แบงก์-ประกันรับมือกม.ข้อมูล ธุรกิจวุ่นจ้างที่ปรึกษาอุดรูรั่ว

ธุรกิจอลหม่านเตรียมพร้อมรับมือกฎหมายคุ้มครองข้อมูลส่วนบุคคล “แบงก์-ประกัน” จ้างที่ปรึกษากฎหมายปิดช่องโหว่ “กรุงศรี” ต้องรีวิวทุกสัญญา จัดระบบให้ลูกค้าเก่า “ยินยอมเปิดเผยข้อมูล” ปลดล็อกข้อจำกัดขยายธุรกรรมเพิ่มในอนาคต เคแบงก์ระดมทีม “KBTG” จัดการปัญหา ตั้งเป้า เม.ย. 63 ปิดความเสี่ยงข้อกฎหมาย สมาคมประกันเผย “บิ๊กโฟร์” งานล้นมือ บิ๊ก ซี.พี.พร้อมรับมือ

 

BAY จ้างเบเคอร์ฯ-PwC ปิดรูรั่ว

• ด่วน ! วอยซ์ ทีวี ประกาศปิดกิจการทุกแพลตฟอร์ม เลิกจ้าง 100 กว่าคน
• NETA X ขาย มิ.ย.นี้ ราคาไม่เกิน 1 ล้านบาท หลัง MOU สรรพสามิต
• ลูกแม่ค้าขายผัก-พ่อขับแท็กซี่ สู่เก้าอี้ “ปลัดพลังงาน” บทพิสูจน์ชีวิต “ดร.ประเสริฐ สินสุขประเสริฐ”

นายฐากร ปิยะพันธ์ ประธานกรรมการกรุงศรี คอนซูมเมอร์ และผู้บริหารสายงานดิจิทัลแบงกิ้งและนวัตกรรม ธนาคารกรุงศรีอยุธยา เปิดเผย “ประชาชาติธุรกิจ” ว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ที่จะมีผลบังคับใช้ในเดือน พ.ค. 2563 ต้องยอมรับว่าส่งผลกระทบต่อธุรกิจแบงก์ค่อนข้างมาก โดยในส่วนของกรุงศรีฯก็ได้ตั้งคณะกรรมการขึ้นมาดูแลเรื่องนี้

โดยเฉพาะ รวมถึงจ้างบริษัทที่ปรึกษาด้านกฎหมายและบัญชี ทั้งบริษัท “เบเคอร์ แอนด์ แม็คเค็นซี่” และ “ไพร้ซวอเตอร์เฮาส์คูเปอร์ส” เข้ามาช่วยอุดช่องว่าง แม้ว่ากฎหมายลูกจะยังไม่ชัดเจน แต่ธนาคารก็ต้องเริ่มดำเนินการโดยยึดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ไปก่อน

“ธนาคารได้จ้าง PwC กับเบเคอร์ฯ มาช่วยวางเฟรมเวิร์ก ว่าควรจะทำอะไรก่อน/หลัง สิ่งที่ธนาคารทำไว้กับสิ่งที่คาดว่ากฎหมายจะบังคับใช้ มีช่องว่างตรงไหนบ้าง เช่น การให้ความยินยอม (consent) เปิดเผยข้อมูลส่วนบุคคล รวมถึงการดูสัญญา ข้อกำหนดและเงื่อนไข เขียนไว้ครอบคลุมหรือเปล่า ต้องทบทวนหมด” นายฐากรกล่าว

รีวิวเอกสารสัญญาลูกค้า

สำหรับการให้ความยินยอมของลูกค้าภายใต้สัญญาใหม่ ๆ ไม่ค่อยมีปัญหาเพราะมีการเตรียมรับมืออยู่แล้ว แต่สำหรับลูกค้าเก่า ๆ อาจไม่ครอบคลุมและต้องขอให้ลูกค้าให้ความยินยอมใหม่ ก็ต้องหาวิธีหรือช่องทางที่เหมาะสม เช่น อาจต้องส่งเอสเอ็มเอส หรืออีเมล์แจ้งลูกค้า เพื่อให้มีการปรับปรุงเรื่องการยินยอมเปิดเผยข้อมูลใหม่ เพราะสำหรับลูกค้าเก่า ถ้าต้องการให้ลูกค้าทำธุรกรรมอะไรเพิ่มในอนาคต ก็ต้องมีการอัพเดตการยินยอมเปิดเผยข้อมูลกับลูกค้ารายนั้น ไม่เช่นนั้นธนาคารก็จะมีข้อจำกัดในการทำธุรกรรมกับลูกค้ารายนั้น

