ดีลอยท์ ประเทศไทย เผยภาคธุรกิจไทยพร้อมรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) กลุ่มธุรกิจบริการทางการเงิน และชีววิทยาศาสตร์และการดูแลสุขภาพมีความพร้อมมากที่สุด เนื่องจากเป็นธุรกิจที่เกี่ยวข้องกับข้อมูลส่วนบุคคลโดยตรง
ผลสำรวจภาคธุรกิจไทยกับการเตรียมพร้อมรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) หรือ Deloitte Thailand PDPA Readiness Survey พบว่า 72% ของภาคธุรกิจไทยที่ร่วมตอบแบบสอบถามได้เริ่มดำเนินการหรือดำเนินการเตรียมความพร้อมรับ พรบ.คุ้มครองข้อมูลส่วนบุคคลแล้ว
ขณะเดียวกัน ปัจจัยที่ผลักดันให้ภาคธุรกิจไทยตื่นตัวเตรียมพร้อมส่วนใหญ่ไม่ได้เป็นผลมาจากการที่เอกชนเข้าใจและเห็นความสำคัญของการเป็นส่วนตัว (privacy) ของบุคคล แต่เป็นเพราะกลัวว่าองค์กรจะถูกปรับหรือถูกฟ้องร้อง จนเกิดความเสียหายต่อชื่อเสียง และกระทบต่อความเชื่อมั่นของลูกค้า ขณะที่มีเพียง 29% ของผู้ตอบแบบสอบถาม ระบุว่าอาจจะไม่สามารถดำเนินการเต็มรูปแบบได้ทันตามกำหนดบังคับใช้กฎหมายในเดือนมิถุนายน 2565
ทั้งนี้ ศมกฤต กฤษณามระ พาร์ทเนอร์ที่ปรึกษาด้านความเสี่ยงทางการเงินดีลอยท์ฯ กล่าวถึงภาพรวมและที่มาที่ไปของพระราชบัญญัติความคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ประเทศไทย ว่า มีหน้าที่เพื่อคุ้มครองข้อมูลส่วนบุคคล ครอบคลุมตั้งแต่ชื่อ ที่อยู่ เบอร์โทรศัทพ์ หรือช่องทางติดต่ออื่น ๆ เป็นข้อมูลที่สามารถติดตามกลับมาหาต้นตอซึ่งเป็นเจ้าของข้อมูลได้ หลังจากที่องค์กรทั้งหลายมีการเก็บข้อมูลและการใช้ข้อมูลส่วนบุคคลที่เพิ่มมากขึ้น การจัดการและความเป็นส่วนตัวของข้อมูลจึงเป็นสิ่งที่ธุรกิจทุกภาคส่วนมีความกังวลมากขึ้นไปด้วย
“ในโลกยุคดิจิทัล ตัวข้อมูล (Data) ถือเป็นสินทรัพย์ประเภทหนึ่งของบริษัท แต่ข้อมูลส่วนบุคคลของพนักงาน หรือของลูกค้า ไม่ได้ถือเป็นสินทรัพย์ขององค์กรแต่เป็นของคน ๆ นั้น พรบ.คุ้มครองข้อมูลส่วนบุคคลจึงมีขึ้นเพื่อตอบโจทย์ความจำเป็นส่วนนี้ “
