ABeam แนะองค์กรปรับตัวสู่ “วิถีใหม่” เพื่อให้สอดคล้องกับ PDPA

0
334
ABeam

เอบีม คอนซัลติ้ง (ABeam Consulting) เผยแนวโน้มเติบโตในการใช้งานข้อมูลส่วนบุคคล แนะองค์กรปรับตัวสู่ “วิถีใหม่” เพื่อให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)…

ABeam แนะองค์กรปรับตัวสู่ “วิถีใหม่” เพื่อให้สอดคล้องกับ PDPA

การระบาดของโควิด-19 ได้สร้างผลกระทบอย่างใหญ่หลวง ไม่ว่าจะอุตสาหกรรมใด ๆ และได้สร้างการ เปลี่ยนแปลงครั้งใหญ่ ไม่ว่าจะเป็นการรักษาระยะห่างทางสังคม และการปิดพรมแดน ส่งผลให้การเดินทางเพื่อติดต่อธุรกิจถูกจำกัดลง สิ่งเหล่านี้คือ วิถีใหม่ ที่ทุกคนกำลังเผชิญ ด้านพฤติกรรมผู้บริโภคเกิดการเปลี่ยนแปลงอย่างมาก

เนื่องจากความจำเป็นในเรื่องของการรักษาระยะห่างทางสังคม ทำให้เทคโนโลยีได้กลายมาเป็นสิ่งสำคัญสำหรับทุกสิ่งและทุกอย่าง ปริมาณข้อมูลมหาศาลจากการใช้งานอินเทอร์เน็ตกำลังถูกสร้าง และจัดเก็บ ไม่ว่าจะเป็นข้อมูลจากการช้อปปิ้งออนไลน์ การใช้จ่ายเงินผ่านกระเป๋าเงินอิเล็กทรอนิกส์

และเวลาที่ใช้ในการท่องอินเทอร์เน็ต และโซเชียลมีเดียที่เพิ่มมากขึ้น ซึ่งทุกวันนี้ องค์กรต่าง ๆ ล้วนเก็บข้อมูลส่วนบุคคลจำนวนมากเพื่อใช้งาน และเพื่อส่งต่อให้บุคคลที่สามด้วยเหตุผลที่หลากหลาย คาดการณ์ว่าแนวโน้มนี้จะเติบโตขึ้นอย่างมาก เนื่องจากการจัดการ และการวิเคราะห์ข้อมูล

ได้กลายมาเป็นส่วนสำคัญที่มีเทคโนโลยีเข้ามาขับเคลื่อนสิ่งเหล่านี้ นำมาซึ่งคำถามที่ว่า องค์กรต่างจะรับมือกับข้อมูลส่วนบุคคลที่จัดเก็บมาใช้ และเปิดเผยข้อมูลส่วนบุคคลนี้อย่างไรให้ถูกต้องตาม ...คุ้มครองข้อมูลส่วนบุคคล (PDPA)

หรือ คำถามที่ว่า ลูกค้าได้ตระหนักรู้อย่างเต็มที่แล้วใช่ หรือไม่ ว่าองค์กรได้ขออนุญาตเก็บข้อมูลส่วนบุคคลเพื่อนำไปใช้สำหรับทำอะไร รวมทั้งคำถามที่ว่า สิทธิส่วนบุคคลของแต่ละคนอะไรบ้างที่ได้รับความคุ้มครองตามกฎหมาย 

การปกป้องข้อมูลส่วนบุคคลต้องทำ “เชิงรุก

ABeam
Ichiro Hara, Managing Director of ABeam Consulting (Thailand) 

อิชิโร ฮาระ กรรมการผู้จัดการ บริษัท เอบีม คอนซัลติ้ง (ประเทศไทย) จำกัด กล่าวว่า จากการที่เกิด วิถีใหม่ ทำให้มีปริมาณการใช้ข้อมูลส่วนบุคคลจำนวนมาก และจะมีเพิ่มขึ้นอย่างต่อเนื่อง ส่งผลให้เกิดความกังวลเกี่ยวกับความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล

จากผลกระทบหลักที่อาจจะมาจากการใช้ข้อมูลส่วนบุคคลในทางที่ผิดและการละเมิดข้อมูลส่วนบุคคล อ้างถึงรายงานของ GDPR พบว่า มากกว่า 38% ของกรณีที่ละเมิด GDPR เป็นกรณีที่ใช้ข้อมูลส่วนบุคคลในทางที่ผิด โดยในเดือนพฤษภาคม 2563 มีรายงานว่า ทั่วโลกมีการละเมิดข้อมูลอยู่ประมาณ 8.8 พันล้านข้อมูล

