เตรียมพร้อม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลใน 1 ปี ทันหรือไม่?
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (พ.ร.บ.คุ้มครองฯ) กำลังเป็นประเด็นร้อนในวงการธุรกิจ
เนื่องจากทุกบริษัทมีลูกค้า และมีการเก็บรักษาและใช้งานข้อมูลลูกค้า ในบทความที่แล้ว ผมได้เล่าถึงการมาของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ EU GDPR ที่ทำให้หลายองค์กรเห็นโอกาสในการสร้างความเชื่อมั่นให้กับลูกค้าในการให้ข้อมูล จากความเคร่งครัดในกระบวนการเก็บ วิเคราะห์ และใช้ข้อมูลขององค์กรดังกล่าวมากขึ้น จนนำไปสู่ Business Model ใหม่ๆ และยกระดับ Customer Loyalty ขึ้นไปอีก
ด้วยระยะเวลาในการเตรียมความพร้อมเพื่อปฎิบัติตาม พ.ร.บ.คุ้มครองฯ ประมาณ 1 ปีหลังจากนี้ นาทีนี้ทุกองค์กรต้องเริ่มคิดให้ครบทุกด้าน ตั้งแต่ข้อมูลที่คาดว่าจะถูกรวบรวม การจัดเก็บ นำไปใช้ หรือแชร์ข้อมูลภายในหรือระหว่างองค์กร ไปจนถึงผลกระทบต่อลูกค้าและกลุ่มเป้าหมายที่คาดว่าจะเป็นลูกค้า (Prospect) ซึ่งถ้าเทียบกับ EU GDPR ที่ให้เวลามากกว่า 2 ปีสำหรับองค์กรในการประเมินสถานการณ์ เตรียมความพร้อม และดำเนินการเพื่อให้เป็นไปตามกฎหมาย แม้กระนั้นระยะเวลา 2 ปีก็ยังไม่เพียงพอสำหรับองค์กรหลายแห่ง ดังนั้นสำหรับประเทศไทยเราที่มีระยะเวลาในการเตรียมตัวเพียง 1 ปีถือว่าสั้นมาก!
คุณแตง เกื้อกานต์ สายเชื้อ CEO บจก. YaiDE บริษัทที่ปรึกษาด้าน Data-Driven Strategy ได้แชร์ประสบการณ์ในฐานะ Data Controller ผู้รับผิดชอบในส่วนงาน Customer Analytics เมื่อครั้งบริษัท DocuSign บริษัทที่ให้บริการด้าน Digital Transformation ชั้นนำของโลก ก้าวเข้าสู่การเตรียมความพร้อมจนประสบความสำเร็จในการปฏิบัติตาม GDPR ในสหรัฐอเมริกา ซึ่งหัวใจของการเตรียมความพร้อมในมุมมองของหน่วยงานที่วิเคราะห์หรือใช้ประโยชน์จากข้อมูลลูกค้ามีดังนี้
1. รวบรวม Use Cases ในการวิเคราะห์และใช้ข้อมูลลูกค้าทั้งหมด
หนึ่งในขั้นตอนที่ต้องใช้เวลามากที่สุดในการเตรียมการสำหรับ GDPR ก็คือการวางแผนว่าองค์ประกอบของข้อมูลใดบ้างที่ถูกใช้เพื่อการบริการลูกค้าและการวิเคราะห์ข้อมูลลูกค้า ขั้นตอนนี้คือจุดเริ่มต้นที่สำคัญในการระบุองค์ประกอบของข้อมูลที่ Critical กับ Business Model ปัจจุบันของเรา เพื่อให้สามารถจัดลำดับความสำคัญเพื่อวาง Roadmap ในการปฏิบัติตามกฎระเบียบ นอกจากนี้ Use Cases เหล่านี้ยังช่วยในการสื่อสารกับลูกค้าให้เข้าใจถึงสาเหตุว่าทำไมเราถึงเก็บข้อมูลดังกล่าว และการยินยอมให้ข้อมูลดังกล่าวจะมีประโยชน์ต่อตัวลูกค้าเองอย่างไร
เมื่อระบุ Use Cases และระบุข้อมูลที่ Critical แล้ว จากนั้นจึงทำการระบุแหล่งที่มาของข้อมูลดังกล่าว รวบรวมกระบวนการ Data Processing แล้วจึงจำแนกว่าข้อมูลใดบ้างที่เข้าข่ายข้อมูลส่วนบุคคล และจะได้รับผลกระทบจาก GDPR
