ปัจจุบัน ความเร็วของเทคโนโลยี เข้ามาเปลี่ยนวิถีชีวิตที่เคยเชื่องช้า ให้รวดเร็วและสะดวกยิ่งขึ้น การใช้และโอนถ่ายข้อมูลเกิดขึ้นได้ในพริบตาเดียว ธุรกิจเติบโตรวดเร็วพร้อมๆ กับนวัตกรรมที่พัฒนาอย่างก้าวกระโดด ทว่าอีกมุมหนึ่ง โลกก็เริ่มหันมาตั้งคำถามกับความปลอดภัยของการใช้ข้อมูลส่วนบุคคล (Personal Data) และความเป็นส่วนตัว หรือ Privacy
การคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัว จึงเกิดขึ้นมาเพื่อใช้การใช้ข้อมูล เกิดขึ้นได้อย่างรวดเร็ว แต่ยังคงปลอดภัย ตรวจสอบได้ และเป็นมีความเป็นระบบภายใต้มาตรฐานเดียวกัน
มาตรฐานกลาง
มาตรฐานการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของไทย อยู่ในรูปของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA (Personal Data Protection Act B.E 2019) ซึ่งเป็น พ.ร.บ .ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ถูกร่างขึ้นเพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่ทำกับข้อมูลส่วนบุคคล มีผลบังคับใช้อย่างเป็นทางการตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา
ก่อนที่จะเกิดเป็นกฎหมาย PDPA ที่บังคับใช้อย่างทุกวันนี้ ประเทศไทยได้มีการใช้ TDPG (Thailand Data Protection Guide) หรือ แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เป็นแนวทางในการทำความเข้าใจการคุ้มครองข้อมูลส่วนบุคคลในเบื้องต้น เหตุที่ต้องมี TDPG เนื่องจากในขณะนั้น โลกกำลังให้ความสนใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR (General Data Protection Regulation) ซึ่งได้กลายเป็นแม่บทของแนวปฏิบัติและกฎหมายคุ้มครองข้อมูลส่วนบุคคลในหลายๆ ประเทศ

การเผยแพร่และสร้างความเข้าใจเกี่ยวกับ GDPR และ TDPG เป็นการปูพื้นฐานในการทำความเข้าใจการคุ้มครองข้อมูลส่วนบุคคล จนในที่สุดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ถูกประกาศราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 ทว่าได้มีการเลื่อนบังคับใช้ออกไปอีก 1 ปี และมีผลบังคับใช้อย่างเป็นทางการในปี 2565
แม้จะมีแนวทางปฏิบัติและกฎหมายฉบับแรกเผยแพร่ออกมาก่อนแล้ว ทว่ากฎหมาย PDPA ยังถือเป็นกฎหมายใหม่สำหรับหลายๆ องค์กรและเป็นกฎหมายที่เต็มไปด้วยความท้าทาย ทั้งในด้านเนื้อหาที่เน้นไปที่การให้ความสำคัญกับความเป็นส่วนตัว ซึ่งสอดแทรกอยู่ในมาตราต่าง ๆ และยังเกี่ยวข้องกับกฎหมายหรือมาตรฐานของอุตสาหกรรมอื่นๆ ด้วย และความท้าทายในด้านการปฏิบัติการดำเนินการตามที่กฎหมายกำหนด มีขั้นตอนและรายละเอียดที่ซับซ้อน แตกต่างกันไปบริบทของแต่ละธุรกิจ
