]

t-reg PDPA Platform

t-reg (Thailand Regulatory Platform) แพลตฟอร์ม Reg-Tech เพื่อองค์กรไทยในวันที่กฎหมาย PDPA บังคับใช้

เนื้อหาในบทความ

บทสัมภาษณ์นี้จะพาทุกท่านมารู้จักกับแพลตฟอร์ม t-reg (Thailand Regulatory Platform) ที่จะช่วยให้องค์กรของคุณทำ PDPA ให้เป็นเรื่อง่าย และครบถ้วนทุกข้อกฎหมาย

ผู้เขียนได้มีโอกาสพูดคุยกับคุณวันพิชิต ชินตระกูลชัย หรือคุณเกี๊ยก CTO ของบริษัท Ragnar Corporation จำกัด ซึ่งเป็นธุรกิจ B2B Cyber Tech & Reg Tech startups สัญชาติไทยที่ให้บริการด้าน PDPA และ Cyber Security โดยเฉพาะ

ที่มาของ Thailand Regulatory Platform (t-reg) แพลตฟอร์ม PDPA สัญชาติไทย

ถ้าจะเล่าเกี่ยวกับความเป็นมาของ t-reg ก็อาจจะต้องย้อนกลับไปตั้งแต่เรื่องของการ transform ธุรกิจของบริษัทเรา คือก่อนหน้านี้เราทำธุรกิจแนวบริการ SI (System Integrator) ในเรื่องของการติดตั้งอุปกรณ์ cyber security ที่ไม่มีการทำ Network และ Server แต่เน้นไปที่ Cyber Security อย่างเดียว

หลังจากเริ่มธุรกิจทางด้าน SI ได้สักพัก รัฐบาลได้มีการประกาศใช้กฎหมายดิจิทัลออกมา ทางเราจึงตอบสนองตัวกฎหมายนี้ด้วยการให้บริการที่ปรึกษาหรือ Consult ซึ่งเมื่อดำเนินงานไปได้สักพัก ทำให้เราพบว่า ในหลาย ๆ งานยังไม่ครอบคลุมสเกลที่มีอยู่ เพราะกว่าจะได้ที่ปรึกษามา 1 คนนั้นเป็นเรื่องที่ยากมาก ๆ เนื่องจากกระบวนการที่ปรึกษา ตัวผู้ให้คำปรึกษาต้องลงไปเก็บข้อมูลด้วยตนเองผ่านการสัมภาษณ์ และสิ่งที่ส่งมอบไปให้ก็คือรายงาน 1 เล่ม และลูกค้าก็นำรายงานจากทางเราไปจัดหาอุปกรณ์ หรือปรับปรุงกระบวนให้เป็นไปตามที่ทางเราแนะนำ ซึ่งกว่าจะจบกระบวนการนึงหรือ ครบข้อกฎหมายกำหนดนั้นใช้เวลานานมาก ทางเราเลยมองเห็นโอกาสจากปัญหาตรงนี้

เมื่อเห็นโอกาส เราจึงตั้งคำถามว่า

“ เราสามารถทำให้กระบวนการ Cyber security รวดเร็วกว่านี้ได้หรือเปล่า? ใช้เวลาในกระบวนการต่าง ๆ นี้ได้น้อยลงกว่าเดิมหรือไม่? ”

จากข้อนี้เราจึงสร้าง platform ที่มีชื่อว่า t-reg ขึ้นมา ช่วงพัฒนาแรก ๆ เราก็นำมาใช้ภายในให้ Consult ใช้งานเวลาให้คำปรึกษา แต่ ณ ปัจจุบันเราได้พัฒนาตัว t-reg ให้ลูกค้า สามารถใช้งานเองได้

ภาพ Dash Board ของ Thailand Regulatory Platform (t-reg)
หน้า Dashboard ของ t-reg

พัฒนาการของ t-reg ตั้งแต่เริ่มจนถึงปัจจุบัน ทำอย่างไรให้แพลตฟอร์มเข้าใจผู้ใช้มากที่สุด

