กรุงเทพฯ 31 ส.ค. เอบีม คอนซัลติ้ง เผยแนวโน้มเติบโตในการใช้งานข้อมูลส่วนบุคคล
นายอิชิโร ฮาระ กรรมการผู้จัดการ บริษัท เอบีม คอนซัลติ้ง (ประเทศไทย) จำกัด บริษัทที่ปรึกษาผู้เชี่ยวชาญด้านการปรับเปลี่ยนองค์กรธุรกิจในรูปแบบดิจิทัล ทรานส์ฟอร์เมชัน กล่าวว่า การระบาดของโควิด-19 ได้สร้างผลกระทบอย่างใหญ่หลวง ไม่ว่าจะอุตสาหกรรมใด และได้สร้างการ เปลี่ยนแปลงครั้งใหญ่ ไม่ว่าจะเป็นการรักษาระยะห่างทางสังคมและการปิดพรมแดน ส่งผลให้การเดินทางเพื่อติดต่อธุรกิจถูกจำกัดลง รวมถึงการเปลี่ยนแปลงพฤติกรรมผู้บริโภค ฃจากความจำเป็นในเรื่องของการรักษาระยะห่างทางสังคม ทำให้ปริมาณข้อมูลมหาศาลจากการใช้งานอินเทอร์เน็ตกำลังถูกสร้างและจัดเก็บ ไม่ว่าจะเป็นข้อมูลจากการช้อปปิ้งออนไลน์ การใช้จ่ายเงินผ่านกระเป๋าเงินอิเล็กทรอนิกส์และเวลาที่ใช้ในการท่องอินเทอร์เน็ตและโซเชียลมีเดียที่เพิ่มมากขึ้น ปริมาณการใช้ข้อมูลส่วนบุคคลจำนวนมากและจะมีเพิ่มขึ้นอย่างต่อเนื่อง ส่งผลให้เกิดความกังวลเกี่ยวกับความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล จากผลกระทบหลักที่อาจจะมาจากการใช้ข้อมูลส่วนบุคคลในทางที่ผิดและการละเมิดข้อมูลส่วนบุคคล อ้างถึงรายงานของ GDPR พบว่า มากกว่าร้อยละ 38 ของกรณีที่ละเมิด GDPR เป็นกรณีที่ใช้ข้อมูลส่วนบุคคลในทางที่ผิด
ในเดือนพฤษภาคม 2563 มีรายงานว่า ทั่วโลกมีการละเมิดข้อมูลอยู่ประมาณ 8.8 พันล้านข้อมูล ซึ่งคิดเป็นมูลค่าความเสียหายประมาณ 3.92 ล้านเหรียญสหรัฐ โดยไม่สามารถปฏิเสธความรับผิดชอบจากเหตุการณ์ที่มีการละเมิดข้อมูลส่วนบุคคลซึ่งสร้างผลกระทบอย่างมากทางธุรกิจ ไม่ว่าจะเป็นการสูญเสียเงิน การหยุดชะงักของธุรกิจ ภาระผูกพันตามกฎหมาย และการทำให้ชื่อเสียงของแบรนด์ เกิดความเสี่ยง องค์กรจะต้องกลับมาพิจารณาอย่างจริงจังเกี่ยวกับความรับผิดชอบในการปกป้องข้อมูลส่วนบุคคลของลูกค้า และขั้นตอนในการดำเนินการเพื่อจะบรรเทาความเสี่ยงและป้องกันการเกิดการละเมิดข้อมูลส่วนบุคคลอย่างเหมาะสม
นายอิชิโร กล่าวอีกว่า ความจำเป็นที่เกิดขึ้นตามมาคือ องค์กรธุรกิจจะต้องรับมือกับข้อมูลส่วนบุคคลที่จัดเก็บมาใช้และเปิดเผยข้อมูลส่วนบุคคลนี้อย่างไรให้ถูกต้องตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA หรือ คำถามที่ว่า ลูกค้าได้ตระหนักรู้อย่างเต็มที่แล้วใช่หรือไม่ ว่าองค์กรได้ขออนุญาตเก็บข้อมูลส่วนบุคคลเพื่อนำไปใช้สำหรับทำอะไรรวมทั้งคำถามที่ว่า สิทธิส่วนบุคคลของแต่ละคนอะไรบ้างที่ได้รับความคุ้มครองตามกฎหมาย องค์กรควรปกป้องข้อมูลส่วนบุคคลเชิงรุก ด้วยการปรับลักษณะของการจัดการ การปรับใช้เทคโนโลยี และการปฏิรูปกฎหมายที่จำเป็นเพื่อให้มั่นใจว่าได้ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แม้ว่าการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะถูกเลื่อนออกไปถึงวันที่ 31 พฤษภาคม 2564 แต่หน่วยงานภาครัฐที่ดูแลเรื่องการบังคับใช้ พ.