นอกจากนี้ การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย พ.ศ.2562 จะมีผลบังคับใช้อย่างเป็นทางการในเดือนมิถุนายน พ.ศ.2565 หลังจากเลื่อนออกจากกำหนดการเดิม 2 ปี เพื่อให้การจัดการข้อมูลส่วนบุคคลมีความโปร่งใสและสามารถตรวจสอบได้มากยิ่งขึ้น แม้ว่าการบังคับใช้กฎหมายที่ล่าช้าจะทำให้ธุรกิจมีเวลาเตรียมตัวพร้อมปฏิบัติตามกฎระเบียบใหม่มากขึ้น แต่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลจะเปลี่ยนแนวคิดในเรื่องความเป็นส่วนตัวสำหรับภาคธุรกิจอย่างมาก
ในส่วนของการสำรจครั้งนี้ ดีลอยท์ ประเทศไทยเปิดเผยว่า ได้จัดทำการสำรวจขึ้นในเดือนตุลาคม ปี 2564 จากกลุ่มตัวอย่างองค์กรและอุตสาหกรรมต่าง ๆ ในประเทศไทย โดยมีเป้าหมายคือเพื่อทำความเข้าใจว่าองค์กรมีแนวทางการเตรียมความพร้อมเพื่อปฏิบัติตามพระราชบัญญัติดังกล่าวอย่างไร องค์กรมีแผนการดำเนินงานครอบคลุมถึงขั้นตอนใดบ้าง และความท้าทายที่อาจเผชิญระหว่างการดำเนินการคืออะไร ผู้ตอบแบบสำรวจส่วนใหญ่มาจากกลุ่มอุตสาหกรรมอุปโภคบริโภค (40%) รองลงมาคือ กลุ่มอุตสาหกรรมบริการทางการเงิน (27%) โดยสรุปแล้ว ผู้ตอบแบบสอบถามมากกว่าครึ่งหนึ่งประกอบด้วยบริษัทขนาดใหญ่ที่มีจำนวนพนักงานในองค์กร 500 คนขึ้นไป
ผลการสำรวจชี้ให้เห็นว่า ความรวดเร็วในการดำเนินงาน และแผนการดำเนินงานให้เป็นไปตามพระราชบัญญัติดังกล่าว แตกต่างกันในแต่ละอุตสากรรมโดยปัจจุบันกลุ่มอุตสาหกรรมบริการทางการเงินมีการดำเนินที่คืบหน้ามากกว่าภาคธุรกิจอื่น ๆ และมีการดำเนินงานเป็นไปตามพระราชบัญญัติอย่างเต็มรูปแบบ และมีความพร้อมตามกำหนดบังคับใช้ในเดือนมิถุนายน 2565
โดย 81% กล่าวว่า บริษัทได้ปฏิบัติตามอย่างเต็มรูปแบบ หรือคาดว่าจะปฏิบัติตามพระราชบัญญัติดังกล่าวอย่างเต็มรูปแบบภายในเดือนมีนาคม 2565 เนื่องจากอุตสาหกรรมดังกล่าวมีกฎข้อบังคับอย่างเข้มงวด รวมถึงการที่ธนาคารแห่งประเทศไทยให้การสนับสนุนในเรื่องการป้องกันข้อมูลส่วนบุคคลของลูกค้าธนาคาร
ด้าน ปัจจัยหลักที่ขับเคลื่อนให้เกิดการปฏิบัติตามพระราชบัญญัติดังกล่าว คือความเกรงกลัวต่อการถูกฟ้องร้องดำเนินคดีหากมีการละเมิดข้อมูลส่วนบุคคล รองลงมาคือการเสียชื่อเสียงและสูญเสียความเชื่อมั่นของผู้บริโภค ตัวขับเคลื่อนส่วนใหญ่เป็นเกิดจากกฎเกณฑ์ข้อบังคับมากกว่าผลประโยชน์ที่เกี่ยวข้อง ซึ่งการไม่ปฏิบัติตามกฎหมายในประเด็นดังกล่าวอาจส่งผลให้องค์กรต้องเผชิญกับค่าใช้จ่ายที่สูงตามมา
