31 พฤษภาคม 2565… พร้อมยกตัวอย่าง มองเรื่องใกล้ตัว เช่น ส่งโปรฯแรง! ลดราคา สะสมแต้ม CRM ละเมิด PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่จะเริ่มใข้วันที่ 1 มิถุนายนนี้
สตีเฟ่น เจมส์ แฮลวิก รักษาการรองประธานเจ้าหน้าที่บริหาร กลุ่มกิจการองค์กร บริษัท โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น จำกัด (มหาชน) หรือดีแทค กล่าวว่า สังคมดิจิทัลนำมาซึ่งโอกาสทางเศรษฐกิจและสังคมอย่างมาก แต่ขณะเดียวกัน การใช้ข้อมูลจำต้องคำนึงถึงสิทธิผู้บริโภคตามกฎหมายเป็นสำคัญ ดังนั้น ความเป็นส่วนตัวลูกค้า (Privacy) ถือเป็นสิ่งที่ดีแทคให้ความสำคัญสูงสุดในการพัฒนาสินค้าและบริการของเรา นอกจากนี้ ยังถือเป็นการตอกย้ำซึ่งหลักการด้านสิทธิมนุษยชนและธรรมาภิบาลที่ดีแทคมุ่งส่งเสริมผ่านบริการเชื่อมต่อที่ปลอดภัย ทั่วถึงและเท่าเทียม ดูข้อมูล ดีแทคกับการดำเนินธุรกิจอย่างมีความรับผิดชอบ
“ในภาคบริโภคในตลาดของเราเรามองดูว่าเราได้อะไร โดยไม่ได้คิดว่าเราเสียอะไร เพราะฉะนั้นหลายครั้งเราให้โดยที่ไม่รู้ว่าเราจะต้องเสีย เช่นไปทานอาหารลด 10%ใคร ๆ ก็ชอบเราเองก็ชอบ และขอข้อมูลส่วนบุคคลไป เราไม่ได้ตระหนักว่าข้อมูลที่ให้ไปนั้นเป็นทรัพย์สินส่วนบุคคล เพื่อแลก 10% ซึ่งเราก็ไม่รู้อีกว่า วัตถุประสงค์ที่เขาขอเราไปเพื่อทำอะไรขนาดไหน ไม่มีทางรู้ และถ้าเผื่อที่ร้านที่ขอไปไม่มีระบบรักษาความปลอดภัยที่ดี ข้อมูลอาจจะหลุด ซึ่งเป็นไปได้หมดเลย และ PDPA ไม่ได้กำกับบริการ”
อย่างไรก็ตาม หากทำ CRM เป็นสัญญาว่า บริษัทจะให้ส่วนลด ลูกค้าต้องให้ข้อมูลส่วนตัวเพื่อวัตถุประสงค์นี้ ถือเป็นสัญญาเกิดแล้ว นั่นหมายถึงว่า ถ้าข้อมูลที่ได้ไปนั้น ถูกใช้ไปเป็นอื่น ถ้าตรวจสอบกลับมาได้ว่ามีการใช้ผิดวัตถุประสงค์ตรงนี้ จะเป็นประเด็นได้
สำหรับดีแทคการใช้ข้อมูล CRM จะพิจารณา 3 ส่วน คือ เข้าถึง การพัฒนาสินค้า และการนำเสนอ ซึ่งคนจำนวนมากต้องการสิ่งที่นำเสนอ การจะตอบสนองความต้องการตรงนี้ได้ ต้องรู้จักประชาชนก่อน ไม่ต้องรู้ชื่อนามสกุล แต่ต้องการรู้ว่า คนลักษณะนี้ไ ชอบอะไร มีไลฟ์สไตล์อย่างไร เป็นต้น
ดีแทคเริ่มพัฒนานโยบายความเป็นส่วนตัว ออกแนวปฏิบัติ และบังคับใช้ภายในองค์กร ตามแนวทางของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 (PDPA) ของไทย ด้วยเส้นทางจากการพัฒนาแนวนโยบายสู่หลักปฏิบัติ ผ่านการออกแบบกระบวนการทำงาน การเก็บ ใช้ และเปิดเผยข้อมูล ตอกย้ำคุณค่าองค์กรด้านธรรมาภิบาลและหลักสิทธิมนุษยชนที่เป็นวัฒนธรรมขององค์กร ชี้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นหมุดหมายสำคัญนำพาประเทศสู่สังคมดิจิทัลอย่างยั่งยืน
