นิตยสาร Business+ เครือ ARIP จัดงาน “Personal Data Protection Act (PDPA); The New Paradigm shift of Organizations challenges : พระราชบัญญัติข้อมูลส่วนบุคคล, เปลี่ยนมุมมองใหม่ในโลกของการแข่งขันทางธุรกิจ” เตรียมความพร้อมภาคธุรกิจปรับตัวรับ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” ก่อนมีผลบังคับใช้ 27 พฤษภาคม 2563
นายบุญเลิศ นราไท ประธานเจ้าหน้าที่บริหาร บริษัท เออาร์ไอพี จำกัด (มหาชน) กล่าวว่า ในแวดวงธุรกิจย่อมเข้าใจว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่จะบังคับใช้ในเดือนพฤษภาคม 2563 จะส่งผลทั้งทางตรงและทางอ้อมต่อการดำเนินธุรกิจ เพราะลูกค้าหรือเจ้าของข้อมูลส่วนบุคคลย่อมมีสิทธิปกป้องข้อมูลส่วนบุคคลเพื่อความปลอดภัยของตนเอง มีสิทธิป้องกันธุรกิจนำข้อมูลส่วนตัวไปใช้โดยไม่ได้รับอนุญาต ดังนั้นภาคธุรกิจจึงต้องรู้ข้อเท็จจริงเกี่ยวกับกฎหมายฉบับนี้ เพื่อป้องกันและลดปัญหาที่อาจเกิดขึ้นได้ในอนาคต เนื่องจากมีบทลงโทษของการนำข้อมูลไปใช้โดยไม่ได้รับอนุญาต
นายบุญเลิศ กล่าวต่อว่า การจัดงานสัมมนาครั้งนี้จะช่วยเพิ่มศักยภาพให้ภาคธุรกิจรู้และเข้าใจเกี่ยวกับกฎหมายฉบับดังกล่าว และเตรียมพร้อมผู้ที่เกี่ยวข้องให้รู้เท่าทันพร้อมรับมือและสามารถนำข้อมูลไปใช้ได้อย่างถูกต้องตามกฎหมาย ถือเป็นสิ่งจำเป็นยิ่งในโลกของการแข่งขันในยุคดิจิทัล
ทำไมข้อมูลคือขุมทรัพย์สำหรับภาคธุรกิจ
นางบุษกร ธีระปัญญาชัย ผู้อำนวยการอาวุโส ฝ่ายกำกับและตรวจสอบด้านความเสี่ยงเทคโนโลยีสารสนเทศ ธนาคารแห่งประเทศไทย กล่าวว่า ในฐานะคนกำกับดูแลสถาบันการเงินมองว่าประเทศไทยก้าวเข้าสู่การขับเคลื่อนเศรษฐกิจโดยใช้เทคโนโลยี เพราะฉะนั้นกลยุทธ์หนึ่งของธนาคารคือทรานส์ฟอร์มตัวเองให้เป็น digital banking เพื่อแข่งขันกับธุรกิจ non-bank แต่แต้มต่อของแบงก์คือฐานลูกค้าและความเชื่อมั่นในการรักษา ‘ข้อมูลส่วนบุคคล’ แต่แบงก์ชาติมองว่าความท้าทายของแบงก์คือเรื่องการพัฒนาบุคลากรรองรับรูปแบบธุรกิจที่เปลี่ยนไป ซึ่งอาจทำให้ธนาคารปรับตัวได้ช้า
“เพย์เมนต์เกี่ยวข้องกับชีวิตทุกคน แม้จะไม่กู้สินเชื่อไม่มีหนี้เลย แต่เราก็ต้องชำระเงิน non-bank ทุกคนกระโจนเข้ามาในวงการนี้ เช่น Facebook, Apple Pay, Kerry กลยุทธ์ของแบงก์ก็ต้องปรับตัว หรือ PromptPay ในไทยมี 50 ล้านไอดี จำนวนธุรกรรมเฉลี่ย 10 ล้านรายการต่อวัน แบงก์ก็เก็บข้อมูล เมื่อก่อนวันที่พีกคือสิ้นเดือน แต่ปัจจุบันมีวันที่พีกอีกสองวันคือวันหวยออก ทุกวันสี่โมงเย็น ปริมาณธุรกรรมจะสูงมาก” นางบุษกรยกตัวอย่างการเก็บข้อมูลในรูปธรรมธุรกรรม
