ธุรกิจไทยได้รู้จักกับกฎหมาย PDPA กฎหมายเพิ่มเติม แนวทางย่อย และรู้จักกับเครื่องมือในการทำโครงการ PDPA กันบ้างแล้ว หลายๆ องค์กรสำเร็จโครงการ PDPA ตามที่กฎหมายกำหนดเป็นที่เรียบร้อยแล้ว บางองค์กรที่เคยสำเร็จโครงการ ก็ได้เจอกับความท้าทายใหม่ ที่ทำให้ต้องหาเครื่องมือมาช่วยให้โครงการเดินหน้าต่อได้ และยังมีองค์กรอีกไม่น้อย ที่กำลังเริ่มโครงการ PDPA
ในบทความนี้ t-reg สรุปเทรนด์ PDPA Thailand พร้อมความเคลื่อนไหวที่เกิดขึ้นในแวดวงธุรกิจ และชวนผู้อ่านทำความเข้าใจเรื่อง Digital Transformation ก้าวถัดไปของกฎหมาย PDPA
PDPA Thailand: 4 เดือนหลัง PDPA บังคับใช้ ธุรกิจและชีวิตเปลี่ยนไปอย่างไรบ้าง?
เป็นเวลาเกือบ 4 เดือนที่กฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ในประเทศไทย ปรากฎการณ์ที่เกิดขึ้นช่วงปลายก่อนที่กฎหมายจะมีผลบังคับใช้ และช่วงต้นของการบังคับใช้ คือองค์กรขนาดใหญ่และธุรกิจที่มีการประมวลผลข้อมูลส่วนบุคคล มีความกระตือรือร้นในการศึกษากฎหมาย และมุ่งปฏิบัติตามข้อกำหนดที่กฎหมาย PDPA ประกาศ
หลายธุรกิจ ที่มีการเก็บรวบรวม ใช้และเผยแพร่ข้อมูลส่วนบุคคล ผ่านช่องทางต่างๆ เริ่มมีการเคลื่อนไหวทั้งในเชิงนโยบายและการปฏิบัติ เว็บไซต์ของแบรนด์ให้ความสำคัญกับ Cookie Consent และ Privacy Policy มากยิ่งขึ้น บางองค์กรมีการแต่งตั้งคณะทำงาน เพื่อกำกับดูแลโครงการ PDPA โดยเฉพาะ และมีการแต่งตั้ง DPO ทำหน้าที่กำกับดูแลการประมวลผลข้อมูลส่วนบุคคลภายในองค์กร ขณะเดียวกัน การเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคลในเชิงธุรกิจมีขั้นตอนที่เข้มงวดมากขึ้น มีการแจ้งต่อเจ้าของข้อมูลอย่างเป็นลายลักษณ์อักษร โดยอ้างอิงกฎหมาย PDPA บ่อยครั้ง
ตลอด 4 เดือน สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส) ได้ประกาศกฎหมายเพิ่มเติมอีก 4 ฉบับ ตามมาด้วยประกาศแนวทางย่อยอีก 2 แนวทาง ทำให้กระแสของกฎหมาย PDPA ในแวดวงธุรกิจยังคงมีการถูกพูดถึงอยู่เป็นระยะๆ แม้ยังไม่มีการฟ้องร้องหรือลงโทษองค์กรฐานละเมิดกฎหมาย PDPA ซึ่งสอดคล้องกับท่าทีของ PDPC ที่เคยเปิดเผยออกมาว่า ภายในปี 2565 จะยังไม่มีการดำเนินการฟ้องร้อง แต่จะเน้นไปที่การตักเตือนและแนะนำแนวทางแก้ไข จากท่าทีของ PDPC ทำให้ความตึงเครียดที่เกิดขึ้นกับหลายๆ องค์กรที่ยังไม่ริเริ่มทำตามแนวปฏิบัติของกฎหมาย เริ่มคลี่คลายลง ทว่าองค์กรยังต้องดำเนินตามแนวปฏิบัติของกฎหมายให้เสร็จสิ้น จึงจะถือเป็นการปฏิบัติตามกติกากลาง และหลีกเลี่ยงบทลงโทษที่จะเข้มงวดขึ้นในปีถัดๆ ไป
แม้จะพึ่งเริ่มบังคับใช้กฎหมายอย่างเป็นทางการเมื่อ 1 มิถุนายนที่ผ่านมา ทว่าการเกิดขึ้นของกฎหมาย PDPA ได้สร้างผลกระทบต่อวงการธุรกิจและชีวิตประจำวันของบุคคลได้ไม่น้อย หัวข้อนี้เราจะพาผู้อ่านไปสำรวจว่า หลังจากที่มีการบังคับใช้กฎหมาย PDPA แล้ว เกิดผลดีต่อชีวิตและธุรกิจอย่างไร
ประโยชน์ของ PDPA ต่อธุรกิจไทย

เจ้าของข้อมูลส่วนบุคคลมีสิทธิในข้อมูลของตนเอง
ในมุมของผู้ใช้บริการ ลูกค้า หรือเจ้าของข้อมูลส่วนบุคคล การเกิดขึ้นของ PDPA เปรียบได้กับ Life Guard ที่คอยช่วยพิทักษ์ความปลอดภัยให้กับข้อมูลส่วนบุคคล ความคุ้มครองจากกฎหมาย PDPA เปรียบได้กับการมอบอำนาจคืนให้แก่เจ้าของข้อมูล ให้มีสิทธิและมีเสียงเหนือข้อมูลส่วนบุคคลของตนเอง ช่วยเพิ่มและคงไว้ซึ่งความเป็นส่วนตัว ทำให้ถูกล่วงล้ำหรือละเมิดความเป็นส่วนตัวลดลง