ดร.นเรนทร์ ชุติจิรวงศ์ ผู้อำนวยการบริหาร ดีลอยท์ ประเทศไทย กล่าวว่า แม้จะเป็นเรื่องน่าเสียดายที่แรงขับให้ทำตามกฎหมายจะมาจากความกลัว แต่อย่างน้อยก็นับเป็นจุดเริ่มต้นที่ดีที่ทำให้เอกชนไทยตื่นตัวกับประเด็นเรื่องของข้อมูลส่วนบุคคลมากขึ้น
ทั้งนี้ 45% ของผู้ตอบแบบสำรวจคาดหวังประโยชน์ที่มีนัยสำคัญจากการปฏิบัติตามพระราชบัญญัติดังกล่าว อย่างไรก็ตาม เมื่อเปรียบเทียบในแต่ละอุตสาหกรรมพบว่าประมาณ 80% ของธุรกิจในกลุ่มอุตสาหกรรมบริการทางการเงินและชีววิทยาศาสตร์และการดูแลสุขภาพคาดหวังผลประโยชน์ในขอบเขตจำกัด หรือไม่คาดหวังผลประโยชน์อื่นนอกเหนือจากการปฏิบัติตามข้อบังคับ เนื่องมาจากกลุ่มอุตสาหกรรมทั้งสองต้องเกี่ยวข้องกับข้อมูลที่มีความอ่อนไหวซึ่งมีข้อกำหนดที่เข้มงวดกำกับอยู่แล้ว
การผนวกรวมนโยบายและกระบวนการใหม่ในการดำเนินธุรกิจ ตามด้วยการตีความข้อกำหนดของพระราชบัญญัติดังกล่าว ได้รับเลือกให้เป็นความท้าทายอันดับต้น ๆ ของทุกกลุ่มอุตสาหกรรม ในระหว่างการดำเนินการเพื่อปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA)
ศมกฤต กล่าวว่า ความเข้าใจที่ชัดเจนในกฎข้อบังคับใหม่จะช่วยให้บริษัทต่าง ๆ เตรียมความพร้อมอย่างรับผิดชอบและครอบคลุมในเรื่องความเป็นส่วนตัวซึ่งเป็นหัวใจสำคัญของพระราชบัญญัตินี้ โดยเจ้าของธุรกิจจำเป็นต้องดำเนินการปกป้องข้อมูลและความเป็นส่วนตัวในลักษณะองค์รวม เพื่อให้มั่นใจว่าสามารถดำเนินกิจการได้อย่างรัดกุม เพื่อประโยชน์สูงสุดในการให้บริการลูกค้าและขับเคลื่อนการเติบโตธุรกิจในอนาคต
นอกจากนี้ แอนโทนี่ วิเศษโลห์ พาร์ทเนอร์ที่ปรึกษาด้านภาษีและกฎหมาย กล่าวเสริมว่า ก่อนการบังคับใช้พรบ.คุ้มครองข้อมูลส่วนบุคคลองค์กรควรให้ความสำคัญกับความพร้อมในด้านกฎหมายเป็นอันดับแรก ๆ เพื่อให้ธุรกิจสามารถดำเนินงานด้วยความมั่นใจและสามารถสร้างความเชื่อมั่นให้กับบุคลากรในองค์กรและบุคคลภายนอก เช่น ลูกค้า
โดยในมุมมองของดีลอยท์ แนะนำให้พิจารณาในด้านกฎหมายที่เกี่ยวเนื่องไปกับการทำธุรกิจ ไม่ใช่เพียงสิ่งที่กฎหมายกำหนดแต่ยังครอบคลุมถึงผลลัพธ์และวิธีการที่กฎหมายจะช่วยให้ธุรกิจสามารถสร้างโอกาสในการเติบโตอีกด้วย