จากที่ผมเล่ามาก่อนหน้านี้เกี่ยวที่มาของแพลตฟอร์ม t-reg ที่เมื่อก่อนให้บริการด้านการคำปรึกษาอย่างเดียว และเราได้เห็นปัญหาในเรื่องของระยะเวลาในการทำตามกระบวนการต่าง ๆ ให้ถูกกฎหมายนานเกินไป จึงสร้างแพลตฟอร์มนี้ขึ้นมา

แรกเริ่มคือให้ที่ปรึกษาในบริษัทของเราใช้ โดยก่อนเริ่มทำ PDPA มีสิ่งที่เราต้องทำเป็นอย่างแรกก็คือการทำ RoP  (Records of processing activities)  เพื่อให้องค์กรที่เราให้คำปรึกษาได้เห็นก่อนว่าในองค์กรของลูกค้าใช้ข้อมูลส่วนบุคคลไปกับงานส่วนไหน อย่างไรบ้าง ซึ่งก่อนหน้านี้ทางที่ปรึกษาของบริษัทจะทำเป็นไฟล์ excel แนบไปกับรายงาน โดยกว่าจะได้ RoP มาในแต่ครั้งต้องไปสัมภาษณ์หลายฝ่าย แล้วนำข้อมูลมากรอกลง excel ซึ่งข้อมูลส่วนนี้สามารถปรับเปลี่ยนได้ตลอดเวลาตั้งแต่เริ่มจนจบโครงการ ซึ่งทำให้ต้องการอัพเดตตลอดเวลา และใช้เวลานานในการทำ เพราะต้องส่งไปให้ฝ่ายอื่น ตรวจสอบ และรีวิวกลับมา

ถึงแม้จะปรับไปใช้ document on cloud อย่าง Google sheet และ Google Doc ต่าง ๆ ก็ยังพบปัญหาว่าข้อมูลบางส่วนมีการแก้ไขโดยที่เราไม่สามารถรู้ได้ว่าใครเป็นคนแก้ไข และแก้ไขไปตอนไหน ก็เลยสร้างแพลตฟอร์ม t-reg ตัวนี้ออกมา

ช่วงแรกเป็นเครื่องมือสำหรับที่ปรึกษาเพียงอย่างเดียว แต่ในภายหลังก็นำมาให้ลูกค้าเครื่องมือแบบที่ไม่มีการให้คำปรึกษาก็พบว่ายังไม่เวิร์กเหมือนกันเพราะว่ากฎหมาย PDPA และตัวแพลตฟอร์มนี้เป็นเรื่องใหม่ ดังนั้นจึงมีการปรับจูนใหม่อีกครั้งให้ตรงกับ Customer Experience คือต้องมีที่ปรึกษาพร้อมกับ t-reg ไปด้วยกัน

โดยการทางผู้ให้คำปรึกษาของทางบริษัทเราก็จะมีการทำงานตาม Methodology 3.0 ซึ่งเป็นกระบวนการให้คำปรึกษาที่ถูกออกแบบมาประสานงานกันระหว่างงานที่ปรึกษา และตัว t-reg สามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพและมีความรวดเร็วมากยิ่งขึ้น  

Methodology 3.0 กับ t-reg
Methodology 3.0 ของ t-reg

จากเคสการใช้งาน ทำให้ผู้ใช้ t-reg เข้าใจ และปฏิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง

จริง ๆ แล้วในส่วนของข้อมูล PDPA ถ้าเรามองเคสการใช้งาน เราจะมองเป็น 2 ด้านก็คือด้านข้อมูลขาเข้า และข้อมูลขาออก  ข้อมูลขาเข้าจะเกี่ยวข้องในเรื่องของการทำ consent หรือขอความยินยอมในการเก็บใช้เผยแพร่ข้อมูลส่วนบุคคล โดยตัว t-reg ของเรานี้จะมี toolkit ที่สามารถนำไปแปะตามเว็บไซต์ หรือแบบฟอร์มต่าง ๆ กระทั่งเป็น API ของลูกค้าที่เก็บข้อมูล consent เข้ามาเก็บที่ t-reg ซึ่งเราจะพบเคสส่วนใหญ่ในเรื่องนี้ ไม่ว่าจะเป็นในรูปแบบ consent ที่อยู่บนเว็บ, ใบสมัคร และคุกกี้บนเว็บไซต์ต่าง ๆ 

ส่วนอีกเคสจะเป็นเรื่องเกี่ยวกับการนำข้อมูลไปใช้ ซึ่งเกี่ยวข้องกับฝ่ายการตลาด ฝ่ายดูแลลลูกค้าสัมพันธ์ที่ต้องเข้ามาตรวจสอบใน t-reg ว่าลูกค้าแต่ละท่าน consent ในข้อมูลส่วนไหนบ้าง และท่านไหนที่เราสามารถนำข้อมูลไปทำการตลาด

นอกจากนี้ยังมีการทำ RoP ภายในองค์กร ตัว t-reg ของเราก็จะมี Dashboard แสดงให้ผู้ใช้เห็นถึงภาพรวมของข้อมูลส่วนบุคคลต่าง ๆ ไม่ว่าจะเป็นจัดเก็บข้อมูลใดบ้าง มีข้อมูลอ่อนไหวอะไรบ้างที่ถูกจัดเก็บ จัดเก็บไว้ในที่ และมีแผนกไหนใช้ข้อมูลส่วนบุคคลบ้าง

รวมถึงเคสของการทำ Gap Analysis หรือ Sales Assessment แพลตฟอร์ม t-reg ของเราก็จะมีฟังก์ชันให้ทาง DPO สามารถเข้าไปประเมินได้ว่าองค์กรของเราทำ PDPA ไปแล้วกี่ % มีส่วนไหนบ้างที่เป็น Gap หรือว่าต้องไปทำเพิ่มเพื่อให้ comply กับกฎหมาย PDPA จากที่กล่าวมาทั้งหมดก็จะเป็น Business Case หลัก ๆ ที่เกี่ยวข้องกับแพลตฟอร์ม t-reg 

ไม่หยุดที่จะพัฒนา t-reg ให้องค์กรสามารถใช้งานแพลตฟอร์มนี้ได้แบบไม่สะดุด

ในส่วนของ t-reg ที่เกี่ยวข้องกับกฎหมาย PDPA เมื่อย้อนกลับไปในช่วง 1-2 ปีที่แล้ว จุดที่ยากก็น่าจะเป็นเรื่องของการเริ่มต้น เพราะข้อมูลต่าง ๆ และ business ที่เกี่ยวข้องในประเทศไทยยังน้อย จึงเกิดคำถามว่า consent ต้องทำอย่างไร แปะไว้ส่วนไหนบ้าง

แต่ในปัจจุบันเริ่มมี practice ออกมาค่อนข้างเยอะ และองค์กรในไทยมี awareness ค่อนข้างสูงขึ้น จุดที่ยากเลยเปลี่ยนจากความรู้ด้านกฎหมาย และ practice ต่าง ๆ เป็นการออกแบบการทำงานของ t-reg อย่างไรให้การทำงานของลูกค้าที่เป็นผู้ใช้ไม่สะดุด พร้อมกับการปฏิบัติตามกฎหมาย PDPA ไปด้วยเช่น ทำอย่างไรให้ฝ่ายการตลาด ฝ่ายการขาย หรือลูกค้าสัมพันธ์สามารถใช้ข้อมูลลูกค้าได้เหมือนก่อนที่กฎหมายบังคับใช้

