ปรับธุรกิจให้สอดคล้อง PDPA อย่างเข้าใจกับ WhiteFact แพลตฟอร์มช่วยองค์กรจัดการข้อมูลจาก G-Able | Techsauce

ปรับธุรกิจให้สอดคล้อง PDPA อย่างเข้าใจกับ WhiteFact แพลตฟอร์มช่วยองค์กรจัดการข้อมูลจาก G-Able

“Data is the new oil” คือประโยคคุ้นหูที่ได้ยินและถูกพูดถึงกันมาสักพักแล้ว แน่นอนว่าเป็นคำกล่าวที่ไม่เกินจริง เพราะหากบริษัทและธุรกิจไหนได้ถือครองข้อมูลและสามารถนำไปใช้ได้อย่างมีประสิทธิภาพก็ถือว่ามีชัยชนะไปกว่าครึ่ง ถึงแม้เราจะทราบกันดีว่าข้อมูลนั้นเป็นสิ่งมีมูลค่า แต่ที่ผ่านมาก็อาจจะถูกละเลยในการป้องกันจนมีหลากหลายความเสียหายเกิดขึ้น โดยเฉพาะต่อตัวเจ้าของข้อมูลเอง ทำให้หลายประเทศทั่วโลกต้องผลักดันกฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้น รวมถึงประเทศไทยที่ได้มีการออกพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act (PDPA) ที่สร้างขึ้นมาเพื่อคุ้มครองข้อมูล ความเป็นส่วนตัว และสร้างความปลอดภัยให้กับเจ้าของข้อมูลส่วนบุคคล

โดยได้ประกาศบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา ถือเป็นความความท้าทายของฝั่งธุรกิจและองค์กรที่ถือครองข้อมูลทั้งลูกค้าและพนักงานในการที่จะต้องปรับตัวพร้อมรับกับข้อบังคับใหม่นี้ ทั้งที่หลายธุรกิจเพิ่งปรับตัวและฟื้นตัวจากผลกระทบจากการแพร่ระบาดของโรค COVID-19 รวมถึงการขาดความรู้ ความเข้าใจ และความพร้อมต่อการปฏิบัติตามกฏหมายฉบับนี้  การปรับการทำงานของธุรกิจให้สอดคล้องกับกฎหมาย PDPA จึงเป็นอีกโจทย์สำคัญของธุรกิจในปัจจุบัน

โดยวันนี้ Techsauce ชวนทุกคนมาทำความรู้จักกับใช้ข้อมูลในธุรกิจโดยไม่ผิด PDPA ให้มากขึ้นรวมถึงคำแนะนำจากผู้เชี่ยวชาญโดย คุณภากร เสร็จสวัสดิ์ Head of Strategic Product บริษัท จีเอเบิล จำกัด (มหาชน) ผู้ให้บริการโซลูชัน WhiteFact ที่มีเป้าหมายคือการช่วยปรับองค์กรธุรกิจให้สอดคล้องตาม PDPA ได้อย่างถูกต้องและสามารถเติบโตได้ 

PDPA ใกล้ตัวกว่าที่เราคิด 

PDPA  สร้างขึ้นมาเพื่อคุ้มครองการนำข้อมูลส่วนบุคคลไปใช้ในทางที่ผิด เนื่องจากบริษัทส่วนใหญ่มีการเก็บข้อมูลของผู้บริโภคและมีโอกาสที่อาจจะนำไปใช้ทั้งในทางที่ถูกและทางที่ผิด เพราะข้อมูลที่มีการเก็บนั้นมีหลากหลายรูปแบบไม่ว่าจะเป็นที่อยู่ อีเมล เบอร์โทรศัพท์ หรือ IP Address ทั้งหมดนั้นสามารถเชื่อมโยงตัวตนของแต่ละบุคคลได้ หากเกิดการรั่วไหลอาจส่งผลให้อาจมีการปลอมแปลงข้อมูลหรือสวมรอยผู้บริโภค โดยสามารถยกตัวอย่างง่าย ๆ ที่เชื่อว่าคนไทยหลายคนอาจจะเคยพบเจออย่างปัญหามิจฉาชีพโทรมาสอบถามข้อมูลหรือหลอกลวง รวมถึงการโดนนำเสนอโฆษณาจากทางเฟสบุ๊คหลังไปค้นหาสินค้าออนไลน์ ซึ่งนับเป็นเหตุการณ์ที่สร้างความเสียหายและความน่ารำคาญใจให้กับผู้บริโภค PDPA จึงเป็นหนึ่งในกลไกสำคัญที่จะทำให้เกิดแนวปฏิบัติที่ถูกต้องต่อข้อมูลส่วนบุคคลนั้นเอง 

