‘บลูบิค กรุ๊ป’ ชี้องค์กรควรเตรียมบุคลากร–ปรับกลยุทธ์ ใช้ข้อมูลให้ถูกจุด หนุนเสริมการแข่งขัน
บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik Group) บริษัทที่ปรึกษาชั้นนำด้านกลยุทธ์และการจัดการด้วยนวัตกรรมและเทคโนโลยี แนะองค์กรควรใช้โอกาสที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) เลื่อนบังคับใช้ไปอีก 1 ปีให้เกิดประโยชน์สูงสุด จัดทัพเตรียมความพร้อมบุคลากร ปรับกลยุทธ์และแนวทางการทำงาน ให้เห็นความสำคัญ PDPA เกี่ยวข้องกับทุกภาคส่วนในองค์กร ไม่ใช่แค่ร่างเป็นแบบฟอร์มให้ผ่านทางกฎหมายเท่านั้น หากรู้จังหวะและความเหมาะสมการใช้ Data ก็จะช่วยพัฒนานวัตกรรมเสริมขีดความสามารถในการแข่งขันกับองค์กรได้ โดยมี 4 องค์ประกอบที่เป็นหัวใจหลักให้องค์กรปรับใช้ PDPA ได้ตรงตามวัตถุประสงค์
นางฉันทชา สุวรรณจิตร์ ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ Chief Operation Officer (COO) บริษัท บลูบิค กรุ๊ป จำกัด(Bluebik) บริษัทที่ปรึกษาด้านกลยุทธ์ และการจัดการนวัตกรรมและเทคโนโลยี เปิดเผยว่า เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ที่เดิมมีผลบังคับใช้ในวันที่ 28 พฤษภาคม 2563 นี้ ได้เลื่อนบังคับใช้ออกไปอีก 1 ปี โดยบทบาทสำคัญของ PDPA คือ การคุ้มครองข้อมูลส่วนบุคคล ที่ส่งผลกระทบโดยตรงต่อกระบวนการทำงานด้านการวิเคราะห์ข้อมูล (Data Analytics) ตั้งแต่ขั้นตอนจัดเก็บข้อมูล ตลอดจนถึงการนำไปใช้งานของหน่วยงานแต่ละฝ่ายในองค์กร
นางฉันทชากล่าวว่า แต่องค์กรควรใช้เวลา 1 ปีนี้ให้เกิดประโยชน์สูงสุด ตั้งแต่ไปสร้างความเข้าใจกับบุคลากรที่ถูกต้อง ปรับกลยุทธ์ และสร้างกระบวนการทำงานในองค์กรให้ทุกหน่วยงานเห็นความสำคัญของ PDPA โดยไม่ได้มองว่าเป็นเพียงหน้าที่ของฝ่ายกฎหมายที่ต้องร่างรายละเอียดการปฏิบัติให้ถูกกฎหมายเท่านั้น แต่ควรนำไปสู่การปรับและพัฒนาในกระบวนการทำงานขององค์กรเลย และดึงหน่วยงานทุกภาคส่วนเข้ามามีส่วนในกระบวนการทำงานให้มากที่สุด
นางฉันทชากล่าวว่า ทั้งนี้ PDPA ของไทยถูกแปลงมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป (GDPR) ที่มีต้นเหตุจากกรณีที่มีบริษัทชั้นนำของโลกทำข้อมูลลูกค้ารั่วไหลและมีคนนำข้อมูลเหล่านั้นไปใช้ประโยชน์อย่างอื่น แต่ไทยมีบทลงโทษที่มีความเข้มข้นน้อยกว่า ขณะที่ผ่านมาองค์กรในไทยอาจจะคุ้นเคยกับมาตรฐานสากลสำหรับระบบการจัดการความปลอดภัยของข้อมูลเช่น ISO 27001 ซึ่งจะทำหรือไม่ทำก็ไม่ได้มีความผิด แต่เมื่อเป็น PDPA แล้ว มีผลการบังคับใช้จริงจังเพราะถือเป็นกฎหมาย ดังนั้น หากมีการทำผิด เช่นเกิดการรั่วไหลของข้อมูลส่วนบุคคลขึ้นมา โดยไม่ได้มีมาตรการป้องกัน หรือ การรับมืออย่างเพียงพอและเหมาะสมจะถือว่ามีความผิดและต้องถูกลงโทษในทางกฎหมาย
“สิ่งสำคัญที่สุดคือ ต้องสร้างความเข้าใจใหม่ในองค์กรให้ได้ว่า เมื่อได้ Data มาจะสามารถทำอะไรกับ Data ก็ได้นั้นเป็นความเข้าใจที่ไม่ถูกต้อง เพราะความจริงองค์กรไม่ใช่เจ้าของข้อมูลของลูกค้า แต่องค์กรเป็นเพียงคนที่ดูแลข้อมูลและต้องดูแลข้อมูลนั้นให้มีความปลอดภัย พร้อมต้องดูด้วยว่าจะทำอย่างไรให้ข้อมูลที่ได้มานั้นเกิดประโยชน์สูงสุดต่อเจ้าของข้อมุล ถ้าหากองค์กรใช้สิทธิ์ในข้อมูลโดยไม่ได้ไตร่ตรอง อาจส่งผลกระทบต่อชื่อเสียงและความเชื่อมั่นของลูกค้าที่มีต่อองค์กรที่เป็นผู้ใช้ข้อมูลที่ขาดความตระหนักถึงสิทธิ์ในข้อมูลนั้น” นางฉันทชากล่าว
นางฉันทชากล่าวต่อว่า ที่ผ่านมาหลายองค์กรอาจทำ PDPA ขึ้นมาเพื่อให้ผ่านกระบวนการตามขั้นตอนทางกฎหมายที่จะเริ่มใช้เมื่อ 28 พฤษภาคม ซึ่งความจริงการปฏิบัติไม่ได้ทำในรูปเชิงของแบบฟอร์มเชิงกฎหมายเท่านั้น ยังมีรายละเอียดของตัวบทกฎหมายอีกมาก และถ้าไม่ทำให้เกิดความเข้าใจในองค์กรไปในทิศทางเดียวกัน หรือหากองค์กรทำตามตัวบทกฎหมายทุกข้อ ก็อาจกลายเป็นข้อจำกัดในการทำธุรกิจไปในที่สุด เนื่องจากอาจทำให้ฝ่ายการตลาดการประชาสัมพันธ์ ฝ่ายพัฒนาผลิตภัณฑ์ไม่สามารถใช้ประโยชน์ของข้อมูลที่ได้รับมาสร้างกลยุทธ์ หรือพัฒนานวัตกรรมเพื่อสร้างการเติบโตให้องค์กรได้เต็มที่