ยิ่งไปกว่านั้น อีกประเด็นที่น่าสนใจ คือ ความท้าทายในการประยุกต์ใช้พรบ.คุ้มครองข้อมูลส่วนบุคคลของภาคธุรกิจ จากการสำรวจพบว่า 3 อันดับแรกของความท้าทาย คือ 1) การที่ต้องมีนโยบายใหม่ ๆ กระบวนการใหม่ ๆ ที่จะต้องประยุกต์ใช้กฎหมายใหม่ นี้ ที่จำเป็นต้องมีการเปลี่ยนแปลงซึ่งจะมากหรือน้อยขึ้นอยู่กับว่าองค์กรนั้น ๆ มีข้อมูลส่วนบุคคลมากน้อยแค่ไหน 2) คือการตีความว่าพรบ.คุ้มครองข้อมูลส่วนบุคคลมีความต้องการอะไร จะมีรายละเอียด หรือกฎหมายลูกในรูปแบบไหน และสุดท้าย 3) ความรู้หรือความตระหนักรู้ของพนักงานในองค์กรว่าเป็นอย่างไร โดยทั้งหมดเป็นสิ่งที่ผู้บริหารรู้สึกว่าเป็นข้อน่าวิตกกังวลหรือเป็นความท้าทาย
ทั้งนี้ ศมกฤต กล่าวว่า ในบางอุตสาหกรรม เช่น ภาคการเงินการธนาคารจะมีสมาคมกำกับดูแลอีกทอดหนึ่ง ซึ่งสมาคมเหล่านี้มีบทบาทสำคัญมากในการช่วยในภาคธุรกิจในอุตสาหกรรมเข้าใจพรบ.คุ้มครองข้อมูลส่วนบุคคลด้วยการออกคู่มือแนะแนว แนะนำ ทำให้ธุรกิจนั้น ๆ มีแนวทางปฏิบัติของตน ดังนั้น จึงแนะนำให้ลองหาข้อมูลจากทางสมาคมที่เกี่ยวข้อง
ด้านแอนโทนี เสริมความเห็นของศมกฤตว่า แม้ตัวกฎหมายจะออกมาได้ 2 ปีแล้ว แต่ก็ยังถือว่าเป็นกฎหมายใหม่ที่การบังคับใช้ตัวบทกฎหมายยังขาดความชัดเจน กระนั้น ถ้าเริ่มมีการนำออกมาใช้เรื่อย ๆ ความรู้ความเข้าใจที่มากขึ้นก็จะค่อย ๆ ลดปัจจัยความท้าทายในส่วนดังกล่าวลงไปได้
“ส่วนนี้คือความท้าทายมาก ๆ เพราะส่วนใหญ่มักนึกว่า พรบ.คุ้มครองข้อมูลส่วนบุคคลเป็นแค่กฎหมาย เป็นแค่กระดาษ แต่มันยังมีมิติอีกเยอะ ซึ่งสิ่งนี้เป็นสิ่งที่นักธุรกิจทั้งหลายมีความกังวล”
นอกจากนี้ ในมุมมองของดีลอยท์ ปัจจัยที่จะช่วยให้การบังคับใช้พรบ.คุ้มครองข้อมูลส่วนบุคคลมีความสมบูรณ์มากยิ่งขึ้น หรือนำมาประยุกต์ใช้ได้ราบรื่นง่ายดายขึ้น ศมกฤต แนะว่า ประการแรก ต้องมีการแต่งตั้งทีมสนับสนุนการใช้นโยบายใหม่ เพื่อสนับสนุนการนำนโยบายใหม่มาใช้ ตามกฎหมายใหม่ ที่ออกมาใช้ควบคู่กัน ประการต่อมา ต้องมีการปรับเปลี่ยนตัวกระบวนการการทำงานใหม่ให้การทำงานสามารถดำเนินไปโดยสอดคล้องกับนโยบายใหม่ และสุดท้ายก็คือการทำความเข้าใจกับพนักงานที่เป็นผู้ลงมือปฏิบัติงาน โดยไม่จำเป็นต้องรู้ลึกในรายละเอียด แต่ให้รู้และเข้าใจว่ากฎหมายใหม่ต้องการอะไร นโยบายใหม่กำลังทำอะไร และมีผลกระทบกับงานในองค์กรอย่างไร ทั้งในระดับผู้บริหารและระดับพนักงาน
