให้กับธุรกิจที่ไม่ได้อยู่ในมาตรฐานการรักษาความปลอดภัยของข้อมูลในระดับเดียวกัน
- ในด้านของลูกค้า และผู้ใช้บริการ ในวันนี้ผู้คนตระหนักถึงความสำคัญในข้อมูลส่วนบุคคลมากยิ่งขึ้น PDPA จึงเป็นมาตรฐานที่จะช่วยสร้างความมั่นใจในการใช้บริการของเจ้าของข้อมูล ที่ใส่ใจกับความปลอดภัยในข้อมูลส่วนบุคคล
เช็ก 3 ส่วนสำคัญที่ธุรกิจต้องรู้ก่อนเริ่มทำ PDPA
- ทำอย่างไรจะได้ข้อมูลมาอย่างถูกต้อง
ตามกฎหมาย PDPA ได้กำหนดให้ผู้เก็บข้อมูล จำเป็นจะต้องเก็บข้อมูลส่วนบุคคลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บ หรือรับช่วงต่อมาจากแหล่งอื่น โดยทุกครั้งจำเป็นจะต้องขอความยินยอมที่เป็นลายลักษณ์อักษรจากเจ้าของข้อมูลอยู่เสมอ โดยต้องเเจ้งสิทธิของเจ้าของข้อมูล จนถึงวัตถุประสงค์ในการเก็บข้อมูลด้วย
นอกจากนี้เจ้าของข้อมูลมีสิทธิที่จะถอนความยินยอมนั้นเมื่อไหร่ก็ได้ โดยกฎหมายได้กำหนดให้การถอนความยินยอมนี้ต้องง่ายเหมือนกับการให้ความยินยอม และผู้เก็บรวบรวมมีหน้าที่จะต้องแจ้งผลกระทบของการถอนความยินยอมในการเก็บข้อมูลนี้ด้วย
- ต้องเข้าใจก่อนว่าธุรกิจของคุณอยู่ในบทบาทใด
กฎหมาย PDPA นี้ถูกบังคับใช้กับธุรกิจทั้งหมดที่มีการเก็บข้อมูล ทั้งภายใน และภายนอกองค์กร แต่ในขณะเดียวกัน PDPA ก็ได้แบ่งบทบาทของผู้ถือครองข้อมูลเหล่านี้ไว้ 2 บทบาท ซึ่งได้แก่
– Data Controller – ผู้ควบคุมข้อมูล คือผู้ที่มีการเก็บรวบรวม ใช้ จนถึงสามารถเปิดเผยข้อมูลส่วนบุคคลได้ เป็นผู้เก็บรวบรวม และมีอำนาจในการตัดสินใจว่าจะทำอย่างไรกับข้อมูล
– Data Processor – ผู้ประมวลผลข้อมูล คือผู้รับช่วงต่อจาก Data Controller มีบทบาทในการนำข้อมูลไปประมวลผล หรือใช้ข้อมูลตามคำสั่งของ Data Controller บางธุรกิจที่อยู่ในบทบาทนี้ เช่น บริษัทวิจัยทางการตลาด หรือบริษัทผู้ให้บริการ Cloud ต่างๆ
- ทบทวน 3 องค์ประกอบสำคัญขององค์กรให้ดี
ในทุกองค์กรล้วนมี 3 องค์ประกอบหลักที่ต้องทำงานร่วมกันเพื่อปฏิบัติตามกฎหมาย PDPA และทำให้การเก็บรักษาข้อมูลมีประสิทธิภาพ 3 องค์ประกอบนี้ได้แก่
- ผู้คน (People)
