สรุปหัวข้อบรรยาย How Business Landscape Change after PDPA ธุรกิจองค์กรไทยต้องเตรียมตัวอย่างไรสำหรับ PDPA? และโอกาสใหม่ๆ ที่จะเกิดขึ้นกับธุรกิจจาก PDPA จะมีอะไรบ้าง?

ในงานสัมมนา AIS Business Digital Future 2021 – Your Trusted Digital Partner ที่ผ่านมา ทางทีมงาน AIS ได้ร่วมกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมมาแบ่งปันข้อมูลและประสบการณ์เกี่ยวกับการปรับหน่วยงานภาครัฐและองค์กรให้ตอบโจทย์พรบ.คุ้มครองข้อมูลส่วนบุคคล ทางทีมงาน TechTalkThai จึงขอสรุปเรื่องราวในประเด็นนี้เอาไว้ดังนี้ครับ

แม้ว่าพรบ.คุ้มครองข้อมูลส่วนบุคคลจะเลื่อนบังคับใช้ไปเป็นเดือนพฤษภาคม 2022 แทน แต่การเร่งสร้างความความเข้าใจทั้งสำหรับหน่วยงานภาครัฐและเอกชนก็ถือเป็นภารกิจสำคัญของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

คุณภุชพงค์ โนดไธสง รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ระบุในงานสัมมนาครั้งนี้ถึงสิ่งที่รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมได้ผลักดันการบังคับใช้พรบ.คุ้มครองข้อมูลส่วนบุคคลในหน่วยงานภาครัฐมาโดยตลอด ทั้งการให้ความรู้และจัดกิจกรรมต่างๆ ในขณะที่การผลักดันตัวกฎหมายในภาพรวมเพื่อให้การบังคับใช้เป็นไปได้อย่างมีประสิทธิภาพและเหมาะสมนั้นก็ดำเนินไปพร้อมกันด้วย ได้แก่

  1. การจัดทำกฎหมายลำดับรอง รับฟังความคิดเห็นจากภาคธุรกิจและประชาชน ทั้งในส่วนของกฎหมายที่เร่งด่วน จำเป็น และสำคัญ
  2. การจัดทำแแผนแม่บทในการส่งเสริมพรบ.คุ้มครองข้อมูลส่วนบุคคล
  3. การจัดทำแนวปฏิบัติสำหรับภาครัฐและเอกชนในอุตสาหกรรมต่างๆ เพื่อให้นำไปประยุกต์ใช้งานได้อย่างง่ายดาย

ดังนั้นจึงแนะนำให้ภาคธุรกิจองค์กรเองนั้นติดตามข้อมูลจากหน่วยงานภาครัฐในประเด็นด้านพรบ.คุ้มครองข้อมูลส่วนบุคคลอย่างต่อเนื่อง เพื่อให้ง่ายต่อการนำไปใช้งานได้อย่างถูกต้องเหมาะสม รวมถึงหน่วยงานภาครัฐเองก็พร้อมให้ความร่วมมือในส่วนนี้เพื่อให้ภาคธุรกิจได้ปฏิบัติตามข้อกฎหมายได้อย่างถูกต้องในอนาคต

ทั้งนี้พรบ.คุ้มครองข้อมูลส่วนบุคคลเองก็ได้ถูกเลื่อนไปบังคับใช้ในเดือนพฤษภาคม 2021 แทน เนื่องจากภัยโรคระบาด COVID-19 ที่ทำให้ภาคธุรกิจนั้นยังไม่มีความพร้อมในการปรับตัวเพื่อรับกับการบังคับใช้ข้อกฎหมายดีนัก ดังนั้นในเวลาอีกหนึ่งปีนับถัดจากนี้ จึงถือเป็นโค้งสุดท้ายแล้วสำหรับภาคธุรกิจองค์กร

การปรับตัวรับ PDPA ต้องอาศัยทั้งบุคลากร, กระบวนการ และเทคโนโลยี

คุณคมศักดิ์ ฉิมนุตพาน Enterprise Cyber Security Manager แห่ง AIS Business ได้มาเล่าถึงแนวคิดในภาพรวมของการบังคับใช้พรบ.คุ้มครองส่วนบุคคลให้ประสบความสำเร็จในภาคธุรกิจว่าจะต้องอาศัยทั้งบุคลากรที่มีความรู้ความเข้าใจในข้อกฎหมาย, กระบวนการทำงานที่ถูกปรับปรุงให้เหมาะสมต่อการจัดเก็บและจัดการข้อมูลส่วนบุคคล ไปจนถึงเทคโนโลยีที่ตอบโจทย์ และมีความมั่นคงปลอดภัยเพียงพอในการจัดเก็บและจัดการกับข้อมูลส่วนบุคคลที่ต้องใช้งาน

