JRIT ICHI

องค์ประกอบของ PDPA มีอยู่ 2 ด้าน ประกอบด้วย ด้านกฎหมาย และด้าน IT ซึ่งการจะ Implement ให้มีประสิทธิภาพ ผู้เชี่ยวชาญจาก Alphasec Co., Ltd. เน้นย้ำว่า ทั้ง 2 ด้านต้องทำไปด้วยกันและพร้อมกัน

คุณสุริยา นาชิน ตำแหน่ง Chief Operating Officer and Head of Data Protection กล่าวว่า “บริษัท Alphasec เกิดจากการรวมตัวกันระหว่างทีมกฎหมายและทีม IT เพราะมองว่า งานของ Privacy กับ Cyber ทั้ง 2 ส่วนนี้ ต้องทำร่วมกัน”

“เริ่มต้นจากการเน้นความถูกต้องหรือความชอบด้วยกฎหมาย คือ การมีเอกสารถูกต้องครบถ้วน มีนโยบายถูกต้อง เชื่อมโยงมาถึงด้าน Security ก็ต้องมีทีม IT เข้ามาช่วยดู โดยเฉพาะงาน Data Privacy ดังนั้นต้องมี 2 ทีมทั้งกฎหมายและ IT ที่ต้องทำงานไปด้วยกันครับ”

อีกหนึ่งฟันเฟือง ของ Alphasec Co., Ltd. นั่นคือ คุณภาณุมาศ ใจทหาร ตำแหน่ง PDPA Management Platform Consultant กล่าวเสริมว่า

“PDPA สามารถช่วยในเรื่องของการค้าระหว่างประเทศด้วยครับ เพราะองค์กรสมัยนี้ไม่ได้ค้าขายแค่ในประเทศ แต่ยังค้าขายกับต่างประเทศด้วย ซึ่งต่างประเทศให้ความสำคัญกับข้อมูลส่วนบุคคลอย่างมาก การทำ PDPA จึงทำให้ค้าขายกับต่างชาติได้ดีขึ้น”

“ในส่วนของด้าน Security จริง ๆ เราก็ทำกันมาอยู่แล้ว แต่เนื่องจากมีกฎหมาย PDPA เข้ามา ยิ่งทำให้เน้นหนักเข้าไปอีกว่า องค์กรต้องปกป้องข้อมูลประเภทนี้ และให้ความสำคัญมากขึ้น ซึ่งหากองค์กรทำได้อย่างมีประสิทธิภาพ ก็จะช่วยเสริมความแข็งแกร่งขององค์กรได้อีกด้วยครับ”

Alphasec เป็นบริษัทที่ปรึกษา และบริษัทผู้ให้ให้บริการด้าน PDPA และ Cyber Security แบบครบวงจร สร้างสมดุลระหว่างข้อกฎหมายและ IT
สำหรับบริษัท Alphasec เป็นผู้ให้บริการด้าน PDPA, Cyber Security และ IT Audit การตรวจสอบระบบเทคโนโลยีสารสนเทศ และความมั่นคงปลอดภัยทางด้านเทคโนโลยีสารสนเทศ ได้จัดตั้งอย่างเป็นทางการเมื่อ พ.ศ. 2560 ที่มีทีมผู้เชี่ยวชาญระดับชาติและสากล ทั้งทีมกฎหมาย แล้วก็ทีมที่มีความเชี่ยวชาญทางด้าน IT และ Cyber Security ที่มีประสบการณ์กว่า 20 ปี เคยผ่านงานจากบริษัทด้านกฎหมายใน Law Firm และบริษัทที่ให้คำปรึกษาด้าน Cyber Security ที่มีชื่อเสียง และ Big Four แทบทั้งสิ้น

Alphasec เป็นบริษัทผู้ให้บริการในด้าย PDPA และ Cyber Security ซึ่งรวมถึง งานที่ปรึกษาด้าน PDPA, บริการ Outsource DPO (Data Protection Officer: เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล), Monitoring, Training และ PDPA Management Platform, มาตรฐาน ISO ต่างไ เช่น ISO 27001 (ISMS) ISO 27701 (PIMS) VA Pentest, PCI DSS

