เจาะลึกพรบ.คุ้มครองข้อมูลผู้บริโภค (PDPA) ในงานสัมมนาหัวข้อ The Paradigm shift of Organizations’ Challenge : เปลี่ยนมุมมองใหม่ในโลกของการแข่งขันทางธุรกิจ

March 12, 2020

อย่างที่ทราบดีว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) จะมีผลบังคับใช้ในเดือนพฤษภาคมนี้ ซึ่งโลกธุรกิจที่ขับเคลื่อนด้วย Data ย่อมส่งผลให้องค์กรธุรกิจไทยเร่งวางแผน และเตรียมความพร้อมเพื่อรับมือรับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) นี้

ในปัจจุบัน หลาย ๆ องค์กรกำลังเผชิญกับแรงกดดันจากการแข่งขันในปัจจุบันมากกว่าที่เคยเป็นมา และพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) ซึ่งจะมีผลบังคับใช้ในเดือนพฤษภาคมนี้ ก็เป็นอีกปัจจัยสำคัญต่อการปรับเปลี่ยนไปสู่ยุคดิจิทัลของธุรกิจไทยมากขึ้น

เนื่องจาก ‘ข้อมูล’ ถือเป็น ‘สินทรัพย์’ สำคัญจากบุคคลทั่วไปที่มีส่วนเชื่อมโยงกับภาคธุรกิจ ซึ่งเมื่อถึงวันที่พ.ร.บ.ดังกล่าวบังคับใช้โดยกฎหมายอย่างสมบูรณ์ องค์กรต่าง ๆ ที่ละเลย จะต้องถูกดำเนินการทางกฎหมาย

สำหรับบทลงโทษเมื่อมีการละเมิด คือ โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือปรับสูงสุด 1 ล้านบาท และโทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหม

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ถือเป็นเรื่องใหม่ขององค์กรต่าง ๆ ในไทย ดังนั้น องค์กรที่กำลังเตรียมความพร้อมในการปรับใช้พ.ร.บ.ข้อมูลส่วนบุคคลนี้ คงต้องเตรียมพร้อมให้มากที่สุด

โดยเมื่อวันอังคารที่ 6 มีนาคม 2563 ที่ผ่านมา Business+ ได้รับเกียรติจากผู้เชี่ยวชาญหลายท่าน มาร่วมให้ข้อมูลความรู้เกี่ยวกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ในงานสัมมนาหัวข้อ The Paradigm shift of Organizations’ Challenge : เปลี่ยนมุมมองใหม่ในโลกของการแข่งขันทางธุรกิจ ตามหัวข้อดังนี้

ความสำคัญของข้อมูลลูกค้ากับสถาบันการเงินในยุคดิจิทัล

คุณบุษกร ธีระปัญญาชัย : ผู้อำนวยการอาวุโสฝ่ายกำกับและตรวจสอบความเสี่ยงด้านเทคโนโลยีและสารสนเทศ ธนาคารแห่งประเทศไทย

“Data จะเป็นตัวเปลี่ยนโลก และต่อจากนี้ทรัพย์สินที่มีค่าดุจทองคำก็คือ Data”

ธนาคารเป็นธุรกิจที่ตั้งอยู่บนความเชื่อมั่น เนื่องจากภาคการเงินเรื่องทำผิดกฎหมายเป็นเรื่อง Sensitive เมื่อมีแนวโน้มทำผิดกฎหมายขึ้นมาเมื่อไร มีสิทธิ์จะกลายเป็นเรื่องใหญ่ได้ทันทีและส่งผลกระทบรุนแรง และเพราะภาคการเงินมีข้อมูลลูกค้าจำนวนมากอีกทั้งยังเป็นข้อมูลส่วนบุคคลที่สำคัญ บริษัทเหล่านี้ก็จะกลายเป็นเป้าโจมตีจากแฮกเกอร์ (Hacker) เพราะว่าการมีข้อมูลส่วนบุคคลนั้นเปรียบเสมือนกับว่าคุณครอบครองทองคำอยู่ มูลค่าในตัวของมันนั้นมหาศาล โจรก็ย่อมจะคอยจ้องหาทางขโมยอยู่ตลอดเวลา

