PDPA Success Story.
S.Khonkaen
S.Khonkaen
เนื้อหา
ประสบการณ์ก่อนเริ่มดำเนินโครงการ PDPA
ส.ขอนแก่น หรือ บริษัท ส. ขอนแก่นฟู้ดส์ จำกัด (มหาชน) เป็นหนึ่งในบริษัทขนาดใหญ่ที่มีการเก็บ รวบรวม ใช้ ข้อมูลส่วนบุคคลภายในองค์กร และต้องเผชิญกับความกดดันจากการที่ต้องปฏิบัติตามข้อกำหนดของกฎหมาย PDPA ในช่วงก่อนที่กฎหมายจะมีผลบังคับใช้
บริษัทเล็งเห็นถึงความสำคัญของกฎหมายและข้อมูลของลูกค้าที่อยู่ในระบบ จึงได้แต่งตั้งคณะทำงาน เพื่อกำกับดูแลโครงการ PDPA ให้ราบรื่น ทำให้ คุณวรพจน์ กิจสินธพชัย ผู้รับผิดชอบด้าน IT ได้เข้ามาดูแลโครงการ PDPA และทำหน้าที่เป็น DPO ที่ควบคุมดูแลกิจกรรม กระบวนการ และขับเคลื่อนโครงการ PDPA ในบริษัท ส.ขอนแก่นฟู้ดส์ จำกัด (มหาชน)
ในระยะแรกของการศึกษากฎหมาย ทีมผู้ดูแลโครงการ PDPA ของบริษัท ส. ขอนแก่น ต่างก็มีความกังวล เรื่องการตอบโจทย์ให้ทันตามกำหนด หรือสำเร็จโครงการ PDPA ก่อนที่กฎหมายจะมีผลบังคับใช้ ทว่าสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ประกาศเลื่อนการบังคบใช้กฎหมายออกไปอีก 1 ปี ประกาศนี้ส่งผลให้หลายๆ องค์กร รวมถึง ส.ขอนแก่น คลายความกังวลและลดความกดดันในปฏิบัติตามข้อกำหนดของกฎหมาย ซึ่งในความเป็นจริงแล้ว กระบวนการตอบโจทย์กฎหมาย PDPA และระยะเวลาเกือบ 1 ปีที่เหลืออยู่นั้น เป็นกรอบเวลาที่ยังท้าทาย ทีมดูแลโครงการ PDPA ของ ส.ขอนแก่น เพราะกระบวนการในการปฏิบัติตามกฎหมายอย่างครบถ้วน อาจต้องอาศัยระยะเวลาที่มากกว่า
เราดีใจที่เลื่อนบังคับใช้ PDPA ออกไป 1ปี แต่พอมารู้จริงๆ แล้ว Process ของเราใน1 ปี มันมีอะไรให้ทำค่อนข้างเยอะ ตั้งแต่การเปลี่ยน Process การทำ Data Discovery การเอาเทคโนโลยีมา input เข้าไปด้วย มันทำให้กังวลในช่วงต้นว่า เราจะทำยังไงดีให้มันทัน Comply ใน 1 มิถุนายน ปี 65 เพราะว่ากฎหมายฉบับนี้ค่อนข้างที่จะรุนแรง เพราะมีโทษทางกฎหมายแพ่ง กฎหมายอาญา กฎหมายปกครอง
ความท้าทายที่พบระหว่างดำเนินโครงการ PDPA
ส. ขอนแก่น เป็นองค์กรขนาดใหญ่ ที่นอกจากจะมีผลิตสินค้าเพื่อจำหน่ายในประเทศแล้ว ยังส่งออกผลิตภัณฑ์อาหารส่งออกไปยังประเทศ ผลิตภัณฑ์ของ ส.ขอนแก่น ถูกส่งออกไปยังหลายประเทศ ทั่วทุกภูมิภาคของโลก อาทิ สหรัฐอเมริกา เบลเยียม ญี่ปุ่น เกาหลี เวียดนาม อิสราเอล โปแลนด์ สวิตเซอร์แลนด์ สหราชอาณาจักร ไอร์แลนด์ ฯลฯ
ส. ขอนแก่น จึงเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล และเกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย คือ กฎหมาย PDPA จากการเก็บ รวบรวม ใช้ ข้อมูลส่วนบุคคลของลูกค้า คู่ค้า และพนักงาน อีกทั้งยังเกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของต่างประเทศ ซึ่งได้แก่ กฎหมาย GDPR ของสหภาพยุโรป จากการเก็บ รวบรวม ใช้ข้อมูลลูกค้าและคู่ค้าในประเทศปลายทางที่ซื้อสินค้าและผลิตภัณฑ์ของ ส.ขอนแก่น
กิจกรรมการประมวลผลข้อมูลส่วนบุคคลของ ส.ขอนแก่น จึงกลายเป็นความท้าทายของคณะทำงาน ที่จะต้องสำรวจกิจกรรมการประมวลผลข้อมูลส่วนบุคคลอย่างละเอียด ทว่าทีมดูแลโครงการ PDPA ยังคงกังวลเกี่ยวกับความครบถ้วนของข้อมูลส่วนบุคคลจำนวนมหาศาลที่ไหลเวียนอยู่ในองค์กร
