เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) มีผลบังคับใช้ในเดือนมิถุนายนที่ผ่านมา บทบาทหนึ่งของคณะกรรมการที่ตามมาก็คือการดูแลให้บริษัทมีมาตรการกำกับดูแลการเก็บ ใช้ และบริหารจัดการข้อมูลส่วนบุคคลให้เป็นไปตามข้อบังคับของกฎหมาย

ในบริบททางกฎหมาย การรักษาความเป็นส่วนตัวของข้อมูล หรือ Data Privacy ดูจะเป็นเรื่องของการทำตามกฎระเบียบเพื่อป้องกันความเสี่ยงที่บริษัทจะใช้ข้อมูลส่วนบุคคลโดยขัดกับสิทธิและความประสงค์ของเจ้าของข้อมูลมากกว่าสิ่งอื่น โดยเฉพาะอย่างยิ่งสำหรับอุตสาหกรรมที่ถูกกำกับดูแลเรื่องข้อมูลส่วนบุคคลอย่างเข้มงวด เช่น ภาคธุรกิจการเงิน แต่เมื่อพิจารณาในบริบททางธุรกิจแล้ว Data Privacy เป็นมากกว่าเรื่องของการทำตามกฎหมายและการป้องกันความเสี่ยง เนื่องจากมาตรการรักษาความเป็นส่วนตัวของข้อมูลที่เข้มแข็งย่อมทำให้ผู้มีส่วนได้เสียเกิดความเชื่อมั่นในบริษัทว่ามีการบริหารจัดการข้อมูลส่วนบุคคลอย่างถูกต้อง โปร่งใส และเป็นธรรม มาตรการที่เข้มแข็งยังช่วยให้บริษัทสามารถใช้ข้อมูลเพื่อสร้างมูลค่าที่สนับสนุนเป้าหมายทางกลยุทธ์ได้อย่างเต็มประสิทธิภาพ ขณะที่ยังอยู่ภายใต้กรอบของกฎหมายและหลักจริยธรรม จึงนับได้ว่า Data Privacy เป็นสิ่งที่จะช่วยสร้างประโยชน์และโอกาสให้กับธุรกิจในระยะยาว

แต่การกำหนดให้มีนโยบาย มีแนวปฏิบัติ มีการปรับปรุงเทคโนโลยี ระบบ และโครงสร้างภายในที่เกี่ยวข้องกับ Data Privacy ให้สอดคล้องกับกฎหมาย ถือว่าเพียงพอที่จะช่วยให้บริษัทรักษาความเป็นส่วนตัวของข้อมูลส่วนบุคคลได้แล้วหรือไม่ จากกรณีที่เกิดขึ้นจริงกับบริษัทจำนวนไม่น้อยที่ปรากฎอยู่บนหน้าข่าว เช่น Target ที่มีการลงทุนด้านการรักษาความมั่นคงปลอดภัยของระบบและข้อมูลจากภัยคุกคามทางไซเบอร์ (Cybersecurity) เป็นอย่างดี แต่กลับเกิดปัญหาข้อมูลลูกค้ากว่า 70 ล้านรายรั่วไหลหลังถูกเจาะระบบ ซึ่งเป็นผลมาจากความหละหลวมของคณะกรรมการ ฝ่ายจัดการ และบุคลากรที่ไม่สามารถดูแลให้มีการดำเนินตามมาตรการที่วางไว้ หรือกรณีของ Meta สมัยยังเป็น Facebook ที่บริษัทมีนโยบายการรักษาความเป็นส่วนตัวของข้อมูลสำหรับผู้ใช้ แต่การกำกับดูแลการบริหารจัดการข้อมูลส่วนบุคคลในความเป็นจริงกลับมีช่องโหว่และหละหลวม จนนำไปสู่การลักลอบนำข้อมูลส่วนบุคคลของสมาชิก Facebook กว่า 87 ล้านรายไปใช้อย่างไม่ถูกต้องโดย Cambridge Analytica ความเชื่อมั่นที่สั่นคลอนของสาธารณชน การฟ้องร้อง และค่าปรับจำนวนมหาศาลที่ตามมาในทั้งสองกรณี แสดงให้เห็นว่า Data Privacy ไม่ได้เป็นเพียงแค่เรื่องของการจัดทำนโยบายและแนวปฏิบัติที่สอดคล้องกับข้อบังคับทางกฎหมาย แต่ยังเป็นเรื่องของการดูแลให้บุคลากรทุกระดับมีความเชื่อร่วมกันว่าเหตุใดจึงต้องมีนโยบายและแนวปฏิบัติด้าน Data Privacy ตั้งแต่แรก และแปลงความเชื่อนั้นให้กลายเป็นค่านิยมและทัศนคติที่บุคลากรทุกระดับยึดถือเป็นหลักปฏิบัติ จนกลายเป็นส่วนหนึ่งของวัฒนธรรมองค์กรด้วย