2. ส่วนที่พิจารณาไม่เพียงแค่กระบวนการขอความยินยอมจากลูกค้าและ Data Processing แต่รวมไปถึง Operational Process ที่เกี่ยวข้องด้วย
หลายองค์กรมองถึงข้อมูลส่วนบุคคลของลูกค้าและกระบวนการ Data Processing ที่ต้องพิจารณา แต่สิ่งที่มองข้ามไม่ได้คือจุดติดต่อกับลูกค้า (Touch Points) ที่เป็นการเก็บข้อมูลของลูกค้า ซึ่งกระบวนการขอความยินยอมของลูกค้าต้องถูกพิจารณาและปรับเปลี่ยนด้วยเช่นกันทั้งแบบที่ขอความยินยอมอย่างชัดเจน (Explicit Consent) และการยินยอมแบบไม่ชัดเจน (Inexplicit Consent) เช่นการเก็บ site cookies หรือ email open rate เป็นต้น
3. สร้างคณะทำงานเฉพาะ เพื่อควบคุมและดูแลการปฏิบัติตามกฎหมาย
กระบวนการที่เกี่ยวข้องในการปฏิบัติตาม GDPR นั้น เป็นงานที่ใหญ่ และต้องมีศูนย์กลางที่คอยดูแลประสานงานทุกฝ่ายที่เกี่ยวข้อง มากกว่าการที่ต่างฝ่ายต่างทำ ต้องมีการกำหนดคณะทำงานเฉพาะ และกำหนดหน้าที่ผู้รับผิดชอบให้ชัดเจน ซึ่งทีมนี้มีหน้าที่ให้ความรู้แก่บุคคลากรทุกคนที่มีปฏิสัมพันธ์กับลูกค้า แม้ว่าจะเป็นผู้เก็บ หรือไม่ได้เก็บข้อมูลลูกค้าก็ตาม
แน่นอนว่าการมีที่ปรึกษามืออาชีพช่วยดูแลคณะทำงานนี้จะช่วยให้องค์กรสามารถวางแผนการทำหน้าที่อย่างถูกต้องได้รวดเร็วมากขึ้น
4. การดำเนินงานเหล่านี้ไม่ใช่เป็นการทำเพียงแค่ครั้งเดียว หรือทำเฉพาะเมื่อถูกตรวจสอบเท่านั้น
กระบวนการในการปฏิบัติตาม GDPR เป็นสิ่งที่ต้องทำอย่างต่อเนื่องไปตลอด เพราะหากมีข้อผิดพลาดเกิดขึ้นในขั้นตอนใดขั้นตอนหนึ่ง อาจทำให้เกิดความเสียหายอย่างรุนแรงทั้งด้านบทลงโทษทางกฎหมายและชื่อเสียงขององค์กรที่มีต่อลูกค้า ซึ่งความต่อเนื่องนี้ทุกคนที่เกี่ยวข้องต้องปฏิบัติตาม ไม่ใช่เพียงแค่คณะทำงานเฉพาะที่ตั้งขึ้นมา
5. ตรวจสอบให้แน่ใจว่า Vendor หรือ Outsource ใดๆ ขององค์กรได้ปฏิบัติตามอย่างถูกต้องเช่นกัน
เพราะหาก Vendor ขององค์กร มีส่วนเกี่ยวข้องในการรวบรวมข้อมูล ประมวลผล หรือวิเคราะห์ข้อมูลใดๆ ไม่ได้ปฏิบัติตามกฎหมาย หรือมีข้อผิดพลาด ก็จะทำให้องค์กรตกอยู่ในความเสี่ยงด้วยเช่นกัน
ในฐานะที่ผ่านประสบการณ์เหล่านี้มาแล้ว คุณเกื้อกานต์สรุปว่าการมาของ GDPR มีประโยชน์สำหรับองค์กร ไม่ใช่เพียงทำเพราะเป็นสิ่งที่กฏหมายบังคับใช้เท่านั้น แต่ในระหว่างเตรียมความพร้อมและปฏิบัติตามขั้นตอน เราเองก็อาจพบช่องโหว่ในกระบวนการทำงานของเราที่เกี่ยวข้องกับข้อมูล ซึ่งปัจจุบันคือ “สินทรัพย์” ขององค์กรที่ต้องเก็บรักษาให้ดี
การรักษาความเป็นส่วนตัวของข้อมูลและการรักษาความลับของลูกค้า ถือเป็นปรัชญาที่ต้องยึดถือและใส่ใจตลอดชีวิตการทำงานของมืออาชีพทุกคน ไม่ใช่คิดว่าเป็นเพียง Checklist ที่ต้องทำให้ผ่านๆ ไปครับ
แล้วจากทั้ง 5 ข้อนี้ ท่านผู้อ่านมองว่า ระยะเวลา 1 ปีในการเตรียมตัวนั้น เพียงพอกันไหมครับ?