กล่าวกันว่า ในภาคส่วนของงานสัมมนา “PDPA Executive Practices Sharing เผยกลยุทธ์ความสำเร็จการจัดการข้อมูลส่วนบุคคลขององค์กรชั้นนำ” นอกจากจะมีผู้เชี่ยวชาญในแวดวงตลาดหลักทรัพย์ และกฎหมายแล้ว หากในภาคถัดไปที่เกี่ยวข้องกับการสัมมนาในหัวข้อ “Lean from the Best ทำอย่างไรให้ตอบโจทย์ธุรกิจ” ก็นับเป็นอีกหนึ่งหัวข้อที่มีความสนใจไม่แพ้กัน
เพราะนอกจากจะมี “เข็มจริยา ธีรพงษ์” ผู้อำนวยการฝ่ายกำกับการปฏิบัติงาน และ DPO (Data Protection Officer) ธนาคารเพื่อการส่งออกและนำเข้าแห่งประเทศไทย (EXIM Bank) มาร่วมพูดคุย หากยังมี “อภิวรรณน์ อักษรสุวรรณ” DPO (Data Protection Officer) บริษัท ไออาร์พีซี จำกัด (มหาชน) “บุษบา วิริยานนท์” ผู้อำนวยการกองกฎหมาย และ “ภัทราภร วิมลรัตน์” นิติกรงานปรึกษาด้านกฎหมาย และคดี การท่องเที่ยวแห่งประเทศไทย (ททท.) มาร่วมพูดคุยด้วย
- เปิด 10 อันดับที่ดินต่างจังหวัด แพงสุดในประเทศไทย
- ธุรกิจถอยสิ้นยุคกัญชาเสรี จ่อปิดหมื่นร้าน-สินค้าโบกมือลา
- เปิดค่าซ่อม “รถอีวี vs รถใช้น้ำมัน” แพงกว่ากันเท่าไร
ขณะเดียวกันก็ยังมี “ธนวรรชร์ บุนนาค” ผู้ช่วยผู้อำนวยการกฎหมาย และ DPO บริษัท เอก-ชัย ดีสทริบิวชั่น ซิสเทม จำกัด (โลตัส) มาแลกเปลี่ยนมุมมองด้วย
ปรับเกณฑ์รับวัฒนธรรมองค์กร
เบื้องต้น “เข็มจริยา” กล่าวว่า EXIM Bank เริ่มต้นการทำเรื่อง PDPA (Personal Data Protection Act) ตั้งแต่ปลายปี’61 ตอนที่มีข้อบังคับในกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลความเป็นส่วนตัว และเขตเศรษฐกิจในยุโรป (General Data Protection Regulation-GDPR) มีผลบังคับใช้ และเนื่องจากเราเป็นธนาคารเพื่อการส่งออกและนำเข้า ทำให้ได้รับผลกระทบปลาย ๆ ของด้านการคุ้มครองข้อมูลส่วนบุคคลของทางยุโรป
“กฎหมายฉบับนี้มีข้อดีคือเปิดโอกาสให้เราออกแบบให้เข้ากับวัฒนธรรมองค์กร แต่ยังคงปฏิบัติตามกฎหมายอยู่ โดยสิ่งหนึ่งที่เรานึกถึงเสมอคือในฐานะเจ้าของข้อมูล คงไม่อยากให้ใครทำอะไรกับข้อมูลของเรา ขณะเดียวกัน เราก็ไม่ทำสิ่งนั้นกับข้อมูลส่วนบุคคลของคนอื่น”
“ดังนั้น ในหลาย ๆ เรื่องที่ทำ โดยเฉพาะเรื่องกระบวนการออกแบบ พบว่าข้อดีของกฎหมายฉบับนี้คือเปิดโอกาสให้ออกแบบหลักเกณฑ์ภายใน เพื่อให้เข้ากับวัฒนธรรมองค์กร ด้วยการออกแบบนโยบาย ระเบียบ คู่มือให้สอดคล้องกับเกณฑ์ภายในที่มีอยู่ ทั้งยังเป็นหลักการเขียนตามที่พนักงานคุ้นเคย ถึงแม้จะมีที่ปรึกษา แต่เราไม่ได้จ้างที่ปรึกษาที่นำแพตเทิร์นอันเดียวที่ให้กับทุกองค์กรมาสวมให้ เพราะอ่านแล้วจะงง และไม่รู้ว่าจะทำยังไงต่อ หรือเกณฑ์ตัวนี้เขียนแบบนี้แปลว่าอะไร”