ทำไมถึงเลือก t-reg Platform by Ragnar Corporation
ส. ขอนแก่นเป็นบริษัทที่ตื่นตัวกับกฎหมาย PDPA และมีความมุ่งมั่นที่จะดำเนินโครงการ PDPA ให้สำเร็จตามที่กฎหมายกำหนด ประกอบกับความตั้งใจที่จะตอบโจทย์กฎหมายให้ทันตามกรอบระยะเวลาที่กฎหมายกำหนด ทีมดูแลโครงการ PDPA จึงมองหาตัวช่วยที่จะเข้ามาแบางเบาภาระในการบริหารจัดการโครงการ PDPA ภายในองค์กร
จากการเปรียบเทียบกับผู้ให้บริการหลายรายในตลาด t-reg Platform จาก Ragnar Corporation เป็นแคทดิเดตที่ถูกเลือกให้เข้ามาดูแลโครงการ PDPA ของ ส.ขอนแก่น
จากแพลนที่ทาง t-reg วางให้ในด้าน PDPA ผมว่าตอบโจทย์ค่อนข้างมาก เพราะทาง t-reg จะแบ่ง Process ออกมาเป็น 4 อย่าง คือ People Process Technology Data 4 กลุ่มนี้มีผลต่อการทำโครงการ PDPA ค่อนข้างสูง เพราะใน 4 ขั้นตอนนี้มีวิธีการทำงานที่แตกแยกออกไป โดยที่ Structure จะถูกแบ่งแยกออกไปไม่เหมือนกัน ผมใช้ของ Ragnar มันทำให้เราค่อนข้างสบายใจ หลังจากที่ลองเทียบกับหลายๆ ที่มา
โครงการ PDPA สร้างการเปลี่ยนแปลงของบริษัทอย่างไรบ้าง
ความกดดัน ความกังวลซึ่งเกิดจากความท้าทายที่ต้องตอบโจทย์กฎหมายให้ทันเวลา รวมกับความไม่ชัดเจนของกฎหมายในระยะแรก ทำให้หลายๆ องค์กรรวมถึง ส.ขอนแก่น มีความไม่กระจ่างในขั้นตอนการปฏิบัติตามกฎหมาย และกังวลเกี่ยวกับกระบวนการที่เกี่ยวข้องกับ Consent, RoPA, Data Processing Agreement และขั้นตอนอื่นๆ ที่เกี่ยวข้องกับเทคโนโลยีและข้อมูลจำนวนมาก
หลังจากได้เริ่มดำเนินโครงการ PDPA โดยมีทีมผู้เชี่ยวชาญจาก t-reg คอยให้คำแนะนำและช่วยไกด์ไลน์แนวทางในการขับเคลื่อนโครงการ PDPA พร้อมกันทั้งระบบ จึงทำให้ ทีมดูแลโครงการ PDPA จาก ส.ขอนแก่นค้นพบว่า ในการทำตามข้อกำหนดของกฎหมาย PDPA ไม่เพียงให้ความสำคัญกับ Consent เท่านั้น แต่ยังรวมถึงการทำ Data Discovery เพื่อให้การทำ RoPA นั้นง่าย และเป็นพื้นฐานที่ต่อยอดไปสู่การทำขั้นตอนอื่นๆ ที่เกี่ยวข้อง
นอกจากนี้ทีมผู้เชี่ยวชาญจาก t-reg ช่วยให้ทีมจาก ส.ขอนแก่น เห็นภาพรวมทั้งหมดของโครงการ PDPA ได้ชัดเจน ซึ่งช่วยลดความกังวลอันเนื่องมาจากการที่ต้องทำงานแข่งกับเวลา และแข่งกับความไม่ชัดเจนของขั้นตอน ด้วยประสบการณ์และความเชี่ยวชาญของทีมที่ปรึกษา และแพลตฟอร์มกลางที่ช่วยจัดการข้อมูลที่กระจัดกระจายให้เข้ามารวมอยู่ในศูนย์กลางเดียวกัน ช่วยสร้างความเชื่อมั่นให้กับ ส.ขอนแก่น ว่าจะสามารถปฏิบัติตามข้อกำหนดของกฎหมายได้อย่างครบถ้วน และอยู่ในกรอบเวลาที่กฎหมายกำหนด นอกเหนือจากความเชื่อมั่น t-reg ยังช่วยให้ทีมฯ มองเห็นขั้นตอนต่างๆ ที่ต้องทำต่อเนื่องจาก RoPA รวมถึงการสร้างความตระหนักรู้ให้กับพนักงานในองค์กร