ดีแทคมีกระบวนการจัดการกับข้อมูลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล คือ
กระบวนการดังกล่าวอยู่ภายใต้หลักธรรมาภิบาล และขั้นตอนการบริหารจัดการ ดังนี้
1. การทำงานเชิงรุก (Proactive approach) ดีแทคมีการวางแนวทางในการใช้ข้อมูลลูกค้าเพื่อให้เป็นไปตามเจตจำนงค์ตามที่ลูกค้าได้อนุญาตผ่าน Privacy Checkpoint ซึ่งเป็นโครงสร้างการทำงานเพื่อควบคุมและลดความเสี่ยงอันเกิดจากการละเมิดความเป็นส่วนตัวของลูกค้าโดยตั้งใจหรือไม่ตั้งใจ โดยผู้แสดงความจำนงค์ต้องการใช้ข้อมูลลูกค้า (ตัวอย่างเช่น ทีมพัฒนาแอปพลิเคชัน ทีมบริหารคุณค่าลูกค้า ระเบียบการปฎิบัติการในส่วนต่างๆ) จะต้องแจ้งความจำนงค์มายังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Privacy Officer: DPO) ของบริษัทเพื่อพิจารณาถึงวัตถุประสงค์ตามกฎหมาย (Legal basis) และความจำเป็น (Necessity and Proportionality) ของการใช้ข้อมูล นอกจากนี้ ยังต้องมีการประเมินความปลอดภัยข้อมูลทางด้านเทคนิค ซึ่งกำกับโดยทีมเทคโนโลยี จากนั้น จะเข้าสู่กระบวนการพิจารณาและอนุมัติโดยคณะกรรมการ การประเมินผลกระทบด้านการคุ้มครองส่วนบุคคล (DPIA) ของบริษัท
นอกจากนี้ ยังได้กำหนดโครงสร้างการทำงานของ DPO ให้เป็นอิสระ สามารถรายงานการทำงานแก้คณะผู้บริหาร (Management Committee) ได้โดยตรง เพื่อให้ความคิดเห็นของ DPO คงไว้ซึ่งหลักการความเป็นส่วนตัวและหลีกเลี่ยงผลกระทบจากปัจจัยภายนอกที่มีอิทธิพลต่อความคิดเห็นของ DPO
2. การตรวจสอบ (Investigative approach) เพื่อลดความเสี่ยงการละเมิดความเป็นส่วนตัวของข้อมูล พนักงานด่านหน้าที่มีเกี่ยวข้องกับข้อมูลลูกค้าจะต้องมีการทำประเมินอย่างสม่ำเสมอ จากนั้นส่งผลการประเมินมายัง DPO นอกจากนี้ ยังมีการตรวจสอบรายไตรมาส (Audit) จากทั้งคณะกรรมการภายในและภายนอก เพื่อให้มั่นใจว่ามีการปรับใช้นโยบายสู่แนวปฏิบัติอย่างถูกต้อง
3. การแก้ไข (Corrective action) เมื่อตรวจสอบพบการละเมิดความเป็นส่วนตัวของข้อมูล DPOมีหน้าที่ในการ ประสานงานผู้เกี่ยวข้อง เพื่อระงับ จัดการประเมิน ความเสียหาย กำหนดแนวทางการแก้ไข รวมถึงถ้าเหตุละเมิดดังกล่าวมีผลกระทบต่อเจ้าของข้อมูล จะต้องมีการแจ้งให้สำนักงานคณะกรรมการข้อมูลส่วนบุคคลรับทราบและแก้ไข
“ดีแทคมีความพร้อมต่อการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยได้พัฒนาเป็นนโยบายและแนวทางการทำงาน ตลอดจนบังคับใช้เป็นการภายในมาแล้วกว่า 2 ปี มีการอบรมและสร้างการรับรู้กับพนักงานต่อนโยบายความเป็นส่วนตัวแล้ว 100%” สตีเฟ่น กล่าวในท้ายที่สุด
