“Data is the new oil” คือประโยคคุ้นหูที่ได้ยินและถูกพูดถึงกันมาสักพักแล้ว แน่นอนว่าเป็นคำกล่าวที่ไม่เกินจริง เพราะหากบริษัทและธุรกิจไหนได้ถือครองข้อมูลและสามารถนำไปใช้ได้อย่างมีประสิทธิภาพก็ถือว่ามีชัยชนะไปกว่าครึ่ง ถึงแม้เราจะทราบกันดีว่าข้อมูลนั้นเป็นสิ่งมีมูลค่า แต่ที่ผ่านมาก็อาจจะถูกละเลยในการป้องกันจนมีหลากหลายความเสียหายเกิดขึ้น โดยเฉพาะต่อตัวเจ้าของข้อมูลเอง ทำให้หลายประเทศทั่วโลกต้องผลักดันกฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้น รวมถึงประเทศไทยที่ได้มีการออกพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act (PDPA) ที่สร้างขึ้นมาเพื่อคุ้มครองข้อมูล ความเป็นส่วนตัว และสร้างความปลอดภัยให้กับเจ้าของข้อมูลส่วนบุคคล

โดยได้ประกาศบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา ถือเป็นความความท้าทายของฝั่งธุรกิจและองค์กรที่ถือครองข้อมูลทั้งลูกค้าและพนักงานในการที่จะต้องปรับตัวพร้อมรับกับข้อบังคับใหม่นี้ ทั้งที่หลายธุรกิจเพิ่งปรับตัวและฟื้นตัวจากผลกระทบจากการแพร่ระบาดของโรค COVID-19 รวมถึงการขาดความรู้ ความเข้าใจ และความพร้อมต่อการปฏิบัติตามกฏหมายฉบับนี้  การปรับการทำงานของธุรกิจให้สอดคล้องกับกฎหมาย PDPA จึงเป็นอีกโจทย์สำคัญของธุรกิจในปัจจุบัน

โดยวันนี้ Techsauce ชวนทุกคนมาทำความรู้จักกับใช้ข้อมูลในธุรกิจโดยไม่ผิด PDPA ให้มากขึ้นรวมถึงคำแนะนำจากผู้เชี่ยวชาญโดย คุณภากร เสร็จสวัสดิ์ Head of Strategic Product บริษัท จีเอเบิล จำกัด (มหาชน) ผู้ให้บริการโซลูชัน WhiteFact ที่มีเป้าหมายคือการช่วยปรับองค์กรธุรกิจให้สอดคล้องตาม PDPA ได้อย่างถูกต้องและสามารถเติบโตได้ 

PDPA ใกล้ตัวกว่าที่เราคิด 

PDPA  สร้างขึ้นมาเพื่อคุ้มครองการนำข้อมูลส่วนบุคคลไปใช้ในทางที่ผิด เนื่องจากบริษัทส่วนใหญ่มีการเก็บข้อมูลของผู้บริโภคและมีโอกาสที่อาจจะนำไปใช้ทั้งในทางที่ถูกและทางที่ผิด เพราะข้อมูลที่มีการเก็บนั้นมีหลากหลายรูปแบบไม่ว่าจะเป็นที่อยู่ อีเมล เบอร์โทรศัพท์ หรือ IP Address ทั้งหมดนั้นสามารถเชื่อมโยงตัวตนของแต่ละบุคคลได้ หากเกิดการรั่วไหลอาจส่งผลให้อาจมีการปลอมแปลงข้อมูลหรือสวมรอยผู้บริโภค โดยสามารถยกตัวอย่างง่าย ๆ ที่เชื่อว่าคนไทยหลายคนอาจจะเคยพบเจออย่างปัญหามิจฉาชีพโทรมาสอบถามข้อมูลหรือหลอกลวง รวมถึงการโดนนำเสนอโฆษณาจากทางเฟสบุ๊คหลังไปค้นหาสินค้าออนไลน์ ซึ่งนับเป็นเหตุการณ์ที่สร้างความเสียหายและความน่ารำคาญใจให้กับผู้บริโภค PDPA จึงเป็นหนึ่งในกลไกสำคัญที่จะทำให้เกิดแนวปฏิบัติที่ถูกต้องต่อข้อมูลส่วนบุคคลนั้นเอง 