การที่หน่วยงานหรือองค์กร ช่วยประชาสัมพันธ์และกระจายข่าวสารเกี่ยวกับกฎหมาย PDPA ถือเป็นการให้ความรู้ สร้างความเข้าใจให้กับประชาชน ช่วยให้คนทั่วไป ตระหนักรู้ถึงความสำคัญของข้อมูล และเป็นการสร้างการตระหนักรู้เกี่ยวกับสิทธิตามกฎหมายของเจ้าของข้อมูลส่วนบุคคล ดังจะเห็นได้จากกระแสข่าวในช่วง 1-2 เดือนหลังการบังคับใช้ สื่อและหลายๆ องค์กรได้ประชาสัมพันธ์เกี่ยวกับกฎหมาย PDPA อย่างต่อเนื่อง ทำให้เกิดกระแสการตื่นรู้ในสังคมเป็นวงกว้าง ทั้งต่อเจ้าของข้อมูลส่วนบุคคล และบริษัท แบรนด์ องค์กรที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล
ใช้สิทธิได้
ก่อนการมาถึงของกฎหมาย การอ้างสิทธิในข้อมูลส่วนบุคคลและความเป็นส่วนตัว มีความละเอียดอ่อน และยุ่งยาก เนื่องจากไม่มีกฎหมายรองรับโดยตรง กรณีที่เกิดการละเมิดความเป็นส่วนตัวขึ้น จึงมักใช้ พ.ร.บ. คอมพิวเตอร์ เป็นกฎหมายอ้างอิงในการฟ้องร้องดำเนินคดี ทว่า พ.ร.บ. คอมพิวเตอร์ ไม่ครอบคลุมถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล แต่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ครอบคลุมทั้งการให้สิทธิและคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล
เมื่อเจ้าของข้อมูลส่วนบุคคลได้ให้การยินยอม (Consent) แก่ผู้ประมวลผลข้อมูลส่วนบุคคลแล้ว สามารถใช้ สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) เป็นฐานในกรณีที่ต้องการดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคล
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) ได้แก่

อีเมลเสนอขาย การขายตรง และ Call Center
กฎหมาย PDPA กำหนดให้แบรนด์หรือผู้ให้บริการ ต้องดำเนินการขอคำยินยอมจากเจ้าของข้อมูส่วนบุคคล ก่อนที่จะทำการประมวลผลข้อมูลส่วนบุคคล หรือ ดำเนินกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น Cookies website อีเมลแนะนำโปรโมชั่นหรือเสนอขายสินค้า/ บริการ การโทร หรือการส่ง SMS, MMS เสนอขายสินค้า/ บริการ
กิจกรรมที่กล่าวมานี้ ล้วนต้องมีการแจ้งให้ผู้ใช้บริการ ผู้ซื้อ ในฐานะที่เป็นเจ้าของข้อมูลส่วนบุคคล ทราบก่อนเสมอ หากผู้ใช้บริการหรือผู้ซื้อยินยอมให้ดำเนินการ สามารถเลือกกดปุ่ม “ยอมรับ” ได้ และหากไม่ยินยอมหรือต้องการแก้ไขคำยินยอม สามารถปฏิเสธ หรือ ให้ความยินยอมเฉพาะที่สมัครใจได้ ด้วยเหตุนี้ในระยะหลัง จะพบว่าการโทรเสนอขายสินค้าโดยตรง ลดลงไปจากเดิม
สำหรับธุรกิจ การถือกำเนิดของกฎหมาย PDPA รวมถึงกฎหมายเพิ่มเติมที่ประกาศออกมา เป็นความท้าทายที่องค์กรและทีมภายในจะต้องดำเนินการให้ครบถ้วน ขณะเดียวกันการปฏิบัติตามข้อกำหนดของกฎหมาย ยังส่งผลดีต่อธุรกิจได้ด้วย เช่น
จัดระบบข้อมูลในองค์กร เข้าใจ Data Flow
การจัดการข้อมูลส่วนบุคคลในองค์กรตามข้อกำหนดของกฎหมาย PDPA อาทิการทำ Consent management การทำบันทึกรายการกิจกรรมการประมวลผล (Records of Processing Activities) ช่วยทำให้ข้อมูลส่วนบุคคลที่กระจัดกระจายอยู่ตามแผนกต่างๆ ถูกรวบรวมเป็นหมวดหมู่ Data Centralize แยกจากข้อมูลอื่นๆ ที่อยู่ในองค์กร และช่วยให้องค์กรเข้าใจ Data Flow ซึ่งมีการไหลเวียนอยู่เสมอ
เมื่อต้องการเรียกใช้งานข้อมูลเฉพาะส่วน อาทิ ข้อมูลลูกค้าเก่า/ ใหม่ จัดการข้อมูลที่หมดอายุจัดเก็บ หรือดำเนินการตามที่เจ้าของข้อมูลยื่นขอใช้สิทธิ ก็สามารถกระทำได้อย่างรวดเร็ว ย่นระยะเวลาในการจัดการ ช่วยอำนวยความสะดวกให้แผนกที่ดูแลข้อมูล และอำนวยความสะดวกให้ลูกค้าหรือผู้ใช้งานอีกด้วย
การใช้งานข้อมูลระหว่างฝ่ายงานต่างๆ ในองค์กรสะดวกยิ่งขึ้น