ทำไมองค์กรต้องมีการบริหารจัดการด้าน PDPA
เหตุผลที่องค์กรต้องทำ PDPA ประกอบด้วย
1. เพราะกฎหมายบังคับว่าต้องทำ ถ้าไม่ทำจะเกิดความรับผิดทางกฎหมาย
2. เพิ่มศักยภาพขององค์กร หากไม่มองทางด้านกฎหมาย ข้อดีของการทำ PDPA ประกอบด้วย
a. ในส่วนของบริษัทเอง สามารถรู้ว่า ข้อมูลมีอะไรบ้าง จัดเก็บข้อมูลที่ไหน ปกป้องคุ้มครองอย่างไร จะเอาข้อมูลไปใช้ได้อย่างไร ซึ่งถือเป็นการปกป้องข้อมูลของบริษัทที่ถูกต้องครบถ้วน เพิ่มศักยภาพในการแข่งขัน
b. ในส่วนของลูกค้า ทำให้เกิดความมั่นใจต่อองค์กร เพราะหากเรามีการเก็บข้อมูลถูกต้องตามกฎหมาย จะทำให้เกิดความไว้วางใจ และอยากเป็นลูกค้าของเรานาน ๆ

ขั้นตอนการ Implement ระบบการจัดการ PDPA ภายในองค์กรธุรกิจ ให้มีประสิทธิภาพ
คุณสุริยา ได้อธิบายการดำเนินการจัดการ PDPA อย่างเห็นภาพว่า การจะ Implement PDPA ให้ประสบความสำเร็จ เกิดประสิทธิภาพสูงสุด มีดังนี้

1. เริ่มต้นที่ผู้บริหาร ผู้บริหารต้องสั่งการลงมาว่า “ต่อไปบริษัทของเราจะมีการทำ PDPA เพราะหากผู้บริหารระดับสูง หรือ CEO ไม่ลงมาดูเอง ระดับล่างมักจะไม่กล้าทำอะไร เนื่องจากมีเรื่องงบประมาณเข้ามาเกี่ยวข้อง ซึ่งสิ่งเหล่านี้ ทางผู้บริหารระดับสูงต้องสั่งการ และจัดตั้งทีมงาน ใครมีหน้าที่ทำอะไร ให้งบประมาณเท่าไร เป็นต้น”

2. คณะทำงานศึกษาหารือ “เมื่อผู้บริหารมีคำสั่งแต่งตั้งทีมงานแล้ว ต่อไปทีมงานก็ต้องคุยกัน มีการตั้งหัวหน้าทีมขึ้นมา แล้วนั่งคุยกัน กำหนดแผนตามนโยบายที่ CEO สั่งมา เช่น จะทำเสร็จภายในเวลากี่เดือน หากบอก 3 เดือน ก็ต้องมาดูว่า ในเวลา 3 เดือน แต่ละเดือนมีกี่สัปดาห์ แล้วในแต่ละสัปดาห์ใครจะต้องทำอะไรอย่างไร”

3. Training บุคลากร “อบรมบุคลากรให้มีความรู้ความเข้าใจเรื่อง PDPA หากภายในองค์กรมีผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลก็สามารถใช้ให้อบรมพนักงานภายในได้เลย แต่องค์กรจำนวนมาก มักเริ่มต้นด้วยการใช้ที่ปรึกษาภายนอกมาให้ความรู้ ซึ่งการ Training แบ่งออกเป็น 3 อย่างด้วยกัน
1) Training ผู้บริหาร เพื่อให้มองเห็นความสำคัญ
2) Training ทีมงาน คือ ทีมงานที่ผู้บริหารตั้งขึ้นมา โดยส่วนใหญ่จะเป็นหัวหน้าในแต่ละ BU เพราะมีความสำคัญในการเข้าไปพูดคุย หรือสั่งการ
3) Training พนักงานทั้งองค์กร”

