เพียงแค่คิดจะซื้อ ทำไมผู้ขายถึงรู้ความต้องการของเราได้อย่างรวดเร็ว? รู้ได้อย่างไรว่าเราชอบสีไหน เราป่วยตอนไหน เราอยากแต่งตัวไปเที่ยวที่ไหน หรือเราชอบอะไร คำตอบนั้นง่ายมาก เพราะนี่คือยุคแห่ง ‘Data-Driven’ หรือธุรกิจที่ขับเคลื่อนโดยข้อมูล ดังนั้นแบรนด์ที่มีการใช้ประโยชน์จาก ‘Big Data’ ซึ่งเป็นการรวบรวมข้อมูลของบุคคลจำนวนมากและนำมาแยกแยะ วิเคราะห์ และประมวลผลให้เกิดผลลัพธ์ที่ต้องการ จึงอย่าแปลกใจหากแบรนด์หรือผู้ผลิตสินค้าและบริการต่างๆ จะเข้าใจตัวคุณมากกว่าเพื่อนสนิทของคุณซะอีก !

อย่างไรก็ตาม มีคำถามสำคัญที่หลายท่านยังคงกังขา เนื่องจากการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (กฎหมาย PDPA) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การทำ Big Data ภายใต้เงื่อนไขของ PDPA จะต้องดำเนินการอย่างไร และการเก็บข้อมูลส่วนบุคคลของธุรกิจต่างๆ จะต้องทำอย่างไรบ้างเพื่อให้สอดคล้องตามข้อบังคับของกฎหมาย ซึ่งก่อนอื่นอาจจะต้องเข้าใจพื้นฐานของ ‘ข้อจำกัด’ หรือมาตรฐานใหม่ของการทำ Big Data ในปัจจุบันเสียก่อน

 

‘ข้อมูล’ เป็นทรัพยากรที่มีค่าสำหรับทุกองค์กรจริงๆ หรือ ?

จริงแท้แน่นอน!…แต่ต้องอยู่บนพื้นฐานของการ ‘ยืมมาใช้’ อย่างเหมาะสมตามความจำเป็น และปลอดภัย ทั้งเป็นสิทธิโดยชอบที่เจ้าของข้อมูลสามารถเพิกถอนความยินยอม ระงับ ถ่ายโอนหรือขอให้แก้ไขได้ ดังนั้นก่อนจะเข้าใจเรื่องอื่น ต้องเข้าใจว่า ของที่ยืมใช้จะนำมาใช้พร่ำเพรื่อไม่ได้ เนื่องจากปัจจุบันทั่วโลกมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล เช่น ยุโรปมีกฎหมาย GDPR (General Data Protection Regulation)และเป็นต้นแบบของข้อบังคับในกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลก

ขณะที่ชาติอาเซียนได้มีการจัดทำกรอบการดำเนินงานว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (Framework On Personal Data Protection) อันเป็นการวางหลักการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้เป็นมาตรฐานเดียวกัน และจะเห็นได้ว่าผู้คนในปัจจุบัน ‘ตื่นตัว’ กับเรื่องสิทธิของข้อมูลส่วนบุคคลอย่างมาก ดังจะเห็นได้จากข่าวการฟ้องร้องคดีละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นในช่วงที่ผ่านมาจนเป็นเหตุให้บริษัทต้องชดใช้ค่าเสียหายหรือถูกปรับเงินเป็นจำนวนมาก

และตามรายละเอียดในข้างต้น คือ ประเทศไทยมีการบังคับใช้กฎหมาย PDPA (Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในวันที่ 1 มิถุนายน พ.ศ.2565 ปีที่ผ่านมา โดยกฎหมายดังกล่าวกำหนดขึ้นเพื่อป้องปรามการใช้ประโยชน์จากข้อมูลส่วนบุคคลของประชาชนจนบางครั้งก็เกินขอบเขต หรือมีการแสวงหาประโยชน์โดยมิชอบจากข้อมูลส่วนบุคคลที่เมื่อก่อนยังไม่มีมาตรฐานหรือกฎหมายควบคุม

เช่น กรณีการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือบุคคลทั่วไปเป็นจำนวนมาก ซึ่งธุรกิจเรียกสิ่งนี้ว่า Big Data โดยนำข้อมูลดังกล่าวมาประมวลผลเพื่อกิจกรรมต่างๆ เช่น การตลาดและการส่งเสริมการขาย การวิจัยตลาด การวิเคราะห์ปัจจัยหรือแนวโน้มที่อาจเกิดขึ้นในอนาคต หรือเพื่อความสะดวกรวดเร็ว และแม่นยำในการดำเนินกิจกรรมทางธุรกิจในด้านต่าง ๆ