นอกจากการทำ PDPA จะทำให้องค์กรเข้าใจ Data Flow แล้ว การทำ PDPA ถือเป็นการรวมข้อมูลส่วนบุคคลเข้าสู่ระบบกลาง (Data Centralize) โดยองค์กรอาจมีทีมที่รับผิดชอบ หรือมอบหน้าที่ให้กับ DPO เป็นผู้ควบคุม จัดการระบบข้อมูลนี้ หรือใช้แพลตฟอร์มเป็นตัวช่วยในการบริหารจัดการ
การรวมข้อมูลเข้าสู่ศูนย์กลาง ช่วยให้การใช้งานข้อมูลส่วนบุคคลสะดวกมากยิ่งขึ้น หากมีแพลตฟอร์มเทคโนโลยีบริหารจัดการที่มีประสิทธิภาพ องค์กรสามารถติดตามข้อมูลย้อนหลังได้ว่า ข้อมูลส่วนบุคคลที่เข้ามาในระบบ เป็นข้อมูลจากฝ่ายงานใด ประกอบด้วยข้อมูลประเภทใดบ้าง หากเกิดเหตุข้อมูลรั่วไหล ก็สามารถติดตามที่มาของข้อมูลได้ทันท่วงที
การทำ Marketing รอบคอบมากขึ้น
การมาถึงของกฎหมาย PDPA ไม่ได้ปิดกั้นการทำการตลาด อย่างที่กังวลกัน แต่เข้ามากวดขันความเข้มงวดในกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ให้อยู่ในกรอบกฎหมายและมาตรฐานความปลอดภัยเดียวกัน
กิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการทำการตลาดขององค์กร ยังสามารถทำได้ ไม่ว่าจะเป็นการเก็บข้อมูลกลุ่มเป้าหมาย การทำ Research ทางการตลาด การเสนอขายสินค้าและบริการ การประมวลผล Cookie หรือแม้แต่การยิงแอดโฆษณา ตราบใดที่กิจกรรมทางการตลาดเหล่านี้ผ่านการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล และไม่นำข้อมูลไปประมวลผลนอกเหนือจากวัตถุประสงค์ ในทางกลับกัน การมีกฎเกณฑ์ให้ต้องปฏิบัติตาม ทำให้การทำงานของฝ่ายการตลาดชัดเจนมากขึ้น การเก็บรวบรวมข้อมูลมีขอบข่ายที่ชัดเจน ข้อมูลที่ไม่จำเป็นและอยู่นอกเหนือวัตถุประสงค์ ไม่เข้ามาปะปนกับข้อมูลที่ต้องการ ซึ่งทำให้การวิเคราะห์ในเชิงการตลาดมีความแม่นยำมากขึ้นอีกด้วย
อ่านเพิ่มเติม เกี่ยวกับการทำ Marketing ในยุคกฎหมาย PDPA
เพิ่มความน่าเชื่อถือให้กับผู้ใช้ ลูกค้า และนักลงทุน
การปฏิบัติตามมาตรฐาน ทั้งมาตรฐานทางอุตสาหกรรม และมาตรฐานทางกฎหมาย ช่วยเพิ่มความน่าเชื่อถือและช่วยทำให้ภาพลักษณ์องค์กรดียิ่งขึ้นในสายตาลูกค้าและนักลงทุน ความน่าเชื่อถือช่วยดึงดูดลูกค้าหรือผู้ใช้งาน ใหม่ ขณะเดียวกันก็ช่วยเสริมความมั่นใจให้กับผู้ใช้งานเก่า ให้เชื่อมั่นในสินค้าหรือบริการขององค์กรได้ ซึ่งส่งผลต่อความน่าเชื่อถือในสายตาของคู่ค้า และนักลงทุนด้วย
มาตรฐานกลาง มาตรฐานโลก
กฎหมาย PDPA ของไทย ถือเป็นกฎหมายที่กำหนดมาตรฐานเกี่ยวกับข้อมูลส่วนบุคคล ที่มีความใกล้เคียงกับกฎหมาย GDPR ของสหภาพยุโรป ซึ่งได้รับการยอมรับว่าเป็นกฎหมายเกี่ยวกับข้อมูลส่วนบุคคลที่สมบูรณ์และได้มาตรฐานที่สุด
องค์กรที่ปฏิบัติตามข้อกำหนดของ PDPA อย่างครบถ้วนถือว่าได้ปฏิบัติตามมาตรฐานของไทย และถือว่าปฏิบัติตามแนวทางของกฎหมาย GDPR เทียบเท่ากับประเทศสิงคโปร์ ญี่ปุ่น และประเทศในสหภาพยุโรป ข้อดีของการที่องค์กรสามารถปฏิบัติตามมาตรฐานสากล นอกจากจะช่วยให้องค์กรมีควาน่าเชื่อถือในระดับโลกแล้ว ยังช่วยให้การดำเนินธุรกิจในระดับ Global การถ่ายโอนข้อมูล การใช้ Database หรือการหาคู่ค้า ลูกค้า หรือนักลงทุนในตลาดต่างประเทศ มีความราบรื่นยิ่งขึ้น
ทั้งหมดนี้คือส่วนหนึ่งของประโยชน์จากการทำโครงการ PDPA จะเห็นว่าประโยชน์ที่เกิดขึ้น ไม่ใช่เฉพาะเจ้าของข้อมูลส่วนบุคคลเท่านั้น ทว่าองค์กรหรือแบรนด์ต่างก็ได้รับประโยชน์จากการปฏิบัติตามข้อกำหนดของกฎหมาย PDPA เช่นกัน คำถามถัดมาที่เกิดขึ้นกับผู้อ่านที่อ่านมาถึงหัวข้อนี้ อาจสงสัยว่า จะริเริ่มโครงการ PDPA หรือขับเคลื่อนโครงการ PDPA ที่เริ่มทำไปบ้างแล้วไปในทิศทางใด เพื่อให้ครบถ้วนตามที่กฎหมายกำหนด?