“ต้องมีการออกแบบระบบให้ดีด้วย เพราะกฎหมายใหม่ ลูกค้าสามารถขอลบข้อมูลที่เคยยินยอมไว้ได้ เช่น ลูกค้าปิดบัญชีแล้ว และขอให้ลบข้อมูลส่วนบุคคลออกด้วย เป็นต้น ซึ่งในอดีตไม่เคยมีการออกแบบเรื่องการลบข้อมูลมาก่อน ทำให้ต้องทำใหม่หมด” นายฐากรกล่าว

ผวาบทลงโทษ “อาญา”

กฎหมายฉบับนี้ไม่ได้กระทบเฉพาะธุรกิจแบงก์ แต่กระทบทุกธุรกิจ ซึ่งกรณีบริษัทขนาดใหญ่คงสามารถลงทุนเพื่อปรับปรุงให้เป็นไปตามกฎหมายได้ แต่บริษัทขนาดเล็กอาจจะลำบากพอสมควร โดย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลของไทย มีบทลงโทษที่รุนแรงกว่า GDPR ของยุโรป คือ มีโทษอาญาจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท และโทษทางปกครองด้วย ขณะที่ GDPR มีเฉพาะโทษทางเแพ่งอย่างเดียว

“การเตรียมการเรื่องนี้บอกได้เลยว่าเหนื่อยทุกภาคส่วน เพราะตอนนี้แค่คำนิยามว่า อะไรบ้าง คือ ข้อมูลส่วนบุคคล ก็ยังไม่ได้ข้อสรุปว่าอะไรตึงเกินไป หรืออะไรหย่อนเกินไป แต่ถ้ายึดตาม GDPR ทะเบียนรถยนต์ก็ถือว่าเป็นข้อมูลส่วนบุคคล เพราะสามารถติดตามหาเจ้าของได้ ที่ใช่แน่ ๆ ก็อย่างเลขบัตรประชาชน หมายเลขบัตรเครดิต 16 หลัก ซึ่งกฎหมายฉบับนี้จะระบุว่า เซตของข้อมูลที่ถือว่าเป็นข้อมูลส่วนบุคคล เพราะนำไปประกอบกันแล้วตามหาตัวได้ อย่างไรก็ตาม มีบางฝ่ายมองว่าอาจจะต้องเลื่อนบังคับใช้ไปอีกหนึ่งปี แต่เราคงรอไม่ได้ ต้องทำไว้ให้เสร็จก่อน” นายฐากรกล่าว

KBTG ดึงทีม 2.1 พันคนจัดการ

นายปรีดี ดาวฉาย ประธานสมาคมธนาคารไทย ระบุว่า 27 พ.ค. 2563 จะเริ่มการบังคับใช้ที่เกี่ยวกับเรื่องคุ้มครองข้อมูลส่วนบุคคล ซึ่งทางแบงก์ก็มีความกังวลในหลายส่วน เนื่องจากเป็นธุรกิจที่ต้องดูแลผู้ใช้บริการจำนวนมาก และไม่มีใครต้องการให้ข้อมูลของลูกค้าเกิดความเสียหายอยู่แล้ว ขณะที่กฎหมายได้ให้สิทธิกับเจ้าของข้อมูลค่อนข้างเยอะ