ซึ่งคิดเป็นมูลค่าความเสียหายประมาณ 3.92 ล้านเหรียญสหรั โดยไม่สามารถปฏิเสธความรับผิดชอบจากเหตุการณ์ที่มีการละเมิดข้อมูลส่วนบุคคลซึ่งสร้างผลกระทบอย่างมากทางธุรกิจ ไม่ว่าจะเป็นการสูญเสียเงิน การหยุดชะงักของธุรกิจ ภาระผูกพันตามกฎหมาย

ABeam

และการทำให้ชื่อเสียงของแบรนด์ เกิดความเสี่ยง องค์กรจะต้องกลับมาพิจารณาอย่างจริงจังเกี่ยวกับความรับผิดชอบในการปกป้องข้อมูลส่วนบุคคลของลูกค้า และขั้นตอนในการดำเนินการเพื่อจะบรรเทาความเสี่ยงและป้องกันการเกิดการละเมิดข้อมูลส่วนบุคคลอย่างเหมาะสม

ทั้งนี้ แม้ว่าการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะถูกเลื่อนออกไปถึงวันที่ 31 พฤษภาคม 2564 แต่หน่วยงานภาครัฐที่ดูแลเรื่องการบังคับใช้ พ.ร.บ.ฉบับนี้ได้มีการเดินหน้าจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นที่เรียบร้อย

โดยในช่วงรอยต่อของช่องว่างการบังคับใช้ พ.ร.บ.ฉบับนี้ เป็นช่วงเวลาที่ดีที่องค์กรต่าง ๆ จะเตรียมความพร้อมต่าง ๆ ที่จำเป็นตามที่กฎหมายระบุไว้ให้พร้อม เพื่อให้มั่นใจว่าองค์กรมีความพร้อมที่จะรับมือกับการบังคับใช้กฎหมายลูกฉบับต่าง ๆ ของ พ.ร.บ.ฉบับนี้ ที่คาดว่าจะทยอยออกมาบังคับใช้ในอนาคตอันใกล้นี้

มีไม่องค์กรไม่ถึงครึ่งที่ปฏิบัติตาม GDPR อย่างสมบูรณ์

 

จากรายงาน IAPPEY Annual Privacy Governance Report 2019 เปิดเผยว่า มีเพียง 45% ขององค์กรเท่านั้น ที่ปฏิบัติตาม GDPR อย่างสมบูรณ์เต็มที่ และมี 42% ที่อยู่เพียงขั้นปานกลางในการทำให้การจัดเก็บจัดการข้อมูลส่วนบุคคลของลูกค้าให้เป็นไปตามกรอบของกฎหมาย GDPR ประกาศใช้มา 4 ปี

และมีผลบังคับใช้เต็มที่เมื่อพฤษภาคม 2561 เท่ากับว่าองค์กรต่าง ๆ มีเวลามากกว่า 1 ปีในการเตรียมตัวให้พร้อมก่อนที่ GDPR จะมีผลบังคับใช้จริง แต่กระนั้นก็ตาม มีองค์กรประมาณ 54% ใช้เวลามากกว่าที่คาดการณ์ไว้ และมีหลายองค์กรที่ยอมรับว่ายังติดขัดกับการความท้าทายในการทำให้สอดคล้องกับกฎหมาย

โดยเฉพาะอย่างยิ่งระบบการบริหารจัดการความยินยอมของลูกค้า (Consent Management) และระบบการขอเข้าถึงข้อมูล (Data Subject Access Requests Management) ความยากอันดับต้น ๆ ขององค์กรที่จะทำการจัดการข้อมูลส่วนบุคคลของลูกค้าให้เป็นไปตามกฎหมาย

ABeam

คือ การบริหารจัดการการยินยอมของลูกค้า และมาตรฐานการดำเนินการที่มีประสิทธิภาพ และหลีกเลี่ยงความเสี่ยงจากการสูญเสียข้อมูล ซึ่ง Centralized Consent Management Platforms สามารถเข้ามาช่วยในส่วนนี้ได้ เพียงแต่ในความเป็นจริงแล้ว 44% ขององค์กร มีระบบจัดเก็บการยินยอมของลูกค้ามากกว่า 25 ระบบ

ดังนั้น มีความจำเป็นจะต้องรวบรวมระบบต่าง ๆ เข้าสู่แพลตฟอร์ม ซึ่งจะนำมาซึ่งการเปลี่ยนแปลงกระบวนการทำธุรกิจ และกลไกในการตรวจสอบข้อมูลตั้งแต่ต้นทางถึงปลายทาง เพื่อมั่นใจได้ว่าระบบจัดเก็บการยินยอมของลูกค้านั้นเป็นปัจจุบัน และต้องทำให้ลูกค้าสามารถทำการอนุญาตละถอนการอนุญาตได้ด้วยตัวเอง