AIS Cyber Secure ได้นำเสนอ 8 ขั้นตอนในการนำ PDPA มาใช้งานดังนี้

  1. ตั้ง DPO ขึ้นมาทำการกำกับดูแลรับผิดชอบภายในองค์กร
  2. สร้างความตระหนักรู้แก่ผู้บริหารและพนักงานในองค์กร
  3. จัดการวิเคราะห์ข้อมูลและกระบวนการที่มีอยู่ว่าเข้าข่ายความเป็นข้อมูลส่วนบุคคลอย่างไรบ้าง
  4. บังคับใช้นโยบายในการจัดการข้อมูลส่วนบุคคล พร้อมประกาศให้ทั้งบุคคลภายในและลูกค้าหรือคู่ค้าภายนอกทราบ
  5. เตรียมเอกสารที่จำเป็นในเชิงกฎหมาย ทั้งการขอความยินยอมในการใช้ข้อมูล, สัญญาต่างๆ และการเปิดให้เจ้าของข้อมูลเรียกร้องสิทธิ์ได้
  6. ประเมินผลความเสี่ยงที่จะเกิดขึ้นจากการใช้งานข้อมูลส่วนบุคคล เพื่อให้จัดลำดับความสำคัญในการปรับปรุงกระบวนการได้
  7. วางกระบวนการที่ต้องทำเมื่อเกิดเหตุข้อมูลรั่วไหล
  8. ประยุกต์ใช้เทคโนโลยีเพื่อทำการควบคุม ช่วยไม่ให้ข้อมูลรั่วไหล

อย่างไรก็ดีมีข้อสังเกตที่น่าสนใจว่าตามข้อกฎหมายนี้ ไม่ได้บังคับว่าธุรกิจจะต้องใช้เทคโนโลยีในการจัดเก็บข้อมูลเท่านั้น ซึ่งการจัดเก็บข้อมูลเป็นเอกสารแบบกระดาษหรือ Manual ก็ใช้ได้เช่นกัน ดังนั้นสำหรับธุรกิจขนาดเล็กเองนั้นก็สามารถเริ่มต้นจากแนวทางนี้ก่อนเพื่อทำความเข้าใจเบื้องต้นเกี่ยวกับกฎหมาย แล้วจึงค่อยปรับไปใช้เทคโนโลยีในภายหลังได้

ภายใน AIS เองก็มีการประยุกต์นำ 8 ข้อนี้มาใช้ในแต่ละภาคส่วนของธุรกิจตนเองเช่นกัน โดยคุณมนฑกานติ์ อาขุบุตร Head of Data Protection Office Unit แห่ง AIS Business ก็ได้มาเล่าถึงสิ่งที่ AIS ได้ทำเพื่อให้ธุรกิจพร้อมรับต่อพรบ.คุ้มครองข้อมูลส่วนบุคคลได้หลายประการ รวมถึงการนำเทคโนโลยีอย่างการกำหนดสิทธิ์, การทำ Data Anonymization, Data Masking, Encryption, Hashing และอื่นๆ มาใช้ รวมถึงมีการเก็บ Audit Log ในการเข้าถึงข้อมูลส่วนบุคคลเหล่านี้ด้วย รวมถึงยังมีการจัดอบรมทั้งสำหรับพนักงานและผู้บริหารให้มีความรู้ความเข้าใจในข้อกฎหมายเหล่านี้ จนการรักษาข้อมูลส่วนบุคคลเหล่านี้ได้กลายเป็นหนึ่งในวัฒนธรรมองค์กรของ AIS ไปแล้ว

ไม่เพียงแต่ใน AIS เท่านั้น แต่สำหรับคู่ค้าของ AIS เอง ทาง AIS ก็ให้ความสำคัญในส่วนนี้ด้วยเพื่อลดความเสี่ยงที่ข้อมูลจะรั่วไหลออกจากพันธมิตรและเหล่า Vendor ที่เกี่ยวข้อง

PDPA จะสร้างความเปลี่ยนแปลงครั้งใหญ่ในทุกองค์กร และสร้างโอกาสใหม่หลายประการ

ความเปลี่ยนแปลงที่จะเกิดขึ้นจากการบังคับใช้พรบ.คุ้มครองข้อมูลส่วนบุคคลนี้จะมีด้วยกันหลากหลายประการ ได้แก่