เพราะฉะนั้น การจัดการข้อมูลเหล่านี้จำเป็นต้องมีกรอบที่ใช้ในการควบคุม และตรวจสอบว่าผู้ดูแลข้อมูลทำได้ตามมาตรฐานหรือไม่  ธนาคารแห่งประเทศจึงใช้ Data Governance ซึ่งจะเป็นกรอบที่ใช้ในการควบคุมตรวจสอบคุณภาพของผู้ครอบครองและใช้งานข้อมูลเหล่านี้

ธนาคารแห่งประเทศไทยมองว่าการทำเพียงเพราะมีกฎหมายบังคับนั้นไม่พอ เราควรจะต้องทำให้อยู่ในระดับที่สูงขึ้นไปเรื่อย ๆ จนมันกลายเป็นวัฒนธรรมขององค์กรที่ทุกคนต้องปฏิบัติกันจนเป็นเรื่องปกติ

โดยความท้าทายที่สำคัญที่สุดอีกหนึ่งเรื่อง คือ เรื่องของคน คนไม่มี คนไม่พอ คนไม่ใช้ คนไม่รู้ เราก็จะต้องเข้าไปมีส่วนช่วยให้พวกเขาปรับตัวว่าต้องทำอย่างไร

เจาะทุกประเด็น พรบ.ข้อมูลส่วนบุคคลต่อธุรกิจ

คุณรักไท เทพปัญญา : นักกฏหมายกฤษฎีกาชำนาญการพิเศษ ฝ่ายเลขานุการ คณะกรรมการกฤษฎีกาที่พิจารณาร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการกฤษฎีกา กองกฎหมายการศึกษาและวัฒนธรรม

“กฎหมายคุ้มครองข้อมูลส่วนบุคคล

ช่วยสร้างความมั่นใจกับลูกค้าว่า

ข้อมูลไม่มีทางรั่วไหลแน่นอน”

กฎหมายคุ้มครองข้อมูลส่วนบุคคลแบ่งได้  7 หมวด 8 หัวข้อ โดยกิจกรรมในครอบครัว ชหรือกิจกรรมส่วนตัวนั้นจะได้รับการยกเว้น ไม่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

โดยการจะใช้บังคับใช้กฎหมายเหล่านี้เราก็ต้องตั้งคำถามกับข้อมูลที่เราจะใช้งาน โดยแบ่งเป็น 3 ขั้นตอน คือก่อนที่ท่านจะเก็บข้อมูล หลังจากที่ท่านเก็บข้อมูลมาแล้ว และเรื่องอื่น ๆ ที่ท่านควรจะพิจารณา อย่างเช่น กิจกรรมที่ท่านทำมันจำเป็นไหมที่ต้องเอาข้อมูลส่วนบุคคลมาใช้ ใช้แค่ไหน เพื่อวัตถุประสงค์อะไรบ้าง ข้อมูลที่ท่านเก็บมาอยู่ในประเภทไหน นี่คือสิ่งที่ฝ่ายที่มีส่วนเกี่ยวข้องต้องพิจารณาให้ดี

เทคโนโลยีปกป้องข้อมูลส่วนบุคคลเพื่อการควบคุมข้อมูลในยุคเศรษฐกิจดิจิทัล

Mr. LAM Kwok Yan PhD. : Professor, School of Computer Science and Engineering
Director, Nanyang Technopreneurship Center
Nanyang Technological University, Singapore

“การแบ่งปันข้อมูลส่วนบุคคล

หรือการละเมิดความเป็นส่วนตัว

อาจนำไปสู่ผลลัพธ์ที่ร้ายแรง”