การเก็บข้อมูลให้ถูกต้องและสอดคล้องกับ PDPA

สำหรับในต่างประเทศที่ถึงแม้จะมีการสร้างกฏหมายความปลอดภัยของข้อมูลมาแล้ว ก็ยังพบการละเมิดข้อกฏหมายอยู่ดี อย่างการเก็บข้อมูลลูกค้าโดยไม่แจ้งวัตถุประสงค์แล้วนำไปวิเคราะห์และทำการตลาด หรือแม้กระทั่งการเก็บข้อมูลส่วนบุคคลของพนักงานที่มีความละเอียดอ่อนโดยไม่ขออนุญาตและเมื่อเกิดปัญหารั่วไหลของข้อมูลก็นำมาสู่การฟ้องร้องทางกฏหมาย ทำให้มีการลงโทษปรับเงินจำนวนมหาศาล นี่คือการบ่งชี้ว่าปัญหาด้านความปลอดภัยของข้อมูลสามารถเกิดขึ้นได้ในทุกบริษัทและทุกเวลา ดังนั้นทางฝั่งธุรกิจต้องหันกลับมามองว่าทางบริษัทได้มีการเก็บข้อมูลต่าง ๆ อย่างถูกต้องแล้วหรือไม่ รวมถึงควรตรวจสอบระบบและกระบวนการต่าง ๆ ให้สอดคล้องกับข้อกฏหมาย 

โดยปัจจุบันการจัดเก็บข้อมูลนั้นแบ่งเป็น 2 ประเภทคือ 

  • ข้อมูลส่วนบุคคล (Personal Data) ข้อมูลที่สามารถระบุไปได้ถึงตัวตนของผู้บริโภคได้ อย่างเช่น ชื่อ-นามสกุล เลขที่บัตรประจำตัวประชาชน IP Adress 
  • ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเชื่อ ซึ่งเป็นข้อมูลที่อาจส่งผลต่อการปฏิบัติอย่างไม่เท่าเทียมได้หากมีการรั่วไหล 

การรั่วไหลของข้อมูลเหล่านี้ส่งผลเสียได้มากกว่าที่คิด ทำให้องค์กรต้องสร้างมาตรฐานด้านข้อมูล ให้มีความเท่าเทียมด้านความปลอดภัยไม่ว่าจะเป็นแผนกใดก็ตาม เช่น การปิดกั้นการมองเห็นข้อมูลของบุคคลที่อยู่นอกหน่วยงานทรัพยากรบุคคล หรือการตั้งรหัสเพื่อความปลอดภัย รวมถึงต้องมีการตั้งระยะเวลาการจัดเก็บข้อมูลเพื่อไม่ให้รั่วไหลออกไปในอนาคต หลายบริษัทมักมองว่าการรั่วไหลของข้อมูลนั้นเกิดขึ้นได้ยาก และลืมไปว่าการไม่ปฏิบัติตามข้อกำหนดต่าง ๆ นั้นอาจส่งผลให้มีบทลงโทษทางกฏหมายทั้งทางแพ่ง ทางอาญา และทางปกครอง โดยมีการปรับเงินจนกระทั่งอาจไปถึงการจำคุก และอีกความเสียหายที่ยิ่งใหญ่อีกขั้นคือภาพลักษณ์ขององค์กรที่มีมูลค่ามหาศาล 