  • ธุรกิจต้องปรับโครงสร้างภายใน ต้องมีการตั้งคณะทำงานด้านนี้โดยเฉพาะ และปรับกระบวนการรวมถึงการจัดเก็บและใช้งานข้อมูลส่วนบุคคลให้เหมาะสม รวมถึงกระบวนการต่างๆ เช่นการแจ้งเตือนลูกค้าและคู่ค้า การประสานงานกับหน่วยงานภาครัฐ ไปจนถึงการซักซ้อมเพื่อให้พนักงานมีความพร้อม
  • การสร้างความตระหนักรู้ด้านความสำคัญของพรบ.คุ้มครองข้อมูลส่วนบุคคลจะยังคงต้องมีอย่างต่อเนื่องทั้งก่อนและหลังกฎหมายบังคับใช้ เพื่อให้ธุรกิจดำเนินต่อไปได้อย่างมั่นใจตามข้อบังคับของกฎหมาย
  • เกิดปัจจัยใหม่ในการสร้างแรงจูงใจให้ธุรกิจต่างชาติกล้าเข้ามาลงทุนในประเทศไทยมากขึ้น โดยเฉพาะในประเทศที่มีข้อกฎหมายด้านข้อมูลส่วนบุคคล
  • เกิดปัจจัยใหม่ในการพิจารณาคู่ค้าที่น่าเชื่อถือ จากความพร้อมในการสอดรับต่อพรบ.คุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะในธุรกิจ IT ที่ต้องมีการยุ่งเกี่ยวกับข้อมูลเป็นหลัก
  • หน่วยงานภาครัฐและธุรกิจโครงสร้างพื้นฐานสำคัญมีความโปร่งใสมากขึ้นในการจัดเก็บและใช้งานข้อมูลส่วนบุคคล ประชาชนมีสิทธิ์ในข้อมูลของตนเองมากขึ้น

ด้วยเหตุนี้ ทำให้ธุรกิจที่รองรับ PDPA ได้เร็วกว่าธุรกิจอื่นๆ นั้นจะได้เปรียบในระยะยาวมากกว่าธุรกิจที่เตรียมตัวได้ช้ากว่าอยู่มากทีเดียว อย่างไรก็ดี เนื่องจากตัวกฎหมายเองที่ยังไม่นิ่ง และมีการพัฒนาปรับปรุงอยู่เสมอ ธุรกิจเองจึงต้องมีการอัปเดตแนวปฏิบัติด้านพรบ.คุ้มครองข้อมูลส่วนบุคคลอย่างต่อเนื่อง แต่ก้าวแรกในการเริ่มให้ความสำคัญต่อข้อกฎหมายนี้ ก็ถือเป็นจุดเริ่มต้นที่ดีสำหรับธุรกิจองค์กร

สุดท้าย วิทยากรทั้งสามท่านได้ร่วมกันสรุปถึงโอกาสที่ธุรกิจไทยจะสามารถคว้าได้จากการบังคับใช้พรบ.คุ้มครองข้อมูลส่วนบุคคล ดังนี้

  • สร้างความเชื่อมั่นให้กับต่างชาติที่ต้องการลงทุนหรือทำงานร่วมกับธุรกิจไทย ที่ให้ความสำคัญด้านข้อมูลส่วนบุคคล
  • เกิดมาตรฐานในการรับส่งข้อมูลระหว่างธุรกิจทั้งภายในและภายนอกประเทศ รวมถึงการสื่อสารกับลูกค้าประชาชนทั่วไป ให้ข้อมูลมีความมั่นคงปลอดภัยและเป็นส่วนตัว
  • เกิดขีดความสามารถในการแข่งขันมุมใหม่ด้านการปกป้องความเป็นส่วนตัวของลูกค้า ทำให้ภาคเอกชนต้องแข่งขันกันสร้างความเชื่อมั่นและความสบายใจ ทำให้ประชาชนมีทางเลือกมากยิ่งขึ้นในการใช้บริการจากผู้ให้บริการในมุมใหม่ๆ

สำหรับธุรกิจองค์กรใดที่กำลังมองหาที่ปรึกษาด้านการบังคับใช้ PDPA ภายในองค์กร AIS Business พร้อมให้คำปรึกษาทั้งในแง่ของกฎหมาย, กระบวนการ, การฝึกอบรม และเทคโนโลยี โดยผู้ที่สนใจสามารถติดต่อได้ที่ เจ้าหน้าที่ AIS Business ที่ดูแลองค์กรของท่าน หรือคลิก https://business.ais.co.th/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Oracle เตรียมสร้าง Data Center ใต้ดินในอิสราเอล

Oracle ประกาศ เตรียมสร้าง Data Center ใต้ดินในอิสราเอลเพื่อหลบการโจมตีจากจรวด

Microsoft ออก Sysmon สำหรับใช้บน Linux

แอดมินของเครื่อง Linux สามารถนำ Sysmon ของ Microsoft ไปใช้งานเพื่อดูพฤติกรรมและเก็บ Log สิ่งผิดปกติในระบบได้แล้ว