ถอดประสบการณ์-บทเรียนการบังคับใช้นโยบาย ‘ความเป็นส่วนตัว’ ของดีแทคกับการเตรียมความพร้อมสู่กฎหมาย PDPA

ท้ายที่สุด ในวันที่ 1 มิถุนายนนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) ได้มีการบังคับใช้อย่างเป็นทางการ หลังคณะรัฐมนตรีมีมติเห็นชอบขยายเวลาบังคับใช้มาแล้ว 2 ครั้ง เนื่องจากสถานการณ์การแพร่ระบาดของโรคโควิด-19 อาจทำให้ผู้ประกอบการไม่มีความพร้อมเพียงพอกับการปฏิบัติตามกฎหมาย

อย่างไรก็ตาม แม้ที่ผ่านมาจะมีการขยายเวลาบังคับใช้กฎหมาย แต่สำหรับดีแทคแล้ว ‘ความเป็นส่วนตัว’ ของลูกค้าหรือ Privacy ถือเป็นเรื่องที่ทางดีแทคให้ความสำคัญเป็นอันดับต้นๆ จึงได้มีการบังคับใช้เป็นการภายในมาก่อนหน้าแล้ว

ความเป็นส่วนตัวคือสิทธิขั้นพื้นฐาน

มนตรี สถาพรกุล ผู้เชี่ยวชาญดูแลข้อมูลส่วนบุคคลของดีแทค ในฐานะ Data Privacy Officer หรือ DPO เปิดเผยว่า ที่ดีแทค เรายึดถือหลักธรรมาภิบาลและสิทธิมนุษยชนเป็นหัวใจสำคัญในการดำเนินธุรกิจ ความเป็นส่วนตัวนับเป็นสิทธิที่สังคมยุคใหม่เกือบทุกประเทศให้ความสำคัญอย่างมาก ถือเป็นหลักประกันในการคุ้มครองสิทธิและเสรีภาพของประชาชน ด้วยเหตุนี้ ดีแทคจึงได้มีการพัฒนานโยบาย ออกแนวปฏิบัติ และบังคับใช้ภายในองค์กรตั้งแต่ปี 2561 โดยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR เป็นแนวทางในการอ้างอิง

ในส่วนของ PDPA นั้นมีแนวคิดฐานรากมาจาก ‘การคืนสิทธิพื้นฐาน’ ให้กับประชาชนไทย กล่าวคือ ‘ความเป็นส่วนตัว’ เป็นสิทธิมนุษยชนขั้นพื้นฐานของมนุษย์ที่ได้บัญญัติรับรองไว้ในรัฐธรรมนูญ อันหมายรวมตั้งแต่ความเป็นส่วนตัวในชีวิตและร่างกาย (Bodily Privacy) ความเป็นส่วนตัวในการติดต่อสื่อสาร (Communication Privacy) ความเป็นส่วนตัวในเคหสถาน (Territorial Privacy) และความเป็นส่วนตัวเกี่ยวกับข้อมูล (Information Privacy)

ทั้งนี้ หัวใจสำคัญ PDPA ประกอบด้วย 3 ประเด็นหลัก ได้แก่

  1. Transparency โดยทั่วไปแล้ว องค์กรหรือบริษัทจะต้องแจ้งและขออนุญาต (Consent) ต่อผู้ใช้บริการอย่างเปิดเผย โปร่งใส และตรงไปตรงมา ในการใช้ข้อมูลส่วนบุคคล หลังได้รับอนุญาตแล้ว บริษัทจะต้องเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวให้ปลอดภัย พร้อมทั้งมีการบันทึกรายการกิจกรรมการประมวลผล (Records of processing activities) อันเป็นไปตามระเบียบและกระบวนการต่างๆ ที่เกี่ยวข้อง
  2. Lawful Use of Personal Data บริษัทต้องสามารถชี้แจงถึงหลักฐานในการใช้ข้อมูลให้เป็นไปตามวัตถุประสงค์ที่ได้รับอนุญาตจากเจ้าของข้อมูล
  3. Accountability พนักงานในองค์กรทุกคนตั้งแต่ระดับบริหารจนถึงปฏิบัติการจะต้องมีความรับผิดชอบต่อข้อมูลลูกค้าและมีความรู้ความเข้าใจในนโยบายความเป็นส่วนตัวของบริษัท

ความท้าทายในการบังคับใช้

มนตรีกล่าวเสริมว่า การเดินหน้าบังคับใช้นโยบายข้อมูลส่วนบุคคลของดีแทคตลอด 2-3 ปีที่ผ่านมานั้น ถือเป็นความท้าทายครั้งสำคัญสำหรับองค์กร ซึ่งต้องอาศัยการดำเนินงานอย่างต่อเนื่องเกี่ยวกับหลักการความเป็นส่วนตัวของข้อมูล

อย่างไรก็ตาม เพื่อให้การใช้ข้อมูลลูกค้าอยู่ภายใต้หลักการที่สอดคล้องกับเจตนารมณ์ของกฎหมาย ดีแทคจึงได้กำหนดกรอบการทำงาน 3 แนวทางเพื่อลดความเสี่ยงที่อาจเกิดขึ้นในภาคปฏิบัติ ได้แก่ การทำงานเชิงรุก การตรวจตรา และการแก้ไข

