xs
xsm
sm
md
lg

เปิดแนวทางปรับองค์กร รับมือ พรบ.ข้อมูลส่วนบุคคล (Cyber Weekend)

เผยแพร่:   โดย: ผู้จัดการออนไลน์



ในอีก 2 เดือนข้างหน้า หรือ 27 พฤษภาคม 2563 คือวันที่ครบกำหนดบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ หรือ PDPA (Personal Data Protection Act) ที่องค์กรธุรกิจจะต้องมีมาตรการในการปรับตัวเพื่อรับมือกับการเก็บข้อมูลส่วนบุคคลของผู้บริโภค

แน่นอนว่า ผลกระทบที่เกิดขึ้นคือองค์กรธุรกิจที่มีการเก็บข้อมูลของผู้บริโภคต้องมีการวางแนวทางในการเก็บข้อมูลส่วนบุคคลทำให้ในช่วงปีที่ผ่านมา หลังจากที่พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศใช้งาน องค์กรธุรกิจขนาดใหญ่ต่างๆ เริ่มมีการปรับตัว ให้สอดคล้องกับกฏหมายดังกล่าวแล้ว

แต่จุดที่น่าเป็นห่วงคือองค์กรธุรกิจขนาดกลาง และเล็ก หรือบรรดา SMEs ในไทย ที่มีการเก็บข้อมูลส่วนบุคคลของลูกค้าไว้ จะต้องทำความเข้าใจ เพื่อเตรียมการป้องกันไม่ให้เกิดการนำข้อมูลไปใช้ในทางที่ผิดกฏหมาย ดังนั้นในช่วงระยะเวลา 2 เดือนข้างหน้า จึงเป็นช่วงที่ต้องดูแนวทางการปรับตัวขององค์กรขนาดใหญ่ มาประยุกต์ใช้ให้เหมาะสมกับธุรกิจที่ทำอยู่แล้ว

ภายในงานสัมมนา พระราชบัญญัติข้อมูลส่วนบุคคล, เปลี่ยนมุมมองใหม่ในโลกของการแข่งขันทางธุรกิจ เตรียมความพร้อมภาคธุรกิจปรับตัวรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ของเครือ ARIP ได้รวบรวมผู้เชี่ยวชาญจากภาคธุรกิจต่างๆ มาให้คำแนะนำแก่องค์กรธุรกิจที่ต้องปรับตัวหลังจากที่ PDPA บังคับใช้

ไม่ว่าจะเป็นภาคการเงิน การธนาคาร สายการบิน และ ผู้ให้บริการเครือข่ายโทรศัพท์มือถือ ซึ่งถือเป็นแนวหน้าในการปรับตัวให้พร้อมรับมือกับพรบ.ข้อมูลส่วนบุคคล ออกมาให้ข้อมูลเพื่อให้ภาคธุรกิจได้มีความเข้าใจ และเตรียมรับมือกับการเปลี่ยนแปลงที่จะนำข้อมูลของผู้บริโภคไปใช้ในการให้บริการในยุคดิจิทัล

***สิทธิความเป็นส่วนตัวของผู้บริโภค

การประกาศใช้ PDPA ในไทย สิ่งแรกที่ผู้บริโภคทุกคนควรรับรู้ร่วมกันคือ พรบ.นี้ จะช่วยให้ผู้บริโภคมีสิทธิในข้อมูลส่วนบุคคลของตนเองที่บริษัท หรือองค์กรธุรกิจต่างๆ เก็บข้อมูลไปจากการให้บริการต่างๆ ที่เกิดขึ้นในประเทศไทย ซึ่งถือเป็นกฏหมายที่สอดคล้องกับ GDPR (General Data Protection Regulation) ที่สหภาพฯ ยุโรปประกาศใช้มาก่อนหน้านี้

ดังนั้น ในการที่องค์กรธุรกิจต่างๆ จะเก็บข้อมูลของผู้ใช้งานได้ สิ่งแรกเลยคือต้องได้รับการยินยอมจากผู้ใช้ (Consent) ที่จะให้บริการต่างๆ เก็บข้อมูล เพื่อนำไปใช้ตามวัตถุประสงค์ที่แจ้งไว้ ถัดมาเลยคือต้องมีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนตัวของผู้ใช้ และสุดท้ายคือเจ้าของข้อมูลมีสิทธิที่จะขอให้ลบ หรือยุติการใช้ข้อมูล

ทำให้ในช่วงที่ผ่านมา จะเห็นการที่แอปพลิเคชันต่างๆ ที่ให้บริการแก่คนไทยเริ่มมีการแจ้งเตือนผู้ใช้ถึงการนำข้อมูลต่างๆ ไปใช้งาน เพื่อให้ผู้ใช้กดยินยอม เพื่อเข้าสู่การใช้งาน ซึ่งถือเป็นขั้นตอนที่แต่ละผู้ให้บริการต้องปฏิบัติตามกฏหมาย โดยเฉพาะในแวดวงการเงิน และผู้ให้บริการเครือข่าย ที่มีข้อมูลส่วนตัวของผู้ใช้งานแต่ละราย

