fbpx
News update

องค์กรต้องเร่งปรับตัวรับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

Onlinenewstime.com : Bluebik เผย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act กำลังเข้ามา Disrupt โลกการทำงานด้าน Data Analytics ทำให้ข้อมูลซึ่งเป็น “หัวใจ” สำคัญของการแข่งขันยุคใหม่ มีกระบวนการซับซ้อนและอ่อนไหวมากขึ้น ส่งผลให้องค์กรธุรกิจไทยเร่งวางแผนและเตรียมความพร้อมเพื่อรับมือ แนะปรับตัวได้ก่อน เดินหน้าได้เร็ว ไม่เสียโอกาสทางธุรกิจ

นายพชร อารยะการกุล ประธานเจ้าหน้าที่บริหาร บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik) บริษัทที่ปรึกษาด้านกลยุทธ์ และการจัดการนวัตกรรมและเทคโนโลยี เปิดเผยว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำลังจะมีผลบังคับใช้ ในวันที่ 28 พฤษภาคม 2563 นี้ จะเข้ามาเปลี่ยนแปลงและเป็นตัวแปรสำคัญ ที่จะส่งผลกระทบต่อกระบวนการทำงานด้านการวิเคราะห์ข้อมูล (Data Analytics) นับตั้งแต่ขั้นตอนจัดเก็บข้อมูล ไปจนถึงการนำไปใช้งาน

ซึ่งข้อมูลถือเป็น “สินทรัพย์” สำคัญสำหรับองค์กร ที่จะสามารถนำมาสร้างเป็น Insight ช่วยให้หลายองค์กรรู้จักตัวเองและลูกค้าของตัวเองอย่างถ่องแท้ จนนำมาซึ่งการนำเสนอสินค้าและบริการได้อย่างตรงใจ อีกทั้งข้อมูลส่วนบุคคลถือเป็น “หัวใจ” สำคัญ สำหรับการทำ Big Data Analytics เพื่อหาสิ่งเชื่อมโยงของข้อมูลเหล่านั้นไว้ด้วยกัน โดยนำไปค้นหาแนวโน้มทางการตลาด หาความต้องการของลูกค้า รวมทั้งข้อมูลอื่น ๆ ที่เป็นประโยชน์ต่อธุรกิจ ซึ่งเมื่อถึงวันที่พ.ร.บ.ดังกล่าวจะถูกบังคับใช้โดยกฎหมาย องค์กรจะต้องดำเนินการจัดเก็บ และใช้ข้อมูลส่วนบุคคลให้ถูกต้องและรัดกุม

อย่างไรก็ดี ในส่วนขององค์กรธุรกิจที่กำลังเตรียมความพร้อมในการปรับใช้ พ.ร.บ.ข้อมูลส่วนบุคคล ให้เริ่มจากศึกษาความเข้าใจเกี่ยวกับข้อกำหนดที่สำคัญ 4 ข้อหลักได้แก่

  1. การขอความยินยอมจากเจ้าของข้อมูล เริ่มตั้งแต่การเก็บรวบรวม การใช้งาน หรือการเปิดเผยข้อมูลต่อบุคคลอื่น ต้องได้รับการยินยอมเป็นลายลักษณ์อักษร และต้องไม่กระทำเกินกว่าที่ขอความยินยอมไว้
  2. การแจ้งวัตถุประสงค์ในการใช้ข้อมูลต่อเจ้าของข้อมูล ต้องชัดเจนและเข้าใจได้โดยง่าย ระบุระยะเวลาการจัดเก็บข้อมูลที่ชัดเจน
  3. การรักษาความปลอดภัยของข้อมูล (Data Security) ต้องได้มาตรฐาน
  4. สิทธิของเจ้าของข้อมูล ต้องมีการกำหนดสิทธิการเข้าถึง ส่งผลให้องค์กร ต้องมีระบบในการรองรับสิทธิของเจ้าของข้อมูล ตัวอย่างเช่น กรณีที่เจ้าของข้อมูลขอให้องค์กรลบข้อมูลส่วนบุคคลของตนเอง องค์กรจะต้องดำเนินการลบข้อมูลเหล่านั้นออก “ทั้งระบบ” เป็นต้น ซึ่งอาจเป็นปัญหากับองค์กร ที่ยังมีการจัดเก็บข้อมูลแยกกันตามกลุ่มธุรกิจ (Silo) จะทำให้ไม่สามารถลบออกจากทั้งระบบ

