พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายรวมฉบับแรกในประเทศไทยที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ความน่าสนใจคือกฎหมายนี้มีความคล้ายคลึงกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป GDPR ที่เผยแพร่บังคับใช้เมื่อ 27 พฤษภาคม 2562 ที่ผ่านมา
สำหรับประเทศไทย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลจะมีผลบังคับใช้จริงภายใน 27 พฤษภาคม 2563 โดยสมาคมธนาคารไทยหรือ TBA (Thai Bankers Association) จะดึงสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) ที่เพิ่งก่อตั้งให้เข้ามามีส่วนร่วมในการพิสูจน์ข้อมูล และแก้ไขประเด็นที่เป็นกังวล ก่อนที่ช่วงพฤษภาคม 2564 ไทยจะออกกฎหมายลูกและประกาศใช้ครบทุกฉบับภายใน 1 ปีหรือนานกว่านั้น
นาทีนี้องค์กรเหลือเวลาเพียง 6 เดือนเพื่อปรับระบบของบริษัทให้เข้ากับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่จะบังคับใช้กับทุกส่วนของระบบเศรษฐกิจไทย (รวมธุรกิจต่างชาติ ทั้ง Google และแพลตฟอร์มใหญ่ที่ติดตามพฤติกรรมผู้คนในประเทศไทย) พ.ร.บ.นี้จะมีผลบังคับใช้กับทั้งเจ้าของข้อมูล ผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูล ท่ามกลางการกำหนดโทษทางแพ่งและอาญา ขึ้นกับเกณฑ์ข้อผิดพลาดว่าเกิดในลักษณะใด
ชัดเจนว่าชีวิตของทุกคนที่เกี่ยวข้องกับข้อมูลผู้บริโภคไทยกำลังจะเปลี่ยนไป ประเด็นนี้ “เอคเซนเชอร์” (Accenture) บริษัทที่ปรึกษาชื่อดังประเมินว่า 3 ส่วนงานที่จะเปลี่ยนแปลงมากที่สุดคือกระบวนการขอความยินยอมใช้ข้อมูลจากผู้บริโภค, ตัวระบบงานขององค์กร และการเปลี่ยนแปลงสัญญา เบื้องต้นเชื่อว่านโยบายความเป็นส่วนตัวของข้อมูลในทุกบริษัทจะต้องเปลี่ยนแปลงทั้งหมด
Top 3 งานต้องปรับรับพ.ร.บ.ใหม่
นายวิชยา แซ่จาว กรรมการผู้จัดการ สายงานบริการการเงินและการธนาคาร เอคเซนเชอร์ ประเทศไทย ให้ความเห็นว่า สิ่งที่พ.ร.บ.บังคับใช้คือการบังคับให้องค์กรต้องทำ Consent management ทั้งเรื่องนโยบายการจัดเก็บข้อมูลผู้บริโภค จนถึงกระบวนการซึ่งแต่ละบริษัทจะต้องจัดทำ แต่ในเชิงลึกก็จะยังต้องขึ้นอยู่กับแต่ละบริษัท ที่จะต้องบริหารจัดการเมื่อลูกค้าขอใช้สิทธิ์ “ให้ถูกลืมจากระบบ”
การร้องเรียนเพื่อขอถอนชื่อออกจากระบบ ถือเป็นการร้องเรียนกลุ่มใหญ่ที่เห็นชัดในยุโรปซึ่งมีการใช้กฎหมาย GDPR แล้ว โดยวิชยาให้ข้อมูลว่าข้อร้องเรียนส่วนใหญ่เกิน 50% เกี่ยวข้องกับการขอใช้สิทธิ์ “ให้ถูกลืมจากระบบ” ซึ่งสำหรับประเทศไทย คาดว่าจะยังไม่เห็นการร้องเรียนมากในปีแรก แต่จะมีสัดส่วนที่มากขึ้นในปีถัดไป
วิชยาอธิบายถึงหลักการของพ.ร.บ.นี้ว่าแบ่งออกเป็น 7 ส่วน ส่วนแรกคือการที่องค์กรจะเก็บข้อมูลใด ข้อมูลนั้นต้องได้รับความยินยอมจากเจ้าของข้อมูล เมื่อได้รับความยินยอมแล้วต้องแจ้งให้ชัดเจนว่านำไปใช้อะไร ซึ่งถ้าไม่ชัดเจนก็ต้องปรับนโยบาย