ขณะที่ปัจจัยสุดท้ายที่ขาดไม่ได้ คือ เทคโนโลยี ซึ่งจะมาเป็นส่วนเสริมให้การทำงานตามพรบ.คุ้มครองข้อมูลส่วนบุคคลเป็นไปได้อย่างราบรื่นมากขึ้น และมีส่วนช่วยให้เกิดการตระหนักรู้และเกิดความเข้าใจ รวมถึงปกป้องข้อมูลให้ปลอดภัย
“เรากำลังพูดถึงในเรื่องของ “ดาต้า” ซึ่งเป็นอะไรที่เยอะมาก เราจึงจำเป็นต้องมีเทคโนโลยี เข้ามาช่วยจัดการและปกป้องความปลอดภัยของข้อมูล ทำให้กระบวนการประมวลผลข้อมูล การจัดการ การจัดเก็บ หรือการรักษาความปลอดภัยดีขึ้น โดยการจัดการกับพรบ.คุ้มครองข้อมูลส่วนบุคคล และกฎระเบียบข้อบังคับด้านการคุ้มครองข้อมูลในวงกว้างจำเป็นต้องมีกระบวนการการเปลี่ยนแปลงแบบองค์รวม โดยผนวกรวมเทคโนโลยี กฎหมาย การปฏิบัติตามกฎระเบียบ และรูปแบบการทำงานขององค์กรเข้าด้วยกัน เพื่อสร้างความเชื่อมั่นว่าองค์กรได้มีการปฏิบัติตามและปกป้องข้อมูลอย่างครบถ้วนในทุกแง่มุมและกระบวนการ” ศมกฤต กล่าว
ด้านดร.นเรนทร์ เสริมว่า ขณะที่องค์กรก็ต้องมีการปรับเปลี่ยนกระบวนการทำงานเพื่อให้การทำงานสามารถนำนโยบายใหม่มาใช้ ปัจจัยสำคัญที่ลืมไม่ได้ก็คือ ความตระหนักและความเข้าใจของพนักงาน โดยเฉพาะพนักงานที่ทำหน้าที่รับข้อมูลส่วนบุคคลของลูกค้าเข้ามาในระบบฐานข้อมูลขององค์กร
“คนเหล่านี้สำคัญมากนะครับ เพราะต่อให้เราวางระบบนโยบายข้างบนมาดีมาก คลอบคลุมรอบด้านแน่นอน แต่ถ้าคนปฎิบัติการไม่เข้าใจ ไม่ตระหนักก็จะกระทบมาถึงผู้บริหารระดับบนได้ องค์กรทั้งหลายจึงต้องใช้ความระแวดระวังในส่วนนี้ด้วย” ดร.นเรนทร์ ย้ำ
สำหรับการบังคับใช้ตัวบทกฎหมายว่าปีนี้จะมีการเลื่อนออกไปอีกหรือไม่ ตัวแทนจากดีลอยท์ทั้ง 3 ท่านยอมรับว่า ไม่อาจจะคาดเดาได้ แต่อย่างน้อยถ้าไม่มีอะไรเปลี่ยนแปลง ก็น่าจะมีการบังคับใช้พรบ.คุ้มครองข้อมูลส่วนบุคคลตามกำหนดเดิม แต่อาจจะมีการเลื่อนการบังคับบางตัวบทของกฎหมาย โดยเฉพาะในส่วนของบทลงโทษ ที่ระบุให้มีบทลงโทษหนักทางอาญาด้วย