อีกตัวอย่างของภาคธุรกิจคือการเข้าไปดูพฤติกรรมการใช้งาน เช่น ดูมือถือวันละกี่ครั้ง ส่งไลน์วันละกี่ครั้ง เข้าไปเซิร์ชกูเกิลเรื่องอะไร เป็นคนอย่างไร จากนั้นนำข้อมูลมาทำ information based learning
นางบุษกรกล่าวว่า กลุ่มธนาคารเป็นกลุ่มที่เห็นได้ชัดเจน เพราะปัจจุบันและในอนาคตแบงก์จะไม่ออกผลิตภัณฑ์สินเชื่อแล้วเหวี่ยงแห แต่จะเลือกเจาะกลุ่มเป้าหมายมากยิ่งขึ้น เช่น เมื่อเข้าไปดูเรื่องรถยนต์ในกูเกิล ในเวลาต่อมาจะปรากฏสินเชื่อรถยนต์ในโซเชียลมีเดีย
นางบุษกรกล่าวต่อว่า เมื่อองค์กรมีข้อมูลอยู่ในมือแล้ว สิ่งที่ต้องคำนึงต่อมาคือเรื่องความปลอดภัย ซึ่งข้อมูลในยุคปัจจุบันเปรียบเสมือนทองคำที่มีโจรคอยจ้องจะขโมยตลอดเวลา
ภาพรวม พ.ร.บ. และคำถามที่ต้องตอบตัวเอง
นายรักไท เทพปัญญา นักกฎหมายกฤษฎีกาชำนาญการพิเศษ ฝ่ายเลขานุการคณะกรรมการกฤษฎีกาที่พิจารณาร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลสำนักงานคณะกรรมการกฤษฎีกา กองกฎหมายการศึกษาและวัฒนธรรม สำนักงานกฤษฎีกา กล่าวถึงจุดเริ่มต้นของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ว่าเป็นการเก็บรวบรวมข้อมูลและหลักการจากต่างประเทศ แล้วมาปรับให้เข้ากับบริบทของประเทศไทย
โดยภาพรวมของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แบ่งออกเป็น 8 ด้านหลัก ได้แก่ (1) บททั่วไป/บทเฉพาะกาล (2) คกก.คุ้มครองข้อมูลส่วนบุคคล หมวด 1 (3) การคุ้มครองข้อมูลส่วนบุคคล หมวด 2 (4) สิทธิเจ้าของข้อมูลส่วนบุคคล หมวด 3 (5) สำนักงานคณะกรรมการคุ้มครองข้อมูลฯ หมวด 4 (6) การร้องเรียน หมวด 5 (7) การรับผิดทางแพ่ง หมวด 6 และ (8) บทกำหนดโทษ หมวด 7
นายรักไทกล่าวถึงสาระสำคัญของกฎหมายฉบับนี้ว่าคือเรื่องการคุ้มครองข้อมูลส่วนบุคคล หมวด 2 และสิทธิเจ้าของข้อมูลส่วนบุคคล หมวด 3
สำหรับประเด็นการคุ้มครองข้อมูลส่วนบุคคล ตามหมวด 2 จะเน้นในเรื่องการเก็บรวบรวมข้อมูลจากองค์กร ซึ่งจะนำมาสู่ 5 คำถามที่ภาคธุรกิจต้องตอบให้ได้ก่อนกฎหมายฉบับนี้บังคับใช้ โดย 5 คำถามดังกล่าว ได้แก่
-
คำถามที่ 1 จำเป็นต้องเก็บข้อมูลจำนวนขนาดไหน? และเปิดเผยมากน้อยเท่าใด? เพื่อวัตถุประสงค์ใด?