ธุรกิจจะต้องสร้างความตระหนักรู้ในผู้คน (People) คนทำงานในลำดับขั้นต่าง ๆ ขององค์กร ไปจนถึงแต่งตั้งตำแหน่ง DPO (Data Protection Officer) หรือเจ้าหน้าที่รักษาความปลอดภัยข้อมูล ขึ้นมาทำหน้าที่ดูแลการรักษาความปลอดภัยของข้อมูลภายในองค์กร ซึ่งอาจเป็นการแต่งตั้งจากบุคคลภายใน หรือทำการ Outsource บุคคลภายนอกเข้ามาดูแลตำแหน่งนี้ก็ได้
- กระบวนการ (Process)
ส่วนสำคัญที่สุดในองค์ประกอบนี้ คือกระบวนการ (Process) ซึ่งเป็นหัวใจหลักของการจัดการเรื่องข้อมูลภายในองค์กร ตั้งแต่กระบวนการขอความยินยอม กระบวนการในการจัดเก็บ และกระบวนการในการนำข้อมูลต่าง ๆ ไปใช้ ซึ่งจะเป็นส่วนหลักที่เกี่ยวข้องกับ PDPA โดยตรง
– เทคโนโลยี (Tech)
สุดท้ายคือการใช้เทคโนโลยี (Tech) เข้ามาทำให้การรักษาความปลอดภัยของข้อมูลมีประสิทธิภาพ ซึ่งเทคโนโลยีในที่นี้สามารถเป็นระบบหลังบ้านขององค์กรเอง หรือการใช้เครื่องมือจากหน่วยงานภายนอก (Third Party) ก็ได้
คู่มือเตรียมความพร้อมธุรกิจรับ PDPA ก่อนวันที่ 1 มิถุนายนนี้
อาจไม่ใช่ทุกธุรกิจที่จะมีความพร้อมในการดำเนินการทั้งหมดนี้ AIS The StartUp จึงได้สรุปปัจจัยสำคัญในการปรับตัวธุรกิจยุคดิจิทัล เพื่อให้ผู้ประกอบการ Startup และ SME ทบทวนกันดังนี้
- ทำรายการข้อมูลส่วนตัวของลูกค้าและพนักงานที่ธุรกิจจำเป็นต้องการใช้ และ เหตุผลในการใช้ รวมถึงวิธีการที่สามารถใช้ได้
- ตอบคำถามให้ได้ว่าบทบาทธุรกิจของคุณคือ Data Controller – ผู้ควบคุมข้อมูล หรือ Data Processor – ผู้ประมวลผลข้อมูล
- ศึกษาผลของการละเลย PDPA ว่าจะสร้างผลกระทบกับธุรกิจอย่างไรได้บ้าง เช่น ความเสี่ยงทางกฎหมาย จนถึงความเสี่ยงที่จะเสียโอกาสทางธุรกิจในอนาคต
- จัดเตรียมการแจ้งเตือนลูกค้า หรือผู้ใช้บริการที่เคยถูกเก็บข้อมูลมาแล้ว และเตรียมวิธีที่เหมาะสมในการขอความยินยอมในการเก็บข้อมูล สำหรับธุรกิจของคุณ ซึ่งอาจเป็นหน้าขอความยินยอมบนเว็บไซต์ หรือเอกสารให้ผู้ใช้บริการเซ็นยินยอม
- สร้างความเข้าใจในกฎหมาย PDPA และความสำคัญของการรักษาความปลอดภัยของข้อมูล ในองค์กรของคุณ
หลังจากเข้าใจปัจจัยทั้ง 5 ข้อแล้ว มาลองดูกันว่าแล้วในเบื้องต้นธุรกิจจะต้องเตรียมตัว เตรียมความพร้อมอย่างไรกับ PDPA บ้าง?