การส่งเสริม PDPA ในองค์กร  

คุณภากรมองว่าในฝั่งภาคธุรกิจควรจะต้องมีผู้เชี่ยวชาญเข้ามาดูแลในส่วนกฏหมาย เพื่อลดขั้นตอนที่ซับซ้อน ช่วยเหลือด้านความรู้ความเข้าใจเพื่อจัดการข้อมูลได้อย่างถูกต้องตามแบบ PDPA โดยเริ่มต้นด้วย 3 ขั้นตอนง่าย ๆ คือ

  • การให้ความรู้ (Educate) การเตรียมความพร้อมคนในองค์กรให้มีความรู้ความเข้าใจในกระบวนการและข้อบังคับต่าง ๆ ซึ่งสามารถทำได้โดยจัดอบรมให้พนักงาน
  • การรวบรวม (Implement) การขออนุญาตและรวบรวมข้อมูลทั้งหมดให้สอดคล้องกับการทำ PDPA
  • การจัดการ (Manage) ถือเป็นส่วนสำคัญเนื่องจากเป็นการที่จะต้องเริ่มจัดการคำขออนุมัติต่าง ๆ ให้พร้อมโดยจำเป็นต้องมีเครื่องมือที่เหมาะสม 

คุณภากร ยังได้เล่าว่าอีกว่าปัญหาที่เจอคือลูกค้าไม่ทราบข้อกฏหมายและไม่รู้ว่าจะต้องนำข้อมูลไปใช้อย่างไร เพราะแต่ละคนก็ไม่ใช่ผู้เชี่ยวชาญด้านกฏหมาย นอกจากนี้ยังพบปัญหากับการที่ลูกค้าส่งคำขอเกี่ยวกับข้อมูลเข้ามาแต่ทางบริษัทไม่สามารถตอบกลับได้ทันทีเนื่องจากปริมาณอีเมลหรือการติดต่อที่มาเข้ามามากเพราะในแต่ละคำขอมีความเกี่ยวข้องกับแผนกต่าง ๆ ทำให้ใช้เวลานาน รวมถึงการขาดเครื่องมือการจัดการจึงทำให้ไม่สามารถตอบได้อย่างทันถ่วงที อีกทั้งยังพบว่ามีความเข้าใจผิดที่มักเกิดขึ้นในองค์กรคือพนักงานในองค์กรมักคิดว่างานด้าน PDPA คืองานของฝ่ายไอที ซึ่งในความเป็นจริงแล้ว PDPA ไม่ใช่เรื่องของหน่วยงานใดหน่วยงานหนึ่งแต่เป็นเรื่องของทุกคน โดยส่วนนี้เป็นหน้าที่ของทางบริษัทที่จะต้องให้ความรู้เพื่อสร้างความตระหนักรู้ถึงความสำคัญของข้อกฏหมาย เพราะแต่ละแผนกก็ต่างถือข้อมูลที่แตกต่างกันไป เช่น แผนกทรัพยากรบุคคลที่มีการจัดเก็บข้อมูลพนักงาน แผนกจัดซื้อที่จัดเก็บข้อมูลใบเสร็จและรายการซื้อต่าง ๆ หรือแม้กระทั่่งแผนกการตลาดที่จัดเก็บข้อมูลของลูกค้าจำนวนมาก อีกทั้งยังพบปัญหาว่าบางบริษัทยังขาดระบบจัดการที่ทันสมัย เนื่องจากยังใช้ในรูปแบบกระดาษที่อาจจะทำให้สูญหายและรั่วไหลได้ง่าย 

WhiteFact เครื่องมือที่ตอบโจทย์องค์กรอย่างครบถ้วนในด้าน PDPA 

ด้วยปัญหาทั้งหมดที่พบเจอทำให้ทาง G-Able ได้นำมารวบรวมวิเคราะห์และพัฒนาต่อยอดจนเป็น WhiteFact เครื่องมือจัดการ PDPA อย่างเป็นระบบในที่เดียว ที่เป็นเสมือนศูนย์รวมข้อมูลให้แต่ละแผนกมาสามารถนำไปใช้ได้ เกิดเป็น Ecosystem สำหรับอนาคต ครอบคลุมทั้งองค์กร ประหยัดเวลา ครบวงจร ใช้งานง่ายและสะดวก เข้าถึงข้อมูลได้จากทุกที่ ด้วยความตั้งใจจะ Make PDPA is simply

โดย WhiteFact ได้ให้บริการ 8 กระบวนการที่สำคัญสำหรับบริษัท ดังนี้ 

  1. Data Catalog เชื่อมต่อฐานข้อมูลในระดับโครงสร้างด้วย Tag Meta Data จัดการข้อมูลได้อย่างเป็นระเบียบและง่ายต่อการค้นหา ทั้งการจัดเก็บ การใช้งาน การแก้ไขหรือลบข้อมูลตามสิทธิของเจ้าของข้อมูล
  2. Data inventory ระบบจัดเก็บข้อมูลส่วนบุคคลที่รวมศูนย์ข้อมูลของทุกแผนก ประกอบด้วย Data flow diagram (DFD) และการทำ Record of processing (ROP) ที่จะทำให้สามารถลดขั้นตอนที่ต้องไปประสานงานกับแผนกต่าง ๆ
  3. RoPA การดูบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ในองค์กร โดยการบันทึกรายการของกิจกรรม มีการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 39 และมาตรา 40 หรือตามหน่วยงานกำหนด
  4. Privacy notice ระบบจัดการสร้าง Template Privacy Policy ที่จำเป็นในองค์กรเพื่อใช้สำหรับแจ้งนโยบายการเก็บข้อมูลส่วนบุคคลที่ถูกต้องตามวัตถุประสงค์
  5. Cookies consent management บริหารจัดการขอความยินยอมจัดเก็บข้อมูล Cookie จากผู้ใช้งาน Website
  6. Universal consent management บริหารจัดการฟอร์มขอข้อมูลส่วนบุคคล วิธีการขอความยินยอม โดยสามารถตรวจสอบย้อนหลังได้
  7. Data subject request ระบบที่ใช้จัดการหน้าคำร้องเพื่อขอเข้าถึงข้อมูลของเจ้าของข้อมูล ที่สะดวกต่อเจ้าของข้อมูลและองค์กรที่รู้ได้อย่างชัดเจนว่ามีคำขอในส่วนไหนบ้าง
  8. Data subject management ระบบจัดการคำร้องขอ ติดตาม ตรวจสอบ แจ้งกลับ เจ้าของข้อมูลส่วนบุคคล ซึ่งเป็นขั้นตอนที่ตรงกับข้อกำหนดใน PDPA

เรียกได้ว่าบริการจาก WhiteFact ถือว่าครอบคลุมและช่วยแก้ไขปัญหาได้อย่างครอบคลุมไม่ว่าจะเป็นลดความยุ่งยากซับซ้อน การบริหารจัดการงบประมาณด้านข้อมูล ถูกต้องตามกระบวนการข้อกฎหมาย ทำให้สามารถหลีกเลี่ยงการจ่ายค่าปรับในบทลงโทษที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ควบคุมงบประมาณในการพัฒนาระบบขององค์กร รวมถึงสามารถเลือก Features หลัก และ Features เสริมที่ในการติดตั้งได้ตามความต้องการใช้งานของธุรกิจ