4. แต่ละแผนกเก็บรวบรวมข้อมูล “หลังจากมีการ Training แล้ว โดยปกติแต่ละฝ่ายงาน เช่น HR, IT, Marketing ฯลฯ มีหน้าที่ต้องไปรวบรวมกิจกรรมในสายงานของตัวเองว่า มีกิจกรรมที่เกี่ยวข้องกับการรวบรวมข้อมูลส่วนบุคคลอย่างไร เพราะ PDPA ให้ความสำคัญกับเรื่องของการเก็บรวบรวม การใช้และการเปิดเผยข้อมูลส่วนบุคคล ซึ่งในทุกฝ่ายงานมีการจัดการจัดเก็บส่วนนี้ทั้งทางตรงและทางอ้อม บางฝ่ายอาจจะไม่ได้เก็บรวบรวมเอง แต่ต้องใช้ข้อมูลส่วนบุคคลของฝ่ายที่มีการเก็บรวบรวมโดยตรง ดังนั้นความร่วมมือร่วมใจของแต่ละฝ่ายงาน ค่อนข้างสำคัญในการที่จะทำให้การ Implement PDPA ประสบความสำเร็จ”

5. จัดทำ ROPA “คือ บันทึกรายการของกิจกรรมข้อมูลส่วนบุคคล Records of Processing Activities ว่าแต่ละฝ่ายงานมีความเกี่ยวข้องกับการเก็บ ใช้และเปิดเผยข้อมูลส่วนบุคคลอย่างไรบ้าง”

6. Workshop “หมายถึงการเชิญผู้เชี่ยวชาญ (อาจจะเป็นภายใน หรือภายนอกองค์กรก็ได้) มาสัมภาษณ์แต่ละ BU ว่า มีความรู้ความเข้าใจในด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมถึงด้านการเก็บรวบรวม การใช้และเปิดเผยข้อมูลส่วนบุคคลอย่างไร เพื่อให้เกิดความถูกต้องครบถ้วน เช่น กล้องวงจรปิดขององค์กร มีความเกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคลหรือไม่ ซึ่งบางครั้งฝ่ายอาคารอาจมองว่า เป็นเพียงการสำรวจอาคารเท่านั้น แต่จริง ๆ แล้ว กล้องวงจรปิดมีการบันทึกภาพบุคคลที่เข้า-ออกอาคารด้วย เท่ากับเป็นการบันทึกข้อมูลส่วนบุคคล ฉะนั้นจึงต้องทบทวนความรู้ความเข้าใจกันอย่างละเอียด”

7. จัดทำเอกสาร หรือนโยบายด้านกฎหมาย (อธิบายในหัวข้อต่อไป)

8. จัดการความเสี่ยง “เมื่อมีการจัดทำเอกสารทางด้านกฎหมายแล้ว จะทราบว่าจุดไหนมีความเสี่ยงที่ข้อมูลจะรั่วไหล ก็สามารถดำเนินการคุ้มครองข้อมูลส่วนบุคคลโดยใช้เทคโนโลยีมาป้องกันได้”

9. ทบทวนเอกสาร “เมื่อจัดทำเอกสารและดำเนินการคุ้มครองข้อมูลส่วนบุคคลแล้วก็ต้องให้ผู้เชี่ยวชาญมาทบทวนอีกทีว่ามีจุดบกพร่องอย่างไรบ้าง”

10. นำเสนอให้ผู้บริหารอนุมัติ “เมื่อทบทวนครบถ้วนแล้วก็ให้ส่งรายงานเพื่อให้ผู้บริหารอนุมัติและประกาศใช้เพื่อดำเนินการต่อไป”

11. ปรับปรุงสม่ำเสมอ “เมื่อผู้บริหารอนุมัติ องค์กรนำ PDPA มาใช้แล้ว ก็ต้องมีการพัฒนานโยบายให้ดีขึ้น รวมทั้งควรอบรมพนักงานอยู่เรื่อย ๆ เพื่อให้ทันต่อสถานการณ์ เพราะกฎหมาย และการจู่โจมด้าน IT มีการเปลี่ยนแปลงอยู่เรื่อย ๆ”

