“Data is the new oil” คือประโยคคุ้นหูที่ได้ยินและถูกพูดถึงกันมาสักพักแล้ว แน่นอนว่าเป็นคำกล่าวที่ไม่เกินจริง เพราะหากบริษัทและธุรกิจไหนได้ถือครองข้อมูลและสามารถนำไปใช้ได้อย่างมีประสิทธิภาพก็ถือว่ามีชัยชนะไปกว่าครึ่ง ถึงแม้เราจะทราบกันดีว่าข้อมูลนั้นเป็นสิ่งมีมูลค่า แต่ที่ผ่านมาก็อาจจะถูกละเลยในการป้องกันจนมีหลากหลายความเสียหายเกิดขึ้น โดยเฉพาะต่อตัวเจ้าของข้อมูลเอง ทำให้หลายประเทศทั่วโลกต้องผลักดันกฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้น รวมถึงประเทศไทยที่ได้มีการออกพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act (PDPA) ที่สร้างขึ้นมาเพื่อคุ้มครองข้อมูล ความเป็นส่วนตัว และสร้างความปลอดภัยให้กับเจ้าของข้อมูลส่วนบุคคล
โดยได้ประกาศบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา ถือเป็นความความท้าทายของฝั่งธุรกิจและองค์กรที่ถือครองข้อมูลทั้งลูกค้าและพนักงานในการที่จะต้องปรับตัวพร้อมรับกับข้อบังคับใหม่นี้ ทั้งที่หลายธุรกิจเพิ่งปรับตัวและฟื้นตัวจากผลกระทบจากการแพร่ระบาดของโรค COVID-19 รวมถึงการขาดความรู้ ความเข้าใจ และความพร้อมต่อการปฏิบัติตามกฏหมายฉบับนี้ การปรับการทำงานของธุรกิจให้สอดคล้องกับกฎหมาย PDPA จึงเป็นอีกโจทย์สำคัญของธุรกิจในปัจจุบัน
โดยวันนี้ Techsauce ชวนทุกคนมาทำความรู้จักกับใช้ข้อมูลในธุรกิจโดยไม่ผิด PDPA ให้มากขึ้นรวมถึงคำแนะนำจากผู้เชี่ยวชาญโดย คุณภากร เสร็จสวัสดิ์ Head of Strategic Product บริษัท จีเอเบิล จำกัด (มหาชน) ผู้ให้บริการโซลูชัน WhiteFact ที่มีเป้าหมายคือการช่วยปรับองค์กรธุรกิจให้สอดคล้องตาม PDPA ได้อย่างถูกต้องและสามารถเติบโตได้
PDPA สร้างขึ้นมาเพื่อคุ้มครองการนำข้อมูลส่วนบุคคลไปใช้ในทางที่ผิด เนื่องจากบริษัทส่วนใหญ่มีการเก็บข้อมูลของผู้บริโภคและมีโอกาสที่อาจจะนำไปใช้ทั้งในทางที่ถูกและทางที่ผิด เพราะข้อมูลที่มีการเก็บนั้นมีหลากหลายรูปแบบไม่ว่าจะเป็นที่อยู่ อีเมล เบอร์โทรศัพท์ หรือ IP Address ทั้งหมดนั้นสามารถเชื่อมโยงตัวตนของแต่ละบุคคลได้ หากเกิดการรั่วไหลอาจส่งผลให้อาจมีการปลอมแปลงข้อมูลหรือสวมรอยผู้บริโภค โดยสามารถยกตัวอย่างง่าย ๆ ที่เชื่อว่าคนไทยหลายคนอาจจะเคยพบเจออย่างปัญหามิจฉาชีพโทรมาสอบถามข้อมูลหรือหลอกลวง รวมถึงการโดนนำเสนอโฆษณาจากทางเฟสบุ๊คหลังไปค้นหาสินค้าออนไลน์ ซึ่งนับเป็นเหตุการณ์ที่สร้างความเสียหายและความน่ารำคาญใจให้กับผู้บริโภค PDPA จึงเป็นหนึ่งในกลไกสำคัญที่จะทำให้เกิดแนวปฏิบัติที่ถูกต้องต่อข้อมูลส่วนบุคคลนั้นเอง