ด้วยเหตุนี้ Big Data จึงเป็นส่วนสำคัญในการขับเคลื่อนองค์กรธุรกิจในยุคปัจจุบัน แต่ในขณะเดียวกันก็อาจเป็น ‘ภัยแฝง’ ที่จะนำความยุ่งมากมาให้อีกมาก หากใช้จนเกินขอบเขตที่กฎหมายกำหนด ธุรกิจจึงต้องเรียนรู้และเข้าใจบริบทการทำ Big Data ภายใต้ข้อบังคับของ PDPA อย่างถูกต้องและสอดคล้องกับกฎหมาย และเป็นระเบียบใหม่ของการทำธุรกิจของโลกยุคนี้

 

 

How-to Big Dataให้ถูกต้องตามข้อบังคับของ PDPA

1. หาที่ปรึกษากฎหมาย PDPA : เนื่องจาก PDPA ยังเป็นกฎหมายใหม่ที่รอการบังคับใช้อย่างเป็นทางการ และแม้ที่ผ่านมาจะมีการประกาศว่าจะบังคับใช้แต่ก็มีการเลื่อนวันบังคับใช้ เนื่องจากความไม่พร้อมของภาคธุรกิจ จึงจะเห็นว่ามาตรฐานใหม่ในการใช้ข้อมูลส่วนบุคคลสำหรับภาคธุรกิจจึงเป็นสิ่งที่ ‘อ่อนไหว’ สำหรับธุรกิจ และกฎหมายบางมาตรายังต้องอาศัยการ ‘ตีความ’ ทั้งคาดว่าในอนาคตยังจะมี ‘กฎหมายลูก’ ที่จะออกมาเพื่อจำกัดขอบเขตของกฎหมายให้มีความครอบคลุมและเป็นแนวปฏิบัติตามหลักเกณฑ์ที่เป็นมาตรฐานเดียวกัน

ดังนั้นเรื่องแรกที่องค์กรธุรกิจที่มีการจัดเก็บข้อมูลส่วนบุคคลเพื่อประโยชน์ในด้านต่าง ๆ จึงต้องมีบุคลากรที่เป็นฝ่ายกฎหมาย PDPA โดยเฉพาะเพื่อเป็นการเตรียมพร้อมในขั้นแรกก่อนที่กฎหมายจะบังคับใช้อย่างเป็นทางการ ทั้งดำเนินการกิจกรรมต่าง ๆ ให้สอดคล้องกับกฎหมาย หรือการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO (Data Protection Officer) ก็จะทำให้ทุกอย่างง่ายขึ้นมาก

2. ศึกษา Data Lifecycle ที่มีการจัดเก็บ : Data Lifecycle หรือวงจรชีวิตของข้อมูล หรือจะกล่าวให้เข้าใจง่ายกว่านั้นก็คือ กระบวนการตั้งแต่การวางแผนการจัดเก็บข้อมูล รูปแบบและวิธีการจัดเก็บ กลุ่มเป้าหมายที่มีการจัดเก็บ ข้อมูลที่มีการจัดเก็บ เครื่องมือที่มีการจัดเก็บและประมวลผล ผู้มีส่วนเกี่ยวข้องกับข้อมูล ตลอดจนวิธีการเก็บรักษา และระยะเวลาในการทำให้ข้อมูลนั้นเป็นนิรนาม หรือทำลายข้อมูล โดยการดำเนินการดังกล่าวก็เพื่อประโยชน์ในการ ‘จำแนกข้อมูล’ เช่น ข้อมูลส่วนบุคคลที่มีต้องมีการขอความยินยอมจากเจ้าของข้อมูล ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive data) ที่ต้องใช้อย่างระมัดระวังตามความจำเป็น ข้อมูลผู้เยาว์ บุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถที่ต้องขอความยินยอมจากผู้ปกครองหรือผู้พิทักษ์ตามกฎหมาย

3. เข้าใจสถานะและบทบาทหน้าที่ : กฎหมาย PDPA ระบุถึง ‘สถานะ’ บทบาทหน้าที่ของขององค์กรที่ใช้ประโยชน์จากข้อมูลส่วนบุคคลใน 2 สถานะ คือ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งมีบทบาทและหน้าที่แตกต่างกัน ดังนั้นองค์กรธุรกิจจึงต้องเข้าใจว่าแท้จริงแล้วองค์กรมีการดำเนินการด้านข้อมูลส่วนบุคคลตามสถานะใด มีหน้าที่ซึ่งจำเป็นต้องดำเนินการตามกฎหมายในลักษณะใดบ้าง จึงจะสามารถดำเนินการในขั้นต่อไปได้อย่างเหมาะสม