การทำ PDPA ให้สำเร็จรวดเร็ว
คุณภาณุมาศ กล่าวเสริมเรื่องการทำ PDPA ให้สำเร็จลุล่วงด้วยดีว่า ภาพรวมของ PDPA มี 3 ส่วน

ส่วนที่หนึ่ง คือ จุด Touch Point กับ Data Subject เป็นกระบวนการขอสิทธิ์ใช้ข้อมูลส่วนบุคคล และการยินยอม

ส่วนที่สอง เป็นการจัดการข้อมูลส่วนบุคคล เช่น Consent Management, Cookies, การแจ้งนโยบายความเป็นส่วนตัว การทำ ROPA

ส่วนที่สาม เรื่องของ Security หรือการป้องกันข้อมูลส่วนบุคคล

“หากเราต้องการทำ PDPA ให้สำเร็จเร็วที่สุด ต้องทำ 2 ส่วนแรกให้เรียบร้อยก่อน เพราะข้อกฎหมายแทบจะ 90% พูดถึง 2 ส่วนแรก แต่บางทีผู้ประกอบการไปให้ความสำคัญกับส่วนที่ 3 ก่อน ซึ่งเป็นเรื่องการป้องกัน ทั้ง ๆ ที่กฎหมายแค่มาตรา 37 เท่านั้น ที่บอกว่าต้องมี Security ที่เพียงพอกับองค์กรของคุณ เขาไม่ได้บังคับว่าจะต้องมีอะไรบ้าง สุดท้ายก็อยู่ที่คุณตั้งใจจะป้องกันมากน้อยแค่ไหน” คุณภาณุมาศกล่าว

ทั้งนี้ คุณภาณุมาศ ย้ำว่า การทำ PDPA ให้เสร็จรวดเร็ว ควรจัดการสองส่วนแรกให้เรียบร้อยก่อน แต่ไม่ได้หมายความว่าส่วนที่ 3 ไม่สำคัญ ยังคงต้องมีการป้องกันข้อมูลส่วนบุคคลที่เข้มแข็งเช่นกัน

“PDPA ไม่สามารถแยกกฎหมายออกจาก Protection ได้ แต่หากจะ Implement PDPA ให้จบไว ๆ ต้องไปจัดการที่ 2 ส่วนหน้าก่อนครับ”

เอกสารทางด้านกฎหมาย หรือนโยบายด้านกฎหมาย PDPA ที่ต้องจัดทำ
คุณสุริยา กล่าวว่าเอกสารกฎหมาย PDPA มีหลายรายการ แต่ขั้นต่ำมี 12 รายการดังนี้

1. Privacy Policy คือ นโยบายความคุ้มครองข้อมูลส่วนบุคคล

2. Outsourcing Policy for Personal Data Processing คือ หากจ้างบริษัท Outsource ทำงานเกี่ยวข้องกับข้อมูลส่วนบุคคลของเรา ก็ต้องมีนโยบายที่จะคุ้มครองข้อมูลส่วนบุคคลประกอบด้วย เพื่อไม่ให้ Outsource ทำข้อมูลรั่วไหล

3. Consent Management Procedure คือ การบริหารการจัดการความยินยอม ซึ่งตัวนี้ในหลายนโยบายจะไปโยงกับตัว PDPA Platform รวมทั้ง Tool

4. Consent Form คือ หนังสือให้ความยินยอมของเจ้าของข้อมูลส่วนบุคคล

5. Data Retention Policy คือ นโยบายในการเก็บข้อมูล

6. Personal Data Classification Policy คือ นโยบายในการแยกประเภทข้อมูล ที่มีความลับ ลับมาก ลับน้อย จัดเก็บตามลำดับความสำคัญ

7. Personal Data Breach Procedure คือ นโยบายเกี่ยวกับการบริหารจัดการการละเมิดข้อมูลส่วนบุคคล

8. Data Protection Risk Management and Data Protection Impact Assessment Procedure คือ นโยบายทางด้านการประเมินความเสี่ยง การประเมินผลกระทบทางด้านการคุ้มครองข้อมูลส่วนบุคคล