ร.บ.ฉบับนี้ได้มีการเดินหน้าจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นที่เรียบร้อย โดยในช่วงรอยต่อของช่องว่างการบังคับใช้พ.ร.บ.ฉบับนี้ เป็นช่วงเวลาที่ดีที่องค์กรต่าง ๆ จะเตรียมความพร้อมต่าง ๆ ที่จำเป็นตามที่กฎหมายระบุไว้ให้พร้อม เพื่อให้มั่นใจว่าองค์กรมีความพร้อมที่จะรับมือกับการบังคับใช้กฎหมายลูกฉบับต่าง ๆ ของ พ.ร.บ.ฉบับนี้ ที่คาดว่าจะทยอยออกมาบังคับใช้ในอนาคตอันใกล้นี้
จากรายงาน IAPP-EY Annual Privacy Governance Report 2019 เปิดเผยว่า ร้อยละ 45 ขององค์กรเท่านั้น ที่ปฏิบัติตาม GDPR อย่างสมบูรณ์เต็มที่ และร้อยละ 42 ที่อยู่เพียงขั้นปานกลางในการทำให้การจัดเก็บจัดการข้อมูลส่วนบุคคลของลูกค้าให้เป็นไปตามกรอบของกฎหมาย GDPR ประกาศใช้มา 4 ปี และมีผลบังคับใช้เต็มที่เมื่อพฤษภาคม 2561 เท่ากับว่าองค์กรมีเวลามากกว่า 1 ปีในการเตรียมตัวให้พร้อมก่อนที่ GDPR จะมีผลบังคับใช้จริง แต่กระนั้นก็ตาม มีองค์กรประมาณร้อยละ 54 ใช้เวลามากกว่าที่คาดการณ์ไว้ และมีหลายองค์กรที่ยอมรับว่ายังติดขัดกับการความท้าทายในการทำให้สอดคล้องกับกฎหมาย โดยเฉพาะอย่างยิ่งระบบการบริหารจัดการความยินยอมของลูกค้า และระบบการขอเข้าถึงข้อมูล
ความยากอันดับต้น ขององค์กรที่จะทำการจัดการข้อมูลส่วนบุคคลของลูกค้าให้เป็นไปตามกฎหมาย คือ การบริหารจัดการการยินยอมของลูกค้าและมาตรฐานการดำเนินการที่มีประสิทธิภาพและหลีกเลี่ยงความเสี่ยงจากการสูญเสียข้อมูล ซึ่ง “Centralized Consent Management Platforms” สามารถเข้ามาช่วยในส่วนนี้ได้ เพียงแต่ในความเป็นจริงแล้วร้อยละ 44 ขององค์กร มีระบบจัดเก็บการยินยอมของลูกค้ามากกว่า 25 ระบบ ดังนั้น มีความจำเป็นจะต้องรวบรวมระบบเข้าสู่แพลตฟอร์ม ซึ่งจะนำมาซึ่งการเปลี่ยนแปลงกระบวนการทำธุรกิจ และกลไกในการตรวจสอบข้อมูลตั้งแต่ต้นทางถึงปลายทาง เพื่อมั่นใจได้ว่าระบบจัดเก็บการยินยอมของลูกค้านั้นเป็นปัจจุบัน และต้องทำให้ลูกค้าสามารถทำการอนุญาตละถอนการอนุญาตได้ด้วยตัวเอง อาทิ องค์กรจะต้องตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูลภายในเวลาที่กำหนด คือ ภายใน 72 ชั่วโมงหลังจากที่มีการตรวจสอบการร้องขอจากลูกค้า ความท้าทายเหล่านี้สัมพันธ์กับความซับซ้อนในการบริหารจัดการระบบที่เกี่ยวข้องทั้งหมดภายในระยะเวลาที่กำหนด จากสถิติ พบว่าประมาณร้อยละ 36 ขององค์กร ใช้เวลามากกว่า 3 สัปดาห์ในการตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูล (DSR) ขณะที่ร้อยละ 58 มีพนักงานเพียง 26 คนในการบริหารจัดการคำขอสิทธิ์ของเจ้าของข้อมูลที่มีเข้ามา ค่าเฉลี่ยอยู่ที่ 50 คนในการตอบสนองคำขอสิทธิ์ของเจ้าของข้อมูล ซึ่งคิดเป็นเงินลงทุนประมาณ 70,000 เหรียญต่อเดือน หรือคิดเป็นต้นทุนประมาณ 1,400 เหรียญต่อหนึ่งคำขอสิทธิ์ของเจ้าของข้อมูล-สำนักข่าวไทย.