การเก็บข้อมูลให้ถูกต้องและสอดคล้องกับ PDPA

สำหรับในต่างประเทศที่ถึงแม้จะมีการสร้างกฏหมายความปลอดภัยของข้อมูลมาแล้ว ก็ยังพบการละเมิดข้อกฏหมายอยู่ดี อย่างการเก็บข้อมูลลูกค้าโดยไม่แจ้งวัตถุประสงค์แล้วนำไปวิเคราะห์และทำการตลาด หรือแม้กระทั่งการเก็บข้อมูลส่วนบุคคลของพนักงานที่มีความละเอียดอ่อนโดยไม่ขออนุญาตและเมื่อเกิดปัญหารั่วไหลของข้อมูลก็นำมาสู่การฟ้องร้องทางกฏหมาย ทำให้มีการลงโทษปรับเงินจำนวนมหาศาล นี่คือการบ่งชี้ว่าปัญหาด้านความปลอดภัยของข้อมูลสามารถเกิดขึ้นได้ในทุกบริษัทและทุกเวลา ดังนั้นทางฝั่งธุรกิจต้องหันกลับมามองว่าทางบริษัทได้มีการเก็บข้อมูลต่าง ๆ อย่างถูกต้องแล้วหรือไม่ รวมถึงควรตรวจสอบระบบและกระบวนการต่าง ๆ ให้สอดคล้องกับข้อกฏหมาย 

โดยปัจจุบันการจัดเก็บข้อมูลนั้นแบ่งเป็น 2 ประเภทคือ 

• ข้อมูลส่วนบุคคล (Personal Data) ข้อมูลที่สามารถระบุไปได้ถึงตัวตนของผู้บริโภคได้ อย่างเช่น ชื่อ-นามสกุล เลขที่บัตรประจำตัวประชาชน IP Adress 
• ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเชื่อ ซึ่งเป็นข้อมูลที่อาจส่งผลต่อการปฏิบัติอย่างไม่เท่าเทียมได้หากมีการรั่วไหล 

การรั่วไหลของข้อมูลเหล่านี้ส่งผลเสียได้มากกว่าที่คิด ทำให้องค์กรต้องสร้างมาตรฐานด้านข้อมูล ให้มีความเท่าเทียมด้านความปลอดภัยไม่ว่าจะเป็นแผนกใดก็ตาม เช่น การปิดกั้นการมองเห็นข้อมูลของบุคคลที่อยู่นอกหน่วยงานทรัพยากรบุคคล หรือการตั้งรหัสเพื่อความปลอดภัย รวมถึงต้องมีการตั้งระยะเวลาการจัดเก็บข้อมูลเพื่อไม่ให้รั่วไหลออกไปในอนาคต หลายบริษัทมักมองว่าการรั่วไหลของข้อมูลนั้นเกิดขึ้นได้ยาก และลืมไปว่าการไม่ปฏิบัติตามข้อกำหนดต่าง ๆ นั้นอาจส่งผลให้มีบทลงโทษทางกฏหมายทั้งทางแพ่ง ทางอาญา และทางปกครอง โดยมีการปรับเงินจนกระทั่งอาจไปถึงการจำคุก และอีกความเสียหายที่ยิ่งใหญ่อีกขั้นคือภาพลักษณ์ขององค์กรที่มีมูลค่ามหาศาล 

การส่งเสริม PDPA ในองค์กร  

คุณภากรมองว่าในฝั่งภาคธุรกิจควรจะต้องมีผู้เชี่ยวชาญเข้ามาดูแลในส่วนกฏหมาย เพื่อลดขั้นตอนที่ซับซ้อน ช่วยเหลือด้านความรู้ความเข้าใจเพื่อจัดการข้อมูลได้อย่างถูกต้องตามแบบ PDPA โดยเริ่มต้นด้วย 3 ขั้นตอนง่าย ๆ คือ

• การให้ความรู้ (Educate) การเตรียมความพร้อมคนในองค์กรให้มีความรู้ความเข้าใจในกระบวนการและข้อบังคับต่าง ๆ ซึ่งสามารถทำได้โดยจัดอบรมให้พนักงาน
• การรวบรวม (Implement) การขออนุญาตและรวบรวมข้อมูลทั้งหมดให้สอดคล้องกับการทำ PDPA
• การจัดการ (Manage) ถือเป็นส่วนสำคัญเนื่องจากเป็นการที่จะต้องเริ่มจัดการคำขออนุมัติต่าง ๆ ให้พร้อมโดยจำเป็นต้องมีเครื่องมือที่เหมาะสม 