9. Personal Data Disposal Policy คือ นโยบายการลบ ทำลายหรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้

10. Third Parties / Cross Border Data Transfer Policy คือ นโยบายการโอนข้อมูลไปต่างประเทศ เพราะในบางองค์กรมีการส่งหรือโอนข้อมูลไปต่างประเทศ จึงต้องมีการจัดทำนโยบาย หรือจัดทำสัญญาที่เกี่ยวข้อง

11. Data Subject Right Management คือ นโยบายเพื่อการรองรับการใช้สิทธิ เพราะกฎหมายบอกว่าเจ้าของข้อมูลส่วนบุคคล เช่น เป็นพนักงาน เป็นลูกค้า มีสิทธิที่จะใช้สิทธิตามกฎหมาย

12. Data Processing/Sharing Agreement / ROPA คือ สัญญาประมวลผลข้อมูลส่วนบุคคลสัญญาแบ่งปันข้อมูลส่วนบุคคลกับองค์กรภายนอก และ ROPA

PDPA Management Platform จาก Alphasec
ก่อนพูดถึงความสามารถของแพลตฟอร์ม คุณภาณุมาศ อธิบายความสำคัญของไว้ว่า

“ความสำคัญอย่างหนึ่งที่เราต้องมีแพลตฟอร์ม เพราะ PDPA ไม่ได้ทำครั้งเดียวแล้วจบ ลองคิดดูว่าทั้ง 12 เอกสารนี้ ในลึก ๆ แล้ว มีเรื่อง Work Flow อยู่ ซึ่งต้องทำให้องค์กรปฏิบัติตามได้ตลอดเวลา ฉะนั้นถ้าไม่มี Platform แปลว่า คุณต้องมีเอกสารที่เป็นคล้ายคัมภีร์ไบเบิล เหมือนเป็น Checklist แปะไว้หน้าคอมฯ หรือข้างตัว ถามว่าจะทำได้อย่างนั้นตลอดไหม ไม่มีทางครับ จึงต้องมี Platform เข้ามาช่วย”

ความท้าทายต่อการใช้งาน Platform
แพลตฟอร์มเป็นการนำดิจิทัลเข้ามาใช้งานแทนมนุษย์ จึงมีความท้าทาย และอุปสรรคเกิดขึ้นเสมอ ความท้าทายที่เจอ เช่น

ความท้าทายด้านความเข้าใจ
ความท้าทายแรก คุณภาณุมาศ กล่าวว่า เกิดจากความไม่เข้าใจของผู้ใช้ หรือ User เนื่องจากหลาย ๆ ที่ไม่เข้าใจว่า ทำไมต้องใช้แพลตฟอร์ม มีแค่เอกสารก็สามารถจบเรื่อง PDPA ได้ ดังนั้นจึงต้องเข้าไปให้คำปรึกษา และสร้างความเข้าใจว่าการใช้เทคโนโลยีหรือดิจิทัลมีความสำคัญ

คุณภาณุมาศ ยกตัวอย่างเพิ่มเติมว่า “จริง ๆ แล้ว งานด้านเอกสารอื่น ๆ ล้วนต้องใช้ดิจิทัลเข้ามาช่วย เพียงแต่ว่างานอื่นนั้น พนักงานใช้แบบแมนนวลมาก่อน ใช้มานานจนตระหนักว่า ทำแบบเดิม ๆ ลำบาก ไม่สะดวก ควรทำ Digital Transform จึงเป็นเรื่องง่ายที่จะเข้าใจว่าแพลตฟอร์มสำคัญ”