ความท้าทายที่องค์กรต้องเผชิญ ก่อนดำเนินโครงการ PDPA
ความท้าทายจากที่กล่าวไปก่อนหน้านี้ เป็นอุปสรรค์ที่ทำให้การริเริ่มทำโครงการ PDPA ในบางองค์กรประสบปัญหา ปัญหาที่ว่านี้คืออะไร และมีวิธีการจัดการอย่างไรบ้าง ในบทความนี้เราจะพาผู้อ่านทุกท่านค้นหาคำตอบของคำถามเหล่านี้ ผ่านบทสัมภาษณ์ผู้รับผิดชอบโครงการ PDPA จาก Thai President Foods Company Limited (มาม่า) และ Principle Healthcare Company สององค์กรที่สำเร็จโครงการ PDPA ตามที่กฎหมายกำหนดอย่างครบถ้วน
บทสัมภาษณ์นี้ถูกถ่ายทอดในงานสัมนา PDPA Way to Success จัดโดย Ragnar orporation เมื่อวันที่ 4 มิถุนายน 2565 ท่านสามารถรับชมงานสัมนาย้อนหลังได้ Link นี้เลย

ความไม่รู้
ในระยะแรกกฎหมาย PDPA เป็นกฎหมายใหม่ที่ยังไม่ได้มีการสังเคราะห์ให้เป็นภาษาที่เข้าใจง่าย เดิมทีผู้ที่รับผิดชอบโครงการ PDPA ต้องทำการศึกษากฎหมายและแนวทางจากพระราชบัญญัติที่ประกาศออกมาด้วยตนเอง สำหรับคนทั่วไปที่ไม่ได้มีความรู้หรือเชี่ยวชาญในเรื่องกฎหมาย อาจต้องใช้เวลาในการศึกษาและทำความเข้าใจ ประกอบกับพระราชบัญญัติที่ประกาศออกมานั้น ไม่ได้มีการระบุขั้นตอน ว่าองค์กรจะต้องดำเนินการอย่างไรบ้าง ให้ถูกต้องและครบถ้วนตามที่กฎหมายกำหนด แม้แต่ Thai President Foods (มาม่า) ก็เผชิญกับอุปสรรค์เช่นเดียวกัน
คุณเจษฎา ควรดำรงธรรม Legal Division ผู้รับผิดชอบโครงการ PDPA ของ Thai President Foods (มาม่า) ได้กล่าวถึงประเด็นนี้ว่า
” PDPA เป็นกฎหมายบังคับ กฎหมายใหม่ ยังไม่มีแนวทางปฏิบัติ แม้จะได้ศึกษา GDPR มาบ้าง แต่การทำให้ถูกต้องครบถ้วนทำอะไรบ้าง? เป็นข้อกังวลที่เกิดขึ้นก่อนทำโครงการ PDPA”

ระบบเก่า VS ระบบใหม่ (People-Paper Vs Digital- Cloud)
องค์กรที่ยังคุ้นชินกับระบบเอกสาร หรือพึ่งพาระบบการจัดการแบบเก่าที่ขับเคลื่อนด้วยคนเป็นหลัก อาจประสบปัญหา โครงการ PDPA ล่าช้าไม่ทันเวลาที่กำหนด เนื่องจากหลายๆ ขั้นตอนของโครงการ PDPA เกี่ยวข้องกับข้อมูลจำนวนมาก ซึ่งกระจัดกระจายอยู่ตามแผนกต่างๆ ในองค์กร หรือมีรูปแบบการจัดเก็บที่แตกต่างกัน สิ่งนี้จะเป็นอุปสรรค์ในระหว่างการดำเนินโครงการ และส่งผลระยะยาวภายหลังจากการดำเนินโครงการไปแล้ว มีการอัพเดทข้อมูลภายใน/ ภายนอกองค์กร และอาจทำให้การยื่นขอใช้สิทธิ์ตามกฎหมายของเจ้าของข้อมูลส่วนบุคคล ทำได้ยากและล่าช้าตามไปด้วย