ดังนั้นสิ่งที่ t-reg จะ focus ใน road map อนาคตเลยก็คือ เน้นไปที่การ integration เช่นเมื่อทางทีม product ทำเว็บไซต์ขึ้นมาใหม่ เราจะทำอย่างไรให้ consent ถูกแปะและเก็บที่ t-reg อย่างรวดเร็ว โดยที่ผู้ใช้แพลตฟอร์มไม่ต้องกังวลเรื่องการ integration นอกจากนี้ยังมองเห็นถึงการนำ t-reg ไปใช้กับ product อื่น ๆ ที่ลูกค้าใช้งานเช่น office365, google form หรือ Microsoft form ได้อย่าง seamless

การประยุกต์ t-reg กับ PDPA
การประยุกต์ t-reg กับ Cookie Policy

อยากยกระดับองค์กรไทยให้เท่าทันมาตรฐานสากลแบบทั่วถึงทุกภาคส่วน

ด้วยความที่ประเทศไทยได้ออกกฎหมายเกี่ยวกับ Cyber Security และ PDPA ออกมาเพื่อรองรับสังคมดิจิทัล ทางบริษัท Ragnar ของเราก็ได้ปฏิบัติตามกฎหมายที่ออกมาเช่นเดียวกัน อย่างช่วงแรกที่เราทำแบบ SI ที่ขาย Cyber Security Solution หรือว่าตัว Reg-Tech จากต่างประเทศ เราก็พบว่าลูกค้าของเราเป็นแบบลูกค้าไฮ-เอนด์ หรือว่าระดับใหญ่ในประเทศนั้น ซึ่งก็เกิดคำถามในใจว่าทำไมมาตรฐานสากลที่เกี่ยวกับเรื่อง Cyber Security และ PDPA ถึงต้องใช้การลงทุนสูงมากทั้งเรื่องของเงิน และเวลา ทำให้องค์กรขนาดกลาง หรือขนาดเล็กไม่สามารถปฏิบัติตามมาตรฐานสากล ด้วยทรัพยากรในองค์กรที่มีอย่างจำกัด เราเลยมองว่า t-reg ของเราเนี่ยเป็นตัว springboard ที่ไม่ว่าองค์กรขนาดเล็ก หรือกลางสามารถนำมาตรฐานสากลต่าง ๆ มา implement โดยต้นทุนที่ไม่สูงมากทั้งในเรื่องของค่าใช้จ่าย และเวลา

อีกสิ่งหนึ่งที่เรานึกถึงเลยก็คือเรื่องของการให้ความรู้ สำหรับองค์กรบางแห่งที่มีจำนวนพนักงานอยู่ที่ 10-50 คน และอาจจะไม่ได้จำเป็นต้องใช้แพลตฟอร์มทำ PDPA สามารถใช้วิธีเดิมในการจัดการข้อมูลให้ comply กับกฎหมาย PDPA ได้ผ่าน excel หรือ google sheet ทางเราก็ได้คิดค้นโครงการ opensource ที่มีชื่อว่า “OpenPDPA” ที่จะมีการแจกเอกสาร template document นโยนบายความเป็นส่วนตัวต่าง ๆ ที่สามารถนำไปใช้ได้ฟรี

ดังนั้นผมมองว่าสิ่งที่ t-reg สามารถช่วยสังคมไทยได้ ก็คือการนำมาตรฐานสากลที่เกี่ยวกับ Cyber Security และ มา implement ให้แก่องค์กรในไทยได้อย่างทั่วถึงทุกภาคส่วน และการให้ความรู้เกี่ยว Cyber Tech และ Reg Tech แบบที่เราถนัด

แสดงความมั่นใจให้คู่ค้าระหว่างประเทศด้วยการ comply กฎหมาย PDPA

หลายท่านอาจจะมองว่าการทำให้ comply กับตัวกฎหมาย PDPA อาจจะมีเรื่องของต้นทุน แต่ในเคสของต่างประเทศมองว่าส่วนนี้เป็นการลงทุน (investment) กล่าวคือก่อนที่เราจะทำตามกฎหมาย PDPA เพราะว่าในสากลก็มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเช่นกัน อย่างใน EU ที่เรารู้กันในชื่อของ GDPR และหลาย ๆ ประเทศก็ปฏิบัติตามกฎหมายตัวนี้ ซึ่งประเทศไหนที่ยังไม่ได้ทำตามกฎหมาย GDPR ทาง EU ก็จะแจ้งเตือนประชาชนให้ระวังเรื่องการทำธุรกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลกับบริษัทที่มาจากประเทศนั้น ๆ