แต่ PDPA เป็นกฎหมายที่มาพร้อมเทคโนโลยี ผู้ประกอบการจึงสับสน ไม่รู้ว่าควรทำส่วนไหนก่อน สรุปทำเฉพาะเอกสารดีไหม? เพราะกฎหมายระบุมาแบบนััน ทั้ง ๆ ที่ในความเป็นจริงต้องใช้ควบคู่กัน เนื่องจาก PDPA ต้อง Operate ทุกวัน ไม่ใช่เป็นแค่กระดาษเอาไว้ป้องกันกฎหมายอย่างเดียว แต่มีเรื่องของการจะถูก Audit ว่าองค์กรได้ทำตามนโยบายเหล่านั้นจริงหรือไม่ ทั้ง 12 เอกสาร ไม่ใช่แค่มีไว้โก้ ๆ ไว้แปะโชว์ แต่ต้องปฏิบัติตามด้วย

การขอความยินยอม การเก็บรักษาข้อมูลส่วนบุคคล องค์กรได้ขอถูกต้อง และจัดเก็บรักษาอย่างมั่นคงปลอดภัยเพียงพอหรือไม่ เมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ตรวจสอบต้องมีให้ดู ดังนั้นเรื่องพวกนี้การจะทำให้ Continue ตลอดเวลาได้ ดังนั้นควนมีแพลตฟอร์มรองรับ

ความท้าทายด้านการใช้งาน
ความท้าทายถัดมา คือ การนำ Data เข้าไปใส่ในแพลตฟอร์ม เนื่องจากองค์กรต้องนำข้อมูลอันหลากหลายป้อนเข้าไป เพราะ PDPA ต้องกรอกหลายอย่าง อย่างน้อยก็ 12 หัวข้อ คุณภาณุมาศ บอกว่า บางครั้งองค์กรใช้ที่ปรึกษาเจ้าหนึ่ง แต่ซื้อแพลตฟอร์มอีกเจ้าหนึ่ง จึงยิ่งทำให้กรอกข้อมูลยากเข้าไปอีก เพราะแพลตฟอร์มไม่ตรงกับแผน

ความท้าทายด้านการให้ความร่วมมือ
การทำ PDPA ไม่ใช่อยู่แค่ฝ่าย IT อย่างเดียวแล้วจบ แต่กฎหมายคุ้มครองข้อมูลส่วนบุคคล ต้องการให้ทุกฝ่ายงานมาร่วมมือกัน หากมีแค่ IT ที่ตื่นตัว แต่ฝ่ายงานอื่นไม่เอาด้วย การ Implement PDPA ก็สะดุด

ความท้าทายด้านการไม่เข้าใจขอบเขตภาระงานของ DPO
เมื่อพูดถึง PDPA หลายองค์กรตัดภาระให้ DPO (Data Protection Officer) เพียงคนเดียว เพราะคิดว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องรับผิดชอบเรื่องนี้ทุกอย่าง จริง ๆ แล้ว DPO มีหน้าที่แนะนำ หรือเป็นที่ปรึกษาในองค์กร

การจัดการความท้าทาย
เหล่าความท้าทายข้างต้น คุณภาณุมาศกล่าวว่า การแก้ปัญหา คือ ใช้วิธีให้คำปรึกษา เพื่อให้องค์กรตระหนักรู้ และเข้าใจภาพรวมของ PDPA

ส่วนแพลตฟอร์มนั้น เนื่องจาก Alphasec ออกแบบมาให้ตอบโจทย์ทุกระบบ ใช้งานง่ายด้วยระบบ SaaS ซึ่งทำงานบน Cloud ราคาไม่สูง ผู้ประกอบการรายย่อยสามารถใช้งานได้ จึงไม่ใช่เรื่องยากที่จะนำมาใช้งาน แม้เจอความท้าทายที่องค์กรจ้างที่ปรึกษาจากเจ้าอื่นมาก่อนหน้าแล้ว แต่แพลตฟอร์มของ Alphasec ก็สามารถปรับประยุกต์ให้ใช้งานร่วมกันได้อย่างลงตัว

คุณภาณุมาศ กล่าวว่า “แพลตฟอร์มที่เราใช้ เป็นการ Follow ตามกฎหมาย แบบเป๊ะ ๆ เลยครับ กฎหมายต้องให้ทำอะไรบ้าง 1, 2, 3, 4 เราก็เอามาตามนั้น”