แนวปฏิบัติที่ดีสำหรับคณะกรรมการในการกำกับดูแลด้านเทคโนโลยีสารสนเทศ ของ IOD ได้ระบุไว้ว่า วัฒนธรรมองค์กรที่ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยและความเป็นส่วนตัวของข้อมูล (Data Security and Data Privacy) เป็นหนึ่งในปัจจัยสำเร็จของการนำเทคโนโลยีสารสนเทศและข้อมูลมาใช้สร้างมูลค่าทางธุรกิจ โดยบุคคลสำคัญที่สุดที่จะช่วยขับเคลื่อนวัฒนธรรมองค์กรได้ ก็คือคณะกรรมการนั่นเอง การดูแลให้วัฒนธรรมองค์กรเช่นนี้เกิดขึ้นจึงนับเป็นอีกบทบาทสำคัญที่ตามมากับการบังคับใช้ PDPA แม้วัฒนธรรมองค์กรอาจจะต้องอาศัยเวลาปลูกฝังกว่าจะเห็นผลสัมฤทธิ์ แต่ก็ไม่ใช่สิ่งที่ยากเกินไปที่จะเกิดขึ้น หากคณะกรรมการดูแลให้ในการขับเคลื่อนมี 4 สิ่งนี้

1. ความเข้าใจในความสำคัญของข้อมูลส่วนบุคคลและ Data Privacy ต่อความสำเร็จของบริษัท

ในการสร้างวัฒนธรรมองค์กรแบบใดก็ตาม การส่งสัญญาณจากผู้นำเพื่อแสดงเจตจำนงในการขับเคลื่อนวัฒนธรรมที่พึงประสงค์ หรือ “Tone at the Top” เป็นสิ่งสำคัญ ซึ่งการจะเกิด Tone at the Top ได้นั้น ต้องอาศัยความเชื่อของผู้นำในสิ่งที่จะขับเคลื่อนด้วย ความเชื่อดังกล่าวจะเกิดขึ้นได้จากการตระหนักถึงความสำคัญของข้อมูลส่วนบุคคคลและการรักษาความเป็นส่วนตัวของข้อมูลต่อความสำเร็จของกิจการ คณะกรรมการจึงควรดูแลให้ฝ่ายจัดการระบุให้ได้ว่าข้อมูลส่วนบุคคลสำคัญต่อการสร้างประโยชน์ทางธุรกิจและการดำเนินตามกลยุทธ์ของบริษัทอย่างไร ข้อมูลดังกล่าวมีอะไรบ้าง บริษัทรวบรวม เก็บ ใช้ และบริหารจัดการข้อมูลส่วนบุคคลเพื่อการนี้อย่างไร และใครคือผู้มีส่วนได้เสียและผู้มีส่วนเกี่ยวข้องทั้งภายในและภายนอกองค์กร ตลอดจนดูแลให้มีการประเมินโครงสร้างการกำกับดูแลและบริหารจัดการ นโยบาย ระบบและเทคโนโลยี และกระบวนการที่เกี่ยวข้องเทียบกับหลักกฎหมายและมาตรฐานที่ต้องปฏิบัติตามว่าสอดคล้องกันมากน้อยเพียงใด เพื่อจะได้เกิดความเข้าใจที่ตรงกันถึงเป้าหมายของการใช้ข้อมูลส่วนบุคคล ความสำคัญของ Data Privacy ต่อการบรรลุเป้าหมายดังกล่าวทั้งในแง่ของการป้องกันความเสี่ยงและในแง่ของการสร้างมูลค่าให้แก่กิจการ รวมถึงสามารถวางแนวทางปรับปรุงการดำเนินงานด้าน Data Privacy ของบริษัทให้สอดคล้องกับกฎหมาย เพื่อให้บริษัทสามารถเก็บ ใช้ และบริหารจัดการข้อมูลส่วนบุคคลเพื่อประโยชน์ทางธุรกิจโดยคำนึงถึงสิทธิของเจ้าของข้อมูลได้อย่างมีประสิทธิภาพ