- จัดตั้งเจ้าหน้านี้คุ้มครองข้อมูล (DPO) เพื่อดูแลความปลอดภัยของข้อมูล
- จัดอบรม สร้างความตระหนักรู้และความเข้าใจเรื่องความปลอดภัยของข้อมูลภายในองค์กร
- จัดทำแผนที่ข้อมูล (Data mapping) ว่าข้อมูลต่าง ๆ ถูกจัดเก็บไว้อย่างไร หรือถูกนำไปใช้อะไรบ้าง
- จัดทำนโยบายความเป็นส่วนตัวและข้อมูลส่วนบุคคล (Privacy policy)
- จัดเตรียมเอกสารทางกฎหมาย เช่น เอกสารขอคำยินยอม เอกสารสำหรับสิทธิของเจ้าของข้อมูล
- จัดทำการประเมินผลกระทบต่อข้อมูลส่วนบุคคล (DPIA) เพื่อค้นหา และลดความเสี่ยงในดูแลความปลอดภัยของข้อมูล
- จัดทำระบบแจ้งเตือนข้อมูลรั่วไหล (Breach notification)
- ประยุกต์ใช้เทคโนโลยีเพื่อเสริมประสิทธิภาพในการคุ้มครองข้อมูล แต่ทั้งนี้คำว่าเทคโนโลยี ไม่ได้หมายถึงระบบซับซ้อนที่มีราคาแพง ควรพิจารณาตามความจำเป็นของขนาดธุรกิจ บางครั้งอาจเริ่มต้นได้ด้วยเพียงไฟล์ง่ายๆที่มีการออกแบบมาอย่างดี
โดยสรุปแล้ว ธุรกิจจำเป็นจะต้องเตรียมตัวเพื่อรับมาตรฐานใหม่ในการจัดการกับข้อมูลส่วนบุคคลจากกฎหมาย PDPA ซึ่งให้สิทธิ์กับเจ้าของข้อมูล ในการที่ต้องได้รับความยินยอมทุกครั้ง และสามารถถอดความยินยอมเมื่อไหร่ก็ได้
สำหรับการปรับองค์กรเพื่อรับกฎหมาย PDPA องค์กรจะต้องมีคนที่เข้าใจในกฎหมาย และความสำคัญของข้อมูลส่วนบุคคล มีกระบวนการที่พร้อมในการเก็บรักษาและปกป้องข้อมูลส่วนบุคคล ตลอดจนมีเทคโนโลยที่จะช่วยให้การเก็บรักษาข้อมูลนั้นมีประสิทธิภาพ
- PDPA หรือ พรบ. คุ้มครองข้อมูลส่วนบุคคล คือกฎหมายที่กำหนดขึ้นเพื่อคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล โดยกำหนดให้การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลทุกครั้ง
- PDPA ครอบคลุมทั้งข้อมูลภายนอก ซึ่งหมายถึงข้อมูลลูกค้า ข้อมูลผู้ใช้บริการ ข้อมูลที่ธุรกิจเก็บรวบรวมมาได้ จนถึงข้อมูลภายใน ซึ่งหมายถึงข้อมูลของพนักงานในองค์กร และข้อมูลผู้สมัครงาน หรือข้อมูลส่วนบุคคลใด ๆ ที่องค์กรเก็บไว้
- PDPA ยังเป็นกฎหมายที่อนุญาตให้เจ้าของข้อมูลสามารถฟ้องร้องผู้เก็บข้อมูลได้ ในกรณีที่ผู้เก็บข้อมูลไม่ทำตามมาตรฐานในการรักษาความปลอดภัยของข้อมูล
- ธุรกิจต้องเตรียมพร้อมสำหรับ PDPA ให้พร้อม เพราะมันจะกระทบทั้งด้านธุรกิจ และการบริการต่าง ๆ ในด้านกฎหมาย นอกจาก PDPA จะมีบทลงโทษที่รุนแรงแล้ว PDPA ยังเป็นกฎหมายที่อนุญาตให้เจ้าของข้อมูลสามารถฟ้องร้องผู้เก็บข้อมูลได้
- สำหรับธุรกิจที่ไม่รู้ว่าจะเริ่มต้นอย่างไร ขั้นแรกให้เช็กบทบาทธุรกิจของตัวเองก่อนว่าเป็น Data Controller หรือ Data Processor จากนั้นลองประเมินความเสี่ยงของธุรกิจกับ PDPA ในอนาคต และจัดเตรียมการแจ้งเตือนลูกค้า เพื่อขอความยินยอมในการเก็บข้อมูล สุดท้ายคือต้องสร้างความใจในกฎหมาย PDPA กับในองค์กรของเราด้วย
ในวันนี้ธุรกิจของคุณพร้อมสำหรับ PDPA แล้วหรือยัง ?
AIS The StartUp เห็นถึงความสำคัญในการเตรียมพร้อมสำหรับ PDPA และได้ช่วยเตรียมพร้อมให้กับ บริษัท StartUp ที่เป็นสมาชิก เพื่อดำเนินธุรกิจได้อย่างราบรื่นเมื่อกฎหมายบังคับใช้
ผู้ประกอบธุรกิจที่สนใจสามารถส่ง Proposal เพื่อร่วมเป็นพันธมิตรทางธุรกิจกับ AIS The StartUp ผ่านการนำเสนอโครงการใน Monthly Pitching ได้ที่ www.ais.co.th/thestartup