ที่สำคัญ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ได้กำหนดนิยามบทบาทหน้าที่ใหม่ ของผู้มีส่วนเกี่ยวข้อกับข้อมูลต่าง ๆ เช่น Data Controller, Data Processor, Data Protection Officer ทำให้มีองค์กรจำนวนมาก มองหาผู้เชี่ยวชาญเข้าช่วยวางแผนรับมือ เนื่องจากองค์กรต่างเล็งเห็นว่า การเร่งปรับองค์กรให้สอดรับกับพ.ร.บ.ข้อมูลส่วนบุคคลอย่างรวดเร็วจะช่วยให้สามารถแข่งขันในอุตสาหกรรมได้ โดยไม่ทำให้เสียโอกาสทางธุรกิจ

ทั้งนี้ เพื่อเตรียมความพร้อมขององค์กร เราสามารถพิจารณาแนวทาง การเตรียมความพร้อมขององค์กร พร้อมเสนอความช่วยเหลือในการเตรียมพร้อมให้กับองค์กร ให้เข้ากับหลักเกณฑ์ พ.ร.บ.ดังกล่าวออกเป็น 3 ขั้นตอน ดังนี้

  1. ขั้นต้นน้ำ องค์กรควรประเมินขีดความสามารถ และความพร้อมของระบบต่าง ๆ ในองค์กร อาทิ โครงสร้างและระบบด้านไอที (IT Infrastructure)  เพื่อหาช่องว่างที่ต้องปรับปรุง ให้สามารถรองรับการดำเนินงานตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล รวมทั้งประเมินกระบวนการทำงาน (Process) โดยจะต้องดูตั้งแต่ขั้นตอนการขอความยินยอมจากเจ้าของข้อมูล (Consent) การจัดเก็บและบริหารจัดการข้อมูล และต้องมีแผนว่าจะจัดเก็บข้อมูลในอนาคตอย่างไร
  2. ขั้นกลางน้ำ องค์กรควรวางแผน ในการจัดทำธรรมาภิบาลข้อมูล (Data Governance)  ตั้งแต่การจำแนกข้อมูล (Data Classification) ไปจนถึงการกำหนดมาตรการ ในการปกป้องข้อมูลต่าง ๆ การวางแผนและการคัดเลือกเครื่องมือในการปกป้องข้อมูล เช่น เครื่องมือในการทำ Data Masking (การปกปิดข้อมูลส่วนบุคคลบางอย่างที่ปรากฏอยู่ในฐานข้อมูล) Data Encryption  (การรักษาความปลอดภัยด้านข้อมูลผ่านการเข้ารหัสข้อมูล) เป็นต้น รวมทั้งการวางแผนวางระบบไอที ที่ต้องสอดคล้องกับพ.ร.บ.คุ้มครองส่วนบุคคล
  3. ขั้นปลายน้ำ องค์กรควรมีทีมงานเฉพาะกิจ ในการวางแผนและบริหารจัดการ  เพื่อผลักดันให้การปฏิบัติตามกฎหมาย (Implementation) เป็นไปอย่างถูกต้องและมีประสิทธิภาพ โดยคณะทำงานนี้ ควรมาจากตัวแทนที่เหมาะสมจากแต่ละฝ่ายงานที่เกี่ยวข้อง เพื่อให้มั่นใจได้ว่าการบริหารจัดการข้อมูลสอดคล้องกับพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล รวมทั้งเป็นไปตามเป้าหมายเชิงยุทธศาสตร์ได้    

“องค์กรธุรกิจจะต้องเตรียมความพร้อม เพื่อรับมือกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล  โดยต้องประเมินทั้งในเชิงนโยบาย กระบวนการทำงานและเทคโนโลยีขององค์กร ว่าจะสอดคล้องกับบทบัญญัติของ พ.ร.บ. มากน้อยเพียงใดเพื่อทำให้ทราบว่า องค์กรต้องปรับปรุงด้านใดบ้าง ให้รองรับกับข้อบังคับของกฎหมาย หากองค์กรทำผิดพ.ร.บ.ดังกล่าว นอกจากจะถูกดำเนินการทางกฎหมายแล้ว ภาพลักษณ์ความน่าเชื่อถือขององค์กรและแบรนด์ก็จะเสียหายตามไปด้วย” นายพชร กล่าวทิ้งท้าย

error: Content is protected !!