5. How to make sure that all employees who touch personal data on daily basis have proper awareness on data protection?
Q. จะแน่ใจได้อย่างไรว่าพนักงานทุกคนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในการทำงานทุกๆวันจะมีความตระหนักอย่างเหมาะสมด้านการคุ้มครองข้อมูลส่วนบุคคล
Ms. Yulia กล่าวว่า การการอบรมที่มีเนื้อหาน่าสนุก น่าสนใจ และการมีปฎิสัมพันธ์ แบบ ถาม-ตอบระหว่างการอบรม ช่วยให้การเรียนรู้เป็นไปอย่างมีประสิทธิภาพ โดยทั้งนี้ต้องแน่ใจว่าผู้เข้าอบรมมีความเข้าใจในข้อมูลส่วนบุคคลและกระบวนการต่างๆ ที่เกี่ยวข้อง
นอกจากนี้ในส่วนที่ว่า จะแน่ใจได้อย่างไรว่าคู่ค้าทางธุรกิจหรือผู้ประมวลผลข้อมูลนั้นจะดำเนินการสอดคล้องกับ พรบ. PDPA Ms. Yulia ได้ยกตัวอย่างว่ากฎหมาย General Data Protection Regulation (GDPR) ของกลุ่มประเทศยุโรป โดยมีเอกสารสัญญาการประมวลผลข้อมูลมากมาย ดังนั้นจึงมีการจัดทำ template เพื่อใช้กับ GDPR และนำมาประยุกต์ใช้กับ PDPA ด้วย
พร้อมทั้งมีการระบุ contractual obligation ลงไปเพื่อให้มั่นใจได้ว่าคู่ค้าทางธุรกิจหรือผู้ประมวลผลข้อมูลนั้นจะดำเนินการสอดคล้องกับ พรบ. PDPA รวมไปถึงการทำ due diligence หรือแบบสอบถาม (questionnaire) เพื่อดูความสามารถ ของคู่ค้าทางธุรกิจหรือผู้ประมวลผลข้อมูลซึ่งอาจขอใบรับรองหรืออาจมีผู้ตรวจสอบจากภายนอกมาช่วยตรวจสอบ (audit) ด้วยกรณีที่ข้อมูลมีความเสี่ยงสูง
6. Do you think PDPA will help driving the culture of data protection within Thailand comparing to the privacy culture within EU after the enforcement of GDPR?
คุณคิดว่า พรบ. PDPA จะช่วยผลักดันวัฒนธรรมของการคุ้มครองข้อมูลส่วนบุคคลเมื่อเปรียบเทียบกับทางสหภาพยุโรปเมื่อครั้งบังคับใช้กฎหมาย GDPR อย่างไร
อาจารย์ศุภกร ชี้แจงว่า เนื่องจากประเทศไทยมักจะมีการใช้สำเนาบัตรประชาชนทั้งนี้น่าจะมีการเปลี่ยนแปลงมากขึ้น โดยที่ในภาครัฐก็จะมีความระมัดระวังมากขึ้นในเรื่องของการดำเนินการ
Ms. Yulia ให้ความเห็นเพิ่มเติมว่าปัจจุบันประเทศไทยให้ความสำคัญกับเรื่องข้อมูลส่วนบุคคลเป็นอย่างมาก (privacy conscious country) ดังนั้นจึงคิดว่า พรบ. PDPA นี้จะเป็นประโยชน์อย่างมากต่อภาคธุรกิจและเศรษฐกิจของประเทศไทย Mr. Alex กล่าวยกตัวอย่างกรณีในสหภาพยุโรป (Europe Union – EU) ซึ่งมี 3 องค์ประกอบที่ช่วยผลักดัน คือ