3 หัวใจสำคัญที่เปลี่ยนแปลงเรื่องการจัดการ เพื่อปกป้องเรื่องข้อมูลส่วนบุคคล

  1. Machine Learning และ Deep Learning ได้สร้างผลกระทบอย่างรุนแรง เพราะพวกมันจะเติบโตบนปริมาณข้อมูลที่มหาศาล ก็แชร์ข้อมูลระหว่างกันจึงเป็นเรื่องจำเป็นโดยเฉพาะประเทศเล็ก ๆ อย่างสิงคโปร์ซึ่งมีข้อมูลไม่เพียงพอสำหรับการทำ Data Analytics การมาของ PDPA ได้เข้ามาจำกัดการเติบโตในด้านนี้ เพราะว่ามีข้อบังคับในการห้ามแชร์ข้อมูลระหว่างกัน
  2. Cloud Technology คือ สถาปัตยกรรม คือการออกแบบระบบ Application ให้กะทัดรัด ซึ่งจะทำให้ง่ายต่อการโยกย้าย Application ไปสู่ Cloud ทั้งที่เป็น Private Cloud และ Third Party ซึ่งโครงสร้างของบริษัททั่วโลกทุกวันนี้จะกระจายงานส่วนที่ไม่เชี่ยวชาญออกไป ให้บุคคลที่สามที่มีความสามารถทำให้ แต่เมื่อมีกฎหมาย PDPA จะไม่สามารถทำได้อีกแล้ว เพราะว่ามีข้อบังคับในการห้ามแชร์ข้อมูลระหว่างกัน
  3. การเก็บรวบรวมข้อมูลเพื่อปรับปรุงคุณภาพการบริการลูกค้า นั้นโดยปกติวิธีป้องกันการเป็นส่วนตัวจะการเข้ารหัสเอาไว้เพื่อไม่ให้ใครเข้ามาใช้ได้ เพื่อเป็นการปกป้องข้อมูลส่วนบุคคลให้เป็นไปตามกฎของ PDPA แต่ปัญหาคือคุณจะเข้ารหัสตลอดไปไม่ได้ ไม่นั้นข้อมูลที่คุณเก็บมามันก็ไม่มีประโยชน์ และไม่รู้จะเก็บไปทำไม

จะเห็นว่าความท้าทายสำคัญในเรื่องการจัดการข้อมุลส่วนบุคคล โดยมีกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเข้ามาบังคับใช้ นั่งคือวิธีการที่คุณจะพาตัวเองเข้าไปเกี่ยวข้องกับข้อมูลเหล่านนั้นและไม่ผิดกฎหมาย ซึ่งตอนนี้ต้องมีกรอบที่กำหนดผ่าน Data Governance มากำหนดอีกทีหนึ่ง

เสวนา “กรณีศึกษา การปรับตัวของธุรกิจชั้นนำกับพรบ.คุ้มครองข้อมูลส่วนบุคคล”

สุรพล โอภาสเสถียร : ผู้จัดการใหญ่ บริษัท ข้อมูลเครดิตแห่งชาติ จำกัด

“ความยากของ PDPA คือ ทำอย่างไรให้คนที่มาติดต่อกับเรา

มีความเข้าใจถูกต้อง ตรงกับเรา”

ที่ บริษัท ข้อมูลเครดิตแห่งชาติ จำกัด หรือ NCB ข้อมูลของเราจะมี 2 ถัง

1.ข้อมูลที่ระบุตัวตน คือ ชื่ออะไร พฤติกรมกรรมการใช้ชีวิตของคนคนนั้นเป็นอย่างไร ซึ่งถือเป็นข้อมูลที่ Sensitive มาก โดยมีกฎหมายคุ้มครองป้องกันเต็มที่

2.ข้อมูลอีกชุดเป็นข้อมูลที่ถูกทำลายตัวตนให้เหลือแต่เฉพาะข้อมูลที่มีประโยชน์ แต่ไม่รู้ว่าคือใคร และข้อมูลชุดนี้คือสิ่งที่เรียกว่า ข้อมูลสถิติ ข้อมูลเหล่านี้จะถูกนำไปใช้เพื่อวัตถุประสงค์บางอย่าง เช่น ปรับปรุงประสบการณ์ของลูกค้า เพื่อยกระดับบริการ และรวมไปถึงนำไปออกแบบนโยบาย เป็นต้น ซึ่งทาง บริษัท ข้อมูลเครดิตแห่งชาติ จำกัด ก็ได้ออกกติกามาครอบข้อมูลชุดนี้อีกที เพราะไม่ใช่ว่าใครจะใช้อย่างไรก็ได้  ในกติกาจะมีการระบุว่าใครสามารถใช้ได้ และใช้สำหรับวัตถุประสงค์อะไร

