ADPT

สรุปหัวข้อบรรยาย How Business Landscape Change after PDPA ธุรกิจองค์กรไทยต้องเตรียมตัวอย่างไรสำหรับ PDPA? และโอกาสใหม่ๆ ที่จะเกิดขึ้นกับธุรกิจจาก PDPA จะมีอะไรบ้าง?

ในงานสัมมนา AIS Business Digital Future 2021 – Your Trusted Digital Partner ที่ผ่านมา ทางทีมงาน AIS ได้ร่วมกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมมาแบ่งปันข้อมูลและประสบการณ์เกี่ยวกับการปรับหน่วยงานภาครัฐและองค์กรให้ตอบโจทย์พรบ.คุ้มครองข้อมูลส่วนบุคคล ทางทีมงาน TechTalkThai จึงขอสรุปเรื่องราวในประเด็นนี้เอาไว้ดังนี้ครับ

แม้ว่าพรบ.คุ้มครองข้อมูลส่วนบุคคลจะเลื่อนบังคับใช้ไปเป็นเดือนพฤษภาคม 2022 แทน แต่การเร่งสร้างความความเข้าใจทั้งสำหรับหน่วยงานภาครัฐและเอกชนก็ถือเป็นภารกิจสำคัญของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

คุณภุชพงค์ โนดไธสง รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ระบุในงานสัมมนาครั้งนี้ถึงสิ่งที่รองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมได้ผลักดันการบังคับใช้พรบ.คุ้มครองข้อมูลส่วนบุคคลในหน่วยงานภาครัฐมาโดยตลอด ทั้งการให้ความรู้และจัดกิจกรรมต่างๆ ในขณะที่การผลักดันตัวกฎหมายในภาพรวมเพื่อให้การบังคับใช้เป็นไปได้อย่างมีประสิทธิภาพและเหมาะสมนั้นก็ดำเนินไปพร้อมกันด้วย ได้แก่

  1. การจัดทำกฎหมายลำดับรอง รับฟังความคิดเห็นจากภาคธุรกิจและประชาชน ทั้งในส่วนของกฎหมายที่เร่งด่วน จำเป็น และสำคัญ
  2. การจัดทำแแผนแม่บทในการส่งเสริมพรบ.คุ้มครองข้อมูลส่วนบุคคล
  3. การจัดทำแนวปฏิบัติสำหรับภาครัฐและเอกชนในอุตสาหกรรมต่างๆ เพื่อให้นำไปประยุกต์ใช้งานได้อย่างง่ายดาย

ดังนั้นจึงแนะนำให้ภาคธุรกิจองค์กรเองนั้นติดตามข้อมูลจากหน่วยงานภาครัฐในประเด็นด้านพรบ.คุ้มครองข้อมูลส่วนบุคคลอย่างต่อเนื่อง เพื่อให้ง่ายต่อการนำไปใช้งานได้อย่างถูกต้องเหมาะสม รวมถึงหน่วยงานภาครัฐเองก็พร้อมให้ความร่วมมือในส่วนนี้เพื่อให้ภาคธุรกิจได้ปฏิบัติตามข้อกฎหมายได้อย่างถูกต้องในอนาคต

ทั้งนี้พรบ.คุ้มครองข้อมูลส่วนบุคคลเองก็ได้ถูกเลื่อนไปบังคับใช้ในเดือนพฤษภาคม 2021 แทน เนื่องจากภัยโรคระบาด COVID-19 ที่ทำให้ภาคธุรกิจนั้นยังไม่มีความพร้อมในการปรับตัวเพื่อรับกับการบังคับใช้ข้อกฎหมายดีนัก ดังนั้นในเวลาอีกหนึ่งปีนับถัดจากนี้ จึงถือเป็นโค้งสุดท้ายแล้วสำหรับภาคธุรกิจองค์กร

การปรับตัวรับ PDPA ต้องอาศัยทั้งบุคลากร, กระบวนการ และเทคโนโลยี

คุณคมศักดิ์ ฉิมนุตพาน Enterprise Cyber Security Manager แห่ง AIS Business ได้มาเล่าถึงแนวคิดในภาพรวมของการบังคับใช้พรบ.คุ้มครองส่วนบุคคลให้ประสบความสำเร็จในภาคธุรกิจว่าจะต้องอาศัยทั้งบุคลากรที่มีความรู้ความเข้าใจในข้อกฎหมาย, กระบวนการทำงานที่ถูกปรับปรุงให้เหมาะสมต่อการจัดเก็บและจัดการข้อมูลส่วนบุคคล ไปจนถึงเทคโนโลยีที่ตอบโจทย์ และมีความมั่นคงปลอดภัยเพียงพอในการจัดเก็บและจัดการกับข้อมูลส่วนบุคคลที่ต้องใช้งาน