สำหรับในต่างประเทศที่ถึงแม้จะมีการสร้างกฏหมายความปลอดภัยของข้อมูลมาแล้ว ก็ยังพบการละเมิดข้อกฏหมายอยู่ดี อย่างการเก็บข้อมูลลูกค้าโดยไม่แจ้งวัตถุประสงค์แล้วนำไปวิเคราะห์และทำการตลาด หรือแม้กระทั่งการเก็บข้อมูลส่วนบุคคลของพนักงานที่มีความละเอียดอ่อนโดยไม่ขออนุญาตและเมื่อเกิดปัญหารั่วไหลของข้อมูลก็นำมาสู่การฟ้องร้องทางกฏหมาย ทำให้มีการลงโทษปรับเงินจำนวนมหาศาล นี่คือการบ่งชี้ว่าปัญหาด้านความปลอดภัยของข้อมูลสามารถเกิดขึ้นได้ในทุกบริษัทและทุกเวลา ดังนั้นทางฝั่งธุรกิจต้องหันกลับมามองว่าทางบริษัทได้มีการเก็บข้อมูลต่าง ๆ อย่างถูกต้องแล้วหรือไม่ รวมถึงควรตรวจสอบระบบและกระบวนการต่าง ๆ ให้สอดคล้องกับข้อกฏหมาย
โดยปัจจุบันการจัดเก็บข้อมูลนั้นแบ่งเป็น 2 ประเภทคือ
การรั่วไหลของข้อมูลเหล่านี้ส่งผลเสียได้มากกว่าที่คิด ทำให้องค์กรต้องสร้างมาตรฐานด้านข้อมูล ให้มีความเท่าเทียมด้านความปลอดภัยไม่ว่าจะเป็นแผนกใดก็ตาม เช่น การปิดกั้นการมองเห็นข้อมูลของบุคคลที่อยู่นอกหน่วยงานทรัพยากรบุคคล หรือการตั้งรหัสเพื่อความปลอดภัย รวมถึงต้องมีการตั้งระยะเวลาการจัดเก็บข้อมูลเพื่อไม่ให้รั่วไหลออกไปในอนาคต หลายบริษัทมักมองว่าการรั่วไหลของข้อมูลนั้นเกิดขึ้นได้ยาก และลืมไปว่าการไม่ปฏิบัติตามข้อกำหนดต่าง ๆ นั้นอาจส่งผลให้มีบทลงโทษทางกฏหมายทั้งทางแพ่ง ทางอาญา และทางปกครอง โดยมีการปรับเงินจนกระทั่งอาจไปถึงการจำคุก และอีกความเสียหายที่ยิ่งใหญ่อีกขั้นคือภาพลักษณ์ขององค์กรที่มีมูลค่ามหาศาล
คุณภากรมองว่าในฝั่งภาคธุรกิจควรจะต้องมีผู้เชี่ยวชาญเข้ามาดูแลในส่วนกฏหมาย เพื่อลดขั้นตอนที่ซับซ้อน ช่วยเหลือด้านความรู้ความเข้าใจเพื่อจัดการข้อมูลได้อย่างถูกต้องตามแบบ PDPA โดยเริ่มต้นด้วย 3 ขั้นตอนง่าย ๆ คือ
คุณภากร ยังได้เล่าว่าอีกว่าปัญหาที่เจอคือลูกค้าไม่ทราบข้อกฏหมายและไม่รู้ว่าจะต้องนำข้อมูลไปใช้อย่างไร เพราะแต่ละคนก็ไม่ใช่ผู้เชี่ยวชาญด้านกฏหมาย นอกจากนี้ยังพบปัญหากับการที่ลูกค้าส่งคำขอเกี่ยวกับข้อมูลเข้ามาแต่ทางบริษัทไม่สามารถตอบกลับได้ทันทีเนื่องจากปริมาณอีเมลหรือการติดต่อที่มาเข้ามามากเพราะในแต่ละคำขอมีความเกี่ยวข้องกับแผนกต่าง ๆ ทำให้ใช้เวลานาน รวมถึงการขาดเครื่องมือการจัดการจึงทำให้ไม่สามารถตอบได้อย่างทันถ่วงที อีกทั้งยังพบว่ามีความเข้าใจผิดที่มักเกิดขึ้นในองค์กรคือพนักงานในองค์กรมักคิดว่างานด้าน PDPA คืองานของฝ่ายไอที ซึ่งในความเป็นจริงแล้ว PDPA ไม่ใช่เรื่องของหน่วยงานใดหน่วยงานหนึ่งแต่เป็นเรื่องของทุกคน โดยส่วนนี้เป็นหน้าที่ของทางบริษัทที่จะต้องให้ความรู้เพื่อสร้างความตระหนักรู้ถึงความสำคัญของข้อกฏหมาย เพราะแต่ละแผนกก็ต่างถือข้อมูลที่แตกต่างกันไป เช่น แผนกทรัพยากรบุคคลที่มีการจัดเก็บข้อมูลพนักงาน แผนกจัดซื้อที่จัดเก็บข้อมูลใบเสร็จและรายการซื้อต่าง ๆ หรือแม้กระทั่่งแผนกการตลาดที่จัดเก็บข้อมูลของลูกค้าจำนวนมาก อีกทั้งยังพบปัญหาว่าบางบริษัทยังขาดระบบจัดการที่ทันสมัย เนื่องจากยังใช้ในรูปแบบกระดาษที่อาจจะทำให้สูญหายและรั่วไหลได้ง่าย