วิธีการที่ทาง บริษัท ข้อมูลเครดิตแห่งชาติ จำกัด ใช้ในการดูแลรักษาข้อมูลของลูกค้าอยู่นั้นเรายึดหลัก ‘ใจเขาใจเรา’ ถ้าหากข้อมูลสำคัญของลูกค้าถ้าหลุดออกไปจะถือเป็นเรื่องร้ายแรงมาก ซึ่งไม่ว่าใครก็ไม่ต้องการให้ข้อมูลส่วนตัวของตนเองถูกเปิดเผยแน่นอน เพราะฉะนั้น ถ้าเราไม่ชอบอะไร เราก็ต้องไม่ทำแบบนั้นกับลูกค้าเช่นกัน

 

สิทธินัย จันทรานนท์ : ผู้อำนวยการสังกัดสำนักงานรองกรรมการผู้อำนวยการใหญ่ สายบริหารงานกฎหมาย และบริหารทั่วไป
บริษัท การบินไทย จำกัด (มหาชน)

“เทคโนโลยี บล็อกเชน แอปฯ มือถือ ทำให้ธุรกิจต้องปรับตัว

ถ้าอยู่กับกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้ ก็จะต้องปิดกิจการไป”

สำหรับการบินไทยนั้นถือว่าได้เปรียบในการปรับตัวกับพรบ.คุ้มครองข้อมูลส่วนบุคคล เนื่องจากคุ้นเคยกับกฎหมายคุ้มครองข้อมูลส่วนบุคลของพลเมืองที่อาศัยอยู่ในเขตสหภาพยุโรป (General Data Protection Regulation) หรือ GDPR มาก่อน แต่บินไทยยังคงต้องการ ชื่อ นามสกุล เบอร์โทรศัพท์ ต้องทราบรายละเอียดในพาสปอร์ต เพื่อจะได้ให้บริการตามสัญญา Performance of Contract โดยส่วนตรงนี้ได้มีฐานกฎหมายรองรับอยู่แล้ว

อีกทั้้งยังมีการปรับตัวและเทรนพนักงานเพื่อตอบรับกฎบังคับใช้พรบ.นี้อย่างเต็มที่ ยกตัวอย่างเช่น อาหารที่ลูกค้ารับประทานนั้นถือว่าเป็นข้อมูลสุขภาพ ก็มีการเทรนพนักงานว่าต้อง Low Voice จะเอารายชื่อผู้โดยสารไปแปะในครัวไม่ได้ หากเลิกใช้ข้อมูลของลูกค้าก็ต้องทำลายทิ้ง เนื่องจากเราให้ความสำคัญกับข้อมูลของลูกค้าเป็นอันดับหนึ่ง

ซึ่งลูกค้า Royal Orchid Plus (ROP) เป็นจุดสำคัญที่ทำให้การบินไทยต้องตั้ง BBO เพราะว่าเรามีการให้บริการลูกค้า ROP ใครที่เป็น Member เราจะรู้ว่าท่านมีโพรไฟล์อยู่ในระบบอย่างไร มีความเคลื่อนไหวอย่างไร ชอบอะไร ตรงนี้เป็นสิ่งที่ทำให้กฎหมายต้องระบุให้ตั้ง BBO ซึ่งทั้งหมดนั้นเป็นภาคบังคับของกฎหมายที่เราต้องอยู่ในธุรกิจให้ได้ เนื่องจากทุกวันนี้มีเทคโนโลยี บล็อกเชน แอปฯ มือถือ เข้ามาทำให้ธุรกิจต้องปรับตัว ถ้าอยู่กับกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้ ก็จะต้องปิดกิจการไป