t-reg รวบรวมแนวทางการทำโครงการ PDPA ให้ประสบความสำเร็จอย่างยั่งยืน และตัวอย่างองค์กรที่สำเร็จโครงการ PDPA มาให้ศึกษาแล้ว อ่านในหัวข้อถัดไปได้เลย
PDPA Key Success
โครงการ PDPA นั้นเต็มไปด้วยความท้าทาย แต่ความท้าทายนี้สามารถพลิกผันกลับให้เป็นโอกาสและแรงขับเคลื่อนได้ หากเริ่มและพัฒนาพร้อมกันทั้งระบบ ภายในกรอบระยะเวลาที่เหมาะสม และการพึ่งพากระบวนการหรือตัวช่วยที่มีประสิทธิภาพ
จากประสบการณ์ให้บริการ ระบบบริหารจัดการโครงการ PDPA ให้กับองค์กรขนาดใหญ่กว่า 50 องค์กรของ t-reg เราค้นพบว่า การเริ่มต้นโครงการ PDPA ด้วยการใช้ Framework ซึ่งประกอบด้วย People Process Technology เป็นแนวทางในการดำเนินโครงการ มีส่วนช่วยให้องค์กรสามารถดำเนินโครงการ PDPA ได้อย่างครอบคลุมและยั่งยืน

People พัฒนาองค์ความรู้ของบุคลากร เปลี่ยนผ่านจากความไม่รู้ สู่การมีความตระหนักรู้ในกฎหมาย PDPA
โครงการ PDPA เป็นจุดเริ่มต้นของการเรียนรู้และทำความเข้าใจ เกี่ยวกับข้อปฏิบัติและขั้นตอนในกฎหมาย PDPA ให้กับบุคลากรขององค์กร การให้ความรู้ ช่วยให้บุคลากรเข้าใจถึงความสำคัญและประโยชน์ของกฎหมาย ทั้งประโยชน์ต่อองค์กร และประโยชน์ต่อบุคลากรซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล เพราะความรู้ความเข้าใจจะแทรกซึมเข้าไปในกระบวนการทำงาน ข้อผิดพลาดจากการขาดความรู้จะลดลง การทำงานของแต่ละฝ่ายจะอยู่ภายใต้มาตรฐานเดียวกัน
การสื่อสารความสำคัญของการทำโครงการ PDPA ภายในองค์กรถือเป็น Key Success หนึ่งในการดำเนินโครงการให้สำเร็จ เมื่อใดที่ผู้บริหารเห็นความสำคัญ และมีวิธีการสื่อสารที่แยบยล พนักงานในระดับถัดลงมาก็จะมีความเชื่อมั่นตามไปด้วย และจะทำให้การสื่อสารและการสร้างการเรียนรู้ในขั้นถัดๆ ไปมีน้ำหนักมากยิ่งขึ้น ในท้ายที่สุดเมื่อพนักงานทุกระดับมีความเข้าใจในระดับเดียวกัน การขับเคลื่อนโครงการ PDPA จะเกิดขึ้นได้ และลดความท้าทายที่เกิดจากพนักงานได้เช่นกัน
Process ยกระดับกระบวนการทำงานให้มีคุณภาพ ขับเคลื่อนธุรกิจอย่างยั่งยืน
โครงการ PDPA ช่วยยกระดับมาตรฐานการประมวลผลข้อมูลส่วนบุคคลให้ปลอดภัย ทัดเทียมกับมาตรฐานของกฎหมายสากล ช่วยเสริมสร้างภาพลักษณ์ขององค์กรให้มีความน่าเชื่อถือ ลูกค้าหรือผู้ใช้บริการสามารถมั่นใจได้ว่าข้อมูลส่วนบุคคลที่อยู่ในระบบขององค์กรนั้นๆ จะถูกเก็บรักษาอย่างปลอดภัย และเจ้าของข้อมูลสามารถใช้สิทธิตามกฎหมายได้โดยสะดวก
ขณะเดียวกัน องค์กรที่ให้ความสำคัญกับกระบวนการที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และมีมาตรฐานการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ตามมาตรฐานของกฎหมาย PDPA เป็นตัวชี้วัดว่าองค์กรมีการบริหารจัดการข้อมูลที่เป็นระบบ กระบวนการทำงานของฝ่ายต่างๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ดำเนินการภายใต้มาตรฐานเดียวกัน ไม่ได้มุ่งเพื่อทำกำไร แต่ยังคำนึงถึงข้อมูลของผู้ใช้งานเป็นสำคัญด้วย
Technology ตัวช่วยด้านเทคโนโลยี หรือแพลตฟอร์ม เพื่อการจัดการข้อมูลให้สะดวกยิ่งขึ้นในขั้นตอนการดำเนินการตามมาตรฐานของกฎหมาย PDPA มีทั้งการดำเนินการในเชิงนโยบาย การดำเนินการในเชิงกระบวนการทำงานของฝ่ายที่เกี่ยวข้อง รวมถึงการดำเนินการที่พึ่งพาเทคโนโลยีสารสนเทศ Digital Platform หรือระบบ Automation เพื่อช่วยให้กระบวนการที่ต้องพึ่งพาทรัพยากรมนุษย์ เปลี่ยนไปเป็นการพึ่งพาเทคโนโลยีที่รวดเร็วกว่า สะดวกกว่า
นอกจากการใช้เทคโนโลยีเป็นเครื่องทุ่นแรงแล้ว กฎหมาย PDPA กำหนดให้องค์กรที่มีการประมวลผลข้อมูลส่วนบุคคล จำเป็นต้องคำนึงถึงเรื่อง Data Security Foudation การทำ Audit Log/ Audit trail ซึ่งเกี่ยวข้องกับความปลอดภัยทางไซเบอร์ ( Cybersecurity) กระบวนการทั้งหมดนี้ล้วนมีเทคโนโลยีเข้ามาเกี่ยวข้อง ทำให้องค์กรที่ริเริ่มโครงการ PDPA จะต้องเตรียมความพร้อมที่จะพัฒนาด้านเทคโนโลยีในองค์กร หรือริเริ่มทำ Digital transformation ในองค์กร