คำถามที่ 2 ข้อมูลนั้นเป็นข้อมูลส่วนบุคคลทั่วไป หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหว (sensitive data)
คำถามที่ 3 แล้วองค์กรจะออกแบบ ‘วิธีการได้มาซึ่งข้อมูล’ และต้องแจ้งอะไรต่อเจ้าของข้อมูลบ้าง
คำถามที่ 4 ถ้าจำเป็นสำหรับวัตถุประสงค์นั้น จะอาศัยฐานการประมวลผลข้อมูลใด (lawful basis)
คำถามที่ 5 องค์กรได้ออกแบบการยินยอมสอดคล้องกับกฎหมายหรือไม่
นายรักไทกล่าวต่อว่า เมื่อได้ข้อมูลมาแล้วจะเข้าสู่กระบวนการ “ประมวลผลข้อมูล” และ “คุ้มครองสิทธิเจ้าของข้อมูล” โดยองค์กรจะต้องตอบตัวเองจาก 5 คำถามเหล่านี้ ได้แก่
คำถามที่ 2 ดูแลรักษาข้อมูลอย่างไร
คำถามที่ 3 เก็บบันทึกอะไรเกี่ยวกับข้อมูลบ้าง
คำถามที่ 4 ส่งไปต่างประเทศได้ไหม อย่างไร
คำถามที่ 5 เจ้าของข้อมูลมีสิทธิใดบ้างกับข้อมูลนั้น
ส่วนประเด็นสิทธิเจ้าของข้อมูลส่วนบุคคล ตามหมวด 3 มีใจความสำคัญตามมาตรา 30, 31, 32, 33
มาตรา 30 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มา ซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
มาตรา 31 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เก่ียวกับตนจากผู้ควบคุม ข้อมูลส่วนบุคคลได้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลน้ันอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ
มาตรา 33 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
นอกจากนี้นายรักไทตั้งข้อสังเกตว่า ในอนาคตองค์กรที่มีฐานข้อมูลจำนวนมากอาจจะต้องมี DPO หรือ data protection officer ซึ่งเป็นคนคอยประมวลผลข้อมูล ตรวจเช็ค และปกป้องข้อมูล ให้เป็นไปตามกฎหมาย
กรณีศึกษา การปรับตัวของธุรกิจ
ปิดท้ายด้วยเวทีเสวนาในหัวข้อ “กรณีศึกษา การปรับตัวของธุรกิจชั้นนำกับ พ.ร.บ.ข้อมูลส่วนบุคคล”โดย 3 วิทยากรประกอบด้วย นายสุรพล โอภาสเสถียร ผู้จัดการใหญ่ บริษัท ข้อมูลเครดิตแห่งชาติ จำกัด, ดร.สิทธินัย จันทรานนท์ ผู้อำนวยการสังกัดสำนักงานรองกรรมการผู้อำนวยการใหญ่ สายบริหารงานกฎหมายและบริหารทั่วไป บริษัท การบินไทย จำกัด (มหาชน) และนายมนตรี สถาพรกุล ผู้เชี่ยวชาญดูแลข้อมูลส่วนบุคคล บริษัท โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น จำกัด (มหาชน) หรือดีแทค ดำเนินรายการโดย นายปฐม อินทโรดม กรรมการ Creative Digital Economy & e-Commerce สภาหอการค้าแห่งประเทศไทย
เริ่มที่นายสุรพล โอภาสเสถียร ผู้จัดการใหญ่ บริษัท ข้อมูลเครดิตแห่งชาติ จำกัด กล่าวถึงประเด็นการปรับตัวของเครดิตบูโร ซึ่งดำเนินการเรื่องการใช้ข้อมูลส่วนบุคคลมาเป็นเวลากว่า 14 ปี เช่น ยอดหนี้ จำนวนบัญชี จำนวนบัตรเครดิต พฤติกรรมการใช้งาน และมีนิสัยการชำระหนี้อย่างไร