“แล้วก็ครอบคลุมไปถึง GDPR กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปด้วย ทำให้ได้รับการยอมรับจากสากลมากกว่า”

สำหรับ Key Features ของ Platform นั้น คุณภาณุมาศ บอกว่า มีฟังก์ชันล้อไปกับระเบียบที่กฎหมายกำหนดทั้ง 12 ข้อทุกอย่าง เช่น รองรับการขอความยินยอมช่องทางต่าง ๆ ช่วยสร้างนโยบายคุกกี้และนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ถูกต้องตามกฎหมาย บริหารจัดการคำร้องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตั้งแต่รับคำร้อง การตรวจสอบ การดำเนินการ การบันทึกประวัติกิจกรรม ฯลฯ

“อีกข้อเด่นที่ขอยกมาประกอบ คือ การสื่อสาร Platform สามารถช่วยให้เจ้าหน้าที่สื่อสารกับเจ้าของข้อมูลส่วนบุคคลเรื่องต่าง ๆ อย่างเป็นระบบไม่กระจัดกระจาย ลดภาระเจ้าหน้าที่ด้วยการแจ้งเจ้าของข้อมูลส่วนบุคคลพร้อมกันในคราวเดียว”

ในขณะเดียวกันยังมี ระบบ Copilot คือ Chat GPT แต่ไม่ได้ให้ข้อมูลที่กว้างเกินไป เพียงแค่ให้เขาเรียนรู้เรื่องกฎหมายที่เกี่ยวข้องกับ PDPA เพื่อตอบปัญหาที่เกี่ยวข้องกับระบบเท่านั้น เช่น อาจจะถามไปว่า ตอนนี้มีกิจกรรมไหนที่ยังไม่มี ROPA บ้าง AI ก็จะตอบมา ซึ่งเป็นสิ่งอำนวยความสะดวกให้กับองค์กรมาก

ความสามารถของ NDPP ยังช่วยในการตรวจสอบเอกสารยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วย เพราะ เอกสารยินยอม ไม่ได้ขอครั้งเดียวแล้วจบ บางคนยินยอมแค่เพียง 3 เดือน ฉะนั้นระบบ AI จึงจะทำหน้าที่ทบทวนสิทธิ์ให้ เช่น เจ้าของสิทธิ์ยินยอมรับข่าวสารทางอีเมล เป็นเวลา 3 เดือน เมื่อระบบพบว่าครบกำหนดแล้ว ก็จะส่งใบขอความยินยอมไปอีกครั้งว่า เขาจะยินยอมรับข่าวสารต่อ หรือยุติ เป็นต้น สิ่งนี้ช่วยให้องค์กรปฏิบัติตามกฎหมาย PDPA ได้อย่างไม่ขาดตกบกพร่อง และทำให้โปร่งใส

กล่าวโดยสรุป คือ แพลตฟอร์ม Alphasec PDPA เป็นผู้ช่วยจัดการ PDPA ได้อย่างมีประสิทธิภาพ เพราะขับเคลื่อนด้วย AI ที่แม่นยำ ลด Human Error เพิ่มศักยภาพให้กับองค์กร

การใช้งาน Platform
สำหรับการใช้งานแพลตฟอร์มนั้น คุณภาณุมาศ กล่าวว่า เหมือนการใช้งานเว็บไซต์ และแอปพลิเคชัน ที่เมื่อนำขึ้นระบบ ทำการ Setting ต่าง ๆ เรียบร้อย ก็สามารถอัพโหลดเอกสารที่เกี่ยวข้องขึ้นไปใช้งานได้เลย