ส่วนที่ 3 คือเมื่อมีวัตถุประสงค์ที่ชัดแล้วจำนวนการเก็บข้อมูลจะต้องสอดคล้องกัน ไม่หว่านแหเก็บข้อมูลมากเกินไป ส่วนที่ 4 คือถ้าลูกค้ายกเลิกการยินยอม ระบบจะต้องปรับตามให้ทัน
ส่วนที่ 5 คือเวลาในการเก็บข้อมูลต้องเป็นไปตามวัตถุประสงค์ที่เก็บ และเมื่อใช้ข้อมูลเสร็จแล้วจะต้องลบออกได้ โดยเฉพาะในกรณีที่ไม่ต้องการใช้งานต่อไป
ส่วนที่ 6 คือเมื่อเก็บข้อมูลแล้ว องค์กรจะต้องดูแลรับผิดชอบไม่ให้แฮกเกอร์เข้าถึงได้โดยไม่ชอบ และส่วนสุดท้ายคือกระบวนการเก็บข้อมูลทั้งหมดต้องตรวจสอบ ได้ทั้งจากหน่วยงานภายในและภายนอกองค์กร
“ทั้งหมดนี้ถือเป็นแก่น ที่จะทำให้ regulator และทุกคนมีสิทธิ์ในข้อมูลส่วนตัว พ.ร.บ.ไม่มีการบอกว่าต้องเก็บข้อมูลกี่เดือน แต่บอกว่าจะต้องทำตามที่องค์กรได้ขอไว้ และสอดคล้องกับกฏหมาย เช่นในองค์กรที่ต้องปฏิบัติตามกฎหมายปราบปรามการฟอกเงินซึ่งต้องเก็บข้อมูล 10 ปี หากลูกค้าขอลบข้อมูลจะไม่สามารถลบได้ เพราะต้องมีกฎหมายอื่นให้ปฏิบัติตามอยู่”
วิชยาย้ำว่า แต่ละกลุ่มอุตสาหกรรมจึงจำเป็นต้องตั้งคณะทำงานเพื่อตกลงมาตรฐานการขอความยินยอมจากผู้บริโภค เพราะหากบางองค์กรเขียนขออนุญาตยาว บางองค์กรเขียนสั้น ก็อาจจะทำให้ผู้บริโภคเกิดความสับสน
“ขอทีเดียวได้หมดเลย หรือควรต้องเขียนเป็นร้อยข้อ ตรงนี้บริษัทในอุตสาหกรรมเดียวกันควรคุยกัน” วิชยากล่าว “จากการทำงานกับองค์กรในยุโรป Accenture อยากให้องค์กรมองว่าไม่ใช่ภาระ เพราะพ.ร.บ.เสริมให้องค์กรต้องปรับให้บริการเป็นไปอย่างมีประสิทธิภาพ และกำลังมีข้อมูลเชิงลึกเพื่อตอบโจทย์ลูกค้า ยิ่งเมื่อดูจากข้อมูลที่ regulator ขอ ล้วนเป็นข้อมูลพื้นฐานที่ผู้บริโภคต้องการเช่นการยินยอม เป็นการตอบความต้องการของลูกค้า และจะทำให้องค์กรไม่ต้องเสียค่าใช้จ่ายทำการตลาดกับกลุ่มที่ไม่สนใจ แล้วไม่ยินยอมให้ข้อมูล”
พ.ร.บ. นี้ไม่ใช่ภาระ
ผู้บริหาร Accenture อธิบายประเด็นนี้ตรงไปตรงมา ว่าเหมือนการทำบ้านให้สะอาดเป็นระเบียบเรียบร้อย ทำให้เกิดผลดีต่อองค์กร เนื่องจากองค์กรที่เก็บข้อมูลไม่เป็นระเบียบก็จะพัฒนาธุรกิจได้ยากกว่า ดังนั้น พ.ร.บ. นี้จึงไม่ใช่ภาระ แต่สามารถช่วยให้ข้อมูลไม่เป็นภาระกับองค์กร เนื่องจากงานวิจัยที่ Accenture ทำทั้งโลก พบว่าข้อมูลไม่ใช่บ่อน้ำมันที่ทำให้ธุรกิจมีศักยภาพ และข้อมูลที่มากเกินไปกลับเป็นภาระ
“ดังนั้นแนวคิดการจัดเก็บข้อมูลเท่าที่จำเป็น จะเป็นเทรนด์ขององค์กรใหญ่ในอนาคต” วิชยากล่าว “เพราะฉะนั้น โมเดลธุรกิจแบบใหม่ทั้งธุรกิจ AI และธุรกิจอื่นที่ต้องใช้ข้อมูลเหล่านี้ จะเก็บข้อมูลได้ดีขึ้นเพราะกฎหมายจะทำให้มองเห็นความสำคัญและอาจเป็นจุดเปลี่ยนทำให้องค์กรบริการลูกค้าได้ดีกว่าเดิม”