AIS Cyber Secure ได้นำเสนอ 8 ขั้นตอนในการนำ PDPA มาใช้งานดังนี้

  1. ตั้ง DPO ขึ้นมาทำการกำกับดูแลรับผิดชอบภายในองค์กร
  2. สร้างความตระหนักรู้แก่ผู้บริหารและพนักงานในองค์กร
  3. จัดการวิเคราะห์ข้อมูลและกระบวนการที่มีอยู่ว่าเข้าข่ายความเป็นข้อมูลส่วนบุคคลอย่างไรบ้าง
  4. บังคับใช้นโยบายในการจัดการข้อมูลส่วนบุคคล พร้อมประกาศให้ทั้งบุคคลภายในและลูกค้าหรือคู่ค้าภายนอกทราบ
  5. เตรียมเอกสารที่จำเป็นในเชิงกฎหมาย ทั้งการขอความยินยอมในการใช้ข้อมูล, สัญญาต่างๆ และการเปิดให้เจ้าของข้อมูลเรียกร้องสิทธิ์ได้
  6. ประเมินผลความเสี่ยงที่จะเกิดขึ้นจากการใช้งานข้อมูลส่วนบุคคล เพื่อให้จัดลำดับความสำคัญในการปรับปรุงกระบวนการได้
  7. วางกระบวนการที่ต้องทำเมื่อเกิดเหตุข้อมูลรั่วไหล
  8. ประยุกต์ใช้เทคโนโลยีเพื่อทำการควบคุม ช่วยไม่ให้ข้อมูลรั่วไหล

อย่างไรก็ดีมีข้อสังเกตที่น่าสนใจว่าตามข้อกฎหมายนี้ ไม่ได้บังคับว่าธุรกิจจะต้องใช้เทคโนโลยีในการจัดเก็บข้อมูลเท่านั้น ซึ่งการจัดเก็บข้อมูลเป็นเอกสารแบบกระดาษหรือ Manual ก็ใช้ได้เช่นกัน ดังนั้นสำหรับธุรกิจขนาดเล็กเองนั้นก็สามารถเริ่มต้นจากแนวทางนี้ก่อนเพื่อทำความเข้าใจเบื้องต้นเกี่ยวกับกฎหมาย แล้วจึงค่อยปรับไปใช้เทคโนโลยีในภายหลังได้

ภายใน AIS เองก็มีการประยุกต์นำ 8 ข้อนี้มาใช้ในแต่ละภาคส่วนของธุรกิจตนเองเช่นกัน โดยคุณมนฑกานติ์ อาขุบุตร Head of Data Protection Office Unit แห่ง AIS Business ก็ได้มาเล่าถึงสิ่งที่ AIS ได้ทำเพื่อให้ธุรกิจพร้อมรับต่อพรบ.คุ้มครองข้อมูลส่วนบุคคลได้หลายประการ รวมถึงการนำเทคโนโลยีอย่างการกำหนดสิทธิ์, การทำ Data Anonymization, Data Masking, Encryption, Hashing และอื่นๆ มาใช้ รวมถึงมีการเก็บ Audit Log ในการเข้าถึงข้อมูลส่วนบุคคลเหล่านี้ด้วย รวมถึงยังมีการจัดอบรมทั้งสำหรับพนักงานและผู้บริหารให้มีความรู้ความเข้าใจในข้อกฎหมายเหล่านี้ จนการรักษาข้อมูลส่วนบุคคลเหล่านี้ได้กลายเป็นหนึ่งในวัฒนธรรมองค์กรของ AIS ไปแล้ว

ไม่เพียงแต่ใน AIS เท่านั้น แต่สำหรับคู่ค้าของ AIS เอง ทาง AIS ก็ให้ความสำคัญในส่วนนี้ด้วยเพื่อลดความเสี่ยงที่ข้อมูลจะรั่วไหลออกจากพันธมิตรและเหล่า Vendor ที่เกี่ยวข้อง

PDPA จะสร้างความเปลี่ยนแปลงครั้งใหญ่ในทุกองค์กร และสร้างโอกาสใหม่หลายประการ

ความเปลี่ยนแปลงที่จะเกิดขึ้นจากการบังคับใช้พรบ.คุ้มครองข้อมูลส่วนบุคคลนี้จะมีด้วยกันหลากหลายประการ ได้แก่