2. การยึดถือคุณค่าของ Data Privacy เป็นสิ่งสำคัญ

นโยบายและแนวปฏิบัติด้าน Data Privacy ที่ดีควรเชื่อมโยงความจำเป็นของการรักษาความเป็นส่วนตัวของข้อมูลเข้ากับเป้าหมายทางธุรกิจ เพื่อให้เห็นคุณค่าของ Data Privacy ชัดเจนว่าเป็นสิ่งสำคัญที่จะช่วยให้บริษัทสามารถสร้างประโยชน์ทางธุรกิจและทำให้บริษัทประสบความสำเร็จตามเป้าหมายอย่างไร คณะกรรมการควรดูแลให้ฝ่ายจัดการระบุความสำคัญและความเชื่อมโยงระหว่าง Data Privacy กับเป้าหมายทางธุรกิจให้ชัดเจนในกระบวนการจัดทำนโยบายและแนวปฏิบัติ เนื่องจากจะนำไปสู่การปฏิบัติตามนโยบายที่เป็นผลมาจากความเข้าใจในสาเหตุและความสำคัญ มากกว่าการปฏิบัติตามนโยบายที่เป็นผลมาจากความจำเป็นต้องปฏิบัติตาม

3. การสร้างความตระหนักเรื่องความสำคัญของ Data Privacy แก่บุคลากรทุกระดับ

เพื่อให้ Data Privacy กลายเป็นค่านิยมที่แทรกซึมในทุกระดับขององค์กร คณะกรรมการควรดูแลให้ฝ่ายจัดการมีกลไกการสื่อสารและสร้างความตระหนักรูปแบบต่างๆ ที่จะทำให้บุคลากรเข้าใจตรงกันถึงความสำคัญของการรักษาความเป็นส่วนตัวของข้อมูลต่อความสำเร็จของกิจการ ตระหนักว่าพฤติกรรมการเก็บ ใช้ และบริหารจัดการข้อมูลส่วนบุคคลแบบใดที่ถือว่าพึงประสงค์หรือขัดกับหลักปฏิบัติอันถูกอันควร รวมถึงรับรู้ได้ว่าผู้นำเห็นคุณค่าและให้ความสำคัญกับ Data Privacy เช่น

• บรรจุความสำคัญของข้อมูลส่วนบุคคลและ Data Privacy รวมถึงแนวปฏิบัติที่ดีด้านข้อมูลส่วนบุคคลไว้ในคู่มือพนักงาน การปฐมนิเทศพนักงานใหม่ และคู่มือจริยธรรมทางธุรกิจของบริษัท

• จัดให้การอบรมพัฒนาความรู้และทักษะเกี่ยวกับ Data Privacy เป็นส่วนหนึ่งของแผนพัฒนาบุคลากรทุกระดับ รวมถึงในระดับคณะกรรมการและผู้บริหารระดับสูง