4. สร้าง Consent From ตามกฎหมาย : ‘ข้อมูลส่วนบุคคล’ อันหมายถึงข้อมูลที่สามารถระบุถึงตัวบุคคลนั้นได้ทั้งทางตรง และทางอ้อม และการเก็บ รวบรวมใช้ หรือเปิดเผยจะต้องได้รับความยินยอม (Consent)จากเจ้าของข้อมูล ทั้งยังไม่สามารถนำข้อมูลที่ไม่ได้เก็บเองโดยตรงมาใช้ ซึ่งนี่คือ ‘สาระสำคัญ’ ของกฎหมาย PDPA ด้วยเหตุนี้ ในกรณีที่องค์กรธุรกิจมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งมีการเก็บข้อมูลด้วยตนเอง จึงต้องดำเนินการสร้างแบบฟอร์มขอความยินยอมจากจ้าของข้อมูลอย่างถูกต้อง มีเนื้อหา วัตถุประสงค์การเก็บใช้ และกำหนดระยะเวลาในการจัดเก็บอย่างชัดเจน ทั้งต้องกำหนดมาตรการการเข้าถึงสิทธิและความปลอดภัยอย่างเหมาะสม ขณะที่ ผู้ประมวลผลข้อมูลฯ หากมีการนำ Big Data ไปประมวลผลตามคำสั่งของผู้ควบคุมข้อมูลฯ จะต้องทำเอกสารสัญญาหรือข้อตกลงในการดำเนินการแบ่งปันข้อมูลและจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลอย่างถูกต้อง

5. สร้าง Risk Assessment : การประเมินความเสี่ยงและผลกระทบที่อาจเกิดขึ้น ซึ่งตามกฎหมาย PDPA กำหนดให้องค์กรที่มีการเก็บข้อมูลจำนวนมากหรือ มีการเก็บใช้ข้อมูลส่วนบุคคลอย่างต่อเนื่อง และมีความเสี่ยงสูงจะต้องทำ DPIA (Data Protection Impact Assessment) หรือการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลสำหรับภาคธุรกิจ ดังนั้นกรณีของการทำ Big Data ซึ่งอุดมไปด้วยข้อมูลยิบย่อยของบุคคลเป็นจำนวนมากจึงต้องทำ DPIA ภายในองค์กรด้วย ทั้งเป็นข้อบังคับตามที่กฎหมายกำหนด

6. สร้างกฎ Data Protection : ในองค์กรธุรกิจควรจัดทำแนวปฏิบัติด้านการปกป้องคุ้มครองข้อมูลส่วนบุคคลเพื่อความปลอดภัย อาทิ การดำเนินการด้านบุคลากรและเครื่องมือที่มีความเหมาะสมในการจัดเก็บ และปกป้องข้อมูลเพื่อป้องกันการรั่วไหล การดำเนินการด้านสิทธิในการเข้าถึง Big Data สำหรับบุคคลที่มีหน้าที่โดยตรงเท่านั้น ตลอดจนการมีระเบียบข้อบังคับในการเก็บ ใช้ หรือเปิดเผยข้อมูลในองค์กรโดยอ้างอิงตามข้อบังคับของกฎหมาย PDPA ตลอดจนการสร้างค่านิยมด้านความปลอดภัยของข้อมูลส่วนบุคคลภายในองค์กรก็เป็นสิ่งสำคัญที่องค์กรที่มีการใช้ประโยชน์จาก Big Data เพื่อป้องกันการนำข้อมูลไปใช้ผิดวัตถุประสงค์ นำไปสู่การละเมิดที่จะส่งผลกระทบต่อองค์กร

 

ทั้งนี้ จาก How –to ทั้ง 6 ข้อที่เรานำมาแนะนำนี้ แม้จะเป็นเพียงแนวทางกว้างๆ ให้เป็นพื้นฐานสำหรับองค์กรที่ใช้ประโยชน์จาก Big Data สามารถนำไปต่อยอดหรือปรับรูปแบบให้เข้ากับกิจกรรมของธุรกิจ แต่ยังมีรายละเอียดอีกหลายด้านที่องค์กรธุรกิจที่ได้มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องปรับรูปแบบและกระบวนการต่างๆ ให้สอดคล้องกับกฎหมาย ด้วยเหตุนี้ ผู้ประกอบการจึงต้องศึกษาหรือสรรหาบุคลากรที่มีความรู้ ความเข้าใจในกฎหมาย PDPA มาช่วยให้การดำเนินการต่าง ๆ ได้ถูกต้อง

ทั้งกฎหมายยังบังคับด้วยว่า องค์กรหรือธุรกิจที่มีความ ‘จำเป็น’ ต้องแต่งตั้ง DPO คือ องค์กรธุรกิจที่มีการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเป็น ‘จำนวนมาก’ คือ เป็นเจ้าของข้อมูลส่วนบุคคล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000 รวมถึงมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ‘อย่างต่อเนื่อง’ หรือ ‘มีความเสี่ยง’ ที่อาจเกิดการละเมิดข้อมูลส่วนบุคคลได้ง่าย

ด้วยเหตุนี้ องค์กรที่มีการทำ Big Data หากดูจากข้อบังคับของกฎหมายส่วนนี้ จึงจะเลี่ยงบาลีไม่ได้ และจำเป็นต้องสรรหาบุคคลที่จะมาทำหน้าที่ DPO เสียแต่ตอนนี้