ขณะที่การเก็บข้อมูลด้วยระบบใหม่ คือการเก็บ รวบรวม ข้อมูลส่วนบุคคล On Cloud หรืออาศัยการจัดการข้อมูลด้วยแพลตฟอร์ม สะดวกกว่าการเก็บข้อมูลระบบเดิม และสามารถติดตาม/ อัพเดทข้อมูลที่ไหลเวียนในองค์กรได้ แต่ต้องแลกมาด้วยความยุ่งยากในการทำความเข้าใจ Mechanic ของแพลตฟอร์มนั้นๆ หรือการย้ายฐานข้อมูลทั้งหมดจากระบบเก่า ให้เข้าไปอยู่ในระบบใหม่ อาจต้องใช้ระยะเวลาหรือทำให้การใช้งานข้อมูลส่วนบุคคลต้องหยุดชะงักได้
ต้อง Comply ทั้งมาตรฐานของธุรกิจ และกฎหมาย PDPA
ธุรกิจที่มีข้อกำหนดหรือแนวปฏิบัติเดิม จากหลักการหรือกฎหมายที่เป็นมาตรฐานของอุตสาหกรรมนั้นๆ อยู่แล้ว จะต้องคำนึงถึงกฎหมายเดิม ควบคู่ไปกับการดำเนินการตามขั้นตอนของกฎหมาย PDPA ซึ่งในบางกรณี หลักการอาจขัดแย้งกัน เช่นกรณีของโรงพยาบาล ที่มีพรบ. สุขภาพแห่งชาติ เป็นหลักการอ้างอิงในการประมวลผลข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหว ให้ดำเนินการได้แม้ไม่ได้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ขณะที่กฎหมาย PDPA กำหนดว่า การประมวลผลข้อมูลส่วนบุคคลอ่อนไหวจะกระทำไม่ได้ อย่างไรก็ตาม กฎหมาย PDPA ได้กำหนดข้อเว้น เหตุจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ ทำให้การประมวลผลข้อมูลส่วนบุคคลทั่วไป หรือข้อมูลส่วนบุคคลอ่อนไหวโดยบุคลากรทางการแพทย์สามารถกระทำได้
ความท้าทายนี้เกิดขึ้นกับ Principle Healthcare Company ธุรกิจโรงพยาบาลซึ่งมีบริษัทในเครือกว่า 16 บริษัท และในแทบทุกกระบวนการ ต้องมีการประมวลผลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลทั่วไป/ อ่อนไหว ในประเด็นนี้
คุณแพร โฮ่วรังกูล Assistant to Chief Finance and Administrative Officer ผู้ดูแลและรับผิดชอบโครงการ PDPA ได้แบ่งปันเรื่องราวของความท้าทายนี้ว่า
” Principle Healthcare เรามีธุรกิจในเครือเป็นธุรกิจโรงพยาบาล มีการใช้ข้อมูลของคนไข้ในการรักษา เรามีกฎหมายต่างๆ ที่เกี่ยวข้องกับสาธารณะสุขอยู่แล้ว พอกฎหมาย PDPA มีผลบังคับใช้ ทำให้โรงพยาบาลต้องให้ความสำคัญมากขึ้น เพราะข้อมูลของผู้ป่วย เป็นข้อมูลอ่อนไหว และเราเองมี Big Data แล้วเราจะทำอย่างไรให้ปลอดภัยและถูกต้องตามกฎหมายไปพร้อมกัน “