ตอนนี้คณะกรรมการกำลังทำงานอย่างหนักเพื่อสร้างฟอร์แมทที่คล้ายกับ GDPR (General Data Protection Regulation) ขึ้นมาดูแลเรื่องนี้โดยเฉพาะ โดยทุกอย่างจะพร้อมภายใน 1 – 2 เดือนหน้าหน้าพอดี

 

มนตรี สถาพรกุล : ผู้เชี่ยวชาญดูแลข้อมูลส่วนบุคคล บริษัท โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น จำกัด (มหาชน) หรือ ดีแทค

“ถ้าคุณต้องการใช้ข้อมูลลูกค้าในวัตถุประสงค์อื่นนอกเหนือจากที่มีใน Contract

คุณจำเป็นต้องแจ้งลูกค้าก่อน”

Data Protection คือ Data Security + Data Privacy โดย Data Security มีหน้าที่คอยปกป้องข้อมูล เข้ารหัสข้อมูล ทำลายตัวตนข้อมูลนั้น ๆ ส่วน Data Privacy คือ คุณใช้ข้อมูลตามวัตถุประสงค์ของกฎหมายรึเปล่า ซึ่งตรงนี้ขึ้นอยู่กับพื้นฐานของธุรกิจคุณว่าทำธุรกิจอะไร

ในกรณีที่คุณทำตามเงื่อนไขสัญญาที่ได้แจ้งกับลูกค้าไปแล้ว ก็ไม่ต้องขอความยินยอมอีก แต่คุณต้องมีมาตรการดูแลและควบคุมระหว่างทางในการใช้งาน เพื่อให้เป็นไปตามวัตถุประสงค์เบื้องต้น และในกรณีที่คุณจะข้อมูลชุดนี้เพื่อวัตถุประสงค์อื่น คุณต้องบอกลูกค้า

ส่วนกุญแจสำคัญในการผ่านด่าน PDPA นั้น ข้อแรก คุณต้องมีความโปร่งใส คือ เงื่อนไขสัญญา และเอกสารรับความยินยอมจากผู้ให้ข้อมูล ประกาศความเป็นส่วนตัว ลูกค้าต้องสามารถถอนความยินยอมได้ในกรณีใช้นอกเหนือจากเงื่อนไขในสัญญา เป็นต้น ข้อสอง การใช้งานข้อมูล คือ ทุกองค์กรต้องตรวจสอบทุกแผนกว่ามีการใช้ข้อมูลส่วนบุคคลด้านใดบ้าง โดยเทียบเคียงจากตัวพื้นฐานกฎหมาย เพื่อประเมินความเสี่ยงและลดความเสี่ยงที่องค์กรจะทำผิดกฎหมายลง

 

ดาวน์โหลดเอกสารประกอบการการบรรยายได้ที่นี่

คลิกที่รูปเพื่อดาวน์โหลดเอกสารประกอบการบรรยาย ของ คุณบุษกร ธีระปัญญาชัย : ผู้อำนวยการอาวุโสฝ่ายกำกับและตรวจสอบความเสี่ยงด้านเทคโนโลยีและสารสนเทศ ธนาคารแห่งประเทศไทย

 

 

 

 

 

 

คลิกที่รูปเพื่อดาวน์โหลดเอกสารประกอบการบรรยาย ของ Mr. LAM Kwok Yan PhD. : Professor, School of Computer Science and Engineering Director, Nanyang Technopreneurship Center Nanyang Technological University, Singapore

 

 

 

 

 

 

 

คลิกที่รูปเพื่อดาวน์โหลดเอกสารประกอบการบรรยาย ของ คุณสิทธินัย จันทรานนท์ : ผู้อำนวยการสังกัดสำนักงานรองกรรมการผู้อำนวยการใหญ่ สายบริหารงานกฎหมาย และบริหารทั่วไป บริษัท การบินไทย จำกัด (มหาชน)