ฉะนั้นถ้าเราไม่มีมาตรฐาน หรือไม่ทำตามกฎหมาย PDPA  เราก็จะไม่สามารถเข้าถึงโอกาสทางด้านการค้า และอื่น ๆ ได้ ต่างชาติก็จะมองว่าบริษัทของเรายังไม่ได้มาตรฐาน ดังนั้นการทำตามกฎหมาย PDPA นี้ก็ถือว่าเป็นการยกระดับบริษัทของท่านให้เท่าทันกับข้อปฏิบัติหรือ กฎหมายของต่างประเทศ ซึ่งหลาย ๆ องค์กรที่เป็นลูกค้าของ t-reg ก็ใช้บริการของเราในการริเริ่มทำสิ่งอื่น ๆ ต่อเช่นการทำ Digital Transformation ด้วยการรวมถังข้อมูลของลูกค้ามาไว้ที่เดียว และการทำ Preference Management รู้ว่าลูกค้าต้องการอะไรจากบริษัทของเรา ทำให้เราเก็บข้อมูลลูกค้าน้อยลง และสามารถนำข้อมูลที่ได้ให้ฝ่ายการตลาดทำข้อมูลได้อย่างตรงจุดมากยิ่งขึ้น ซึ่งสิ่งนี้ก็เป็น opportunity ที่เรามองเห็นจากการทำ PDPA ด้วยแพลตฟอร์ม t-reg ของเราครับ   

FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

RELATED POST
important PDPA
t-reg knowledge

สรุปสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล!

ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อมูลส่วนตัวรวมทั้งข้อมูลการใช้งานของ User ถ้าหากเก็บรวบรวมดีๆ จะมีมูลค่ามหาศาล แต่นั่นเป็นดาบสองคมที่อาจทำให้มีผู้ไม่ประสงค์ดีขโมยข้อมูลไปใช้

อ่านต่อ »
AI
t-reg knowledge

AI เพื่อการคุ้มครองข้อมูลส่วนบุคคล อนาคตด้านความปลอดภัยที่เป็นไปได้

เป็นที่รู้กันดีว่า เทคโนโลยีปัญญาประดิษฐ์ (AI) ได้รับความนิยมอย่างมากในปัจจุบัน นอกจากจะถูกนำมาประยุกต์ใช้ในธุรกิจ กิจการ กิจกรรมต่างๆ มากมายแล้ว

อ่านต่อ »
PDPA คืออะไร
t-reg knowledge

PDPA คืออะไร ?

PDPA ย่อมาจาก Personal Data Protection Act พ.ร.บ. นี้เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

อ่านต่อ »
ข้อมูลส่วนบุคคล ลูกเสือ
t-reg news

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

จงเตรียมพร้อม ไม่ได้ใช้เพื่อปฏิญาณในฐานะลูกเสือแค่นั้น แต่ CyberSecurity ก็ใช้ด้วย เพราะล่าสุด ข้อมูลส่วนบุคคล รั่วไหลเกิดกับเหล่า Scout แล้ว

อ่านต่อ »
pdpa thailand
t-reg knowledge

สรุปเทรนด์ PDPA Thailand 4 เดือนหลังประกาศใช้ พร้อมทำความเข้าใจ PDPA X Digital Transformation

ธุรกิจไทยได้รู้จักกับกฎหมาย PDPA กฎหมายเพิ่มเติม แนวทางย่อย และรู้จักกับเครื่องมือในการทำโครงการ PDPA กันบ้างแล้ว หลายๆ

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่