เทรนด์ที่กำลังเป็นความท้าทายของทุกบริษัทในนาทีนี้ คือการต้องจัดตั้ง DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลให้เป็นรูปธรรมในองค์กร วิชยาระบุว่าความยากของการตั้ง DPO อยู่ที่การคัดเลือกคนหรือกลุ่มคนเพื่อพิจารณาทั้งด้านกฎหมาย การจัดการข้อมูล ความปลอดภัย และการบริหารข้อตกลง ซึ่ง Accenture มีบริการเครื่องมือให้ DPO สามารถทำงานได้ง่ายขึ้น รองรับทั้งการบริหารและการตรวจสอบ ท่ามกลางพันธมิตร 9 รายซึ่ง Accenture การันตีว่าเป็นโซลูชันบริหารความเป็นส่วนตัวและรักษาความปลอดภัยของข้อมูลที่ดีที่สุดในอุตสาหกรรม
พร้อมต่อเนื่องจาก GDPR
ผู้บริหาร Accenture ไม่ประเมินว่าองค์กรไทยหรือกลุ่มธนาคารจะต้องลงทุนเพิ่มเท่าไหร่ในยุคพ.ร.บ.ใหม่ โดยระบุว่าตัวเลขนี้ประเมินได้ยากเพราะความพร้อมขององค์กรที่ไม่เท่ากัน บางองค์กรมีความพร้อมมากแล้วจากการปรับตัวตามกฏหมาย GDPR ของยุโรป และการปรับใช้กฎหมายใหม่ไม่ได้แปลว่าทุกองค์กรจะต้องเปลี่ยนแปลงมากเพราะสามารถต่อยอดจากกระบวนการเดิมที่ได้รับกฎเกณฑ์มาจาก กลต. อยู่แล้ว
“สำหรับกลุ่ม SME เรายังไม่เห็นข้อมูลการลงทุนเพิ่ม เพราะจะต้องดูรายละเอียดของระเบียบ ขณะเดียวกัน SME ยังมีความหลากหลายของขนาดธุรกิจที่ต่างกัน ในมุมมองของ Accenture คิดว่าแต่ละกลุ่มธุรกิจควรมีตัวแทนเพื่อทำงานร่วมกับผู้กำกับดูแลซึ่งขณะนี้เริ่มเห็นการรวมตัวในบางส่วนแล้ว”
ผู้บริหาร Accenture มองว่าการไม่มีกฎหมายลูกของ พ.ร.บ. นี้ไม่ใช่ปัญหา เนื่องจากกฎหมายไม่ได้บอกให้รอกฏหมายลูก และยังบังคับใช้ทุกอย่างชัดเจนทำให้องค์กรเริ่มคุยและเริ่มมองภาพใหญ่ขึ้นมาก่อน
“สิ่งที่องค์กรสามารถทำได้เลยโดยไม่ต้องรอคณะกรรมการ คือการกำหนดนโยบายส่วนตัว ให้ทุกบริษัทในกลุ่มอุตสาหกรรมมีความเป็นมาตรฐานเดียวกันซึ่งในยุโรปมีการร่วมมือกำหนด minimum standard”
แม้ Accenture จะมองว่าองค์กรควรมีเวลาเฉลี่ยเกิน 7 เดือนขึ้นไปในการเตรียมตัวเพื่อรับมือพ.ร.บ.ข้อมูลส่วนบุคคล แต่ผู้บริหารยอมรับว่าบางองค์กรสามารถปรับใช้กฏหมายได้ในเวลา 3 เดือน แต่บางเรื่องโดยเฉพาะถ้าเป็นเรื่องที่ต้องปรับระบบเพื่อให้รองรับบางข้อกำหนด ก็อาจใช้เวลานานกว่า
ในภาพรวม ผู้บริหารเชื่อว่าการบังคับใช้กฎหมายจะไม่มีผลทำให้ธุรกิจสตาร์ทอัปด้านดิลิทัลแจ้งเกิดได้ยากขึ้น แต่จะทำให้เกิดความรัดกุม ยืนยันว่า พ.ร.บ.นี้ไม่ได้ทำให้การพัฒนานวัตกรรมหายไปแต่การใช้ข้อมูลส่วนบุคคลของผู้บริโภคจะเป็นไปอย่างรอบคอบยิ่งขึ้น
“กฎหมายนี้ไม่ได้ห้ามใช้ AI แต่กฎหมายขอให้ใช้อย่างถูกต้องและขอให้บริษัทได้รับการยินยอมที่ชัดเจน”
สำหรับธุรกิจของ Accenture ผู้บริหารระบุว่ามองกลุ่มเป้าหมายเป็นลูกค้าในประเทศมากกว่าลูกค้าต่างชาติ ซึ่งมีความพร้อมตั้งแต่การประกาศใช้กฎหมาย GDPR อยู่แล้ว ปัจจุบัน Accenture ให้บริการวิเคราะห์ความพร้อมของธุรกิจทั้งแบบฟรีสำหรับลูกค้าที่ซื้อบริการแพลตฟอร์ม DPO และแบบบริการที่ปรึกษา ขึ้นอยู่กับข้อตกลงกับลูกค้าว่าจะใช้แพลตฟอร์มใด
ปัจจุบัน Accenture ให้บริการเกี่ยวกับกฎหมาย GDPR ของสหภาพยุโรปรวมกว่า 33 องค์กรใน 6 ตลาดยุโรป ซึ่งประเดิมเปลี่ยนชีวิตไปก่อนหน้านี้แล้ว.
