เมื่อพรบ.คุ้มครองข้อมูลส่วนบุคคลถูกบังคับใช้แล้ว จะกระทบกับธุรกิจขนาดเล็กจนถึงองค์กรขนาดใหญ่อย่างไรบ้าง?

พรบ.คุ้มครองข้อมูลส่วนบุคคลหรือที่เรามักได้ยินชื่อย่อกันว่า PDPA นั้น กำลังจะถูกบังคับใช้ในเดือนมิถุนายน 2564 ที่กำลังจะมาถึงนี้แล้ว แต่หลายธุรกิจเองอาจยังไม่เห็นภาพชัดเจนมากนักว่าข้อกฎหมายเหล่านี้จะกระทบกับธุรกิจของตนเองอย่างไรบ้าง ในบทความนี้ เราจะขอแบ่งปันตัวอย่างของผลกระทบที่อาจเกิดขึ้นได้ เพื่อให้แต่ละธุรกิจได้นำไปพิจารณาและฉุกคิดเพิ่มเติม ดังนี้

1. ธุรกิจที่พร้อมรับต่อ PDPA แล้ว จะได้รับความเชื่อมั่นจากคู่ค้าและลูกค้ามากขึ้น ถือเป็นหนึ่งในขีดความสามารถแข่งขันสำคัญที่ต้องพิจารณาสำหรับปี 2564 เป็นต้นไป

แนวโน้มหนึ่งที่เริ่มเห็นได้ชัดเจนตั้งแต่ปีที่แล้วมาจนถึงปีนี้ ก็คือการที่ธุรกิจในกลุ่ม Business-to-Business (B2B) จะตัดสินใจเลือกใช้บริการหรือจับมือเป็นพันธมิตรกับใครนั้น การพิจารณาในประเด็นความพร้อมต่อการทำ PDPA ของเจ้าของผลิตภัณฑ์หรือผู้ให้บริการด้านต่างๆ นั้นได้ถูกหยิบยกขึ้นมามีความสำคัญเป็นอันดับต้นๆ ในการคัดสรรเลือกใช้งานกันแล้วในเหล่าธุรกิจองค์กรไทย

ด้วยเหตุนี้ ธุรกิจต่างๆ ที่มีผลิตภัณฑ์หรือบริการสำหรับนำเสนอต่อภาคธุรกิจด้วยกันเองนั้น จึงมีความจำเป็นอย่างยิ่งที่จะต้องเร่งปรับตัวให้มีกระบวนการจัดเก็บและจัดการกับข้อมูลที่สอดคล้องต่อข้อกฎหมาย เพื่อให้ลูกค้าหรือคู่ค้าเกิดความเชื่อมั่น และดำเนินธุรกิจต่อไปได้อย่างมั่นคง

ไม่เพียงแต่ในแง่ของการแข่งขันทางธุรกิจเท่านั้น การที่ธุรกิจกลุ่มนี้เตรียมตัวให้พร้อมรับต่อข้อกฎหมายได้ตั้งแต่เนิ่นๆ นั้น จะสามารถช่วยลดความเสี่ยงลงไปได้ด้วยอีกทางหนึ่งหากเกิดเหตุข้อมูลรั่วไหลขึ้นมา ซึ่งความพร้อมเหล่านี้ก็จะช่วยบรรเทาความเสียหายที่จะเกิดขึ้นกับธุรกิจในกรณีดังกล่าวนี้ลงไปได้

2. HR คือหนึ่งในแผนกที่จะได้รับผลกระทบจาก PDPA โดยตรง และต้องปรับกระบวนการการจัดการข้อมูลส่วนบุคคลของผู้สมัครงานและพนักงานกันอย่างเข้มข้น

HR จะเป็นแผนกสำคัญที่ต้องปรับตัวครั้งใหญ่เพื่อรับมือกับ PDPA เป็นอันดับต้นๆ ขององค์กร ในฐานะของผู้ที่ต้องจัดเก็บ ดูแล และใช้งานข้อมูลของพนักงานภายในองค์กรและผู้สมัครงาน ไปจนถึงการสื่อสารเพื่อให้พนักงานทุกคนในองค์กรมั่นใจว่าข้อมูลส่วนบุคคลสำคัญของตนเองจะไม่รั่วไหลออกไปอย่างแน่นอน