ขณะที่นายเรืองโรจน์ พูนผล ประธานกสิกร บิซิเนส เทคโนโลยี กรุ๊ป (KBTG) กล่าวว่า ปัจจุบันกสิกรไทยต้องเดินหน้าเตรียมความพร้อมไปก่อนเท่าที่สามารถตีความกฎหมายได้ ซึ่งก็ได้จ้างที่ปรึกษากฎหมายเข้ามาช่วยดูเพื่อให้ทันบังคับใช้ โดยตั้งเป้าหมายว่าภายในเดือน เม.ย. 2563 กสิกรไทยจะสามารถปิดช่องว่างต่าง ๆ ได้เสร็จเป็นไปตามที่กฎหมายกำหนด

“เราก็ต้องจ้างที่ปรึกษาภายนอกเข้ามาช่วย เนื่องจากต้องปรับเปลี่ยนเกือบทุกอย่าง ทั้งการบริหารจัดการเรื่องการให้ความยินยอมเปิดเผยข้อมูลของลูกค้า การจัดการถังข้อมูล การไม่เปิดเผยตัวตนลูกค้า สิทธิที่จะถูกลืม (right to be forgotten) ต้องแก้ทุกอย่างตั้งแต่ต้นทางยันปลายทาง ซึ่ง KBTG เรามีพนักงาน 2,100 คน เราก็โถมสรรพกำลังมาทำอันนี้กันหมดเลย” นายเรืองโรจน์กล่าว

“ประกันชีวิต” ลงทุนมหาศาล

ด้านนายสาระ ล่ำซำ กรรมการผู้จัดการและประธานเจ้าหน้าที่บริหาร บมจ.เมืองไทยประกันชีวิต (MTL) และอุปนายกฝ่ายการตลาด สมาคมประกันชีวิตไทย กล่าวกับ “ประชาชาติธุรกิจ” ว่า ที่ผ่านมาสมาคมได้เข้าหารือกับ นายสุทธิพล ทวีชัยการ เลขาธิการคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เรื่องการเตรียมความพร้อมการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลแล้ว ซึ่ง คปภ.ต้องมีการออกกฎหมายมารองรับเรื่องนี้ด้วย ในส่วนของเมืองไทยประกันชีวิตก็มีการตั้งทีมขึ้นมารับผิดชอบ และจ้างที่ปรึกษาเข้ามาช่วยดูเรื่องนี้เช่นกัน นอกจากนี้ บริษัทประกันยังต้องลงทุนเพิ่มอย่างมหาศาลเพื่อป้องกันข้อมูลลูกค้าไม่ให้รั่วไหลออกไป

“บริษัทประกันหลีกเลี่ยงไม่ได้ที่จะต้องทำงานร่วมกับพันธมิตร ฉะนั้น การผูกระบบร่วมกันจะต้องดูแลข้อมูลลูกค้าให้ปลอดภัยที่สุด รวมทั้งมิติของข้อมูลตัวแทนประกันชีวิตและพนักงานบริษัทด้วย โดยกฎหมายตัวนี้มีหลาย ๆ เรื่องที่คล้ายคลึง GDPR ของยุโรป แต่บทลงโทษไม่เหมือนกัน เพราะมีโทษทางอาญา ดังนั้น ต้องระวังที่สุด” นายสาระกล่าว

“บิ๊กโฟร์” งานล้นมือ

นายกิตติ ปิณฑวิรุจน์ เลขาธิการสมาคมประกันชีวิตไทย กล่าวว่า ตอนนี้ คปภ.และสมาคมได้ตั้งคณะกรรมการร่วมทำงานกันเรื่องนี้ โดยในส่วนของ คปภ.มีการจ้างบริษัทที่ปรึกษากฎหมาย เบเคอร์ แอนด์ แม็คเค็นซี่ ขณะที่ทางสมาคมอยู่ในกระบวนการสรรหาผู้เชี่ยวชาญเข้ามากำหนดแนวปฏิบัติในการรักษาความปลอดภัยของข้อมูล รวมไปถึงศึกษาช่องโหว่ต่าง ๆ เพื่อนำไปหารือกับ คปภ.อีกรอบ คาดว่าภายในเดือน พ.ย.นี้

