องค์กรต้องปรับตัวรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

เอบีม คอนซัลติ้ง เผยแนวโน้มเติบโตในการใช้งานข้อมูลส่วนบุคคล แนะองค์กรปรับตัวสู่ "วิถีใหม่" เพื่อให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA การระบาดของโควิด-19 ได้สร้างผลกระทบอย่างใหญ่หลวง ไม่ว่าจะอุตสาหกรรมใดๆ และได้สร้างการเปลี่ยนแปลงครั้งใหญ่ ไม่ว่าจะเป็นการรักษาระยะห่างทางสังคม และการปิดพรมแดน ส่งผลให้การเดินทางเพื่อติดต่อธุรกิจถูกจำกัดลง
          สิ่งเหล่านี้คือ "วิถีใหม่" ที่ทุกคนกำลังเผชิญ ด้านพฤติกรรมผู้บริโภคเกิดการเปลี่ยนแปลงอย่างมาก เนื่องจากความจำเป็นในเรื่องของการรักษาระยะห่างทางสังคม ทำให้เทคโนโลยีได้กลายมาเป็นสิ่งสำคัญสำหรับทุกสิ่งและทุกอย่าง ปริมาณข้อมูลมหาศาลจากการใช้งานอินเทอร์เน็ตกำลังถูกสร้างและจัดเก็บ ไม่ว่าจะเป็นข้อมูลจากการช็อปปิ้งออนไลน์ การใช้จ่ายเงินผ่านกระเป๋าเงินอิเล็กทรอนิกส์ และเวลาที่ใช้ในการท่องอินเทอร์เน็ตและโซเชียลมีเดียที่เพิ่มมากขึ้น
          ทุกวันนี้องค์กรต่างๆ ล้วนเก็บข้อมูลส่วนบุคคลจำนวนมากเพื่อใช้งานและเพื่อส่งต่อให้บุคคลที่สามด้วยเหตุผลที่หลากหลาย คาดการณ์ว่าแนวโน้มนี้จะเติบโตขึ้นอย่างมาก เนื่องจากการจัดการและการวิเคราะห์ข้อมูลได้กลายมาเป็นส่วนสำคัญที่มีเทคโนโลยีเข้ามาขับเคลื่อนสิ่งเหล่านี้ นำมาซึ่งคำถามที่ว่า "องค์กรต่างๆ จะรับมือกับข้อมูลส่วนบุคคลที่จัดเก็บมาใช้ และเปิดเผยข้อมูลส่วนบุคคลนี้อย่างไรให้ถูกต้องตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA" หรือคำถามที่ว่า "ลูกค้าได้ตระหนักรู้อย่างเต็มที่แล้วใช่หรือไม่ ว่าองค์กรได้ขออนุญาตเก็บข้อมูลส่วนบุคคลเพื่อนำไปใช้สำหรับทำอะไร" รวมทั้งคำถามที่ว่า "สิทธิส่วนบุคคลของแต่ละคนอะไรบ้างที่ได้รับความคุ้มครองตามกฎหมาย"
          ทั้งนี้ เอบีม คอนซัลติ้ง แนะองค์กรควรปกป้องข้อมูลส่วนบุคคลเชิงรุก ด้วยการปรับลักษณะของการจัดการ การปรับใช้เทคโนโลยี และการปฏิรูปกฎหมายที่จำเป็น เพื่อให้มั่นใจว่าได้ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลแล้ว นายอิชิโร ฮาระ กรรมการผู้จัดการ บริษัท เอบีม คอนซัลติ้ง (ประเทศไทย) จำกัด บริษัทที่ปรึกษาระดับโลก ซึ่งเป็นผู้ให้บริการที่มีความเชี่ยวชาญด้านการปรับเปลี่ยนองค์กรธุรกิจในรูปแบบดิจิทัล ทรานส์ฟอร์เมชัน ในเครือ จากการที่เกิด "วิถีใหม่" ทำให้มีปริมาณการใช้ข้อมูลส่วนบุคคลจำนวนมากและจะมีเพิ่มขึ้นอย่างต่อเนื่อง ส่งผลให้เกิดความกังวลเกี่ยวกับความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล จากผลกระทบหลักที่อาจจะมาจากการใช้ข้อมูลส่วนบุคคลในทางที่ผิดและการละเมิดข้อมูลส่วนบุคคล อ้างถึงรายงานของ GDPR พบว่า มากกว่า 38% ของกรณีที่ละเมิด GDPR เป็นกรณีที่ใช้ข้อมูลส่วนบุคคลในทางที่ผิด