โครงการ PDPA จะสำเร็จได้ ต้องอาศัยการพัฒนาพร้อมกันทั้งระบบ แนวทางในการดำเนินการโครงการนั้น แตกต่างกันในแต่ละองค์กร นอกจากกระบวนการ People Process Technology ยังมีกระบวนการอื่นๆ สำหรับการดำเนินโครงการ PDPA อีกหลายกระบวนการ ทว่าสิ่งที่ช่วยการันตีได้ว่ากระบวนการนี้ มีส่วนช่วยให้องค์กรขนาดใหญ่ อย่าง Thai President Foods (มาม่า) Srichand (แบรนด์ศรีจันทร์) และ Principle Healthcare (โรงพยาบาลพริ้นซิเพิล) สามารถดำเนินโครงการ PDPA ได้อย่างครอบคลุมและยั่งยืน คือเสียงสะท้อนจากผู้ที่นำกระบวนการ People Process Technology ไปประยุกต์ใช้จริง
t-reg ชวนอ่านเรื่องราวความสำเร็จในการใช้กระบวนการ People Process Technology ขององค์กรขนาดใหญ่ กดที่ลิงค์ด้านล่าง
Next Step of PDPA
จากหัวข้อก่อนหน้า ทำให้เห็นว่า การอุบัติขึ้นของกฎหมาย PDPD นั้นมีทั้งประโยชน์ และก่อให้เกิดความท้าทายใหม่ๆ ที่ธุรกิจไทยต้องรับมือและปรับตัว วิธีการเผชิญความท้าทายขององค์กร คือการปฏิบัติตามแนวทางที่กฎหมายกำหนดให้ครอบคลุม ประเด็นนี้เชื่อมต่อมาที่เรื่องของการสร้างกระบวนการ หรือคิดค้นแนวทางในการดำเนินโครงการ PDPA ในองค์กร ให้เหมาะสมกับกระบวนการทำงานหลักขององค์กร เหมาะสมกับอุตสาหกรรม เหมาะสมกับทรัพยากรที่มี โดยมีปลายทางคือการสำเร็จโครงการ PDPA ตามที่กฎหมายกำหนด
นอกเหนือไปจากการสำเร็จโครงการ สิ่งที่ t-reg อยากชวนองค์กรทำความเข้าใจต่อ คือเรื่อง Data Security Foundation และ Digital Transformation
เหตุที่องค์กรต้องมี Data Security Foundation
การขับเคลื่อนโครงการ PDPA ในองค์กรด้วยการพัฒนาคน กระบวนการ และเทคโนโลยี เปรียบได้กับการให้ความรู้แก่คนในบ้าน สร้างรูปแบบการทำงาน และนำเทคโนโลยีมาปรับใช้ ทว่า Data Security Foundation จะเป็นระบบที่รักษาข้อมูลของคนในบ้าน ไม่ให้โจรหรือบุคคลอื่น ฉกฉวยข้อมูลของคนในบ้านเราไป
เปรียบเทียบตัวอย่างให้เห็นภาพได้ง่ายขึ้น คือ แม้ว่าบริษัทหรือองค์กรของคุณจะพัฒนาคน กระบวนการ และเทคโนโลยี ไปถึงจุดที่พอใจแล้ว แต่การที่องค์กรยังไม่มี Data Security Foundation ซึ่งหมายถึงระบบรักษาความปลอดภัยข้อมูลส่วนบุคคล ก็อาจจะยังเสี่ยงต่อการโจรกรรมหรือคุกคามจากอาชญากรทางไซเบอร์ นอกเหนือจากโจทย์เรื่อง Data Security Foundation แล้ว ประเด็นสำคัญที่หลายองค์กรคาดไม่ถึง แต่เป็นประเด็นที่ควรทำควบคู่กัน คือ Digital Transformation หรือ การเปลี่ยนผ่านธุรกิจด้วยกลยุทธ์ทางเทคโนโลยี
Digital Transformation คืออะไร และมีความเชื่อมโยงกับการทำ PDPA อย่างไร? ทำความเข้าใจ ข้อได้เปรียบของการเริ่มทำ Digital Transformation ควบคู่กับโครงการ PDPA ได้ในหัวข้อถัดไป
Digital Transformation คือ?

Digital transformation (DX) คือ การนำเอาเทคโนโลยีดิจิทัลมาใช้เปลี่ยนแปลงการทำธุรกิจ โดยใช้กลยุทธ์ทางเทคโนโลยีเข้ามาช่วย เปลี่ยนแปลงรูปแบบการทำงานขององค์กรและธุรกิจในทุกด้าน ไม่ว่าจะเป็นด้านปฎิบัติการ (Operation) ด้านการส่งมอบประสบการณ์ที่ดีแก่ลูกค้า (Deliver better customers experience) การเปลี่ยนวัฒนธรรมการทำงานในองค์กร (Corporate culture) การทดลองรูปแบบธุรกิจใหม่ๆ (Experiment new business model)
เมื่อกล่าวถึง Digital Transformation ที่เป็นภาพใหญ่ หากลงลึกในรายละเอียด DX ประกอบไปด้วย 2 ส่วนด้วยกัน ได้แก่ Digitization และ Digitalization

Digital transformation (DX) เริ่มขึ้นจากอะไร