“จากประสบการณ์การใช้ที่ปรึกษาพบว่าบางครั้งที่ปรึกษาไม่เข้าใจวัฒนธรรมองค์กรของเรา และภาษาของที่ปรึกษาจะเป็นภาษาที่เข้าใจยาก คนทั่วไปอ่านไม่ค่อยเข้าใจ โดยเฉพาะบางอย่างที่เป็นเกณฑ์ของต่างชาติ เราจึงต้องให้เขาอธิบายในสิ่งที่เขาเขียน ดังนั้น สิ่งที่ทำเพื่อให้กฎระเบียบด้านข้อมูลส่วนบุคคลจึงเป็นเรื่องธรรมดา ๆ ในองค์กร เหมือนกฎเกณฑ์อื่น ๆ ในองค์กรที่พนักงานต้องปฏิบัติตาม เราจึงปรับให้กฎเกณฑ์เหล่านั้นออกแบบตามวัฒนธรรมองค์กร เขียนลักษณะเดียวกัน เพื่อให้พนักงานปรับตัวน้อยมากในการรวบรวมตาม PDPA”
IRPC ย้ำตามเทคโนโลยีให้ทัน
ขณะที่ “อภิวรรณน์” กล่าวเพิ่มเติมว่า IRPC ถูกกำกับดูแลโดยตลาดหลักทรัพย์ฯ ซึ่งแนวทางการทำ PDPA มาจากโมเดลของ ก.ล.ต. เพราะเขามีการดูแลข้อมูลส่วนบุคคลที่น่าเชื่อถือได้ นอกจากนี้ IRPC ก็มี ปตท. ซึ่งเป็นบริษัทแม่ดูแลกำกับในเรื่องการปฏิบัติให้เป็นไปตามกฎเกณฑ์ด้วย โดยผ่าน way of conduct หรือคู่มือของบริษัทลูกที่ต้องปฏิบัติตามวิถีทางนี้ โดยเฉพาะการปฏิบัติตามในเรื่องของกฎหมาย
“นอกจากนี้ IRPC ยังมี stakeholders ไม่ว่าจะเป็นผู้ถือหุ้น ลูกค้า คู่ค้า เพื่อน เจ้าหนี้ หน่วยงานภาครัฐ ชุมชน สังคม สิ่งแวดล้อม และสำคัญเหนืออื่นใดคือเรามีพนักงานมากกว่า 4 พันคน ทั้งหมดนี้มีการเก็บข้อมูลส่วนบุคคลจำนวนมากในระดับมาตรฐานสากล ดังนั้น การปฏิบัติตามข้อกำหนดขององค์กรให้เป็นรูปธรรม ถือว่าเป็นพื้นฐานของบริษัทที่มีการดำเนินการติดต่อค้าขาย หรืออยู่ในสังคมในภาคธุรกิจที่ต้องมีการติดต่อสื่อสารกันระหว่างประเทศ”
“เพราะถือเป็นการการันตีบริษัทว่ามีการปฏิบัติตามกฎหมาย ซึ่งมีบริษัทลูกค้า หรือคู่ค้ามาจากประเทศอังกฤษ, อเมริกา หรือประเทศในยุโรปที่จะมีการมาประเมินบริษัทก่อนที่จะตกลงซื้อสินค้าในหลาย ๆ ผลิตภัณฑ์ของเรา เนื่องจากผลิตภัณฑ์ของเราเป็นสารเคมี แต่ผู้ค้า คู่ค้าก็มีบริษัทแม่ และบริษัทแม่ก็ประเมินบริษัทลูก และลูกค้าต้องมาประเมินบริษัทเราเป็นทอด ๆ โดยเขาจะประเมินทุกตัวกฎหมายที่เกี่ยวข้องกับธุรกิจ แต่ก่อนอาจประเมินเรื่องสิ่งแวดล้อมเป็นหลัก”
“ปัจจุบันเนื่องจากเทคโนโลยีเร็วมาก ทั้งยังมีไอที และดิจิทัลเข้ามามีบทบาทอย่างมาก ดังนั้นเรื่องข้อมูลของลูกค้า และคู่ค้า จึงเป็นสิ่งที่บริษัทต้องให้ความสำคัญในการดูแล เพราะนี่คือมาตรฐานสากลที่องค์กรต้องมีโปรแกรมการปฏิบัติตามข้อกำหนดขององค์กร โดยเฉพาะองค์กรที่ต้องติดต่อกับนานาประเทศ และองค์กรของเราจะต้องมีประสิทธิภาพเรื่องนี้ด้วย”
ททท.จัดกลุ่มข้อมูลส่วนบุคคล
ถึงตรงนี้ “บุษบา” และ “ภัทราภร” จึงมองในมุมของนักกฎหมายเพิ่มเติมว่า ททท.ตั้งคณะกรรมการขึ้นมาเพื่อปฏิบัติการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เมื่อเดือนสิงหาคม 2561 ทั้งยังมีการดำเนินการเกี่ยวกับจ้างเหมาให้ทำการยินยอมขึ้นมา ด้วยการทำนโยบายความเป็นส่วนตัวออกมาใช้ ตอนนี้เราเดินหน้าทำการศึกษา โดยจ้างที่ปรึกษาให้เข้ามาดูว่า เรื่องของการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปนี้จะสามารถทำอะไรได้บ้าง ? และจะต้องปรับตัวอย่างไร ?