อย่างไรก็ดี การบังคับใช้ PDPA นี้ถือว่าส่งผลต่อการทำงานของ HR มากทีเดียว เพราะเดิมทีในการทำงานของ HR นั้นอาจต้องการเปิดเผยข้อมูลส่วนบุคคลของพนักงานโดยไม่ได้รับความยินยอมอยู่บ้าง เช่น ในกรณีที่มีบริษัทอื่นๆ โทรมาสอบถามข้อมูลและ Feedback ของพนักงานบางคนที่ไปสมัครงานอื่นๆ นั้น ฝ่าย HR ก็จะไม่สามารถให้ข้อมูลส่วนนี้แก่บริษัทอื่นๆ ได้อีกต่อไปหากพนักงานไม่ยินยอม หรือการใช้บริการของ Head Hunter หรือ Job Board ต่างๆ ก็อาจต้องมีกระบวนการเพิ่มเติมในการเข้าถึงข้อมูลเหล่านั้นและนำข้อมูลมาใช้ เป็นต้น

อีกประเด็นหนึ่งที่อาจเป็นหน้าที่ที่ HR ต้องมีส่วนพิจารณานโยบายร่วมกับ Data Protection Officer (DPO) นั้น ก็คือการติดตั้งกล้องวงจรปิดเพื่อใช้งานภายในธุรกิจ ที่อาจละเมิดความเป็นส่วนตัวของพนักงานได้ ซึ่ง HR ก็จะมีบทบาทสำคัญเป็นอย่างมากในการช่วยปกป้องความเป็นส่วนตัวของพนักงานในขณะที่ยังคงรักษาผลประโยชน์ให้กับธุรกิจในกรณีนี้

นอกจากนี้ การปกป้องข้อมูลส่วนบุคคลของพนักงานและผู้สมัครงานนั้น ก็จะกลายเป็นอีกปัจจัยหนึ่งที่ภายนอกมองถึงความเป็นมืออาชีพของธุรกิจนั้นๆ ด้วย ซึ่งก็ถือเป็นหน้าตาสำคัญขององค์กรสำหรับผู้สมัครงาน

3. การนำข้อมูลของลูกค้าหรือคู่ค้าไปใช้ในเชิงการตลาดและการขาย ต้องระมัดระวังให้มาก

เป็นที่ทราบกันดีอยู่แล้วว่าเมื่อ PDPA บังคับใช้ การนำข้อมูลของลูกค้าและคู่ค้ามาใช้งานนั้นจะต้องมีความระมัดระวังมากเป็นพิเศษ และต้องทำการจัดการ จัดเก็บ ใช้งานข้อมูลเหล่านั้นให้ตรงตามข้อบังคับของกฎหมายอย่างครบถ้วน เพื่อให้มั่นใจว่าหากเกิดเหตุการณ์ข้อมูลรั่วไหลขึ้นมาจริงๆ แล้ว บริษัทก็ได้ทำทุกสิ่งที่จะปกป้องข้อมูลสำคัญส่วนนี้อย่างเต็มที่แล้ว

อย่างไรก็ดี ไม่เพียงแต่การทำตามข้อกฎหมายเท่านั้น แต่ประเด็นด้านความเชื่อมั่นของลูกค้าและคู่ค้าเองก็สำคัญไม่แพ้กัน เพราะหากธุรกิจไม่ได้แสดงถึงความเป็นมืออาชีพในการช่วยปกป้องข้อมูลสำคัญเหล่านี้เลย แม้จะยังไม่เกิดเหตุการณ์ข้อมูลรั่วไหล แต่ลูกค้าและคู่ค้าก็อาจเสียความเชื่อมั่นได้

คำแนะนำสำหรับกรณีนี้ก็คือการนำทุกกระบวนการและขั้นตอนที่เกี่ยวข้องกับข้อมูลของลูกค้าและคู่ค้า มาพิจารณาในแง่มุมของกฎหมายทั้งหมด โดยแบ่งเป็นข้อมูลเก่าที่มีอยู่ว่าจะต้องมีการแจ้งนโยบายการใช้งานและการปกป้องข้อมูลลูกค้าและคู่ค้าอย่างไร จะเก็บหลักฐานอย่างไรว่ามีการแจ้งแล้ว ไปจนถึงสำหรับข้อมูลลูกค้าและคู่ค้าในอนาคต ว่าจะต้องมีการปรับปรุงกระบวนการเพิ่มเติม และจัดเก็บความยินยอมของลูกค้าและคู่ค้าเอาไว้อย่างไร