นายสุรพลกล่าวต่อว่า นับจากวันที่ พ.ร.บ. ฉบับนี้ประกาศออกมา จะส่งผลกระทบต่อธุรกิจเพราะบริษัทมีกิจกรรมที่เกี่ยวข้องและไม่เกี่ยวข้องโดยตรง แต่ยังครอบคลุมอยู่ใน พ.ร.บ. ดังนั้นต้องเตรียมตัวกับการถูกฟ้องร้องคดีความ
สิ่งที่บริษัทข้อมูลเครดิตแห่งชาติจะนำมาทำคือการพัฒนาป้อมปราการ 3 ด้าน ดังนี้
- risk owner บริหารความเสี่ยงในงานประจำวัน และการควบคุมของผู้บริหาร
- risk oversight กำกับดูแลความเสี่ยงนโยบาย และกระบวนการบริหารความเสี่ยง
- risk assurance สอบทานกระบวนการบริหารความเสี่ยง เพื่อสร้างความเชื่อมั่นอย่างอิสระ
ดร.สิทธินัย จันทรานนท์ ผู้อำนวยการสังกัดสำนักงานของกรรมการผู้อำนวยการใหญ่ สายบริหารงานกฎหมายและบริหารทั่วไป บริษัท การบินไทย จำกัด (มหาชน) กล่าวว่า การบินไทยจำเป็นต้องตั้งคณะกรรมการ PDPA ขึ้นมาเพื่อมารับมือ พ.ร.บ. ฉบับนี้โดยเฉพาะ เนื่องจากการบินไทยมีข้อมูลลูกค้าและต้องเก็บข้อมูลลูกค้าอย่างหลีกเลี่ยงไม่ได้
ดร.สิทธินัยกล่าวต่อว่า จากเดิมที่มีฝ่ายขายโทรไปขายของกับลูกค้า ซึ่งบริษัทไปดึงเบอร์โทรศัพท์จากฐานลูกค้า ดูจากพฤติกรรม แล้วค่อยเสนอสินค้าผ่านโทรศัพท์ หรือแม้แต่ข้อมูลทางสุขภาพ ซึ่งในอนาคตจะเก็บข้อมูลได้ยากขึ้น และมีหลายเรื่องที่ไม่สามารถทำได้เช่นเดิม
สำหรับการบินไทยมีนโยบายปกป้องข้อมูลส่วนบุคคล แบ่งออกเป็น 7 ข้อ ได้แก่ หลักความถูกต้องตามกฎหมาย ยุติธรรม โปร่งใส, การจำกัดวัตถุประสงค์, หลักการลดปริมาณข้อมูล, ความถูกต้องของข้อมูล, หลักการจำกัดระยะเวลาการจัดเก็บข้อมูล, ความแม่นยำและรักษาความลับ และความรับผิดชอบ
นายมนตรี สถาพรกุล ผู้เชี่ยวชาญดูแลข้อมูลส่วนบุคคล บริษัท โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น จำกัด (มหาชน) หรือ DTAC ให้คำแนะนำถึงองค์กรเอกชนว่า บริษัทจะต้องรีบทำ 3 ข้อนี้ก่อน PDPA จะบังคับใช้ ได้แก่
- transparency ความโปร่งใสเรื่องสัญญากับลูกค้า
- use of data การนำข้อมูลส่วนบุคคลของลูกค้าไปใช้ต้องมีจุดประสงค์ที่มีไม่ละเมิดสิทธิ
- สแกนทั้งองค์กรว่าใช้ข้อมูลส่วนบุคคลอะไรบ้างของลูกค้า เพื่อประเมินความเสี่ยงที่อาจจะเกิดขึ้นได้
- accountability ความรับผิดชอบซึ่งเป็นสิ่งที่พนักงานทุกคนต้องมี
นายมนตรีกล่าวว่า data protection หรือการคุ้มครองข้อมูลส่วนบุคคล มาจากการทำ data security รวมกับ data privacy ซึ่งเป็นความรับผิดชอบต่อสังคมในด้านความโปร่งใส และเป็นการรับผิดชอบกับลูกค้าได้
ข่าวหรือบทความที่เกี่ยวข้อง