“เพราะในความเป็นจริง ททท.มีการเก็บข้อมูลเยอะมาก แต่ยังกระจัดกระจาย เพราะสำนักงานสาขาต่างประเทศแต่ละแห่งเก็บเอง และใช้เอง ไม่ได้ส่งข้อมูลมาที่ส่วนกลาง หรือแม้กระทั่งส่วนกลาง ไม่ว่าจะเป็นการตลาดในประเทศ เราก็เก็บของเรา แม้กระทั่งหน่วยงานวิจัยก็เก็บข้อมูลเองทั้งสิ้น จึงต้องหันกลับมาดูว่าควรทำอย่างไร เพื่อดำเนินการในเรื่องนี้บ้าง”
“ถ้าเฉพาะส่วนของประเทศไทยต้องบอกว่า กฎหมาย GDPR คุ้มครองคนสัญชาติยุโรปที่อยู่ทั่วโลก ดังนั้นไม่ว่าจะเป็นคนทำงาน นักวิ่ง นักกีฬาที่ถือสัญชาติยุโรป เราไม่สามารถแยกได้ว่าคนนี้จะขอความยินยอมได้หรือไม่ เพราะบางคนเป็นเอเชีย แต่ถือสัญชาติยุโรปก็มี จึงต้องขอให้หมด ด้วยการให้ความรู้ และความเข้าใจระหว่างเจ้าหน้าที่หน่วยงานภายในของ ททท.ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลทั้งหมด”
ดังนั้น สำหรับแนวทางการดำเนินการในอนาคต “บุษบา” และ “ภัทราภร” จึงมองคล้าย ๆ กันว่า สิ่งที่จะต้องทำต่อไปมีดังนี้ คือ
หนึ่ง การจัดทำบูรณาการขององค์กร เพื่อจะทราบโครงสร้างข้อมูลทั้งหมดขององค์กร ไม่ว่าจะเป็น ข้อมูลการท่องเที่ยว ข้อมูลส่วนบุคคล เพื่อทำนโยบายต่อไป
สอง กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลของแต่ละหน่วยงานภายใน ตอนนี้มี call center ที่เป็นหน่วยงานนำร่อง โดยมีการกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลของ call center เนื่องจากที่นี่มีการรับข้อมูลร้องเรียน หรือข้อมูลการท่องเที่ยวต่าง ๆ ซึ่งเราจะมีการเก็บข้อมูลส่วนบุคคล ไม่ว่าจะเป็น ชื่อ นามสกุล หรือหมายเลขโทรศัพท์ติดต่อกลับ เพื่อให้ความรู้กับ call center ด้วย
สาม กำหนดนโยบายการจัดการข้อมูลขององค์กร รวมถึงข้อมูลเก่าว่าจะจัดการอย่างไร จะลบทั้งหมดแล้วดำเนินการทำใหม่ดีไหม ตอนนี้กำลังกำหนดนโยบายอยู่
สี่ จัดทำคู่มือแนวทางการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้ประกอบธุรกิจในอุตสาหกรรมท่องเที่ยว
ห้า อบรมผู้ประกอบธุรกิจในอุตสาหกรรมท่องเที่ยว
หก จัดทำกฎข้อบังคับของบริษัทที่มีผลผูกพัน โดยเรามีการแชร์ข้อมูลกับสำนักงานต่างประเทศ ยิ่งเฉพาะสำนักงานในยุโรป ทั้งยังมีการส่งข้อมูลกลับมาที่กล่องเก็บที่อยู่ใน server ที่ประเทศไทย รวมไปถึงการแชร์ข้อมูลระหว่างสำนักงานด้วยกัน