จะได้ที่ปรึกษากฎหมาย และบัญชีเข้ามาช่วย ซึ่งกำลังประกวดราคากันอยู่ แต่อาจจะไม่ใช่ “บิ๊กโฟร์” เนื่องปัจจุบันบิ๊กโฟร์ติดภารกิจกับหน่วยงานอื่น ๆ อย่าง ดีลอยท์ฯ ทางสมาคมธนาคารไทยและอีกหลายแบงก์ ขณะที่ KPMG และ PwC ก็ปฏิเสธรับงานเพราะคนไม่พอ เนื่องจากเรื่องนี้ต้องเป็นความเชี่ยวชาญเฉพาะด้าน ส่วนการเตรียมพร้อมของแต่ละบริษัท นายกิตติกล่าวว่า ปัจจุบันบริษัทประกันชีวิตท็อป 10 ของตลาด จะมีบริษัทแม่ต่างประเทศที่มีการคุ้มครองข้อมูลส่วนบุุคคลตามเกณฑ์ GDPR อยู่แล้ว ก็สามารถนำมาปรับใช้กับบริษัทลูกได้โดยตรง หลายบริษัทจึงอาจไม่มีผลกระทบมากนัก แต่จะมีผลกระทบในลักษณะการเก็บข้อมูลการให้ความยินยอมของลูกค้า เนื่องจากในธุรกิจประกันไม่เคยเก็บข้อมูลเหล่านี้มาก่อน

กม.สำคัญเรียกความเชื่อมั่น

ด้าน นายศุภชัย เจียรวนนท์ ประธานคณะผู้บริหารเครือเจริญโภคภัณฑ์ และประธานกรรมการ บมจ.ทรู คอร์ปอเรชั่น กล่าวกับ “ประชาชาติธุรกิจ” ว่า การมีกฎหมายทั้ง 2 ฉบับ เป็นเรื่องดีที่จะยกระดับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ และการให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงจะสร้างความมั่นใจให้กับต่างชาติที่จะเข้ามาทำธุรกิจกับประเทศไทย นักลงทุน และบริษัทเทคโนโลยีต่าง ๆ ที่จะเข้ามาลงทุนในประเทศไทย โดยทุกองค์กรจำเป็นตั้งหน่วยงานเฉพาะขึ้นมารับผิดชอบด้านนี้โดยตรง ซึ่งในกลุ่มบริษัทก็ได้เตรียมพร้อมแล้ว

ขณะที่นายยงสิทธิ์ โรจน์ศรีกุล หัวหน้าคณะผู้บริหารกลุ่มลูกค้าองค์กร บมจ.แอดวานซ์ อินโฟร์ เซอร์วิส (เอไอเอส) กล่าวว่า ในส่วนของเอไอเอสตื่นตัวในการเตรียมความพร้อมเพื่อรับมือกฎหมายทั้ง 2 ฉบับ ซึ่งมีความสำคัญ ในฐานะที่เอไอเอสเป็นผู้ให้บริการโทรคมนาคมที่ดูแลลูกค้าจำนวนมาก ในฝั่งลูกค้า

โดยเฉพาะลูกค้าองค์กรที่เอไอเอสให้บริการโซลูชั่นด้านไซเบอร์ซีเคียวริตี้และดาต้านั้น ก็มีความตื่นตัวที่จะลงทุนในด้านนี้พอสมควร แต่ปัญหาคือเมื่อยังไม่มีกฎหมายลูกระบุรายละเอียดออกมา ทำให้แต่ละองค์กรยังไม่แน่ใจว่าจะต้องลงทุนระบบเพิ่มมากน้อยแค่ไหน ในส่วนนี้ต้องการความชัดเจนจากภาครัฐ และหากเป็นไปได้ อยากให้ภาครัฐมีกระบวนการอบรมให้ความรู้ที่ถูกต้องเกี่ยวกับการปฏิบัติตามกฎหมายด้วย เพราะเป็นกฎหมายที่เกี่ยวข้องทุกภาคส่วนในสังคม และมีบทลงโทษค่อนข้างสูง มีทั้งโทษปรับและจำคุก