          โดยในเดือนพฤษภาคม 2563 มีรายงานว่า ทั่วโลกมีการละเมิดข้อมูลอยู่ประมาณ 8.8 พันล้านข้อมูล ซึ่งคิดเป็นมูลค่าความเสียหายประมาณ 3.92 ล้านเหรียญสหรัฐ โดยไม่สามารถปฏิเสธความรับผิดชอบจากเหตุการณ์ที่มีการละเมิดข้อมูลส่วนบุคคลซึ่งสร้างผลกระทบอย่างมากทางธุรกิจ ไม่ว่าจะเป็นการสูญเสียเงิน การหยุดชะงักของธุรกิจ ภาระผูกพันตามกฎหมาย และการทำให้ชื่อเสียงของแบรนด์เกิดความเสี่ยง องค์กรจะต้องกลับมาพิจารณาอย่างจริงจังเกี่ยวกับความรับผิดชอบในการปกป้องข้อมูลส่วนบุคคลของลูกค้า และขั้นตอนในการดำเนินการเพื่อจะบรรเทาความเสี่ยงและป้องกันการเกิดการละเมิดข้อมูลส่วนบุคคลอย่างเหมาะสม ทั้งนี้ แม้ว่าการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะถูกเลื่อนออกไปถึงวันที่ 31 พฤษภาคม 2564 แต่หน่วยงานภาครัฐที่ดูแลเรื่องการบังคับใช้ พ.ร.บ.ฉบับนี้ได้มีการเดินหน้าจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นที่เรียบร้อย
          โดยในช่วงรอยต่อของช่องว่างการบังคับใช้ พ.ร.บ.ฉบับนี้ เป็นช่วงเวลาที่ดีที่องค์กรต่างๆ จะเตรียมความพร้อมต่างๆ ที่จำเป็นตามที่กฎหมายระบุไว้ให้พร้อม เพื่อให้มั่นใจว่าองค์กรมีความพร้อมที่จะรับมือกับการบังคับใช้กฎหมายลูกฉบับต่างๆ ของ พ.ร.บ.ฉบับนี้ ที่คาดว่าจะทยอยออกมาบังคับใช้ในอนาคตอันใกล้นี้
          จากรายงาน IAPP-EY Annual Privacy Governance Report 2019 เปิดเผยว่า มีเพียง 45% ขององค์กรเท่านั้น ที่ปฏิบัติตาม GDPR อย่างสมบูรณ์เต็มที่ และมี 42% ที่อยู่เพียงขั้นปานกลางในการทำให้การจัดเก็บจัดการข้อมูลส่วนบุคคลของลูกค้าให้เป็นไปตามกรอบของกฎหมาย GDPR ประกาศใช้มา 4 ปี และมีผลบังคับใช้เต็มที่เมื่อพฤษภาคม 2561 เท่ากับว่าองค์กรต่างๆ มีเวลามากกว่า 1 ปีในการเตรียมตัวให้พร้อมก่อนที่ GDPR จะมีผลบังคับใช้จริง แต่กระนั้นก็ตาม มีองค์กรประมาณ 54% ใช้เวลามากกว่าที่คาดการณ์ไว้ และมีหลายองค์กรที่ยอมรับว่ายังติดขัดกับการความท้าทายในการทำให้สอดคล้องกับกฎหมาย โดยเฉพาะอย่างยิ่งระบบการบริหารจัดการความยินยอมของลูกค้า และระบบการขอเข้าถึงข้อมูล ความยากอันดับต้นๆ ขององค์กรที่จะทำการจัดการข้อมูลส่วนบุคคลของลูกค้าให้เป็นไปตามกฎหมาย คือ การบริหารจัดการการยินยอมของลูกค้าและมาตรฐานการดำเนินการที่มีประสิทธิภาพและหลีกเลี่ยงความเสี่ยงจากการสูญเสียข้อมูล ซึ่ง "Centralized Consent Management Platforms" สามารถเข้ามาช่วยในส่วนนี้ได้