คุณภากร ยังได้เล่าว่าอีกว่าปัญหาที่เจอคือลูกค้าไม่ทราบข้อกฏหมายและไม่รู้ว่าจะต้องนำข้อมูลไปใช้อย่างไร เพราะแต่ละคนก็ไม่ใช่ผู้เชี่ยวชาญด้านกฏหมาย นอกจากนี้ยังพบปัญหากับการที่ลูกค้าส่งคำขอเกี่ยวกับข้อมูลเข้ามาแต่ทางบริษัทไม่สามารถตอบกลับได้ทันทีเนื่องจากปริมาณอีเมลหรือการติดต่อที่มาเข้ามามากเพราะในแต่ละคำขอมีความเกี่ยวข้องกับแผนกต่าง ๆ ทำให้ใช้เวลานาน รวมถึงการขาดเครื่องมือการจัดการจึงทำให้ไม่สามารถตอบได้อย่างทันถ่วงที อีกทั้งยังพบว่ามีความเข้าใจผิดที่มักเกิดขึ้นในองค์กรคือพนักงานในองค์กรมักคิดว่างานด้าน PDPA คืองานของฝ่ายไอที ซึ่งในความเป็นจริงแล้ว PDPA ไม่ใช่เรื่องของหน่วยงานใดหน่วยงานหนึ่งแต่เป็นเรื่องของทุกคน โดยส่วนนี้เป็นหน้าที่ของทางบริษัทที่จะต้องให้ความรู้เพื่อสร้างความตระหนักรู้ถึงความสำคัญของข้อกฏหมาย เพราะแต่ละแผนกก็ต่างถือข้อมูลที่แตกต่างกันไป เช่น แผนกทรัพยากรบุคคลที่มีการจัดเก็บข้อมูลพนักงาน แผนกจัดซื้อที่จัดเก็บข้อมูลใบเสร็จและรายการซื้อต่าง ๆ หรือแม้กระทั่่งแผนกการตลาดที่จัดเก็บข้อมูลของลูกค้าจำนวนมาก อีกทั้งยังพบปัญหาว่าบางบริษัทยังขาดระบบจัดการที่ทันสมัย เนื่องจากยังใช้ในรูปแบบกระดาษที่อาจจะทำให้สูญหายและรั่วไหลได้ง่าย 

WhiteFact เครื่องมือที่ตอบโจทย์องค์กรอย่างครบถ้วนในด้าน PDPA 

ด้วยปัญหาทั้งหมดที่พบเจอทำให้ทาง G-Able ได้นำมารวบรวมวิเคราะห์และพัฒนาต่อยอดจนเป็น WhiteFact เครื่องมือจัดการ PDPA อย่างเป็นระบบในที่เดียว ที่เป็นเสมือนศูนย์รวมข้อมูลให้แต่ละแผนกมาสามารถนำไปใช้ได้ เกิดเป็น Ecosystem สำหรับอนาคต ครอบคลุมทั้งองค์กร ประหยัดเวลา ครบวงจร ใช้งานง่ายและสะดวก เข้าถึงข้อมูลได้จากทุกที่ ด้วยความตั้งใจจะ Make PDPA is simply

โดย WhiteFact ได้ให้บริการ 8 กระบวนการที่สำคัญสำหรับบริษัท ดังนี้ 

1. Data Catalog เชื่อมต่อฐานข้อมูลในระดับโครงสร้างด้วย Tag Meta Data จัดการข้อมูลได้อย่างเป็นระเบียบและง่ายต่อการค้นหา ทั้งการจัดเก็บ การใช้งาน การแก้ไขหรือลบข้อมูลตามสิทธิของเจ้าของข้อมูล
2. Data inventory ระบบจัดเก็บข้อมูลส่วนบุคคลที่รวมศูนย์ข้อมูลของทุกแผนก ประกอบด้วย Data flow diagram (DFD) และการทำ Record of processing (ROP) ที่จะทำให้สามารถลดขั้นตอนที่ต้องไปประสานงานกับแผนกต่าง ๆ
3. RoPA การดูบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ในองค์กร โดยการบันทึกรายการของกิจกรรม มีการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 39 และมาตรา 40 หรือตามหน่วยงานกำหนด
4. Privacy notice ระบบจัดการสร้าง Template Privacy Policy ที่จำเป็นในองค์กรเพื่อใช้สำหรับแจ้งนโยบายการเก็บข้อมูลส่วนบุคคลที่ถูกต้องตามวัตถุประสงค์
5. Cookies consent management บริหารจัดการขอความยินยอมจัดเก็บข้อมูล Cookie จากผู้ใช้งาน Website
6. Universal consent management บริหารจัดการฟอร์มขอข้อมูลส่วนบุคคล วิธีการขอความยินยอม โดยสามารถตรวจสอบย้อนหลังได้
7. Data subject request ระบบที่ใช้จัดการหน้าคำร้องเพื่อขอเข้าถึงข้อมูลของเจ้าของข้อมูล ที่สะดวกต่อเจ้าของข้อมูลและองค์กรที่รู้ได้อย่างชัดเจนว่ามีคำขอในส่วนไหนบ้าง
8. Data subject management ระบบจัดการคำร้องขอ ติดตาม ตรวจสอบ แจ้งกลับ เจ้าของข้อมูลส่วนบุคคล ซึ่งเป็นขั้นตอนที่ตรงกับข้อกำหนดใน PDPA

เรียกได้ว่าบริการจาก WhiteFact ถือว่าครอบคลุมและช่วยแก้ไขปัญหาได้อย่างครอบคลุมไม่ว่าจะเป็นลดความยุ่งยากซับซ้อน การบริหารจัดการงบประมาณด้านข้อมูล ถูกต้องตามกระบวนการข้อกฎหมาย ทำให้สามารถหลีกเลี่ยงการจ่ายค่าปรับในบทลงโทษที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ควบคุมงบประมาณในการพัฒนาระบบขององค์กร รวมถึงสามารถเลือก Features หลัก และ Features เสริมที่ในการติดตั้งได้ตามความต้องการใช้งานของธุรกิจ

คำแนะนำจาก G-Able สู่ผู้บริโภคและผู้บริหาร 

สำหรับมุมมองของผู้บริโภคควรมีความเข้าใจในว่าบริษัทจะมีการนำข้อมูลไปใช้ด้านใด รวมถึงศึกษาว่าทางบริษัทนั้นมีการบริหารการจัดการข้อมูลอย่างไร ในขณะที่ฝั่งธุรกิจก็จะต้องแบ่งออกเป็น 2 ส่วนคือ หนึ่ง ควรจะต้องเคารพสิทธิ์ของลูกค้า ควรมีการชี้แจงว่าจะนำข้อมูลไปใช้อย่างไรบ้าง เพื่อสร้างความสบายใจให้กับผู้บริโภคและเคารพข้อกฏหมายเพื่อเป็นมาตรฐานขององค์กร และสอง ควรจะต้องทำให้คนในองค์กรเข้าใจแนวทางการทำงานตามกฎหมาย การกำหนดสิทธิการเข้าถึงข้อมูล การเข้ารหัสเพื่อป้องกันข้อมูลกรณีรั่วไหล การจัดทำระยะเวลาการเก็บข้อมูลเพื่อลดภาระการดูแลข้อมูลในระยะยาว การทำ RoPA เพื่อให้เห็นข้อมูลในแต่ละแผนก และการจำแนกความเสี่ยงของแต่ละกิจกรรม

นอกจากนี้คุณภากร ยังปิดท้ายว่า อยากให้ทุกองค์กรเริ่มเตรียมพร้อมด้าน PDPA ได้แล้ว เนื่องจากกระบวนการเตรียมตัวใช้ระยะเวลานานกว่า 4-6 เดือน และในอนาคตอาจจะมีกฏหมายลูกเพิ่มเข้ามาอีกซึ่งอาจจะเข้มงวดกว่าเดิม การเตรียมพร้อมตั้งแต่เริ่มต้นจึงเป็นสิ่งจำเป็นอย่างมาก โดยทาง G-Able เองก็มีทีมงานผู้เชี่ยวชาญพร้อมด้วยประสบการณ์การให้บริการด้านเทคโนโลยีมากว่า 33 ปี สามารถช่วยตอบคำถามและให้บริการได้อย่างครอบคลุมซึ่งสามารถที่จะดูรายละเอียดเกี่ยวกับ PDPA และ WhiteFact เพิ่มเติมได้ที่ Facebook: https://www.facebook.com/gable.th และ Website: https://whitefact.co/

บทความนี้เป็น Advertorial