รู้รึเปล่าว่าธุรกิจยุคดิจิทัลจะต้องเตรียมรับมือกับอะไรบ้าง?
ปฏิเสธไม่ได้ว่ายุคนี้มีเทรนด์หนึ่งที่ Digital Business จะขาดไม่ได้เลยคือเรื่องของ ‘ข้อมูล’ (Data) เพราะเป็นเหมือนอาวุธลับหนึ่งที่จะสามารถสร้างความได้เปรียบทางการแข่งขัน รวมไปถึงสามารถคาดการณ์อนาคตบางอย่าง และนำไปสู่การหา Insight ที่ตรงใจผู้บริโภคได้มากขึ้นอีกด้วย ธุรกิจมากมายประสบความสำเร็จได้โดยมีข้อมูลเป็นตัวขับเคลื่อนหลัก
ทว่าในปัจจุบันการนำข้อมูลบางอย่างไปใช้ก็ต้องระวังมากยิ่งขึ้น ในรายงานของ GDPR ในปี 2563 ระบุว่าทั่วโลกมีการนำข้อมูลส่วนบุคคลไปใช้ในทางที่ผิด โดยพบว่าทั่วโลกมีการละเมิดข้อมูลอยู่กว่า 8.8 พันล้านครั้ง ในเดือนพฤศจิกายนเพียงเดือนเดียว ซึ่งส่งผลให้ธุรกิจเสียหาย โดนดำเนินคดีความทางกฎหมาย และสูญเงินไปมากมาย
เมื่อข้อมูลส่วนบุคคล มีมูลค่ามากมายมหาศาล การคุ้มครองข้อมูลเหล่านี้จึงเป็นเรื่องสำคัญ ในวันที่ 1 มิถุนายน 2564 นี้เอง ประเทศไทยก็กำลังจะมีการบังคับใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) ซึ่งประกาศไว้เมื่อ 27 พฤษภาคม 2562 ซึ่งธุรกิจทั้งหมดที่มีการเก็บข้อมูล ไม่ว่าจะเป็นข้อมูลลูกค้าผู้ใช้งาน หรือแม้กระทั่งข้อมูลพนักงานในองค์กร ต้องรับผิดชอบและคุ้มครองข้อมูลส่วนบุคคลที่เก็บไว้
ทาง AIS The StartUp ได้มีการจัด PDPA in Practice ให้กับบริษัทสตาร์ตอัปชั้นนำที่ร่วมเป็นพันธมิตรทางธุรกิจกับ AIS และได้อธิบายถึงพื้นฐานเรื่อง PDPA รวมไปถึงการเตรียมความพร้อม Digital Business สู่อนาคต และนี่คือคู่มือสรุปที่จะช่วยให้เราเข้าใจ และนำ PDPA ไปปรับใช้กับธุรกิจได้อย่างมีประสิทธิภาพมากยิ่งขึ้น
PDPA หรือ พรบ. คุ้มครองข้อมูลส่วนบุคคล คือกฎหมายที่กำหนดขึ้นเพื่อคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล โดยกำหนดให้การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลทุกครั้ง โดยที่เจ้าของข้อมูลสามารถถอนความยินยอมได้ทุกเมื่อ และผู้เก็บข้อมูลมีหน้าที่ในการรักษาความปลอดภัยของข้อมูลเหล่านั้น
ส่วน “ข้อมูลส่วนบุคคล” (Personal Data) คือข้อมูลที่มีความเฉพาะเจาะจง สามารถระบุถึงตัวตนของผู้เป็นเจ้าของข้อมูลได้ โดยข้อมูลส่วนบุคคล (Personal Data) ในที่นี้ก็ได้แก่ ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, อีเมล และข้อมูลอื่น ๆ ที่สามารถย้อนรอยกลับไปหาตัวเจ้าของข้อมูลได้