4. ธุรกิจขนาดใหญ่อาจมีความพร้อมในการปรับตัวมากกว่าธุรกิจขนาดเล็ก แต่ก็มีความเสี่ยงสูงกว่า ในขณะที่ธุรกิจขนาดเล็กอาจเลือกใช้วิธีการที่เหมาะสมและไม่สร้างภาระค่าใช้จ่ายมากจนเกินไปต่อธุรกิจ

สำหรับธุรกิจองค์กรขนาดใหญ่นั้นก็อาจมีทีมงานและทรัพยากรอื่นๆ ที่เพียบพร้อมต่อการปรับตัวรับต่อข้อกฎหมายได้อย่างเป็นระบบและชัดเจนกว่า แต่นั่นก็ไม่ได้หมายความว่าธุรกิจองค์กรขนาดใหญ่จะได้เปรียบเสมอไป เพราะด้วยการมีข้อมูลปริมาณมาก, มีกระบวนการที่หลากหลาย, มีพนักงานจำนวนมาก และมีมูลค่าทางธุรกิจสูง ก็ทำให้ธุรกิจองค์กรขนาดใหญ่นั้นมีโอกาสที่จะเกิดเหตุข้อมูลรั่วไหลโดยไม่คาดฝันมากกว่า และความเสียหายที่สูงกว่าทั้งในแง่ของมูลค่าและชื่อเสียง

ในทางกลับกัน สำหรับธุรกิจขนาดเล็ก แม้ว่าการปรับการทำงานให้สอดคล้องกับข้อกฎหมายอาจมีประเด็นให้ต้องขบคิดเยอะ แต่ด้วยความคล่องตัวที่สูงกว่า และการปรับกระบวนการเหล่านี้อาจไม่จำเป็นต้องใช้เทคโนโลยีเสมอไป ก็ทำให้การปรับตัวนั้นอาจง่ายดายกว่าที่คิด หัวใจสำคัญคือต้องเข้าใจข้อกำหนดทางกฎหมายให้แจ่มแจ้ง เพื่อให้สามารถปรับธุรกิจให้สอดคล้องต่อข้อบังคับเหล่านี้ได้อย่างเหมาะสม

5. ไม่ว่าจะระมัดระวังอย่างไร ข้อมูลก็มีโอกาสรั่วไหลได้อยู่เสมอ ดังนั้นทุกธุรกิจต้องมีแผนการที่ชัดเจนหากเกิดเหตุการณ์ข้อมูลรั่วไหลขึ้นมา

สุดท้ายแล้ว ประเด็นด้านการปกป้องข้อมูลนี้ก็คล้ายกับปัญหาด้านความมั่นคงปลอดภัย ที่ไม่ว่าธุรกิจจะระมัดระวังตัวมากแค่ไหน หรือออกนโยบายมาควบคุมมากเพียงใด แต่สุดท้ายแล้วก็ยังมีความเสี่ยงที่ข้อมูลอาจรั่วไหลได้อยู่ดี ดังนั้นการเตรียมขั้นตอนในการปฏิบัติให้พร้อมเมื่อเกิดเหตุข้อมูลรั่วไหลขึ้นมาเพื่อจำกัดวงความเสียหายให้น้อยที่สุด และแสดงความรับผิดชอบต่อเจ้าของข้อมูลที่รั่วไหลเหล่านั้นอย่างจริงใจ

ขอรับคำปรึกษาด้าน PDPA ครบวงจรจากผู้เชี่ยวชาญด้านกฎหมายและเทคโนโลยี โดยทีมงาน AIS Cyber Secure

เพื่อให้ธุรกิจไทยทุกขนาดสามารถก้าวหน้าเติบโตต่อไปได้อย่างมั่นใจ ทีมงาน AIS Cyber Secure ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยพร้อมให้คำปรึกษาแบบครบวงจร ด้วยทีมงานด้านกฎหมาย ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย พร้อมประสบการณ์การปรับธุรกิจให้สอดคล้องต่อข้อกฎหมาย PDPA โดยตรงจาก AIS

ผู้ที่สนใจรายละเอียดเพิ่มเติมหรือต้องการขอรับคำปรึกษา สามารถติดต่อตัวแทนจาก AIS Business ที่ดูแลท่านได้โดยตรง หรือติดต่อทีมงาน AIS Cyber Secure ได้ทันทีที่ dp-ecs@ais.co.th