หรือในกรณีของโรงแรม ซึ่งมีกิจกรรมที่ต้องรวบรวมข้อมูลส่วนบุคคลของแขกผู้เข้าพัก เพื่อเป็นการปฏิบัติตามพรบ. โรงแรม แม้ผู้เข้าพักจะใช้กฎหมาย PDPA เป็นฐานในการอ้าง เพื่อปฏิเสธการเก็บข้อมูลส่วนบุคคล ในกรณีนี้ โรงแรมสามารถใช้ฐานข้อยกเว้น มาตรา 26 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เพื่อรักษาความปลอดภัยให้กับแขกผู้เข้าพักกรณีเกิดเหตุฉุกเฉิน เกิดการเจ็บป่วย จะช่วยให้สามารถระบุตัวตนและให้ความช่วยเหลือหรือติดต่อญาติพี่น้องได้
จะเห็นว่ากฎหมาย PDPA ไม่ได้มีหลักการที่สอดรับกับกฎหมายอื่นทั้งหมด แต่ในขณะเดียวกัน ก็สามารถใช้หลักการหรือกฎหมายอื่นๆ ในการคานอำนาจของกฎหมาย PDPA ได้ เมื่อมีความจำเป็น
อ่านเนื้อหา PDPA สำหรับธุรกิจโรงแรม
สิ่งเหล่านี้เป็นหนึ่งในความท้าทายที่เกิดขึ้นกับแต่ละอุตสาหกรรม และผู้ที่ดูแลโครงการ PDPA ขององค์กรจะต้องศึกษาให้ครบถ้วน ทั้งกฎหมายหรือหลักการในอุตสาหกรรมของตน ควบคู่ไปกับการศึกษาหลักการและข้อยกเว้นของกฎหมาย PDPA
ระบบบริหารจัดการแบบเดิม
แต่ละธุรกิจ มีระบบบริหารจัดการข้อมูลที่ต่างกัน ตามประเภทและมาตรฐานของแต่ละธุรกิจ อาทิ กลุ่มธุรกิจโรงพยาบาล มีระบบ HIS (Hospital Information System) ซึ่งเป็น Operating System ที่ใช้กันระหว่างแผนกต่างๆของโรงพยาบาล เพื่อการ จัดการข้อมูลระหว่างที่ให้บริการคนไข้หรือผู้มาติดต่อบริการของทางโรงพยาบาล โรงพยาบาลยังสามารถใช้ระบบนี้ต่อไปได้แม้จะมีการบังคับใช้กฎหมาย PDPA ในขณะเดียวกัน โรงพยาบาลอาจต้องพึ่งพาแพลตฟอร์มที่สามารถเชื่อมต่อ หรือ Plug in เข้ากับระบบบริหารจัดการที่มีอยู่แล้วได้ โดยที่ไม่กระทบกับข้อมูลอยู่ในฐานข้อมูล อาจมีการอัพเดทหรือปรับฟีเจอร์บางอย่างของระบบเดิมเพื่อให้สอดคล้องกับกฎหมายหลักและกฎหมายรอง PDPD ที่อาจมีการเปลี่ยนแปลงในอนาคต
ข้อกังวลของพนักงาน กับภาระงานที่เพิ่มขึ้น
เนื่องด้วยความแปลกใหม่ของกฎหมาย ประกอบกับความไม่คุ้นชินหรือความไม่รู้ไม่เข้าใจของพนักงาน ต่อกฎหมาย PDPA จึงอาจทำให้พนักงานในองค์กร หรือแม้แต่ผู้บริหารเกิดความวิตกกังวลต่อกฎเกณฑ์ที่เพิ่มขึ้นมา พร้อมภาระงานหรือหน้าที่ความรับผิดชอบที่เพิ่มขึ้นจากเดิม ทว่าข้อกังวลเหล่านี้ เป็นเรื่องปรกติที่เกิดขึ้นกับทุกองค์กร เมื่อมีกฎเกณฑ์หรือสิ่งใหม่ๆ เกิดขึ้น กระทบกับการทำงานเดิม ความท้าทายนี้จะเกิดขึ้นในช่วงแรกของการสร้างความเข้าใจให้กับบุคลากรในองค์กร หากองค์กรมีการสื่อสารและสร้างความเข้าใจให้กับพนักงานทุกระดับในองค์กร ให้ตระหนักถึงผลกระทบที่ดีจากการปฏิบัติตามกฎหมาย PDPA ในแง่ของการเพิ่มความน่าเชื่อถือให้กับลูกค้าหรือนักลงทุน จากการที่องค์กรปฏิบัติตามกฎหมาย
ข้อจำกัดของแต่ละองค์กร