นอกจากนี้ยังมี “ข้อมูลส่วนบุคคลที่ละเอียดอ่อน” (Personal Sensitive Data) ที่มีข้อกำหนดควบคุมอย่างเข้มงวด ซึ่งหมายถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหวสูง เช่น ข้อมูลด้านเชื้อชาติ ความคิดเห็นทางการเมือง ประวัติทางการแพทย์ ประวัติอาชญากรรม พฤติกรรมทางเพศ และข้อมูลอื่น ๆ ที่เกี่ยวข้องกับประเด็นที่ละเอียดอ่อนของเจ้างของข้อมูล
สำหรับข้อมูลส่วนบุคคลใน PDPA ครอบคลุมทั้งข้อมูลภายนอก ซึ่งหมายถึงข้อมูลลูกค้า ข้อมูลผู้ใช้บริการ ข้อมูลที่ธุรกิจเก็บรวบรวมมาได้ จนถึงข้อมูลภายใน ซึ่งหมายถึงข้อมูลของพนักงานในองค์กร และข้อมูลผู้สมัครงาน หรือข้อมูลส่วนบุคคลใด ๆ ที่องค์กรเก็บไว้
นอกจากนี้ PDPA ยังได้กำหนดบทลงโทษทั้งทางอาญา ทางแพ่ง และ ทางปกครองสำหรับผู้ที่ละเมิดข้อกำหนดในการคุ้มครองข้อมูล ซึ่งได้แก่
– โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท
– โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
– โทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท
“PDPA จะกระทบธุรกิจทั้งด้านการจัดการ กฎหมาย และผู้ใช้บริการ”
PDPA เป็นกฎหมายใหม่ที่เกิดขึ้นมาเพื่อรองรับการเติบโตของเทคโนโลยี และให้การคุ้มครองกับข้อมูลส่วนบุคคลของเจ้าของข้อมูล ซึ่งส่งผลกระทบต่อธุรกิจในหลายระดับ ทั้งในด้านกฎหมาย ด้านการสร้างพันธมิตรทางธุรกิจ ตลอดจนถึงด้านของลูกค้า และผู้ใช้บริการ
ตามกฎหมาย PDPA ได้กำหนดให้ผู้เก็บข้อมูล จำเป็นจะต้องเก็บข้อมูลส่วนบุคคลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บ หรือรับช่วงต่อมาจากแหล่งอื่น โดยทุกครั้งจำเป็นจะต้องขอความยินยอมที่เป็นลายลักษณ์อักษรจากเจ้าของข้อมูลอยู่เสมอ โดยต้องเเจ้งสิทธิของเจ้าของข้อมูล จนถึงวัตถุประสงค์ในการเก็บข้อมูลด้วย
นอกจากนี้เจ้าของข้อมูลมีสิทธิที่จะถอนความยินยอมนั้นเมื่อไหร่ก็ได้ โดยกฎหมายได้กำหนดให้การถอนความยินยอมนี้ต้องง่ายเหมือนกับการให้ความยินยอม และผู้เก็บรวบรวมมีหน้าที่จะต้องแจ้งผลกระทบของการถอนความยินยอมในการเก็บข้อมูลนี้ด้วย
กฎหมาย PDPA นี้ถูกบังคับใช้กับธุรกิจทั้งหมดที่มีการเก็บข้อมูล ทั้งภายใน และภายนอกองค์กร แต่ในขณะเดียวกัน PDPA ก็ได้แบ่งบทบาทของผู้ถือครองข้อมูลเหล่านี้ไว้ 2 บทบาท ซึ่งได้แก่
– Data Controller – ผู้ควบคุมข้อมูล คือผู้ที่มีการเก็บรวบรวม ใช้ จนถึงสามารถเปิดเผยข้อมูลส่วนบุคคลได้ เป็นผู้เก็บรวบรวม และมีอำนาจในการตัดสินใจว่าจะทำอย่างไรกับข้อมูล
– Data Processor – ผู้ประมวลผลข้อมูล คือผู้รับช่วงต่อจาก Data Controller มีบทบาทในการนำข้อมูลไปประมวลผล หรือใช้ข้อมูลตามคำสั่งของ Data Controller บางธุรกิจที่อยู่ในบทบาทนี้ เช่น บริษัทวิจัยทางการตลาด หรือบริษัทผู้ให้บริการ Cloud ต่างๆ
