รีบดู พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ก่อนบังคับใช้ พ.ค.นี้
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 จะมีผลบังคับใช้ในวันที่ 28
พฤษภาคม 2563 นี้
พรบ.ฉบับนี้จะเข้ามาเปลี่ยนแปลงและเป็นตัวแปรสำคัญที่จะส่งผลกระทบต่อกระบวนการทำงานด้านการวิเคราะห์ข้อมูล
(Data Analytics) นับตั้งแต่ขั้นตอนจัดเก็บข้อมูล
ไปจนถึงการนำไปใช้งาน
ปัจจุบันข้อมูลถือเป็น “สินทรัพย์” สำคัญสำหรับองค์กรที่สามารถนำมาสร้างเป็น Insight ช่วยให้หลายองค์กรรู้จักตัวเองและลูกค้าอย่างถ่องแท้ นำไปสู่การนำเสนอสินค้าและบริการได้อย่างตรงใจ อีกทั้งข้อมูลส่วนบุคคลถือเป็น “หัวใจ” สำคัญ สำหรับการทำ Big Data Analytics เพื่อหาสิ่งเชื่อมโยงของข้อมูลเหล่านั้นไว้ด้วยกัน นำไปค้นหาแนวโน้มทางการตลาด หาความต้องการของลูกค้า รวมทั้งข้อมูลอื่น ๆ ที่เป็นประโยชน์ต่อธุรกิจ
ไม่พลาดทุกข้อมูล ข่าวสารที่น่าสนใจ อย่าลืมกดไลก์ Facebook bangkokbanksme
เมื่อถึงวันที่ พ.ร.บ. ดังกล่าวจะถูกบังคับใช้โดยกฎหมาย
องค์กรจะต้องดำเนินการจัดเก็บและใช้ข้อมูลส่วนบุคคลให้ถูกต้องและรัดกุม โดยมีเรื่องที่ต้องศึกษาและทำความเข้าใจ
4 หัวข้อหลักด้วยกัน คือ
1. การขอความยินยอมจากเจ้าของข้อมูล
เริ่มตั้งแต่การเก็บรวบรวม การใช้งาน หรือการเปิดเผยข้อมูลต่อบุคคลอื่น
ต้องได้รับการยินยอมเป็นลายลักษณ์อักษร และต้องไม่กระทำเกินกว่าที่ขอความยินยอมไว้
2. การแจ้งวัตถุประสงค์ในการใช้ข้อมูลต่อเจ้าของข้อมูล
ต้องชัดเจนและเข้าใจได้โดยง่าย ระบุระยะเวลาการจัดเก็บข้อมูลที่ชัดเจน
3. การรักษาความปลอดภัยของข้อมูล
(Data Security) ต้องได้มาตรฐาน
4. สิทธิของเจ้าของข้อมูล
ต้องมีการกำหนดสิทธิการเข้าถึง ส่งผลให้องค์กรต้องมีระบบในการรองรับสิทธิของเจ้าของข้อมูล
เช่นกรณีที่เจ้าของข้อมูลขอให้องค์กรลบข้อมูลส่วนบุคคลของตนเอง
องค์กรจะต้องดำเนินการลบข้อมูลเหล่านั้นออก “ทั้งระบบ” เป็นต้น
ทั้งนี้เพื่อเตรียมความพร้อมขององค์กร
บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik) ที่ปรึกษาด้านกลยุทธ์ และการจัดการนวัตกรรมและเทคโนโลยี
แนะเตรียมพร้อมองค์กรให้เข้ากับหลักเกณฑ์ พ.ร.บ. ดังกล่าว มี 3 ขั้นตอน ดังนี้
1. ขั้นต้นน้ำ องค์กรควรประเมินขีดความสามารถและความพร้อมของระบบต่างๆ
ในองค์กร อาทิ โครงสร้างและระบบด้านไอที (IT
Infrastructure) เพื่อหาช่องว่างที่ต้องปรับปรุงให้สามารถรองรับการดำเนินงานตาม
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล รวมทั้งประเมินกระบวนการทำงาน (Process) โดยจะต้องดูตั้งแต่ขั้นตอนการขอความยินยอมจากเจ้าของข้อมูล (Consent)
การจัดเก็บและบริหารจัดการข้อมูลและต้องมีแผนว่าจะจัดเก็บข้อมูลในอนาคตอย่างไร
2. ขั้นกลางน้ำ องค์กรควรวางแผนในการจัดทำธรรมาภิบาลข้อมูล
(Data Governance) ตั้งแต่การจำแนกข้อมูล (Data Classification) ไปจนถึงการกำหนดมาตรการในการปกป้องข้อมูลต่างๆ
การวางแผนและการคัดเลือกเครื่องมือในการปกป้องข้อมูล เช่น เครื่องมือในการทำ Data
Masking (การปกปิดข้อมูลส่วนบุคคลบางอย่างที่ปรากฏอยู่ในฐานข้อมูล) Data
Encryption (การรักษาความปลอดภัยด้านข้อมูลผ่านการเข้ารหัสข้อมูล)
เป็นต้น รวมทั้งการวางแผนวางระบบไอทีที่ต้องสอดคล้องกับ พ.ร.บ.คุ้มครองส่วนบุคคล
3. ขั้นปลายน้ำ องค์กรควรมีทีมงานเฉพาะกิจในการวางแผนและบริหารจัดการ เพื่อผลักดันให้การปฏิบัติตามกฎหมาย (Implementation) เป็นไปอย่างถูกต้องและมีประสิทธิภาพ โดยคณะทำงานนี้ควรเป็นมาจากตัวแทนที่เหมาะสมจากแต่ละฝ่ายงานที่เกี่ยวข้อง เพื่อให้มั่นใจได้ว่าการบริหารจัดการข้อมูลสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลรวมทั้งเป็นไปตามเป้าหมายเชิงยุทธศาสตร์ได้
องค์กรธุรกิจจะต้องเตรียมความพร้อมเพื่อรับมือกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยต้องประเมินทั้งในเชิงนโยบาย กระบวนการทำงานและเทคโนโลยีขององค์กร ดำเนินการให้สอดคล้องกับกฎหมายเพื่อสร้างความน่าเชื่อถือขององค์กรและแบรนด์ในอนาคต