แต่ละองค์กรมีข้อจำกัดที่แตกกต่างกัน ในบางองค์กรข้อจำกัดอาจเป็นเรื่องของการรักษาไว้ซึ่งความลับของบริษัท การถ่ายโอนข้อมูลส่วนบุคคลภายในองค์กร ให้กับแพลตฟอร์มที่รับดูแลและจัดการข้อมูล ที่เกี่ยวข้องกับกหมาย PDPA ไม่มีเหมาะสมและไม่ตรงกับความต้องหรือวิสัยทัศน์ขององค์กร อาจเป็นข้อจำกัดที่ทำให้องค์กรมีตัวเลือกแพลตฟอร์ม น้อยกว่าบริษัทที่ไม่มีข้อจำกัดด้านนี้
ข้อจำกัดถัดมา เป็นเรื่องงบประมาณ หากองค์กรที่มีทีมกฎหมายหรือผู้รับผิดชอบโครงการอยู่แล้ว ต้องการซื้อแพลตฟอร์มมาช่วยให้ข้อมูลในระบบองค์กรมีความเป็นระเบียบ และครบถ้วนตามกฎหมาย PDPA อาจมีค่าใช้จ่ายในการซื้อแพลตฟอร์มเหล่านี้เพิ่มขึ้น ขณะเดียวกันหากองค์กรมีแพลตฟอร์มที่ใช้บริหารจัดการ โครงการ PDPA อยู่ก่อนแล้ว ต้องการที่ปรึกษาด้านกฎหมาย เพื่อแนะนำแนวทางการร่างนโยบายหรือประกาศต่างๆ อาจมีค่าใช้จ่ายในการว่าจ้างทีมกฎหมายเพิ่มขึ้น

สำเร็จโครงการ PDPA แล้ว จะมั่นใจได้อย่างไรว่าทำครบถ้วน
ความท้าทายหนึ่งที่หลายองค์กรต้องเผชิญเมื่อเริ่มดำเนินโครงการ หรือดำเนินโครงการสำเร็จไปแล้วก็ตาม จะเกิดการตั้งคำถามว่า กระบวนการหรือขั้นตอนต่างๆ ที่ดำเนินการไปแล้วนั้น ครบถ้วนตามที่กฎหมายกำหนดหรือไม่ ยังมีขั้นตอนใดที่องค์กรยังต้องดำเนินการต่อ แม้โครงการจะสำเร็จตามแผนแล้ว เอกสารหรือนโยบายที่ประกาศต่อผู้ใช้งาน หรือพนักงานในองค์กรมีความครบถ้วนสมบูรณ์ตามที่กฎหมายกำหนดหรือไม่ หรือจะทราบได้อย่างไรว่าองค์กรยังคงบกพร่องหรือมีขั้นตอนที่ตกหล่นไป สิ่งเหล่านี้เป็นความท้าทายและความเสี่ยงที่องค์กรจะต้องเผชิญ เมื่อใดที่มีการ Audit หรือมีการตรวจสอบจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พบว่าองค์กรยังดำเนินการตามขั้นตอนของกฎหมาย PDPA ไม่ครบถ้วน องค์กรอาจถูกดำเนินการลงโทษตามกฎหมาย ซึ่งบทลงโทษมีทั้งจำคุกและปรับ ตามอำนาจของกฎหมายแพ่ง อาญา และปกครอง
โครงการ PDPA ท้าทายกว่าที่คิด
โครงการ PDPA เต็มไปด้วยความท้าทายและความเสี่ยง การเริ่มต้นโครงการ PDPA ด้วยการใช้ Framework ซึ่งประกอบด้วย People Process Technology เป็นแนวทางในการดำเนินโครงการ มีส่วนช่วยให้องค์กรสามารถดำเนินโครงการ PDPA ได้อย่างครอบคลุม โดยในส่วนของ Technology องค์กรสามารถสรรหาตัวช่วยด้านเทคโนโลยี หรือแพลตฟอร์ม เพื่อช่วยให้การจัดการข้อมูลสะดวกยิ่งขึ้น ช่วยทุ่นแรงคนและลดภาระงานที่เกี่ยวกับการจัดการเอกสารได้ ในส่วนของ Process เป็นการใช้กระบวนการทำงาน หรือวิธีการทำงานของแต่ละองค์กร ในการบริหารจัดการทั้ง Technology และ People ทว่าความท้าทายจากการทำโครงการ PDPA ยังคงเกิดได้ จากส่วนหนึ่งของ Framework