ข้อดีของการใช้งานแพลตฟอร์ม คือ ระบบจะมาร์กสิ่งที่ต้องทำ หรือเอกสารที่ต้องอัพโหลดเอาไว้ตามข้อกฎหมายชัดเจน หากข้อไหนองค์กรยังไม่กรอกเข้าไป ก็จะเตือนว่ายังไม่มี ยังขาดหัวข้อนั้น ๆ อยู่ เช่น ยังไม่ใส่ข้อมูลมาตรา 19 ระบบก็จะเตือนอยู่อย่างนั้นว่ายังขาด จนกว่าองค์กรจะเติมเข้าไป ตัวช่วยนี้ ทำให้รู้ตัวว่า เอกสารใดยังไม่ครบ ต้องรีบจัดการ เป็นการแก้ไขช่องโหว่ที่มีประสิทธิภาพ เพราะหากใช้วิธีให้พนักงานกรอกด้วยตัวเองลงใน Excel อาจจะเผลอลืมข้อใดข้อหนึ่งไป แล้วกดส่ง เก็บไว้เป็นหลักฐาน เมื่อ สคส. มาตรวจ หากพบว่า เอกสารไม่ครบตามกฎหมายระบุ องค์กรก็จะเสียหายได้

“ร่างแบบฟอร์มเอกสารบนระบบได้เลย เป็นภาษาอะไรก็ว่าไป ระบบสามารถที่จะแปลภาษาให้ได้ แล้วก็เอาเนื้อหามาอยู่ในเอกสารประกอบกฎหมายด้วย” คุณภาณุมาศ กล่าวถึงความสามารถของ PDPA Platform พร้อมทั้งอธิบายเพิ่มเติมว่า เอกสารด้าน PDPA มีความซับซ้อน หลากหลาย หากทำวันนี้ แก้ไขพรุ่งนี้ ก็อาจทำได้ เพราะคนทำเอกสารยังจำได้อยู่ แต่ถ้าผ่านไป 1 ปีล่ะ ยังจำได้ไหม การแก้ไขก็จะยุ่งเหยิง แต่ดิจิทัลไม่มีปัญหาเรื่องนี้ มันสามารถแก้ไขเอกสารพวกนี้ได้อย่างง่ายดาย แม้จะผ่านมาแล้วหลายปี

ฝากถึงผู้ประกอบการที่กำลังเริ่มต้นทำ PDPA Management ภายในองค์กร
ในเมื่อ PDPA มาพร้อมเทคโนโลยี จึงมีผู้ช่วยอัจฉริยะให้เลือกใช้บริการหลากหลาย ท้ายนี้ คุณสุริยา จึงฝากถึงผู้ประกอบการที่กำลังเริ่มต้นทำ PDPA management ภายในองค์กรว่า

“สำหรับผู้ประกอบการที่ยังไม่เริ่มทำ PDPA ก็อยากให้รีบทำ เพราะอย่างที่เรียนมาตอนต้นว่า มีกฎหมายบังคับให้ทำ ทำแล้วเป็นประโยชน์กับผู้ประกอบการเอง”

“แต่หากคิดว่า ยังไม่มั่นใจ ก็ลองพิจารณาด้านที่ปรึกษาข้างนอกให้มาช่วย แล้วถ้าผู้ประกอบการรายไหนที่มีข้อมูลจำนวนมากจริง ๆ ผมขอเสนอให้ใช้แพลตฟอร์ม Alphasec ดู เพราะจะช่วยในการบริหารจัดการด้านคุ้มครองข้อมูลส่วนบุคคลได้ดี จะทำให้เราใช้คนน้อยลง ตอนนี้อาจมองว่าการใช้แพลตฟอร์ม มีค่าใช้จ่ายที่มากขึ้น แต่อย่าลืมว่า สิ่งที่จะได้คืนมา คือ ความสะดวกสบาย ทำให้เราเดินตามกฎหมายได้ดีขึ้น แล้วก็ทำให้มีการลดค่าใช้จ่ายของคน หรือของทีมงาน เพราะแทนที่จะใช้คน 10 ถึง 20 คนมานั่งตรวจแบบฟอร์ม แต่ใช้แค่แพลตฟอร์มเดียวเท่านั้น ซึ่งจะช่วยลดค่าใช้จ่ายตรงนั้นลงได้”

ช่องทางการติดต่อ Alphasec
Website: https://www.alphasec.co.th/
Tel.: 02-309-3559
E-mail: contact@alphasec.co.th

********