เจ็ด แจ้งตัวแทนคุ้มครองข้อมูลสำหรับสำนักงานสาขาในสหภาพยุโรป
ความเชื่อถือจากลูกค้าคืออาวุธ
สำหรับ “ธนวรรชร์” กลับมองในเรื่องของประโยชน์อื่น ๆ ที่แตกต่างจากมุมมองในเรื่องกฎหมายว่านอกเหนือจากการที่ผู้บริหารเห็นความสำคัญ และเล็งเห็นถึงคุณค่าของการดำเนินการตาม GDPR และ PDPA ยังเล็งเห็นว่า การดำเนินการในเรื่องนี้ยังได้รับประโยชน์ในมุมมองอื่น ๆ ด้วย นอกเหนือจากการดำเนินการตามกฎหมาย ได้แก่
หนึ่ง ความไว้วางใจจากลูกค้า เนื่องจากปัจจุบันโซเชียลมีเดียมีการแพร่กระจายไปอย่างรวดเร็ว ดังนั้น การที่จะให้ความคุ้มครอง และดูแลข้อมูลส่วนบุคคลของลูกค้า นอกจากจะต้องปฏิบัติตามกฎหมายแล้ว ยังได้ความเชื่อถือจากลูกค้าด้วย
สอง ความไว้วางใจของพนักงาน และการสร้างความสัมพันธ์ ดังจะเห็นว่าบริษัทดำเนินการเรื่องนี้อย่างจริงจัง มีการปกป้องการใช้ข้อมูลส่วนบุคคลของพนักงาน ถึงแม้จะเป็นลูกจ้าง แต่จะต้องใช้กฎหมาย และให้ถูกต้องด้วย
สาม โอกาสทางธุรกิจ เนื่องจากการทำเรื่องโปรแกรมส่วนบุคคล ถ้าจัดระเบียบให้ถูกต้องจะรู้แน่ชัดว่า ข้อมูลเราอยู่ตรงไหน และนำมาใช้ทำอะไรได้บ้าง หรือมากน้อยอย่างไร นอกจากนี้ยังสามารถลดต้นทุนต่าง ๆ อีกด้วย
สี่ กฎหมายคุ้มครองข้อมูล และหน่วยงานกำกับดูแลของประเทศไทย เพื่อทำตามกฎหมายที่กำหนด
ห้า การละเมิดข้อมูลมีผลกระทบทางการเงิน และชื่อเสียงที่สำคัญ เพราะจะช่วยลดความเสี่ยงในการฝ่าฝืนการกระทำใด ๆ ที่ขัดต่อกฎหมาย ทั้งยังส่งผลกระทบต่อองค์กร นอกเหนือไปจากค่าปรับ ซึ่งกฎหมาย PDPA ของประเทศไทย ค่าปรับอยู่ที่ 3-5 ล้านบาท ทั้งนั้นขึ้นอยู่กับกรณี และยังมีโทษอาญาอีกด้วย ในขณะที่ GDPR ค่าปรับจะสูงมาก จึงต้องระวังในเรื่องนี้
หก ธุรกิจที่รับผิดชอบ : การปฏิบัติตามข้อกำหนดที่ดีขึ้น เนื่องจากการทำโปรแกรมการปฏิบัติตามกฎระเบียบจะทำให้บริษัทดูมีความรับผิดชอบต่อสังคม ที่สำคัญ การเป็นธุรกิจที่มีความรับผิดชอบต่อสังคมจะทำให้เห็นจุดบกพร่องว่าอยู่ตรงไหนบ้าง ? มากน้อยอย่างไร ?
ทั้งหมดนี้ล้วนเป็นเรื่องเฉพาะทาง ที่จะต้องศึกษาข้อมูลอย่างละเอียดถี่ถ้วน ถึงจะเข้าใจ