หลังจากร่วมงานกับ t-reg ตอนนี้เรารู้แล้ว ว่าหลักการของการทำ ROP หรือ Data List คือเราต้องไปทุกแผนก ไปหามาจาก Tool หรือแหล่งข้อมูลที่เป็น Excel หรือ Structure เพื่อเก็บข้อมูลที่เกี่ยวข้องกับ PDPA ตอนนี้เราได้รู้แล้วว่า สิ่งแรกคือ ข้อมูลที่อยู่ในมือเราทั้งหมด เป็น DATA ของลูกค้า หลังจากนั้นเราไปเข้าขั้นตอนต่อไปว่าเราจะต้องทำ Consent ไหม หรือต้องทำ Processing Agreement ไหม แล้วสุดท้ายค่อยไปใส่ในระบบ ตอนนี้ก็เลยลดข้อกังวลไปค่อนข้างเยอะ หลังจากผ่าน Step ที่1 ในการหาข้อมูลให้เจอ
Key Success ที่ทำให้องค์กรประสบความสำเร็จในการทำ PDPA
Medthodologies 3.0
หรือ แนวทางสำหรับการดำเนินโครงการ ที่เน้นการขับเคลื่อนพร้อมกันทั้งระบบ เพื่อเตรียมความพร้อม และต่อยอดพัฒนาการดำเนินการให้เป็นไปตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคล แนวทางการดำเนินโครงการของ t-reg ประกอบด้วยขั้นตอน 1. Educate 2. Aggregate และ 3. Execute ช่วยให้เห็นถึงขั้นตอนที่องค์กรมักคาดไม่ถึง หรือกิจกรรมที่ตกหล่นไปและช่วยทำให้องค์กรรวบรวมกิจกรรมการประมวลผลข้อมุลส่วนบุคคลได้ครบถ้วน
ความเข้าใจของทีมดูแลโครงการ
ทีมดูแลโครงการ PDPA ขององค์กร เป็นตัวเชื่อมสำคัญระหว่างทีมที่ปรึกษาและแผนกต่างๆ ขององค์กร และยังเป็น Core Team ที่ช่วยให้ข้อมูลแก่ทีมที่ปรึกษา อำนวยความสะดวกด้านการประสานงานกับบอร์ดบริหาร แผนกต่างๆ และเป็นผู้ที่มีความเข้าใจเกี่ยวกับขั้นตอนการดำเนินงานโครงการ PDPA สำหรับ ส.ขอนแก่น การมีทีมดูแลโครงการเป็นเจ้าหน้าที่ด้าน IT ช่วยให้การสื่อสารในเชิงเทคนิค และการ Implement แพลตฟอร์มมีความสะดวกยิ่งขึ้น ทีมดูแลโครงการ PDPA ขององค์กรจะเป็นผู้ที่ดูแลระบบและภาพรวมของโครงการ PDPA ต่อจากทีมที่ปรึกษาหลังหมดช่วงเวลาของการบริการ กลุ่มคนเหล่านี้จึงมีความสำคัญอย่างมากต่อความสำเร็จและความยั่งยืนในการทำ PDPA ขององค์กร
คำแนะนำถึงองค์กรที่กำลังจะเริ่มดำเนินโครงการ PDPA
ตอนนี้กฎหมาย PDPA ค่อนข้างจะมีผลกระทบ ข้อที่ควรคำนึงถึงมีอยู่ 2 point หลักๆ คือเรื่องของเวลา และเรื่องของคนที่มีความเชี่ยวชาญในการทำ PDPA ดังนั้น ถ้าเราได้คนที่มีความสามารถและเข้าใจในกฎหมาย มีเครื่องมือครบ มีเรื่องการทำให้คนตระหนักรู้ในเรื่องของกฎหมายนี้ได้ จะช่วยผ่อนแรงและลดภาระของทีมภายในได้เป็นอย่างดี
แม้จะยังไม่มีการดำเนินการขั้นร้ายแรง กับองค์กรที่ยังไม่ปฏิบัติตามขั้นตอนที่กฎหมาย PDPA ให้ครบถ้วนตามกรอบเวลาที่กำหนด ทว่าการดำเนินโครงการ PDPA ให้อยู่ในกรอบเวลาที่ชัดเจน จะช่วยให้องค์กรไม่เสียทรัพยากรโดยใช่เหตุ
การ Implement ได้เร็วจะช่วยให้องค์กรไม่เสียเวลาในการระงับกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ซึ่งอาจกระทบกับการดำเนินงานในส่วนอื่นๆ ช่วยลดภาระงานของทีมที่ดูแลโครงการ PDPA ที่หากดำเนินการเอง อาจใช้เวลานานกว่า หรือต้องพึ่งพาทรัพยากรบุคคลจำนวนมาก ประกอบกับการที่มีที่ปรึกษา จะช่วยให้การดำเนินการที่เกี่ยวข้องกับนโยบาย เอกสารสำคัญ และความถูกต้องตามข้อกฎหมาย มีความแม่นยำและครอบคลุมมากขึ้น
สำเร็จโครงการ PDPA ไปกับ t-reg
สำเร็จโครงการ PDPA
ไปกับ t-reg
สอบถามข้อมูลเพิ่มเติมเกี่ยวกับผลิตภัณฑ์ และบริการต่างๆของ t-reg เพื่อดูว่า t-reg สามารถตอบโจทย์ธุรกิจของคุณได้อย่างไร