ในทุกองค์กรล้วนมี 3 องค์ประกอบหลักที่ต้องทำงานร่วมกันเพื่อปฏิบัติตามกฎหมาย PDPA และทำให้การเก็บรักษาข้อมูลมีประสิทธิภาพ 3 องค์ประกอบนี้ได้แก่
ธุรกิจจะต้องสร้างความตระหนักรู้ในผู้คน (People) คนทำงานในลำดับขั้นต่าง ๆ ขององค์กร ไปจนถึงแต่งตั้งตำแหน่ง DPO (Data Protection Officer) หรือเจ้าหน้าที่รักษาความปลอดภัยข้อมูล ขึ้นมาทำหน้าที่ดูแลการรักษาความปลอดภัยของข้อมูลภายในองค์กร ซึ่งอาจเป็นการแต่งตั้งจากบุคคลภายใน หรือทำการ Outsource บุคคลภายนอกเข้ามาดูแลตำแหน่งนี้ก็ได้
ส่วนสำคัญที่สุดในองค์ประกอบนี้ คือกระบวนการ (Process) ซึ่งเป็นหัวใจหลักของการจัดการเรื่องข้อมูลภายในองค์กร ตั้งแต่กระบวนการขอความยินยอม กระบวนการในการจัดเก็บ และกระบวนการในการนำข้อมูลต่าง ๆ ไปใช้ ซึ่งจะเป็นส่วนหลักที่เกี่ยวข้องกับ PDPA โดยตรง
– เทคโนโลยี (Tech)
สุดท้ายคือการใช้เทคโนโลยี (Tech) เข้ามาทำให้การรักษาความปลอดภัยของข้อมูลมีประสิทธิภาพ ซึ่งเทคโนโลยีในที่นี้สามารถเป็นระบบหลังบ้านขององค์กรเอง หรือการใช้เครื่องมือจากหน่วยงานภายนอก (Third Party) ก็ได้
อาจไม่ใช่ทุกธุรกิจที่จะมีความพร้อมในการดำเนินการทั้งหมดนี้ AIS The StartUp จึงได้สรุปปัจจัยสำคัญในการปรับตัวธุรกิจยุคดิจิทัล เพื่อให้ผู้ประกอบการ Startup และ SME ทบทวนกันดังนี้
หลังจากเข้าใจปัจจัยทั้ง 5 ข้อแล้ว มาลองดูกันว่าแล้วในเบื้องต้นธุรกิจจะต้องเตรียมตัว เตรียมความพร้อมอย่างไรกับ PDPA บ้าง?
โดยสรุปแล้ว ธุรกิจจำเป็นจะต้องเตรียมตัวเพื่อรับมาตรฐานใหม่ในการจัดการกับข้อมูลส่วนบุคคลจากกฎหมาย PDPA ซึ่งให้สิทธิ์กับเจ้าของข้อมูล ในการที่ต้องได้รับความยินยอมทุกครั้ง และสามารถถอดความยินยอมเมื่อไหร่ก็ได้
สำหรับการปรับองค์กรเพื่อรับกฎหมาย PDPA องค์กรจะต้องมีคนที่เข้าใจในกฎหมาย และความสำคัญของข้อมูลส่วนบุคคล มีกระบวนการที่พร้อมในการเก็บรักษาและปกป้องข้อมูลส่วนบุคคล ตลอดจนมีเทคโนโลยที่จะช่วยให้การเก็บรักษาข้อมูลนั้นมีประสิทธิภาพ
ในวันนี้ธุรกิจของคุณพร้อมสำหรับ PDPA แล้วหรือยัง ?
AIS The StartUp เห็นถึงความสำคัญในการเตรียมพร้อมสำหรับ PDPA และได้ช่วยเตรียมพร้อมให้กับ บริษัท StartUp ที่เป็นสมาชิก เพื่อดำเนินธุรกิจได้อย่างราบรื่นเมื่อกฎหมายบังคับใช้
ผู้ประกอบธุรกิจที่สนใจสามารถส่ง Proposal เพื่อร่วมเป็นพันธมิตรทางธุรกิจกับ AIS The StartUp ผ่านการนำเสนอโครงการใน Monthly Pitching ได้ที่ www.ais.co.th/thestartup