Digital Transformation (จากนี้ขอใช้คำว่า DX แทน) เริ่มถูกพูดถึงในแวดวงธุรกิจ จากการที่องค์กรในประเทศที่พัฒนาแล้วและมีศักยภาพทางเทคโนโลยี ได้เริ่มมีการนำเทคโนโลยีมาปรับใช้กับธุรกิจ เกิดเป็นปรากฎการณ์เปลี่ยนผ่านธุรกิจเพื่อต่อสู้กับ Digital Disruption ต่อมาองค์กรขนาดใหญ่ อาทิ Netflix, Amazon, Uber หรือแม้แต่ธุรกิจบริการให้ความบันเทิงอย่าง Disneyland มีการใช้ DX เพื่อก้าวข้ามจากการทำธุรกิจยุคเก่า สู่การเป็นธุรกิจยุคใหม่ การพลิกโฉมธุรกิจด้วยการนำเอาเทคโนโลยีดิจิทัลมาใช้ ทำให้ DX กลายเป็นกระแสที่หลายๆ ธุรกิจทั่วโลกให้ความสนใจ
ประกอบกับช่วง 3 ปีที่ผ่านมาการระบาดของไวรัสติดเชื้อ COVID-19 ทำให้วิถีชีวิตของคน และวิถีของการทำธุรกิจเปลี่ยนไป เกิดปรากฎการณ์ Work From Home/ Work Form Anywhere เกิดธุรกิจให้บริการ Delivery ธุรกิจ Service Provider เจ้าใหม่ๆ ขึ้นมากมาย ขณะเดียวกันธุรกิจเดิมในตลาดถูกบังคับให้ต้องปรับตัว จนกล่าวได้ว่าโรคระบาดนี้เป็นตัวเร่งปฏิกิริยาให้ธุรกิจเข้าสู่ยุคดิจิทัลอย่างหลีกเลี่ยงไม่ได้ แม้โรคระบาดจะเริ่มทุเลาลง แต่ร่องรอยของ DX ในช่วง Lockdown ได้กลายมาเป็นความปกติใหม่ ที่ธุรกิจและผู้บริโภคทั่วโลกต้องเจอ และกลายเป็นความคุ้นชินไปโดยปริยาย
สำหรับประเทศไทย DX ได้เริ่มถูกพูดถึงในช่วง 5 ปีที่ผ่านมา กระแสของการนำเทคโนโลยีมาปรับใช้กับธุรกิจแพร่หลายมากยิ่งขึ้น ไม่ว่าจะเป็นองค์กรขนาดเล็ก ขนาดกลาง ขนาดใหญ่ ในหลายๆ อุตสาหกรรม สามารถเข้าถึงเทคโนโลยีขั้นพื้นฐานได้ พร้อมกับกระแสของเทคโนโลยีจากต่างประเทศหลั่งไหลเข้ามาในประเทศไทย DX แฝงอยู่ในหลายๆ ธุรกิจ จนหลายคนอาจคาดไม่ถึง เช่น การใช้ระบบ POS ในร้านสะดวกซื้อ แทนการคิดเงินด้วยเครื่องคิดเลข หรือการใช้โปรแกรมนับสต็อคสินค้า แทนการนับจำนวนคงคลังโดยคน การที่ร้านค้าร้านอาหาร ปรับใช้ระบบ Delivery และรับชำระด้วยการแสกน QR Code ก็ถือเป็นส่วนเล็ก ๆ ใน DX เช่นกัน
ประเด็นสำคัญของ Digital transformation
ย้ำอีกครั้งว่า Digital transformation คือกระบวนการเปลี่ยนผ่านจากการดำเนินธุรกิจแบบเก่า สู่การดำเนินธุรกิจรูปแบบใหม่ ที่มีประสิทธิภาพมากขึ้น ขณะเดียวกัน Core value แบบเก่าที่เป็นจุดแข็ง ยังคงสามารถใช้ในองค์กรได้
การทำ DX ไม่ได้หมายความว่า องค์กรจะต้องใช้เทคโนโลยีดิจิทัล 100% โดยไม่พึ่งพาแรงงานคน และการที่องค์กรซื้อหรือติดตั้งระบบเทคโนโลยีลงไปในกระบวนการทำงาน เพียงอย่างเดียวไม่ถือเป็นการเปลี่ยนผ่านไปสู่ DX
เพราะ DX คือการเปลี่ยนผ่าน เปลี่ยนแปลงรูปแบบการทำงานขององค์กรและธุรกิจในทุกด้าน ไม่ว่าจะเป็น
– ด้านปฎิบัติการ (Operation) เกี่ยวข้องกับพนักงานในองค์กร
– ด้านการส่งมอบประสบการณ์ที่ดีแก่ลูกค้า (Deliver better customers experience)
– การเปลี่ยนวัฒนธรรมการทำงานในองค์กร (Corporate culture) เกี่ยวข้องกับ Process
– การทดลองรูปแบบธุรกิจใหม่ๆ (Experiment new business model)
กล่าวได้ว่า DX นั้น สามารถใช้กระบวนการ People Process Technology มาวาง Digital Transformation Roadmap เพื่อให้เกิดการเปลี่ยนผ่านทั้งระบบได้เช่นกัน
การเปลี่ยนผ่านทั้งระบบ หรือ Whole System ทำให้องค์กรที่ทำ DX นั้น ถือไพ่เหนือกว่าและได้เปรียบองค์กรที่ยังใช้ระบบเก่า
ข้อได้เปรียบสำหรับองค์กรที่ทำ Dx ได้แก่
More Automation = More Time การทำ DX มีการนำเทคโนโลยีดิจิทัลรูปแบบต่าง ๆ เข้ามาแทนที่ระบบเก่า รูปแบบของเทคโนโลยีที่ว่า อาจอยู่ในรูปของโปรแกรม หรือซอฟต์แวร์ดิจิทัล อาทิ Enterprise Resource Planning (ERP), Point of Sale (POS) ระบบบริหารจัดการร้านค้า, Internet of Things (IoT) การติดเซ็นเซอร์ดิจิตอลหรืออุปกรณ์, Robotic Process Automation (RPA), Customer Relationship Management (CRM) ระบบบริหารจัดการลูกค้า โปรแกรมหรือซอฟ์ตแวร์เหล่านี้จะเข้ามาช่วยในเรื่องของการทำ Automation ทดแทนกำลังคน หรือลดภาระงานของคน และช่วยอำนวยความสะดวกให้พนักงานทำงานหรือจัดการกระบวนการต่างๆ ได้รวดเร็วยิ่งขึ้น