1. EU มีหน่วยงานที่กำกับดูแล (regulator) ที่คอยดำเนินการตรวจสอบ (audit) บริษัทต่างๆ
2. EU มีบทลงโทษต่างๆ และจำนวนเงินค่าปรับที่สูง
3. EU มีการผลักดันจากหน่วยงานที่กำกับดูแลร่วมกับนิติบุคคลต่างๆ เฉกเช่นเดียวกับประเทศไทยในขณะนี้ เห็นได้จาก แผนแม่บทการดำเนินงานด้านการส่งเสริมและการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2564 – 2568 มหาวิทยาลัยหอการค้าไทย, สถาบันวิจัยเพื่อการพัฒนาประเทศไทย (TDRI) ในส่วนของร่าง Sectors Specific Guideline for PDPA, และจุฬาลงกรณ์มหาวิทยาลัย Thailand Data Protection Guidelines 3.1
โดยแรงผลักดันและขับเคลื่อนดังกล่าวจะสร้างวัฒนธรรมของการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพของประเทศไทย และ คุณศาศวัต ได้ให้ข้อเสนอแนะในเรื่องของการสร้างความตระหนักรู้ในวงกว้างเนื่องจากยังมีประชาชนอีกมากที่ยังไม่เข้าใจในพรบ. PDPA นี้
ในแง่การให้ความสำคัญของข้อมูล (Emphasis) ซึ่งในกิจกรรมกรรมดังกล่าวส่วนประเด็นผลประโยชน์ (Benefit) ที่จะได้ของภาคเอกชน SMEs และหน่วยงานภาครัฐ สามารถนำไปปรับใช้เพื่อสร้างความสอดคล้องกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งในกิจกรรมกรรมดังกล่าวมีการซักประเด็นถาม ตอบ ดังต่อไปนี้ มีการซักประเด็นถาม ตอบ ดังต่อไปนี้
1. What would be the benefit of PDPA to business?
Q. อะไรคือประโยชน์ของ PDPA ที่มีต่อธุรกิจ
Ms. Yulia ให้ความเห็นว่า การคุ้มครองข้อมูลส่วนบุคคลล้วนเกี่ยวกับความน่าเชื่อถือ (data protection is about trust) ขององค์กรจะถูกมองว่าดีและสร้างความเขื่อมั่นจากสายตาของบุคคลภายนอกได้ ดังกรณี เช่นการรั่วไหลของข้อมูลกรณี Marriot ในปี 2018 นั้น ส่งผลต่อมูลค่าหุ้นที่ลดลงทันที 7%, มูลค่าตราสินค้า (brand value) ลดลง 8% และ รายได้ลดลงถึง 30% ซึ่งไม่คุ้มค่ากับความเสี่ยงเป็นอย่างมาก มีงานวิจัยว่าค่าเฉลี่ยของความเสียหายจากการรั่วไหลอยู่ที่ 3.8 ล้านเหรียญดอลลาร์
อาจารย์ศุภกร กล่าวเสริมในเรื่องการทำ data protection ซึ่งมีความคุ้มค่าในแง่ของการป้องกันปัญหาเมื่อเทียบกับความเสียหายที่อาจเกิดขึ้น ขององค์กร