อาทิ องค์กรจะต้องตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูลภายในเวลาที่กำหนด คือ ภายใน 72 ชั่วโมงหลังจากที่มีการตรวจสอบการร้องขอจากลูกค้า 

ความท้าทายเหล่านี้สัมพันธ์กับความซับซ้อนในการบริหารจัดการระบบที่เกี่ยวข้องทั้งหมดภายในระยะเวลาที่กำหนด จากสถิติ พบว่าประมาณ 36% ขององค์กร ใช้เวลามากกว่า 3 สัปดาห์ ในการตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูล (DSR) 

ขณะที่ 58% มีพนักงานเพียง 26 คนในการบริหารจัดการคำขอสิทธิ์ของเจ้าของข้อมูลที่มีเข้ามา ค่าเฉลี่ยอยู่ที่ 50 คนในการตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูล ซึ่งคิดเป็นเงินลงทุนประมาณ 70,000 เหรียญต่อเดือน หรือคิดเป็นต้นทุน ประมาณ 1,400 เหรียญต่อหนึ่งคำขอสิทธิ์ของเจ้าของข้อมูล

ABeam

เอบีม แนะใช้เครื่องมืออัตโนมัติในการทำให้การบริหารจัดการคำขอ และแพลตฟอร์มการคำขอสิทธิ์ของเจ้าของข้อมูล ทำงานร่วมกันอย่างไร้รอยต่อ แบ่งออกได้เป็น 2 เฟส คือ

เฟส 1 : การเตรียมความพร้อมพื้นฐานสำหรับ PDPA มี 4 การเตรียมความพร้อมพื้นฐานสำหรับ PDPA ที่ให้ความสำคัญกับ บุคลากร กระบวนการ และ เทคโนโลยี คือ การจัดการ การกำกับดูแลข้อมูล (Data Governance) กระบวนการธุรกิจ (Business Process) 

การเปลี่ยนผ่านแอปพลิเคชัน (Application Transformation) และการบริหารจัดการการเปลี่ยนแปลง (Change Management) สิ่งเหล่านี้ จะช่วยให้องค์กรสามารถปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้ และสามารถที่จะบริหารจัดการคุ้มครองข้อมูลส่วนบุคคลได้อย่างยั่งยืนในระยะยาว

เฟส 2 : การลงมือทำ มีข้อแนะนำสำหรับการทำระบบการจัดเก็บและบริหารจัดการข้อมูลให้สำเร็จโดยเร็วโดยที่ยังสามารถทำให้สอดคล้องตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยที่ธุรกิจก็ไม่ต้องหยุดชะงัก นั่นคือการจัดลำดับความสำคัญของระบบต่าง ๆ

ได้แก่ Data Subject Journey, Consent Management Platform, Data Subject Rights Execution, Data Privacy Impact Assessment (DPIA) & Privacy by Design, Business Change Management, Business Partner Due-Diligence,

Breach Management และ Storage Limitation แนะองค์กรควรเริ่มจากกระบวนการทำธุรกิจ โครงสร้างพื้นฐานทางเทคโนโลยี สภาพแวดล้อม และการใช้ข้อมูลส่วนบุคคลในปัจจุบันที่มีการใช้ข้ามองค์กรสำหรับการวินิจฉัยประเด็นที่เหมาะสม

ABeam

อย่างไรก็ตาม กระบวนการทั้งหมดที่เกี่ยวกับการปกป้องข้อมูลส่วนบุคคล รวมถึงกระบวนการในการคุ้มครอง ข้อมูลส่วนบุคคลที่จะเกิดขึ้นในอนาคต ทั้งหมดจะต้องเปิดเผย โปร่งใส ที่สำคัญที่สุด องค์กรต่าง ๆ ควรทำงานร่วมกับผู้เชี่ยวชาญที่มีประสบการณ์

ทั้งในเรื่องเทคโนโลยีและโซลูชันสำหรับ PDPA ใน แต่ละอุตสาหกรรมที่มีโซลูชันครบวงจรตั้งแต่ต้นน้ำถึงปลายน้ำ เพื่อให้องค์กรสามารถติดตั้ง และดำเนินการระบบได้อย่างรวดเร็ว และประสบความสำเร็จในการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ข้อมูลเพิ่มเติมของโซลูชั่น PDPA สามารถเยี่ยมชมได้ที่ https://www.abeam.com/th/ en/service_line/cioa

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A

สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th

Itdayleadger

This site uses Akismet to reduce spam. Learn how your comment data is processed.