- Improved Customer Experience (CX) ต่อเนื่องจากหัวข้อที่แล้ว การนำโปรแกรมหรือซอฟต์แวร์เข้ามาช่วยในเรื่องของการทำ Automation ช่วยจัดการระบบงานที่ซับซ้อน หรือใช้ระยะเวลานานให้กระชับยิ่งขึ้น ช่วยเรื่องการเพิ่มประสบการณ์ที่ดีให้กับลูกค้า ช่วยอำนวยความสะดวกและช่วยยกระดับการบริการ ในบางธุรกิจ การทำ DX และนำโปรแกรมดิจิทัลมาใช้งาน ช่วยให้ลูกค้าเข้าถึงสินค้าและบริการขององค์กรได้มากขึ้น เช่น การทำ Mobile Application หรือเพิ่มช่องทางการติดต่อผ่านช่องทางออนไลน์
Limit Human Error DX ช่วยลดปัญหาจาก Human Error ได้ เพราะการทำ DX จะเป็นการรื้อกระบวนการทำงานเดิมที่ซับซ้อน ให้เป็นระบบที่ชัดเจนและมีประสิทธิภาพยิ่งขึ้น เมื่อระบบงานเก่าถูกแทนที่ด้วยเทคโนโลยี หรือกระบวนการที่ทันสมัยและแม่นยำมากขึ้น การทำงานจึงราบรื่นกว่าการทำด้วยระบบ Manual แบบเดิม
Improved Business Models ก่อนหน้านี้รูปแบบ Business Model เดิมขององค์กร อาจจะมีข้อจำกัดอะไรบางอย่างที่องค์กรไม่สามารถส่งมอบสินค้า การบริการ หรือ เข้าถึงลูกค้าได้ในรูปแบบต่างๆ ได้ การนำ DX เข้ามาช่วยสามารถทำให้องค์กรเกิดโอกาสในธุรกิจใหม่ๆ และเป็นการช่วยพัฒนา Business Model ขององค์กรให้มีประสิทธิภาพมากยิ่งขึ้นด้วย
- Greater Collaboration Across Departments การเปลี่ยนวัฒนธรรมการทำงานในองค์กร (Corporate culture) และการรวมข้อมูลเข้าสู่ศูนย์กลาง เป็นประโยชน์ของการทำ DX ที่ช่วยยกระดับ Flow การทำงานในองค์กร ช่วยให้เกิดการสื่อสารระหว่างกัน การแบ่งปันทรัพยากรระหว่างทีมต่างๆ มีประสิทธิภาพยิ่งขึ้น
Increase Transparency การเพิ่มความโปร่งใสในการทำงาน การทำ DX ถือเป็นการเสริมแรงเชิงบวกให้ องค์กรนำข้อมูลต่างๆ เข้าไปไว้ในระบบที่มีการตรวจสอบความน่าเชื่อถือและคุณภาพของข้อมูล มีการอัปเดต มีระบบรักษาความปลอดภัยรองรับ ในบางองค์กรมีการตั้งทีมเพื่อกำกับดูแลและตรวจสอบโดยเฉพาะ การทำงานก็จะมีความโปร่งใสมากยิ่งขึ้น เพราะมีการ Cross Check เป็นระยะๆ ทำให้ง่ายต่อการ Audit และการควบคุมมาตรฐานตามข้อกำหนดของแต่ละอุตสาหกรรมด้วย
Increase agility โปรแกรมหรือซอฟต์แวร ์ช่วยเพิ่มความรวดเร็วในกระบวนการทำงาน การติดต่อประสานงาน และ การทำงาน ในหลายองค์กรก็มีการนำ DX เข้ามาช่วยเร่งกระบวนการทำงานในบางจุดที่มีความล่าช้าหรือมีกระบวนการที่เป็น Manual ให้สามารถเริ่มหรือจบกระบวนการได้ง่ายและรวดเร็วยิ่งขึ้น
- Cost reduction การทำ DX ในช่วงแรก องค์กรอาจเจอกับความท้าทายเรื่องค่าใช้จ่ายในการลงทุนเรื่องแพลตฟอร์ม ระบบปฏิบัติการ อุปกรณ์หรือซอฟต์แวร์ ทว่าค่าใช้จ่ายที่เกิดจากการทำ DX จะเป็นการลงทุนที่คุ้มค่าในระยะยาว เพราะค่าใช้จ่ายในการจ้างพนักงานจะลดลงเช่นกัน เนื่องจากการที่องค์กรนำเทคโนโลยีเข้ามาใช้ ในกระบวนการทำงานบางอย่าง ที่อาจจะใช้คนถึง 10 คน อาจลดจำนวนคนลงได้กว่าครึ่ง และได้ผลลัพธ์ที่ดียิ่งกว่า
- Improved analytics ข้อมูลทั้งจากภายนอกและภายในจะเกิดประโยชน์มากยิ่งขึ้น หากองค์กรมีการนำเทคโนโลยีเข้ามาช่วยจัดเก็บ วิเคราะห์ และประมวลผล เพื่อให้ได้มาซึ่งแนวโน้มหรือการคาดการณ์ที่แม่นยำ ซึ่งจะส่งผลทำให้ทีม หัวหน้า หรือผู้บริหารสามารถเลือกกลยุทธ์ได้อย่างแม่นยำ และใช้ข้อมูลเหล่านั้นในการตัดสินใจได้อย่างหนักแน่นมากยิ่งขึ้น
PDPA เชื่อมโยงกับ Digital transformation อย่างไร?