“การตรวจสอบและถ่วงดุล (Check and Balance) มีบทบาทสำคัญยิ่งในการทำให้การปรับใช้นโยบายมีประสิทธิภาพ ลดความเสี่ยงในการละเมิดสิทธิ นำมาสู่เป้าหมายที่คาดหวัง ดังนั้น การพัฒนา privacy และ security checkpoint ซึ่งเป็นโครงสร้างการทำงานเพื่อควบคุมและลดความเสี่ยงอันเกิดจากการละเมิดความเป็นส่วนตัวของลูกค้าโดยตั้งใจหรือไม่ตั้งใจ จึงช่วยให้การปรับใช้นโยบายความเป็นส่วนตัวสมบูรณ์ยิ่งขึ้น เป็นไปตามเจตนารมณ์ของกฎหมาย PDPA อย่างแท้จริง” มนตรีอธิบาย

กฤษณ์ ประพัทธศักดิ์ ผู้อำนวยการอาวุโส สายงานการขาย กลุ่มลูกค้าธุรกิจ (B2B) ของดีแทค อธิบายว่า บริษัทให้บริการลูกค้าดีแทคทั้งองค์กรขนาดใหญ่และเอสเอ็มอีหลายล้านเลขหมาย ซึ่งที่ผ่านมา ทีมงาน B2B ได้เตรียมการผ่านการอธิบาย ทำความเข้าใจถึงนโยบายและขอบเขตการใช้งานข้อมูลมากว่า 3 ปี ซึ่งลูกค้าองค์กรทั้งหมดจะต้องลงนามเซ็นสัญญาเอกสารนโยบายความเป็นส่วนตัวนี้ก่อน ซึ่งกลุ่มที่ยังขาดการรับรู้ประเด็นความเป็นส่วนตัว ส่วนมากพบในลูกค้าเอสเอ็มอีและสำนักงานขนาดเล็ก (SOHO) ซึ่งดีแทคได้อธิบายและสร้างความเข้าใจถึงประโยชน์ที่ลูกค้าจะได้รับและ/หรือสูญเสียไป

“dtac Business เราให้บริการลูกค้าทุกขนาดไม่ว่าจะเล็กหรือใหญ่ พวกเราล้วนให้บริการด้วยหลักการและมาตรฐานเดียวกัน โดยเฉพาะนโยบายส่วนบุคคลที่เราให้ความสำคัญสูงสุด คำนึงถึงหลักธรรมาภิบาลเป็นแกนกลาง” กฤษณ์อธิบาย

ความเป็นส่วนตัวเริ่มต้นจากล่างขึ้นบน

มนตรีกล่าวย้ำว่า ความเป็นส่วนตัว (Privacy) จะเกิดขึ้นได้ต้องเกิดจากล่างขึ้นบน (Bottom up) กล่าวคือ ผู้ใช้งานในองค์กรจะต้องมีความรู้ความเข้าใจนโยบายความเป็นส่วนตัวอย่างถ่องแท้ แม้ว่าเจตนาดี แต่เมื่อเข้าถึงข้อมูลโดยผิดวัตถุประสงค์ก็ถือว่าละเมิดความเป็นส่วนตัวแล้ว

ทั้งนี้ กระดุมเม็ดแรกซึ่งหมายถึงนโยบายนั้น มีความสำคัญจริง แต่เม็ดต่อๆ ไปก็มีความสำคัญไม่แตกต่างกัน ดังนั้น การกำหนดแนวทางการตรวจสอบและถ่วงดุลจึงมีความสำคัญ ควบคู่ไปกับการจัดอบรมให้ความรู้แก่ผู้ปฏิบัติงานในองค์กร ซึ่งดีแทคดำเนินการอย่างต่อเนื่อง โดย 3 ปีที่ผ่านมา พนักงานทุกคนได้รับการอบรมนโยบายความเป็นส่วนตัวของข้อมูลอย่างเข้มข้น

นอกเหนือจากความพร้อมขององค์กรแล้ว ความรู้ความเข้าใจในสิทธิความเป็นส่วนตัวในฐานะเจ้าของข้อมูล (Data subject) ก็มีความสำคัญไม่แพ้กัน เพื่อให้เจ้าของข้อมูลตระหนักในสิทธิของตนเองและประโยชน์ที่อาจสูญเสียไปจากความไม่เข้าใจในนโยบายความเป็นส่วนตัวของข้อมูล

“ในห้วงเวลา 3 ปีที่ผ่านมาของการปรับใช้นโยบาย เราเห็นพัฒนาการความรู้ความเข้าใจต่อประเด็นความเป็นส่วนตัวของพนักงานในองค์กรสูงขึ้นมาก จากเดิมมีการยื่นขอคำปรึกษาเรื่องความเป็นส่วนตัวต่อ DPO กว่าพันเรื่องต่อปี ปัจจุบันเหลืออยู่ที่หลักร้อย สะท้อนถึงความเข้าใจในบริบทที่มากขึ้นของพนักงาน สามารถตีความเบื้องต้นได้เองและมีการรับรู้ต่อประเด็นดังกล่าวมากขึ้น ซึ่งถือเป็นส่วนหนึ่งของ DNA ดีแทค” เขาทิ้งท้าย