ความท้าทายที่เรากำลังพูดถึง คือ People แม้องค์กรที่เคยผ่านการดำเนินโครงการ PDPA อย่าง Thai president Foods (มาม่า) และ Principle Healthcare มาแล้ว ในระหว่างที่ดำเนินโครงการ PDPA ทั้งสององค์กรได้พบว่า การสร้างความรู้ความเข้าใจเรื่องกฎหมายให้กับพนักงานในองค์กร เป็นความยากไม่แพ้กับการดำเนินการในส่วนอื่นๆ
Thai president Foods (มาม่า) ประสบกับความท้าทายซึ่งเกิดจากปัจจัยภายใน ได้แก่ การสร้างความรู้ความเข้าใจให้กับพนักงานจำนวณมากในองค์กร โดยที่มาม่า มีโรงงานขนาดใหญ่หลายโรงงาน และแต่ละโรงงาน เต็มไปด้วยพนักงานนับพันชีวิต การสื่อสารความเข้าใจในเรื่องกฎหมาย PDPA จึงกลายเป็นความท้าทายหลักของมาม่า
Principle Healthcare ซึ่งประกอบธุรกิจให้บริการด้านการรักษาพยาบาล ประสบกับความท้าทายจากปัจจัยภายในเช่นกัน เนื่องจากการที่โรงพยาบาล มีแผนกที่ให้บริการคนไข้อยู่จำนวนมาก บุคลากรของโรงพยาบาล ทั้งแพทย์ พยาบา เจ้าหน้าที่ล้วนต้องทำการประมวลผลข้อมูลส่วนบุคคลของคนไข้หรือผู้มาใช้บริการ ดังนั้นในขั้นของการสำรวจกิจกรรมการประมวลผลข้อมูลส่วนบุคคล เพื่อทำ RoP จึงต้องมีการสื่อสารกับบุคลกรและเจ้าหน้าที่ให้เกิดความเข้าใจตรงกันก่อน เพื่อให้การสำรวจกิจกรรมมีความครบถ้วน ไม่ตกหล่น และง่ายต่อการเลือกใช้เครื่องมือเข้ามาบริหารจัดการต่อ

ใช้ความท้าทาย ให้กลายเป็นแนวทาง
ความท้าทายทั้งหมดที่ปรากฎในหัวข้อก่อนหน้า สามารถปรับปรุงพัฒนาให้ดีขึ้นได้ ด้วยวิธีการ ระยะเวลาหรือเครื่องมือที่เหมาะสม ตามบริบทของแต่ละธุรกิจ โดยในบทความนี้จะจัดกลุ่มความท้าทายด้วย Framework People Process Technology เพื่อให้ง่ายต่อการมองความท้าทายในภาพรวม โดยที่
People เป็นความท้าทายที่เกี่ยวกับบุคลากร พนักงาน แนวทางลดความท้าทายด้าน People อาจเริ่มจากการที่ ผู้บริหารหรือบอร์ดบริหารขององค์กร มองเห็นถึงความสำคัญของกฎหมาย PDPA และมีวิสัยทัศน์ที่มุ่งมั่นในการทำโครงการ PDPA ในองค์กรเสียก่อน แล้วจึงผนวกเข้าเป็นเป้าหมายหรือนโยบายขององค์กร เพื่อเน้นย้ำให้พนักงานเห็นถึงความสำคัญของเป้าหมายโดยพร้อมเพรียงกัน จากนั้นจึงสร้าง Core Team ขึ้นในองค์กร ซึ่งอาจเป็นหัวหน้าของแผนกต่างๆ หรือทีมงานจากแผนกใดแผนกหนึ่ง เมื่อรวบรวม Core Team ได้แล้วให้สร้างความเข้าใจ อบรม ให้ความรู้ เกี่ยวกับกฎหมาย PDPA ให้กลุ่มคนเหล่านี้เข้าใจภาพรวมของกฎหมาย เห็นถึงความจำเป็น และความสำคัญของการปฎิบัติตามกฎหมาย PDPA จากนั้นจึงขยายไปยังบุคลากรในแผนกอื่นๆ
การสื่อสารความสำคัญของการทำโครงการ PDPA ภายในองค์กรถือเป็น Key Success หนึ่งในการดำเนินโครงการให้สำเร็จ เมื่อใดที่ผู้บริหารเห็นความสำคัญ และมีวิธีการสื่อสารที่แยบยล พนักงานในระดับถัดลงมาก็จะมีความเชื่อมั่นตามไปด้วย และจะทำให้การสื่อสารและการสร้างการเรียนรู้ในขั้นถัดๆ ไปมีน้ำหนักมากยิ่งขึ้น ในท้ายที่สุดเมื่อพนักงานทุกระดับมีความเข้าใจในระดับเดียวกัน การขับเคลื่อนโครงการ PDPA จะเกิดขึ้นได้ และลดความท้าทายที่เกิดจากพนักงานได้เช่นกัน
Process เป็นความท้าทายที่เกี่ยวข้องกับ กระบวนการที่ซับซ้อนหรือขั้นตอนการดำเนินงานที่เพิ่มขึ้น แนวทางที่จะช่วยลดความท้าทายในขั้นนี้ได้ คือ ทีมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในองค์กร จำเป็นต้องมีความเข้าใจภาพรวมของกฎหมาย PDPA ประกอบกับการจัดทำแผนสำหรับโครงการ PDPA อย่างเป็นระบบ โดยกำหนดขั้นตอน หรือลำดับขั้นในการดำเนินการให้ครบถ้วน กำหนดเป็าหมายที่ชัดเจนและสามารถวัดผลได้ ในระยะเวลาที่เหมาะสมและไม่เร่งรีบ หรือใช้ระยะเวลานานจนเกินไป มีการ Cross Check ร่วมกันในระหว่างที่ดำเนินการแต่ละขั้นตอน
Core team อาทิ ทีม IT Legal HR Marketing ต้องทำงานสอดประสานกัน ในการตรวจสอบขั้นตอนการดำเนินโครงการ PDPA ของแต่ละแผนก และที่ขาดไม่ได้คือการ Review การทำงาน เพื่อหาจุดบกพร่อง หรือช่องโหว่ที่อาจคาดไม่ถึง
และหากองค์กร ดำเนินโครงการ PDPA โดยมีที่ปรึกษา หรือทีม Consultation จากภายนอก เข้ามาช่วยกำกับดูแลโครงการ PDPA ในองค์กร ผู้ดูแลโครงการ PDPA ขององค์กร ก็จำเป็นที่จะต้องติดตามการทำงานของที่ปรึกษา ให้ตรงกับเป้าหมายขององค์กร ทำการตรวจสอบการทำงานของที่ปรึกษา ควบคู่ไปกับการเรียนรู้และทำความเข้าใจภาพรวมการทำงานของที่ปรึกษาด้วย เพราะหากไม่ติดตาม ไม่เรียนรู้กระบวนการทำงาน เมื่อที่ปรึกษาสิ้นสุดสัญญาจ้างและองค์กรจะต้องดำเนินโครงการ PDPA ต่อ อาจดำเนินการผิดพลาด หรือไม่สามารถดำเนินโครงการ PDPA ต่อไปได้
การยกภาระหน้าที่ให้ที่ปรึกษาดำเนินการทั้งหมดไม่ใช่เรื่องผิด แต่ในขณะเดียวกัน ถ้าองค์กรไม่พยายามเรียนรู้หรือทำความเข้าใจกระบวนการทำงานเลย อาจทำให้ต้องพึ่งพา Outsource ตลอดเวลา นอกจากองค์กรจะต้องแบกรับภาระเรื่องค่าใช้จ่ายในการว่าจ้างที่ปรึกษาแล้ว การขับเคลื่อนโครงการ PDPA ให้ยั่งยืนก็อาจเป็นเป้าหมายที่เกิดขึ้นได้ยาก

Technology หรือความท้าทายในการนำเทคโนโลยีหรือแพลตฟอร์มใหม่ เข้ามาจัดการระบบ เหตุที่บทความนี้ยกเรื่องเทคโนโลยีหรือแพลตฟอร์มว่าเป็นความท้าทายในการทำโครงการ PDPA เนื่องจากปัจจุบัน องค์กรที่ใช้ระบบเก่า หรือใช้กำลังคนในการทำงานด้านเอกสารยังคงพบเห็นได้ และในบางองค์กรที่มีการปรับใช้ทั้งระบบ Manual และเทคโนโลยีควบคู่กัน
สำหรับองค์กรที่ยังใช้ระบบเก่าในการทำงาน อาจต้องเผชิญความท้าทายในการดำเนินโครงการ PDPA เพราะหลายๆ ขั้นตอนของโครงการ PDPA ต้องอาศัยการดำเนินการอย่างละเอียดรอบคอบ ไม่ว่าจะเป็นการทำ Privacy Notice, Privacy Policy, Consent Management และขั้นตอนที่ท้าทายที่สุดคือการทำ Record of Processing Activity (RoPA) หรือแบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ที่ครอบคลุมการสำรวจข้อมูลส่วนบุคคลที่มีการจัดเก็บโดยองค์กร การระบุวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลอย่างละเอียด พร้อมระบุระยะเวลาในการจัดเก็บข้อมูล สำรวจแหล่งจัดเก็บข้อมูลทั้งที่อยู่ในรูปเอกสารที่สามารถจับต้องได้ หรือข้อมูลในระบบอิเล็กทรอนิกส์
องค์กรที่ยังคงใช้ระบบเก่าในการบริหารงาน การประมวลผลข้อมูลส่วนบุคคล อาจเผชิญปัญหาการรวบรวมข้อมูลจำนวนมหาศาลที่มีอยู่ในองค์กร หรือข้อมูลอาจตกหล่นไม่ครบถ้วน เพราะเกิด Data Silos หรือการที่ข้อมูลมีหลากหลายรูปแบบ ทั้งที่เป็นเอกสาร ภาพถ่าย ข้อมูลที่ระบุตัวตนได้/ ไม่สามารถระบุตัวตนได้ และข้อมูลยังมีความกระจัดกระจาย ตามแผนกต่าง ๆ ไม่ได้ถูกจัดหมวดหมู่ให้เป็นระเบียบ หรือไม่สามารถระบุที่มาของข้อมูลที่แน่ชัดได้ ซึ่งส่งผลถึงความครบถ้วนของโครงการ PDPA

จากความท้าทายทั้ง 3 ด้านคือ People Process Technology สะท้อนให้เห็นว่า การดำเนินโครงการ PDPA ให้สำเร็จและยั่งยืนในระยะยาว ต้องขับเคลื่อนทั้งบุคลากร กระบวนการทำงาน และจัดการกับ Data ในองค์กรให้เป็นระบบ
แม้จะคุ้นชินกับคำว่า โครงการ PDPA แต่ทว่า การปฏิบัติตามขั้นตอนของกฎหมาย PDPA ไม่ใช่ทำโครงการ 1 โครงการ ในระยะเวลาหนึ่งแล้วจบไป ไม่มีการดำเนินการหรือพัฒนาต่อ การปฏิบัติตามขั้นตอนของกฎหมาย PDPA ควรถูกมองว่าเป็น กระบวนการที่ต้องมีการพัฒนาต่ออยู่เสมอ ตราบใดที่องค์กรยังประมวลผลข้อมูลส่วนบุคคลของผู้ใช้งาน องค์กรยังมีการรวบรวมข้อมูลของพนักงานในองค์กร นอกจากนี้กฎหมาย PDPA ยังคงเป็นกฎหมายใหม่ และมีแนวโน้มจะมีการปรับปรุงหรือประกาศแนวทางปฏิบัติเพิ่มเติมในอนาคต