จากหัวข้อที่แล้ว ทำให้เห็นว่า DX มีประโยชน์ต่อธุรกิจในหลายๆ ด้าน องค์กรสามารถใช้กระบวนการ People Process Technology มาวาง Digital Transformation Roadmap เพื่อให้เกิดการเปลี่ยนผ่านทั้งระบบได้ และมีแนวโน้มว่าการทำ DX ในองค์กรจะกลายเป็นเทรนด์ที่ท้าทายแวดวงธุรกิจในอนาคต เช่นเดียวกับที่ PDPA เคยเป็นและยังคงเป็นความท้าทายสำหรับธุรกิจในไทย อาจมองได้ว่า ในแง่ของกระบวนการและการประยุกต์ใช้ PDPA และ DX มีความคล้ายคลึงกัน และเชื่อมโยงซึ่งกันและกัน
กระบวนการร่วม
หลาย ๆ องค์กรยังมีความเข้าใจว่าเป็น PDPA คือ One Time Project ทำครั้งเดียว ทำให้ครบตามกฎหมายกำหนดแล้วจบไป ทว่าในความเป็นจริงแล้ว PDPA ต้องถูกปรับเข้าไปใน Process ภายในองค์กร ต้องอยู่ใน Protocal ของคนทำงาน ซึ่งจะเกิดจากสร้างความรู้ความเข้าใจให้คนภายในองค์กรตระหนักถึง ความสำคัญของการใช้ข้อมูลส่วนบุคคล ต้องอาศัยเทคโนโลยีเข้ามาบริหารจัดการให้ยั่งยืน
เฉกเช่นเดียวกับ DX ที่ต้องใช้กลยุทธ์ทางเทคโนโลยี มาปรับเปลี่ยนการปฏิบัติการของพนักงาน ต้องมีการสร้างความเข้าใจให้แก่พนักงานเกี่ยวกับเป้าหมายในการเปลี่ยนผ่าน ต้องมีการปรับปรุงกระบวนการทำงานภายในองค์กร เปลี่ยนกระบวนการเดิมที่พึ่งพากำลังคน มาเป็นการพึ่งพาเทคโนโลยี
การขยายผล
PDPA มักเริ่มต้นที่กระบวนการที่ไม่ซับซ้อน หรือเริ่มจาก Core Team ในแผนกใดแผนกหนึ่งแล้วขยายผลไปสู่ส่วนงานอื่นๆ ในองค์กร การเปลี่ยนผ่านไปสู่ Dx คล้ายกับ PDPA ที่ควรเริ่มอย่างค่อยเป็นค่อยไป ต้องมีการปรับปรุง พัฒนากระบวนการอย่างสม่ำเสมอ เพื่อให้เกิดความยั่งยืน
ใช้ PDPA เป็น Pilot Project ของ DX
กระบวนการที่กฎหมาย PDPA กำหนด มีทั้งที่เกี่ยวกับนโยบาย เทคโนโลยี และความมั่นคงปลอดภัยของข้อมูล (Cybersecurity) เพื่อให้ครบถ้วนตามที่กฎหมายกำหนด องค์กรจะต้องมี มาตรฐานรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ครอบคลุมเรื่อง
มาตรฐานการป้องกันด้านการบริหารจัดการ (Administrative Safeguard)
มาตรฐานการป้องกันทางเทคนิค (Technical Safeguard)
มาตรฐานการป้องกันทางกายภาพ (Physical Safeguard)
นอกจากมาตรฐานดังกล่าวแล้ว องค์กรและต้องมีการจัดการเรื่องของ
Access Control : ควบคุมกำหนดสิทธิ์ในการเข้าถึงข้อมูล
Principle of least privilege : การอนุญาตให้ผู้ใช้เข้าถึงข้อมูลตามภาระหน้าที่ความรับผิดชอบ
Identity proofing and authentication : มีการพิสูจน์และยืนยันตัวตน
Need to know Basis : หลักการให้สิทธิเท่าที่จำเป็น
Audit Log : ต้องสามารถตรวจสอบย้อนหลังได้
- Privacy and Security Awareness : เสริมสร้างความตระหนักรู้ภายในองค์กร
การดำเนินการตามมาตรฐานและข้อกำหนดของกฎหมาย จึงจำเป็นอย่างยิ่งที่ต้องพึ่งพาเทคโนโลยีหรือแพลตฟอร์มเข้ามาช่วยจัดการ ระบบงานที่มีความซับซ้อน การนำ DX มาปรับใช้ในกระบวนการเหล่านี้ จึงถือเป็นการเริ่มต้นที่ได้ประโยชน์ทั้งสองทาง ทั้งนี้ องค์กรสามารถวางระบบสำหรับกระบวนการใดกระบวนการหนึ่งให้มั่นคงก่อน แล้วจึงใช้กระบวนการที่เหลือเข้าไปประยุกต์ หรือพัฒนาต่อยอด
เหตุผลอีกประการหนึ่ง ที่องค์กรสามารถใช้ PDPA เป็น Pilot Project ของ DX คือ PDPA เป็นกระบวนการที่มีการจัดการกับข้อมูลส่วนบุคคล การใช้เทคโนโลยีเข้ามาจัดการกับข้อมูล แยกประเภท รวมข้อมูลเข้าสู่ศูนย์กลาง หรือจัดการการเข้าถึง ช่วยให้การทำ PDPA ขับเคลื่อนได้เร็วกว่า การใช้ระบบ Manual
ปิดท้าย
ในกรอบระยะเวลาสั้นๆ เพียง 4 เดือน กระแสของกฎหมาย PDPA มีการเคลื่อนไหวขึ้นลงอย่างไม่หยุดนิ่ง ในห้วงระยะเวลาดังกล่าวนี้ธุรกิจไทยได้พบเจอทั้งความท้าทาย และความเปลี่ยนแปลงที่เกิดจากการบังคับใช้กฎหมาย ก่อให้เกิดปรากฎการณ์ใหม่ทั้งในกลุ่มผู้ใช้บริการและองค์กร
และหลังจากปี 2566 มีแนวโน้มว่ากฎหมายจะบังคับใช้อย่างเต็มรูปแบบ ระหว่างนี้ อาจมีการประกาศกฎหมายเพิ่มเติม หรือแนวทางย่อยจาก PDPC ที่องค์กรต้องเตรียมพร้อมทำความเข้าใจ ในระหว่างนี้องค์กร สามารถกลับมาทบทวนการทำงาน ทบทวนกระบวนการที่สำเร็จไปแล้ว เพื่อดูว่าโครงการ PDPA มีจุดบกพร่องหรือตกหล่นหรือไม่ พร้อมดำเนินการแก้ไขให้ครบ
ก้าวถัดไปของกฎหมาย PDPA ทั้งการทำ Data Security Foundation หรือการปรับกระบวนการ PDPA ให้สอดคล้องกับ Digital Transformation เป็น Movement ที่องค์กรสามารถกำหนดได้เองว่า ควรดำเนินการทั้งสามอย่างควบคู่กันไป หรือควรเริ่มทำ Data Security Foundation เพื่อวางรากฐานระบบความปลอดภัยให้มั่นคง แล้วจึงเริ่มโครงการ PDPA ควบคู่กับการทำ Digital Transformation
สำหรับรายละเอียดและขั้นตอนสำหรับการทำ Digital Transformation การวาง Digital Transformation Roadmap มีข้อต้องคำนึงถึงอะไรบ้าง ตัวอย่างองค์กรไทยที่ประสบความสำเร็จในการทำ DX มีแนวคิด และกลยุทธ์อย่างไร ติดตามได้ในบทความถัดไปของ t-reg เร็วๆ นี้ค่ะ