          เพียงแต่ในความเป็นจริงแล้ว 44% ขององค์กร มีระบบจัดเก็บการยินยอมของลูกค้ามากกว่า 25 ระบบ ดังนั้น มีความจำเป็นจะต้องรวบรวมระบบต่างๆ เข้าสู่แพลตฟอร์ม ซึ่งจะนำมาซึ่งการเปลี่ยนแปลงกระบวนการทำธุรกิจ และกลไกในการตรวจสอบข้อมูลตั้งแต่ต้นทางถึงปลายทาง เพื่อมั่นใจได้ว่าระบบจัดเก็บการยินยอมของลูกค้านั้นเป็นปัจจุบัน และต้องทำให้ลูกค้าสามารถทำการอนุญาตและถอนการอนุญาตได้ด้วยตัวเอง
          เอบีมแนะใช้เครื่องมืออัตโนมัติในการทำให้การบริหารจัดการคำขอและแพลตฟอร์มการคำขอสิทธิ์ของเจ้าของข้อมูล ทำงานร่วมกันอย่างไร้รอยต่อ แบ่งออกได้เป็น 2 เฟส คือเฟส 1 : การเตรียมความพร้อมพื้นฐานสำหรับ PDPA มี 4 การเตรียมความพร้อมพื้นฐานสำหรับ PDPA ที่ให้ความสำคัญกับบุคลากร กระบวนการ และเทคโนโลยี คือ การจัดการ การกำกับดูแลข้อมูล (Data Governance) กระบวนการธุรกิจ (Business Process) การเปลี่ยนผ่านแอปพลิเคชัน (Application Transformation) และการบริหารจัดการการเปลี่ยนแปลง (Change Management) สิ่งเหล่านี้จะช่วยให้องค์กรสามารถ ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้ และสามารถที่จะบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลได้อย่างยั่งยืนในระยะยาว เฟส 2 : การลงมือทำ มีข้อแนะนำสำหรับการทำระบบการจัดเก็บและบริหารจัดการข้อมูลให้สำเร็จโดยเร็วโดยที่ยังสามารถทำให้สอดคล้องตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยที่ธุรกิจก็ไม่ต้องหยุดชะงัก นั่นคือการจัดลำดับความสำคัญของระบบต่างๆ ได้แก่ Data Subject Journey, Consent Management Platform, Data Subject Rights Execution, Data Privacy Impact Assessment (DPIA) & Privacy by Design, Business Change Management, Business Partner Due-Diligence,Breach Management และ Storage Limitation แนะองค์กรควรเริ่มจากกระบวนการทำธุรกิจ โครงสร้างพื้นฐานทางเทคโนโลยี สภาพแวดล้อม และการใช้ข้อมูลส่วนบุคคลในปัจจุบันที่มีการใช้ข้ามองค์กรสำหรับการวินิจฉัยประเด็นที่เหมาะสม
          อย่างไรก็ตาม กระบวนการทั้งหมดที่เกี่ยวกับการปกป้องข้อมูลส่วนบุคคล รวมถึงกระบวนการในการคุ้มครอง ข้อมูลส่วนบุคคลที่จะเกิดขึ้นในอนาคต ทั้งหมดจะต้องเปิดเผย โปร่งใส ที่สำคัญที่สุด องค์กรต่างๆ ควรทำงานร่วมกับผู้เชี่ยวชาญที่มีประสบการณ์ ทั้งในเรื่องเทคโนโลยีและโซลูชั่นสำหรับ PDPA ในแต่ละอุตสาหกรรมที่มีโซลูชั่นครบวงจรตั้งแต่ต้นน้ำถึงปลายน้ำ เพื่อให้องค์กรสามารถติดตั้งและดำเนินการระบบได้อย่างรวดเร็วและประสบความสำเร็จในการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล.