นับเป็นเวลากว่า 7 เดือน ที่ประเทศไทยได้บังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ตลอดระยะเวลาที่ผ่านมา กฎหมายนี้ได้ถูกนำมาตีแผ่ ตีความ และถุกนำมาปรับใช้ในหลายธุรกิจ จนอาจกล่าวได้ว่า กฎหมาย PDPA ได้เข้ามาอยู่ใน Protocal ในการทำงานของหลายๆ องค์กร
t-reg PDPA Platform เป็นผู้ให้บริการดูแลโครงการ PDPA ให้กับหน่วยงานและองค์กรขนาดใหญ่ที่มุ่งสำเร็จโครงการ PDPA อย่างครบวงจร เรามี Digital Platform ที่ทันสมัย พัฒนาโดยทีมนักพัฒนา ผู้เชี่ยวชาญด้านการบริหารจัดการ และนักกฎหมาย เราพร้อมผนึกกำลังเพื่อผลักดันและขับเคลื่อนโครงการ PDPA ให้กับทุกภาคส่วนในองค์กร เพื่อเดินหน้าโครงการ PDPA ให้สำเร็จอย่างยั่งยืน
จากความเชี่ยวชาญ ในการนำพาธุรกิจขนาดใหญ่ กว่า 50 บริษัท สำเร็จเป้าหมายในการปฏิติบัติตามข้อกำหนดของกฎหมาย PDPA Platform by t-reg ในเครือ Ragnar Corporation Company ไม่หยุดนิ่งอยู่กับที่ เราพัฒนาเทคโนโลยี พัฒนากระบวนการ พัฒนาทีมผู้เชี่ยวชาญเพื่อให้พร้อมบริการแก่ลูกค้าอยู่เสมอ และเนื่องจากเราเป็น Digital Service Platform พวกเราจึงให้ความสำคัญกับการปรับปรุงระบบ ปรับปรุงเทคโนโลยีให้สะดวก ปลอดภัย และเป็นมิตรกับผู้ใช้ให้มากที่สุด เรามีการนำข้อบกพร่อง และคำแนะนำจากผู้ใช้งานของเรา มารับปรุงพัฒนาอยู่เสมอ
Insight from PDPA Platform: สถิติที่น่าสนใจจาก t-reg
t-reg ทำการศึกษาวิจัยและพัฒนาการบริการ ตั้งแต่ต้นทาง ระหว่างทาง และปลายทางของการทำโครงการ PDPA แม้องค์กรจะสำเร็จโครงการ PDPA ไปแล้ว t-reg ยังคงมีบริการให้คำปรึกษา และอัปเดทกฎหมายให้
เรารับ Feedback จากผู้ใช้บริการ Platform เพื่อนำมาปรับรุงพัฒนาระบบ เป็นที่มาที่ทำให้เราทราบว่า การบังคับใช้กฎหมาย PDPA ส่งผลให้หน่วยงาน องค์กร ธุรกิจใช้งาน/ ประมวลผลข้อมูลส่วนบุคคลได้น้อยลงอย่างมีนัยสำคัญ
Insight from PDPA Platfrom: กว่า 38% ของข้อมูลไม่สามารถใช้งานได้ จำนวน Data Subject Rights ที่เข้ามาในระบบ เพื่อขอยกเลิก Consent ขอแก้ไขข้อมูล ลบข้อมูล และกิจกรรมอื่นที่เกี่ยวกับ Data Subject Right กว่า 70% ของเคสเหล่านั้น ไม่สามารถดำเนินการได้จริง
ประเด็นเรื่องการใช้งานข้อมูลส่วนบุคคลขององค์กรลดลง มาจากการตรวจเช็คข้อมูลที่หมุนเวียนเข้ามาในฐานระบบ Comsent management ระบบ Consent Management รับข้อมูลได้น้อยลง โดยก่อนที่กฎหมาย PDPA จะเกิดขึ้น จากเดิมที่องค์กรได้รับข้อมูลจากลูกค้า 100 ราย องค์กรสามารถใช้ข้อมูล/ประมวลผลข้อมูลได้ 100 ราย ทว่าภายหลังจากกฎหมาย PDPA บังคับใช้ ลูกค้า 38 รายเลือกที่จะไม่ให้ Consent กับองค์กร
ประเด็นเรื่อง การดำเนินการที่เกี่ยวข้องกับการใช้สิทธิของเจ้าขอข้อมูลส่วนบุคคล 70% ของเคสเหล่านั้น ไม่สามารถดำเนินการได้ เนื่องจากผเจ้าของข้อมูลส่วนบุคคลส่วนหนึ่งที่มาขอใช้สิทธิในระบบ Dta Subject Management ไม่เคยให้ Consent กับระบบขององค์กรเลยตั้งแต่แรก หรือในบางกรณีที่เจ้าของข้อมูลมาใช้สิทธิขอลบข้อมูล กลับไม่สามารถทำตามคำขอได้ เนื่องจากติดข้อจำกัดเรื่องสมาชิก หรือเงื่อนไขด้านธุรกรรมทางการเงิน เคสเหล่านี้จะไม่สามารถดำเนินการในระบบได้ ต้องมีการดำเนินการแบบ Case by case ซึ่งสุดท้ายแล้ว จะกลายเป็นภาระของ Customer service หรือ Operation
จากตัวเลขทั้งสองประเด็นนี้ ชี้ให้เห็นว่า การบังคับใช้กฎหมาย PDPA กับการประมวลผลข้อมูลส่วนบุคคล ทำให้องค์กรไม่สามารถใช้งานข้อมูลส่วนบุคคลได้อย่างเต็มที่ ซึ่งส่งผลกระทบต่อการประมวลผลข้อมูลขององค์กร กระทบกับการพัฒนาสินค้าหรือบริการ กระทบกับการพัฒนากลยุทธ์ทางการตลาดของฝ่ายการตลาด ฝ่าย Research and Development และอาจกลายเป็นภาระฝ่าย Customer Service ฝ่าย IT หรือเจ้าหน้าที่ DPO ที่จะต้องดำเนินการแก้ไข
โครงการ PDPA Comlpy ตามที่กฎหมายกำหนด แต่แลกมาด้วยอุปสรรค์ในการใช้งานข้อมูลส่วนบุคคลในขอบเขตที่จำกัด
ทีม Reserach and Development ของ t-reg ได้เข้าไป Review อุปสรรค์และปัญหาจากผู้ใช้งาน พร้อมทั้งพูดคุยถึงการเปลี่ยนแปลงของธุรกิจภายหลังจากการบังคับใช้ PDPA อย่างเป็นทางการ ผู้ใช้งาน t-reg Platform ได้เปิดเผยว่า การใช้งานข้อมูลส่วนบุคคลถูกจำกัด ลูกค้าหรือผู้ใช้บริการเข้ามาให้ความยินยอมเพื่อกิจกรรการประมวลผลข้อมูลส่วนบุคคลน้อยลง ขณะที่ระบบ Data Subject Rights มีผู้เข้ามาขอใช้สิทธิถอนคำยินยอม ระงับคำยินยอม และลบข้อมูลส่วนบุคคลในระบบเพิ่มขึ้น ประเด็นข้างต้นนี้มีกลายเป็นอุปสรรค์ที่หลายๆ ธุรกิจที่เกี่ยวข้องกับกฎหมาย PDPA ต้องประสบพบเจอ แม้จะดำเนินโครงการตามข้อกำหนดทางกฎหมายไปแล้วก็ตาม
เมื่อเกิดอุปสรรค์ขึ้น สิ่งที่องค์กรหรือผู้ใช้งาน Platform t-reg ต้องการ สรุปได้เป็นสองประเด็นคือ
Increase Customer Data Utilization อันหมายถึงการเพิ่มความสามารถในการใช้ข้อมูลภายใต้กรอบของกฎหมาย พร้อมๆ กับ
Reduce DSAR Operation Cost ลดต้นทุนในกระบวนการ Data Subject Rights ลงแต่ยังคงซัพพอร์ตการใช้สิทธของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย และยังคงสามารถ ประมวลผลและวิเคราะห์ข้อมูลได้เหมือนเดิม
นอกจากพูดคุยกับผู้ใช้งานแล้ว เรายังสังเกตระบบของเราเองด้วย โดยปรกติแล้ว หากองค์กรใช้บริการของ t-reg เรามอบบริการให้คำปรึกษา บริการอบรมให้ความรู้ และเราให้ Platform ที่สามารถใช้งานได้แบบออนไลน์ และรองรับด้วยบริการแบบออฟไลน์ ในรูป Paper form ให้องค์กรสามารถนำไปใช้ได้ เมื่อเสร็จสิ้นกระบวนการเก็บข้อมูล/ ประมวลผลแล้ว จึงค่อยอัพโหลดเข้าระบบ t-reg หากเป็นระบบ สำหรับระบบ Online t-reg สามารถเชื่อมต่อกับมือถือ เว็บฟอร์ม และทำ Cookie consent ได้ด้วย เพื่อเป็นช่องทาในการรับรอง Consent อย่างครอบคลุมที่สุด นี่จึงเป็นที่มา ที่ทำให้เราเข้าใจผู้ใช้งานระบบ t-reg ว่า องค์กรกำลังมีปัญหาเกี่ยวกับการเก็บข้อมูลส่วนบุคคล ซึ่งนับว่า Common กันในหลายธุรกิจที่เป็นผู้ใช้บริการ Platform t-reg
จากการ Review ด้วยการลงไปคลุกคลีกับผู้ใช้งาน รับฟัง Feedback จากผู้ใช้งาน รวมถึงข้อมลจาก Database ของ t-reg ทำให้เราสามารถตั้งสมมติฐานเบื้องต้นได้ว่า ลูกค้าหรือผู้ใช้บริการเข้ามาให้ความยินยอมเพื่อกิจกรรการประมวลผลข้อมูลส่วนบุคคลน้อยลง ขณะที่ระบบ Data Subject Rights มีผู้เข้ามาขอใช้สิทธิถอนคำยินยอม ระงับคำยินยอม และลบข้อมูลส่วนบุคคลในระบบเพิ่มขึ้นนั้นไม่ใช่เพราะเจ้าของข้อมูลส่วนบุคคลไม่ให้ Consent กับองค์กร หรือเข้ามาถอน Consent ออกจากระบบขององค์กร แต่ ข้อมูลส่วนบุคคลส่วนหนึ่งหายไปเพราะ Business Flow
ข้อมูลที่ควรถูกนำมาใช้ หายไประหว่างกระบวนการทำงาน!
Business Flow เป็นปัญหาอย่างไร? อธิบายง่ายๆ คือการที่องค์กรที่มีสาขา บริษัทในเครือ หรือพาร์ทเนอร์ เกิดมีลูกค้าเคยให้ consent ไว้ที่เชียงใหม่ ต่อมาลูกค้าคนเดิมไปใช้บริการอีกครั้งที่สาขาภูเก็ต มีการขอ Consent ใหม่ ทว่าลูกค้าเลือกปฏิเสธที่จะไม่ให้คำยินยอม (ตามสิทธิของเจ้าของข้อมูล) ก็ถือว่า Consent ในระบบจะถูกยกเลิกไป
ยิ่งสาขา หรือพาร์ทเนอร์ทำการขอ Consent ซ้ำ จะทำให้ลูกค้าเกิดความสับสน หรือเกิดอคติต่อการขอ Consent และแม้ว่าลูกค้าจะให้ Consent ใหม่ตามที่สาขาหรือพาร์ทเนอร์ขอ ก็อาจจะมีคำถามว่า ทำไมต้องขอซ้ำ? ทำไมจึงไม่ใช้ข้อมูลในระบบเดียวกัน?
อีกกรณีหนึ่งคือ การขอ Consent ผ่านพาร์ทเนอร์ Super App หรือ E-commerce App Consent จะอยู่ที่กลุ่มพาร์ทเนอร์เหล่านี้ มีการส่งต่อ/ แชร์ข้อมูลให้กับองค์กร โดยกำหนดขอบเขตการใช้ข้อมูลไว้ใน Data Processing Agreement ทว่า Consent ส่วนนี้ไม่ได้เชื่อมต่อกับระบบขององค์กร กรณีนี้ก็ทำให้ Consent ไม่เกิดการเชื่อมต่อข้อมูลกับฐานข้อมูลขององค์กร ซึ่งส่งผลให้องค์กรเข้าไม่ถึงทรัพยากรเช่นเดียวกัน
t-reg วิเคราะห์กรณีนี้ และพบรากของปัญหาซึ่งเป็นที่มาของประเด็นปัญหาที่ผู้ใช้งานส่วนใหญ่ต้องประสบพบเจอ รากของปัญหาที่ว่าคือ
No existing process to support consent/ DSAR.
No single source of consent.
Lack of customer-unique key value.
แต่ละปัญหาเกิดจากอะไร สามารถใช้กระบวนการหรือเทคโนโลยีเข้ามาแก้ไขอย่างไรได้บ้าง ติดตามที่หัวข้อถัดไปได้เลย
Improve PDPA Platform: ใช้เทคโนโลยีจัดการรากของปัญหา
หัวข้อนี้จะขอเริ่มจากการเจาะที่มาของแต่ละปัญหากันก่อน
No existing process to support consent/ DSAR (Data Subject Access Request) องค์กรไม่มีในกระบวนการมารองรับขั้นตอนที่เกี่ยวข้องกับ Consent เพราะ PDPA เป็นเรื่องที่พึ่งเข้ามา จึงไม่ได้ออกแบบกระบวนการให้สอดคล้องกับ Business Flow มาตั้งแต่แรก หากต้องการจัดการ ต้องเริ่มทำเองหรือซื้อแพลตฟอร์มบริหารจัดการ Consent
No single source of consent ถึงจะมีระบบบริหารจัดการ Consent ทว่าข้อมูลส่วนบุคคลยังตกหล่นและหายไปเนื่องจากกระบวนการของสาขา บริษัทในเครือหรือพาร์ทเนอร์
Lack of customer-unique key value.ไม่มี ID หรือ Key ที่ใช้แทนเจ้าของข้อมุลส่วนบุคคล เพื่อใช้ในการสื่อสารระหว่างแนผกในองค์กรเมื่อใช้งานข้อมูลส่วนบุคคล Copy เดียวกัน
ทีมนักพัฒนาของ t-reg จึงได้ร่วมกันออกแบบ Solution เพื่อแก้ Pain point ที่เกิดขึ้น โดยเริ่มจาก Integrate Unique customer key in consent management ใช้ Unique customer key จากฐานข้อมูล CRM HIS และอื่นๆ มาเชื่อมต่อกับ Consent management ของ t-reg ใช้ Key เหล่านั้น เป็นรหัส ID เดียวกัน เมื่อองค์กรสื่อสารเรื่อง PDPA ภายในองค์กร ก็ใช้ Customer ID (Unique customer key) ในการระบุตัวตนลูกค้า
ถัดมาคือการทำ Configure consent data source related to the business context สืบหาจุดที่เป็นที่เก็บ Consent เพิ่มเติมแล้วทำการเชื่อมต่อเข้ากับระบบ t-reg
Sync DSAR with consent record and RoPA ใน Platform t-reg เก็บทั้ง RoPA และ DSAR ในระบบเดียว ทำให้องค์กรสามารถเช็ค DSAR ได้ด้วย ว่าเจ้าของข้อมูลส่วนบุคคลที่เข้ามาขอใช้สิทธิในระบบขององค์กร เคยให้ Consent กับองค์กรหรือไม่ หากเคยให้แล้ว Consent เก็บอยู่ที่แผนกไหน มีข้อมูลอะไรบ้าง อยู่ในส่วนไหนของ RoPA และเพิ่มการตรวจสอบให้ลึกยิ่งขึ้นว่า Consent นี้มาจากไหน สาขาไหน แอพไหน ซึ่งง่ายต่อการนำข้อมูลไปทำแผนการตลาด เพื่อการพัฒนาสินค้าและบริการขององค์กรต่อไป นอกจากนี้ยังรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล หากลูกค้าขอใช้สิทธิกับระบบ เช่น ขอถอน Consent ขอระงับ Consent ระบบสามารถแทรคข้อมูลของลูกค้าคนนี้ ตรวจสอบว่าลูกค้าเคยให้ Consent เรื่องอะไร ให้ Consent กับบริการใดบ้าง และแทรคต่อไปอีกว่า Consent ที่ให้มาอยู่ในระบบไหน มีข้อมูลไหนบ้าง
ทั้งสามระบวนการข้างต้น เป็นการพัฒนาในด้าน Technology เน้นไปที่การ Integrate การเชื่อมต่อระบบต่างๆ เข้าด้วยกัน อีกมุมหนึ่งก็ได้มีการพัฒนาด้านของการเสริมสร้างความเข้าใจ การตระหนักรู้ของพนักงาน Platform t-reg ขยายขอบเขตของกลุ่มเป้าหมายที่จะได้รับ Awareness Training จากเดิมที่กลุ่ม Pilot team (เจ้าหน้าที่ IT, HR manager, Marketing Team, R&D, หัวหน้าแผนก) จะได้รับการ Training ก็ได้เพิ่มเจ้าหน้าที่สาขา เจ้าหน้าที่ Front Desk Customer service และ Admin ต้องได้รับ Awareness Training ด้วย
สำหรับองค์กรที่มีสาขา บริษัทในเครือหรือพาร์ทเนอร์ t-reg เพิ่มการ Integrate with POS and Kiosk ตามสาขาต่างๆ สามารถเช็คได้จากสาขาหลัก และสาขาย่อยว่าลูกค้าที่เข้ามาใช้บริการที่สาขา เคยให้ Consent หรือไม่ ซึ่งจะช่วยลดการขอ Consent ซ้ำซ้อน และป้องกันการถอน Consen จากผู้ใช้บริการด้วย นอกจากพัฒนาเทคโนโลยี และสร้างความตระหนักรู้ให้ทั่วถึง ด้านกระบวนการทำงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล t-reg ได้มีการพัฒนากระบวนการเพื่อให้รองรับการพัฒนาด้านเทคโนโลยี ได้แก่
Adjust SOP at the customer touchpoint ปรับปรุงกระบวนการทำงานของ Front Desk Customer service และ Admin ซึ่งเป็นกลุ่มที่เก็บข้อมูลของลูกค้าและผู้ใช้ริการ ถ้าลูกค้าเข้ามา ยังไม่ต้องขอเลย ให้เช็คก่อน
Adjust Customer service flow to support PDPA มีการตั้ง Privacy Windows ซึ่งเป็น Flow สำหรับการบริการลูกค้า หากลูกค้ายื่นขอใช้สิทธเข้ามานระบบ Customer service ต้องดำเนินการตาม Flow นี้ ซึ่งจะช่วยให้ทราบว่าสิ่งที่ลูกค้ายื่นขอใช้สิทธิเข้ามา ต้องส่งงานต่อให้แผนกใด หรือสามารถติดต่อกับแผนกใดให้รับเรื่องต่อ
We do; review, Connect, Enhance
ปรากฎการณ์ การใช้งานข้อมูลส่วนบุคคลถูกจำกัด ลูกค้าหรือผู้ใช้บริการเข้ามาให้ความยินยอมเพื่อกิจกรรการประมวลผลข้อมูลส่วนบุคคลน้อยลง ขณะที่ระบบ Data Subject Rights มีผู้เข้ามาขอใช้สิทธิถอนคำยินยอม ระงับคำยินยอม และลบข้อมูลส่วนบุคคลในระบบเพิ่มขึ้น ซึ่งเป็นผลกระทบทางอ้อมจากการบังคับใช้กฎหมาย และการฏิบัติตามขั้นตอนที่กฎหมาย PDPA กำหนด จนทำให้เกิดความท้าทายในเรื่อง Increase Customer Data Utilization และ Reduce DSAR Operation Cost ซึ่งนักพัฒนาของ t-reg จะต้องนำโจทย์สองข้อนี้ มาเป็นโจทย์หลักในการคิด Solution เพื่อทำให้ปรากฎการณ์ดังกล่าวได้รับการแก้ไข ไม่ให้กระทบกับการดำเนินธุรกิจในระยะยาว ดังนั้น t-reg จึงเร่งดำเนินการปรับปรุงระบบ และปรับปรุงเทคโนโลยี เพื่อยกระดับการบริการ แบ่งเป็น 3 Step คือ
Review
สิ่งที่ t-reg ทำเพื่อสู้กับความท้าทายเหล่านี้ คือการเข้าไปศึกษา ทำความเข้าใจบริบทปัญหา รับ Feedback จากผู้ใช้บริการ Platform เพื่อนำมาปรับปรุงพัฒนาระบบ
Connect
ต่อด้วยกระบวนการวิเคราะห์และหาสาเหตุของปัญหา โดยใช้ข้อมูลจากผู้ใช้งานจริงประกอบกับข้อมูลจาก Database ทีม t-reg วิเคราะห์หาสาเหตุจนเจอรากของปัญหา เพื่อให้การแก้ปัญหาเกิดขึ้นที่ต้นเหตุที่แท้จริง และป้องกันปัญหาในระยะยาว เมื่อพบว่ารากของปัญหาคือการเชื่อมต่อระบบที่กระจัดกระจายให้เชื่อมถึงกันอย่างครบถ้วน t-reg จึงได้พัฒนาการเชื่อมต่อระบบ ทั้งระบบภายในองค์กร และระบบองค์กรที่ต้องเชื่อมต่อกับ Database ของ t-reg ด้วยการใช้เทคโนโลยีที่ทันสมัยมา Integrate ร่วมกับเทคโนโลยีเดิม
Enhance
นอกจากพัฒนาระบบ และปรับปรุงเทคโนโลยีให้ดีขึ้น t-reg ยังปรับปรุง Environment ที่เกี่ยวข้องระบบบริหารจัดการ PDPA นั่นก็คือ คน (People) และ กระบวนการทำงานที่เกี่ยวข้องกับการให้บริการ ลูกค้า/ผู้ใช้บริการ (Process) เพราะ t-reg ให้ความสำคัญกับภาพรวมของโครงการ PDPA ที่ต้องอาศัยการขับเคลื่อนทั้งระบบ ดังนั้นเมื่อมีการพัฒนาเทคโนโลยี จำเป็นต้องมีการพัฒนาทักษะ ความรู้ ความเข้าใจของคนที่ใช้ระบบ พร้อมกับยกระดับกระบวนการทำงาน เพื่อให้สอดรับกับเทคโนโลยีที่พัฒนาขึ้น และเตรียมความพร้อมระบบเพื่อรองรับการไหลเวียนของข้อมูลส่วนบุคคล
t-reg ไม่หยุดพัฒนา Platform และเราไม่หยุดพัฒนาการบริการ เรามุ่งมั่นที่จะมอบประสบการณ์ใช้งานที่ดีให้กับผู้ใช้งาน เพื่อให้โครงการ PDPA ขององค์กร พร้อมรับกับความท้าทายในอนาคต
ติดตามข่าวสารกฎหมาย PDPA และประเด็นที่น่าสนใจได้ที่
Facebook Page: PDPA Platform by t-reg
Youtube Channel: t-reg