คำแนะนำจาก G-Able สู่ผู้บริโภคและผู้บริหาร 

สำหรับมุมมองของผู้บริโภคควรมีความเข้าใจในว่าบริษัทจะมีการนำข้อมูลไปใช้ด้านใด รวมถึงศึกษาว่าทางบริษัทนั้นมีการบริหารการจัดการข้อมูลอย่างไร ในขณะที่ฝั่งธุรกิจก็จะต้องแบ่งออกเป็น 2 ส่วนคือ หนึ่ง ควรจะต้องเคารพสิทธิ์ของลูกค้า ควรมีการชี้แจงว่าจะนำข้อมูลไปใช้อย่างไรบ้าง เพื่อสร้างความสบายใจให้กับผู้บริโภคและเคารพข้อกฏหมายเพื่อเป็นมาตรฐานขององค์กร และสอง ควรจะต้องทำให้คนในองค์กรเข้าใจแนวทางการทำงานตามกฎหมาย การกำหนดสิทธิการเข้าถึงข้อมูล การเข้ารหัสเพื่อป้องกันข้อมูลกรณีรั่วไหล การจัดทำระยะเวลาการเก็บข้อมูลเพื่อลดภาระการดูแลข้อมูลในระยะยาว การทำ RoPA เพื่อให้เห็นข้อมูลในแต่ละแผนก และการจำแนกความเสี่ยงของแต่ละกิจกรรม

นอกจากนี้คุณภากร ยังปิดท้ายว่า อยากให้ทุกองค์กรเริ่มเตรียมพร้อมด้าน PDPA ได้แล้ว เนื่องจากกระบวนการเตรียมตัวใช้ระยะเวลานานกว่า 4-6 เดือน และในอนาคตอาจจะมีกฏหมายลูกเพิ่มเข้ามาอีกซึ่งอาจจะเข้มงวดกว่าเดิม การเตรียมพร้อมตั้งแต่เริ่มต้นจึงเป็นสิ่งจำเป็นอย่างมาก โดยทาง G-Able เองก็มีทีมงานผู้เชี่ยวชาญพร้อมด้วยประสบการณ์การให้บริการด้านเทคโนโลยีมากว่า 33 ปี สามารถช่วยตอบคำถามและให้บริการได้อย่างครอบคลุมซึ่งสามารถที่จะดูรายละเอียดเกี่ยวกับ PDPA และ WhiteFact เพิ่มเติมได้ที่ Facebook: https://www.facebook.com/gable.th และ Website: https://whitefact.co/


บทความนี้เป็น Advertorial 


ลงทะเบียนเข้าสู่ระบบ เพื่ออ่านบทความฟรีไม่จำกัด

No comment

RELATED ARTICLE

Responsive image

เปิดมุมมอง เมื่อการตลาดรวมเข้ากับเทคโนโลยี กับ Jeff Titterton CMO จาก Stripe

เปิดมุมมอง เมื่อการตลาดรวมเข้ากับเทคโนโลยี กับ Jeff Titterton CMO จาก Stripe...

Responsive image

AI ดมกลิ่นจาก osmo นวัตกรรมจมูกดิจิทัลเปลี่ยนโลก

หากเรามี AI ที่สามารถดมกลิ่นและแยกแยะกลิ่นต่างๆ ได้อย่างแม่นยำ โลกเราจะเปลี่ยนไปอย่างไร? นี่คือโจทย์ที่ Alex Wiltschko และทีม osmo กำลังพยายามพัฒนา...

Responsive image

รู้จัก AIS EEC ศูนย์นวัตกรรมดิจิทัล ที่พร้อมช่วยธุรกิจไทยทำ Digital Transformation และเติบโตอย่างยั่งยืน

AIS Business ขออาสาเป็นพันธมิตรช่วยธุรกิจไทยนำเทคโนโลยีมาใช้ในองค์กรอย่างราบรื่น และเติบโตอย่างยั่งยืน พร้อมเปิดศูนย์นวัตกรรมดิจิทัลเพื่อธุรกิจหรือ AIS EEC เป็นศูนย์กลางเรียนรู้และ...