บทความโดย: อาจารย์สุกฤษ โกยอัครเดช ประธานเจ้าหน้าที่ฝ่ายปรึกษาและสอบทาน DBC Group

เมื่อพูดถึงวงการรถเช่าระดับโลก หลายคนอาจนึกถึงแบรนด์ Hertz ซึ่งครองอันดับ 1 มาอย่างยาวนาน แต่หากพูดถึงอีกแบรนด์หนึ่งที่แม้จะไม่ได้เป็นเบอร์หนึ่ง แต่ก็มีอีกแบรนด์ที่แข็งแกร่งไม่แพ้กัน นั่นคือ Avis Car Rental (ต่อไปนี้จะเรียกว่า “Avis”) ซึ่งมาพร้อมสโลแกน “we try harder” ที่หลายคนคุ้นหู นี่คือกลยุทธ์ทางการตลาดที่เปลี่ยนข้อเสียเปรียบให้กลายเป็นจุดแข็งในการสร้างแบรนด์

กรณีศึกษา เหตุละเมิดข้อมูลส่วนบุคคล PDPA กับข้อมูลส่วนบุคคลของสมาชิก

แม้ผู้เขียนจะเป็นสมาชิกของ Avis มาตั้งแต่สมัยทำงานที่สหรัฐฯ เมื่อปีพ.ศ. 2539 (ค.ศ. 1996) และไม่ได้ใช้บริการอีกเลยหลังจากกลับไทยในราวปีพ.ศ. 2546-2547 แต่ข้อมูลส่วนบุคคลของสมาชิกดังกล่าวก็ยังคงถูกเก็บรักษาในระบบของบริษัทเป็นเวลานานนับ 20 ปี จนกระทั่งเมื่อวันที่ 17 กันยายน 2567 ผู้เขียนได้รับอีเมลจาก Avis Budget Group แจ้งเรื่องเหตุละเมิดข้อมูลส่วนบุคคล หรือ Notice of Data Breach ซึ่งถือเป็นตัวอย่างที่น่าสนใจของการสื่อสารกับเจ้าของข้อมูลเมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคล

เนื้อหาสาระสำคัญของจดหมายจาก Avis

การสื่อสารของ Avis มีความชัดเจน กระชับ และแสดงความใส่ใจต่อเจ้าของข้อมูล โดยแบ่งเนื้อหาเป็นประเด็นสำคัญ ดังนี้

• แจ้งให้เจ้าของข้อมูลทราบว่าเกิดเหตุอะไรขึ้น

• ระบุว่าข้อมูลส่วนบุคคลใดได้รับผลกระทบ

• แจ้งว่าบริษัทดำเนินการแก้ไขอะไรบ้าง

• แนะนำสิ่งที่เจ้าของข้อมูลควรทำ

• เสนอแนวทางเยียวยา

• แจ้งช่องทางติดต่อสอบถามเพิ่มเติม

ตัวอย่างจดหมาย – การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ของ Avis Car Rental

ความสอดคล้องกับหลักเกณฑ์การแจ้งเหตุในประเทศไทย 

ประเทศไทยเองมีข้อกำหนดในแนวทางเดียวกัน ภายใต้ประกาศหลักเกณฑ์และวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act: PDPA) กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ต้องแจ้งเจ้าของข้อมูลโดยเร็วหากประเมินว่ามีความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล โดยต้องแจ้งรายละเอียดสำคัญ เช่น ลักษณะการละเมิด ช่องทางติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ผลกระทบที่อาจเกิดขึ้น แนวทางการเยียวยา

ตัวอย่างของ Avis ถือเป็นต้นแบบที่น่าสนใจในการออกแบบเนื้อหาการแจ้งเหตุอย่างมืออาชีพ เรียบง่าย ได้ใจความ และช่วยสร้างความเชื่อมั่นให้กับเจ้าของข้อมูล แม้ในสถานการณ์วิกฤติ

กรณีศึกษา เหตุละเมิดข้อมูลส่วนบุคคล PDPA ในไทย: บทเรียนราคา 7 ล้านบาท

ขณะเขียนบทความนี้ มีกรณีตัวอย่างในประเทศไทยที่ร้านค้าปลีกชื่อดังถูกปรับเป็นเงินรวม 7 ล้านบาท หนึ่งในข้อหาคือ ไม่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง ตามที่กฎหมายกำหนด เป็นบทเรียนสำคัญสำหรับองค์กรในทุกอุตสาหกรรมที่ต้องเตรียมแผนรับมือกรณี Data Breach ให้พร้อมทั้งด้านระบบและกระบวนการสื่อสารกับเจ้าของข้อมูล

บทสรุป

แม้เหตุการณ์ Data Breach จะไม่มีองค์กรใดอยากให้เกิดขึ้น แต่เมื่อเกิดแล้ว สิ่งสำคัญที่สุดคือ การสื่อสารอย่างตรงไปตรงมา โปร่งใส และรับผิดชอบต่อเจ้าของข้อมูล เพราะในยุคข้อมูลคือทรัพย์สิน ความเชื่อมั่นของลูกค้าย่อมมีมูลค่ามากกว่าตัวข้อมูลเสียอีก