ด้วยปัญหาทั้งหมดที่พบเจอทำให้ทาง G-Able ได้นำมารวบรวมวิเคราะห์และพัฒนาต่อยอดจนเป็น WhiteFact เครื่องมือจัดการ PDPA อย่างเป็นระบบในที่เดียว ที่เป็นเสมือนศูนย์รวมข้อมูลให้แต่ละแผนกมาสามารถนำไปใช้ได้ เกิดเป็น Ecosystem สำหรับอนาคต ครอบคลุมทั้งองค์กร ประหยัดเวลา ครบวงจร ใช้งานง่ายและสะดวก เข้าถึงข้อมูลได้จากทุกที่ ด้วยความตั้งใจจะ Make PDPA is simply
โดย WhiteFact ได้ให้บริการ 8 กระบวนการที่สำคัญสำหรับบริษัท ดังนี้
เรียกได้ว่าบริการจาก WhiteFact ถือว่าครอบคลุมและช่วยแก้ไขปัญหาได้อย่างครอบคลุมไม่ว่าจะเป็นลดความยุ่งยากซับซ้อน การบริหารจัดการงบประมาณด้านข้อมูล ถูกต้องตามกระบวนการข้อกฎหมาย ทำให้สามารถหลีกเลี่ยงการจ่ายค่าปรับในบทลงโทษที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ควบคุมงบประมาณในการพัฒนาระบบขององค์กร รวมถึงสามารถเลือก Features หลัก และ Features เสริมที่ในการติดตั้งได้ตามความต้องการใช้งานของธุรกิจ
สำหรับมุมมองของผู้บริโภคควรมีความเข้าใจในว่าบริษัทจะมีการนำข้อมูลไปใช้ด้านใด รวมถึงศึกษาว่าทางบริษัทนั้นมีการบริหารการจัดการข้อมูลอย่างไร ในขณะที่ฝั่งธุรกิจก็จะต้องแบ่งออกเป็น 2 ส่วนคือ หนึ่ง ควรจะต้องเคารพสิทธิ์ของลูกค้า ควรมีการชี้แจงว่าจะนำข้อมูลไปใช้อย่างไรบ้าง เพื่อสร้างความสบายใจให้กับผู้บริโภคและเคารพข้อกฏหมายเพื่อเป็นมาตรฐานขององค์กร และสอง ควรจะต้องทำให้คนในองค์กรเข้าใจแนวทางการทำงานตามกฎหมาย การกำหนดสิทธิการเข้าถึงข้อมูล การเข้ารหัสเพื่อป้องกันข้อมูลกรณีรั่วไหล การจัดทำระยะเวลาการเก็บข้อมูลเพื่อลดภาระการดูแลข้อมูลในระยะยาว การทำ RoPA เพื่อให้เห็นข้อมูลในแต่ละแผนก และการจำแนกความเสี่ยงของแต่ละกิจกรรม
นอกจากนี้คุณภากร ยังปิดท้ายว่า อยากให้ทุกองค์กรเริ่มเตรียมพร้อมด้าน PDPA ได้แล้ว เนื่องจากกระบวนการเตรียมตัวใช้ระยะเวลานานกว่า 4-6 เดือน และในอนาคตอาจจะมีกฏหมายลูกเพิ่มเข้ามาอีกซึ่งอาจจะเข้มงวดกว่าเดิม การเตรียมพร้อมตั้งแต่เริ่มต้นจึงเป็นสิ่งจำเป็นอย่างมาก โดยทาง G-Able เองก็มีทีมงานผู้เชี่ยวชาญพร้อมด้วยประสบการณ์การให้บริการด้านเทคโนโลยีมากว่า 33 ปี สามารถช่วยตอบคำถามและให้บริการได้อย่างครอบคลุมซึ่งสามารถที่จะดูรายละเอียดเกี่ยวกับ PDPA และ WhiteFact เพิ่มเติมได้ที่ Facebook: https://www.facebook.com/gable.th และ Website: https://whitefact.co/
บทความนี้เป็น Advertorial
ลงทะเบียนเข้าสู่ระบบ เพื่ออ่านบทความฟรีไม่จำกัด