***ความเชื่อมั่นของผู้บริโภคต่อผู้ให้บริการ

บุษกร ธีระปัญญาชัย ผู้อำนวยการอาวุโส ฝ่ายกำกับและตรวจสอบด้านความเสี่ยงเทคโนโลยีสารสนเทศ ธนาคารแห่งประเทศไทย ให้ข้อมูลว่า ในแวดวงการเงิน ข้อมูลลูกค้าเป็นเรื่องที่ให้ความสำคัญอยู่แล้ว ทั้งการจัดชั้นความลับในการเข้าถึงข้อมูลต่างๆ

'ในช่วงที่ผ่านมา ประเทศไทยก้าวเข้าสู่ดิจิทัล อีโคโนมี ในการขับเคลื่อนเศรษฐกิจด้วยเทคโนโลยี สิ่งที่ธนาคารต้องทำ คือทำตามกฏหมายที่ออกมา เมื่อมีการนำข้อมูลของลูกค้าไปใช้งาน โดยเฉพาะธนาคารเป็นธุรกิจที่อยู่กับความเชื่อมั่น ดังนั้นสถาบันการเงินเมื่อเกิดการทำผิดกฏหมาย จะส่งผลกระทบต่อความน่าเชื่อถือ'


ในธุรกิจธนาคาร การให้ความยินยอมเข้าถึงข้อมูล ต้องทำเป็นหนังสือ หรือเก็บลายลักษณ์อักษรทางอิเล็กทรอนิกส์ ซึ่งถ้าขอข้อมูลมาไม่ถูกต้อง ก็จะไม่ได้รับสิทธิในการนำไปใช้งาน วิธีการที่ธปท. นำมาปรับใช้คือ ต้องพิจารณาก่อนว่า จำเป็นมากแค่ไหนที่จะต้องเก็บข้อมูลส่วนบุคคลมาใช้ เพราะถ้าไม่มีความจำเป็น ก็ไม่ต้องนำมาใช้ให้เป็นภาระให้แก่การให้บริการ

ในกรณีที่ต้องเก็บรวบรวมข้อมูล ก็ต้องดูต่อไปว่าเป็นข้อมูลประเภทใด อย่างข้อมูลส่วนบุคคลทั่วไป กับข้อมูลส่วนบุคคลที่มีความอ่อนไหว (สุขภาพ เชื้อชาติ ศาสนา) ที่ต้องแยกฐานข้อมูลทั้ง 2 ประเภทออกจากกัน เพราะถ้ามีการเปิดเผยข้อมูลที่อ่อนไหวออกไปจะส่งผลกระทบต่อผู้ใช้ได้

***เก็บข้อมูลให้ 'โปร่งใส'สำคัญที่สุด

มนตรี สถาพรกุล ผู้เชี่ยวชาญดูแลข้อมูลส่วนบุคคล บริษัท โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น จำกัด (มหาชน) หรือ ดีแทค ซึ่งได้มีการนำข้อกฏหมาย GDPR มาปรับใช้ ให้คำแนะนำว่า ในการเตรียมการเพื่อคุ้มครองข้อมูลส่วนบุคคล (Data Protection) จะมาจากการรักษาความปลอดภัยข้อมูล (Data Security) ร่วมกับการรักษาความเป็นส่วนตัวของผู้ใช้ (Data Privacy) ที่ทุกองค์กรต้องแสดงความรับผิดชอบต่อสังคม ด้วยการทำเรื่องเหล่านี้ให้โปร่งใส (Transparency) ให้มากที่สุด

'ผู้ให้บริการเครือข่ายถือเป็นผู้ที่มีข้อมูลส่วนตัวของผู้ใช้มากที่สุด ดังนั้นในการนำข้อมูลของลูกค้าไปใช้เพื่อทำ Personalization เพื่อตอบสนองการใช้งานต่างๆ ของลูกค้าจะต้องได้รับความยินยอมจากผู้ใช้เสมอ นอกจากนี้ยังต้องมีการเพิ่มมาตรการในการดูแลข้อมูลของลูกค้าเพิ่มเข้าไปด้วย'

สิ่งที่องค์กรควรเริ่มทำแล้วในเวลานี้คือ 1.การให้บริการที่โปร่งใส โดยเฉพาะเรื่องสัญญาในการนำข้อมูลส่วนบุคคลไปใช้งาน และเตรียมระบบให้พร้อมที่จะลบข้อมูลได้เมื่อลูกค้าร้องขอ ถัดมาคือ 2.ตรวจสอบการเก็บข้อมูลส่วนบุคคลของลูกค้าภายในองค์กร เพื่อให้ทราบว่าปัจจุบันมีการนำข้อมูลใดมาใช้บ้าง และมีความจำเป็นที่ต้องใช้งานต่อหรือไม่ ถ้ามีก็ต้องแจ้งให้ลูกค้ารับทราบ และยินยอมที่จะให้นำไปใช้งาน