ขณะเดียวกัน แม้ผลการสำรวจของดีลอยท์จะพบว่า ภาคธุรกิจส่วนใหญ่จะตระหนักและมีความพร้อมที่จะปรับตัวกับพรบ.คุ้มครองข้อมูลส่วนบุคคล แต่ก็ยังมีบริษัทส่วนหนึ่งที่ยังไม่มีการเตรียมพร้อมใด ๆ โดย ศมกฤต แนะนำว่า หากจะเริ่มต้น ก้าวแรก คือ การทำความเข้าใจในตัวบทกฎหมาย ซึ่งตอนนี้มีเอกสาร มีแหล่งข้อมูลที่ค่อนข้างเยอะให้ทำการศึกษาเข้าใจในตัวพรบ.คุ้มครองข้อมูลส่วนบุคคลมากขึ้น
อย่างที่สอง คือ กลับมามองที่ตัวบริษัทของตนเอง เพราะด้วยความที่เป็นข้อมูลส่วนบุคคล ให้ดูว่าบริษัทมีการเก็บข้อมูลส่วนบุคคลในรูปแบบไหน มีการนำเข้ามาในองค์กรได้อย่างไร เช่น ข้อมูลส่วนบุคคลของพนักงานที่กรอกใบสมัครเข้ามา แต่ละแผนกมีการจัดเก็บข้อมูลส่วนบุคคลในระบบอย่างไร และนอกจากได้เข้ามาจัดเก็บไว้แล้ว ยังมีการใช้งานอย่างไร และท้ายที่สุดมีการส่งข้อมูลเหล่านี้ออกไปนอกองค์กรที่ไหน อย่างไรบ้าง
“บางที่อาจเป็นเรื่องปกติที่จะมีการส่งขอมูลตรงนี้ออกไปให้ทางการ หรือมีการส่งข้อมูลไปให้พาร์ทเนอร์ทางธุรกิจของเรา หรือว่า ฝ่ายที่เกี่ยวข้องอื่น ๆ ให้เรารู้ก่อนว่าเรามีข้อมูลส่วนบุคคลอยู่ตรงไหนและมีการใช้งานอย่างไรก่อน ส่วนขั้นต่อไป มองว่าตัวช่องว่างระหว่างตัวกฎหมายกับการใช้งานข้อมูลส่วนบุคคลขององค์กรอยู่ตรงไหน” ศมกฤต กล่าว
ขณะที่ แอนโทนี่แนะนำเพิ่มเติมว่า เมื่อตระหนักรู้ว่าข้อมูลมาอย่างไร เก็บตรงไหนและใช้อย่างไรแล้ว สขั้นถัดไป คือ การทำความเข้าใจว่าธุรกิจของตนอยู่ในอุตสาหกรรมไหน เป็นแบบไหน คือเป็น ธุรกิจต่อธุรกิจ (B2B) หรือ ธุรกิจต่อลูกค้า (B2C)
“ถ้าอยู่ในกรณีของ B2C อาจจะต้องเร่งมือดำเนินการเพื่อให้สอดคล้องกับพรบ.คุ้มครองข้อมูลส่วนบุคคล แต่ถ้าเป็น B2B ก็อาจจะมีพื้นที่เวลาให้เตรียมการเยอะหน่อย เพราะข้อมูลส่วนบุคคลมักเป็นข้อมูลของพนักงาน” แอนโทนี่ กล่าว
ด้าน ดร.นเรนทร์เตือนปิดท้ายว่า ในช่วงเปลี่ยนผ่านนี้ ให้เก็บข้อมูลตามความจำเป็นสำหรับการใช้งานจริงๆ อย่าหว่านแหเก็บหมดทุกประเด็นโดยเด็ดขาด ประเภทเก็บไว้เผื่อใช้งาน ส่วนจะใช้งานจริงหรือไม่ ก็ค่อยว่ากัน เพราะการมีข้อมูลตรงนี้ที่ไม่ใช้จะกลายเป็นภาระและส่งผลเสียต่อองค์กร ตามพรบ.คุ้มครองข้อมูลส่วนบุคคลแน่นอน
บทความอื่น ๆ ที่น่าสนใจ
NUSA ปรับโครงสร้างครั้งใหญ่ ลดสัดส่วนอสังหาฯ มุ่งลงทุนด้านสุขภาพและพืชสีเขียว
Kubix ประเดิมจับมือ GDH และบรอดคาซท์ฯ เตรียมเปิดตัว DESTINY Token