2. How can we measure Return on Privacy Investment?
Q. เราจะวัดผลตอบแทนจากการลงทุน (ROI) ด้านการคุ้มครองข้อมูลส่วนบุคคลได้อย่างไร
Ms. Yulia ยกตัวเลขทางการวิจัยในยุโรปและที่อื่นๆว่าประมาณ 89% ของผู้บริโภคให้ความสำคัญต่อข้อมูลส่วนบุคคล และเกือบถึง 30% ของผู้บริโภคที่จะเปลี่ยนไปใช้รายอื่นหากพบว่าผู้ให้บริการนั้นไม่มีมาตรการหรือดำเนินการไม่สอดคล้องกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะก่อให้เกิดการละเมิดหรือรั่วไหลของข้อมูล
ทุกๆปัญหาที่เกิดขึ้นจากการละเมิดหรือรั่วไหลของข้อมูลล้วนก่อให้เกิดค่าใช้จ่ายที่สูงมาก ไม่ว่าจะเป็นในด้านการทำ forensics, investigation, crisis management และการทำประชาสัมพันธ์ (PR) เพื่อแก้ไขภาพลักษณ์องค์กร ดังกล่าว ซึ่งยังไม่รวมถึงความสูญเสียทางธุรกิจ และ ค่าปรับต่างๆ จากผลสำรวจพบว่า 60% ของเหตุละเมิดหรือรั่วไหลของข้อมูลเป็นความผิดพลาดที่เกิดจากคน (human error)
ดังนั้นแม้เป็นการฝึกอบรมขั้นพื้นฐานด้านข้อมูลส่วนบุคคลให้กับพนักงานภายในองค์กร เพื่อก่อให้เกิดศักยภาพด้านการคุ้มครองข้อมูลส่วนบุคคล ก็สามารถทำให้เกิด ROI ได้ถึง 7 เท่า และยิ่งถ้าเป็นการฝึกอบรมที่เหมาะสมจะสามารถทำให้เกิด ROI ได้ถึง 37 เท่า ต่อการลงทุนในการจัดการเรื่องดังกล่าว
3. How can we create opportunities?
Q. เราจะสร้างโอกาสได้อย่างไร
Mr. Alex ได้แนะนำเรื่องการสร้างโอกาสดังนี้
1. การขยายไปสู่การรับรองด้วยมาตรฐาน ISO 27701, งานตรวจสอบ
2. การฝึกอบรมบุคลากร, การออกใบรับรองบุคลากร, การให้บริการ DPO Outsourcing
3. กรณีที่เป็น Data Processor ที่มีมาตรฐานในการประมวลผลข้อมูล จะสร้างโอกาสทางธุรกิจร่วมกับ Data Controller ต่างๆ และ
คุณศาศวัต ได้กล่าวเสริมโดยยกตัวอย่างในกรณีของ ISO 27001 ที่นำไปใช้กับ Data Center อย่างแพร่หลายและผู้ใช้บริการล้วนให้ความสำคัญกับการมีมาตรฐานนี้
Ms.Yulia กล่าวเสริมว่าการดำเนินการตาม พรบ. PDPA ช่วยสร้างโอกาสที่จะสะท้อนให้เห็นถึงการพัฒนาภายในขององค์กรซึ่งช่วยให้เห็นกระบวนการต่างๆชัดเจนยิ่งขึ้นก่อให้เกิดการดำเนินงานอย่างมีประสิทธิภาพและประสิทธิผล
อาจารย์ศุภกร การดำเนินการด้าน PDPA จะช่วยรักษาฐานลูกค้าและสร้างความเชื่อมั่นได้ อีกทั้งยังเป็นโอกาสที่จะได้ฐานลูกค้าใหม่ๆที่เปลี่ยนจากผู้ให้บริการเดิมอีกด้วย
ซึ่งถ้าหากหน่วยงานไหน ที่อยากพัฒนาขีดความสามารถ ขีดความแข่งขันเชิงได้เปรียบของบุคลากรขององค์การท่าน เพื่อเตรียมความพร้อมกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และด้านอื่นๆที่เกี่ยวข้อง
ACinfotec มีหลักสูตรของ IAPP Certification Programs ด้าน Information Privacy อาทิ CIPP CIPM CIPT ซึ่งเหมาะกับวัตุประสงค์และหน้าที่ของบุคลากรด้านการคุ้มครองข้อมูลส่วนบุคคลที่แตกต่างกันออกไป ซึ่ง ACinfotec ได้รับการรับรองว่าเป็น certified training center ของ IAPP อีกด้วย
หากองค์ไหนที่สนใจ PDPA Services สามารถติดต่อสอบถามทีมฝ่ายขายได้ที่ [email protected] หรือ โทร. 02-6708980-3 หรือสนใจหลักสูตรอบรมสามารถสอบถามเพิ่มเติมได้ที่ [email protected]