ขณะเดียวกัน องค์กรก็ต้องประเมินความเสี่ยงในการเก็บข้อมูลส่วนบุคคลของลูกค้าไว้ด้วย โดยเฉพาะการป้องกันทางด้านภัยคุกคามไซเบอร์ต่างๆ สุดท้ายคือการให้ความรู้แก่พนักงานทุกคนเข้าใจถึงการขอความยินยอมจากลูกค้าก่อนนำข้อมูลมาใช้งาน และต้องเก็บข้อมูลลูกค้าให้ปลอดภัยมากที่สุด

***เตรียมให้พร้อม แต่อย่างวิตกกังวล

สิทธินัย จันทรานนท์ ผู้อำนวยการสังกัดสำนักงานของกรรมการผู้อำนวยการใหญ่ สายบริหารงานกฎหมายและบริหารทั่วไป บริษัท การบินไทย จำกัด (มหาชน) มองว่า PDPA ถือเป็นภาคบังคับของกฏหมายที่ต้องปรับตัวและอยู่ในธุรกิจให้ได้ เพราะอย่างการบินไทย มีเส้นทางการบินไปแถบประเทศยุโรปทำให้ต้องนำ GDPR มาบังคับใช้งานด้วย

ในการเตรียมตัวเพื่อใช้งาน PDPA นั้นองค์กรธุรกิจต้องเริ่มแล้ว เพียงแต่อย่าไปวิตกกังวลมากเกินไป เพราะการยินยอมให้ใช้ข้อมูล ไม่ใช่ทุกสิ่ง ทุกอย่างบนโลกใบนี้ ยังมีกฏหมายอื่นๆ ที่เกี่ยวข้องมาร่วมด้วย เพียงแต่ด้วยการที่โทษของการละเมิด PDPA ในไทย มีโทษจำคุกไม่เกิน 1 ปี และ/หรือปรับสูงสุด 1 ล้านบาท และโทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่า ของสินไหม ทำให้การบินไทยมีการตั้งหน่วยงานขึ้นมาดูแลเรื่องนี้โดยเฉพาะ

เนื่องจากในการให้บริการสายการบิน ต้องมีการเก็บข้อมูลของลูกค้าตั้งแต่การจองตั๋วผ่านหน้าเว็บไซต์ ซึ่งมีทั้งข้อมูลทั่วไป และข้อมูลที่มีความละเอียดอ่อน นอกจากนี้ ยังมีการเก็บข้อมูลสมาชิกของรอยัลออร์คิดพลัส ที่มีข้อมูลส่วนตัวของลูกค้าแต่ละรายเพิ่มขึ้นอีก ซึ่งก่อนที่จะมีการเก็บข้อมูลเหล่านี้ได้มีการขอความยินยอมของลูกค้าไว้แล้ว

ขณะที่มุมมองของธุรกิจที่ให้บริการเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของผู้ใช้ สุรพล โอภาสเสถียร ผู้จัดการใหญ่ บริษัท ข้อมูลเครดิตแห่งชาติ จำกัด ให้มุมมองถึงการนำข้อมูลไปใช้ที่น่าสนใจว่า การเก็บข้อมูลของเครดิตบูโร จะมีการแยกเก็บข้อมูลออกเป็น 2 ชุด คือข้อมูลส่วนบุคคลที่ระบุตัวตนชัดเจน และอีกชุดคือข้อมูลพฤติกรรมการใช้งาน โดยอิงจาก เพศ อายุ ที่ไม่สามารถระบุย้อนกลับไปยังตัวตนของผู้ใช้ได้ เพื่อเป็นข้อมูลในเชิงสถิติไปใช้ในการวิเคราะห์พฤติกรรม ซึ่งผู้ที่จะขอนำข้อมูลเหล่านี้ไปใช้ ต้องมีการกำหนดวัตถุประสงค์ที่ชัดเจน

นอกจากนี้ ยังมีประเด็นเรื่องของการที่หน่วยงานรัฐขอความร่วมมือ ก็จะมีกฏหมาย อื่นๆ ที่เกี่ยวข้อง และมีอำนาจเหนือ พรบ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่องค์กรธุรกิจต่างๆ ต้องปฏิบัติตาม วิธีที่ดีที่สุดคือ เวลาให้บริการใครให้เอาใจเขามาใจเรา ซึ่งแน่นอนว่าทุกคนย่อมต้องการปกป้องข้อมูลส่วนตัวของตนเองอยู่แล้ว

เปิดแนวทางปรับองค์กร รับมือ พรบ.ข้อมูลส่วนบุคคล (Cyber Weekend)
เปิดแนวทางปรับองค์กร รับมือ พรบ.ข้อมูลส่วนบุคคล (Cyber Weekend)
กำลังโหลดความคิดเห็น