  • ธุรกิจต้องปรับโครงสร้างภายใน ต้องมีการตั้งคณะทำงานด้านนี้โดยเฉพาะ และปรับกระบวนการรวมถึงการจัดเก็บและใช้งานข้อมูลส่วนบุคคลให้เหมาะสม รวมถึงกระบวนการต่างๆ เช่นการแจ้งเตือนลูกค้าและคู่ค้า การประสานงานกับหน่วยงานภาครัฐ ไปจนถึงการซักซ้อมเพื่อให้พนักงานมีความพร้อม
  • การสร้างความตระหนักรู้ด้านความสำคัญของพรบ.คุ้มครองข้อมูลส่วนบุคคลจะยังคงต้องมีอย่างต่อเนื่องทั้งก่อนและหลังกฎหมายบังคับใช้ เพื่อให้ธุรกิจดำเนินต่อไปได้อย่างมั่นใจตามข้อบังคับของกฎหมาย
  • เกิดปัจจัยใหม่ในการสร้างแรงจูงใจให้ธุรกิจต่างชาติกล้าเข้ามาลงทุนในประเทศไทยมากขึ้น โดยเฉพาะในประเทศที่มีข้อกฎหมายด้านข้อมูลส่วนบุคคล
  • เกิดปัจจัยใหม่ในการพิจารณาคู่ค้าที่น่าเชื่อถือ จากความพร้อมในการสอดรับต่อพรบ.คุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะในธุรกิจ IT ที่ต้องมีการยุ่งเกี่ยวกับข้อมูลเป็นหลัก
  • หน่วยงานภาครัฐและธุรกิจโครงสร้างพื้นฐานสำคัญมีความโปร่งใสมากขึ้นในการจัดเก็บและใช้งานข้อมูลส่วนบุคคล ประชาชนมีสิทธิ์ในข้อมูลของตนเองมากขึ้น

ด้วยเหตุนี้ ทำให้ธุรกิจที่รองรับ PDPA ได้เร็วกว่าธุรกิจอื่นๆ นั้นจะได้เปรียบในระยะยาวมากกว่าธุรกิจที่เตรียมตัวได้ช้ากว่าอยู่มากทีเดียว อย่างไรก็ดี เนื่องจากตัวกฎหมายเองที่ยังไม่นิ่ง และมีการพัฒนาปรับปรุงอยู่เสมอ ธุรกิจเองจึงต้องมีการอัปเดตแนวปฏิบัติด้านพรบ.คุ้มครองข้อมูลส่วนบุคคลอย่างต่อเนื่อง แต่ก้าวแรกในการเริ่มให้ความสำคัญต่อข้อกฎหมายนี้ ก็ถือเป็นจุดเริ่มต้นที่ดีสำหรับธุรกิจองค์กร

สุดท้าย วิทยากรทั้งสามท่านได้ร่วมกันสรุปถึงโอกาสที่ธุรกิจไทยจะสามารถคว้าได้จากการบังคับใช้พรบ.คุ้มครองข้อมูลส่วนบุคคล ดังนี้

  • สร้างความเชื่อมั่นให้กับต่างชาติที่ต้องการลงทุนหรือทำงานร่วมกับธุรกิจไทย ที่ให้ความสำคัญด้านข้อมูลส่วนบุคคล
  • เกิดมาตรฐานในการรับส่งข้อมูลระหว่างธุรกิจทั้งภายในและภายนอกประเทศ รวมถึงการสื่อสารกับลูกค้าประชาชนทั่วไป ให้ข้อมูลมีความมั่นคงปลอดภัยและเป็นส่วนตัว
  • เกิดขีดความสามารถในการแข่งขันมุมใหม่ด้านการปกป้องความเป็นส่วนตัวของลูกค้า ทำให้ภาคเอกชนต้องแข่งขันกันสร้างความเชื่อมั่นและความสบายใจ ทำให้ประชาชนมีทางเลือกมากยิ่งขึ้นในการใช้บริการจากผู้ให้บริการในมุมใหม่ๆ

สำหรับธุรกิจองค์กรใดที่กำลังมองหาที่ปรึกษาด้านการบังคับใช้ PDPA ภายในองค์กร AIS Business พร้อมให้คำปรึกษาทั้งในแง่ของกฎหมาย, กระบวนการ, การฝึกอบรม และเทคโนโลยี โดยผู้ที่สนใจสามารถติดต่อได้ที่ เจ้าหน้าที่ AIS Business ที่ดูแลองค์กรของท่าน หรือคลิก https://business.ais.co.th/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] AIS x OMRON ร่วมพลิกโฉม Industry 4.0 เดินหน้าสู่ภาคการผลิตอัจฉริยะ Smart Manufacturing เต็มรูปแบบ

จากบริบทของสถานการณ์ปัจจุบันที่สร้างผลกระทบโดยตรงต่อวงจรของธุรกิจทำให้ต้องเผชิญกับข้อจำกัดและความท้าทายมากมาย ตั้งแต่ภาคการผลิตไปจนถึงการขายและการให้บริการ แต่ในมุมของ AIS ก็ยังคงเดินหน้าตามแผนงานการนำศักยภาพ 5G ขยายสู่ภาคอุตสาหกรรม เดินหน้าฟื้นฟูประเทศในทุกมิติ ล่าสุด AIS Business 5G ได้ลงนาม (MOU) ร่วมกับ …

FBI เผยช่องโหว่ยอดฮิตในรอบ 2 ปีหลังสุด

หน่วยงานด้านความมั่นคงปลอดภัยจากทั้งสหรัฐฯ สหราชอาณาจักร และออสเตรเลียได้ร่วมกันรวบรวมข้อมูลเพื่อจัดทำ Advisory ของช่องโหว่ยอดนิยมที่มักถูกใช้ใน 2 ปีหลังสุด พร้อมคำแนะนำ และวิธีการแก้ไข