• จัดตั้ง “Champion” ด้าน Data Privacy สำหรับแต่ละฝ่ายงานของบริษัท โดยเฉพาะอย่างยิ่งฝ่ายงานที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล Champion คือคนทำงานที่มีความเชื่อในวัฒนธรรมองค์กรและพร้อมจะสนับสนุนการขับเคลื่อนวัฒนธรรมที่ดีให้เกิดขึ้นจริง จึงจะเป็นคนที่ช่วยสื่อสารความสำคัญของ Data Privacy และสร้างแรงกระเพื่อมให้ค่านิยมและพฤติกรรมด้าน Data Privacy ที่ดีเกิดขึ้นในระดับปฏิบัติการได้

• สื่อสารเกี่ยวกับ Data Privacy อย่างสม่ำเสมอ ไม่ว่าจะเป็นสารจากประธานกรรมการและกรรมการผู้จัดการใหญ่ การประกาศเกียรติคุณให้กับพนักงานที่มีพฤติกรรมด้าน Data Privacy ที่ดี ไปจนถึงการจัดกิจกรรม Data Privacy Day ประจำปี

4. การติดตามผลและปรับปรุงอย่างต่อเนื่อง

เพื่อให้การรักษาความเป็นส่วนตัวของข้อมูลผนวกเป็นส่วนหนึ่งของวัฒนธรรมองค์กรอย่างยั่งยืน คณะกรรมการควรดูแลให้มีการกำหนดตัวชี้วัดควบคู่กับกระบวนการรายงานผลการดำเนินงานด้าน Data Privacy เพื่อคณะกรรมการและฝ่ายจัดการจะได้มีส่วนสนับสนุน รวมถึงได้ประเมินประสิทธิภาพ เฝ้าระวังโอกาสที่จะเกิดปัญหาด้านวัฒนธรรมองค์กร และพิจารณาแนวทางปรับปรุงอยู่เสมอ ตัวชี้วัดอาจครอบคลุมในด้าน

• การเงิน: ตัวชี้วัดที่สำคัญคือ ROI จากการลงทุนด้าน Data Privacy ซึ่งวัดได้จากจากดัชนีความเชื่อมั่นของลูกค้าที่สูงขึ้นอันเป็นผลมาจากการมีนโยบายและมาตรการด้าน Data Privacy ความเชื่อมั่นที่เพิ่มขึ้นยังอาจสะท้อนอยู่ในยอดการเข้าใช้งานเว็บไซต์อีคอมเมิร์ซ การทำธุรกรรมทางออนไลน์ หรือการดาวน์โหลดแอปพลิเคชันที่เพิ่มขึ้น สำหรับประโยชน์ทางการเงินที่เกิดขึ้น อาจวัดได้จากค่าปรับที่บริษัทไม่ต้องเสียซึ่งเป็นผลมาจากการปรับปรุงกระบวนการภายในให้สอดคล้องกับกฎหมาย และต้นทุนที่ใช้ในการดำเนินโครงการ Data Privacy เมื่อเทียบกับบริษัทอื่นในอุตสาหกรรม ซึ่งช่วยชี้ให้เห็นประสิทธิภาพของการใช้งบประมาณของบริษัทได้

• ลูกค้าและผู้มีส่วนได้เสีย: การตอบรับในทางที่ดีจากลูกค้าและผู้มีส่วนได้เสียเป็นตัวชี้วัดชื่อเสียงและมูลค่าของบริษัทที่สำคัญ โดยจะสะท้อนอยู่ในอันดับเครดิต ค่าความนิยม และราคาหลักทรัพย์ นอกจากนี้ยังวัดได้จากระดับความเชื่อมั่นของลูกค้าและผู้มีส่วนได้เสีย รวมถึงยอดขายและกำไรเปรียบเทียบระหว่างช่วงก่อนและหลังการปฏิบัติตามนโยบายและมาตรการ Data Privacy เนื่องจากนโยบายและมาตรการที่เข้มแข็งสามารถส่งผลให้ผู้มีส่วนได้เสียมีความมั่นใจที่จะทำธุรกรรมกับบริษัทมากขึ้น

• นวัตกรรม: ในแง่นวัตกรรมด้านกระบวนการ ระบบเทคโนโลยีสารสนเทศของบริษัทควรสอดคล้องกับนโยบาย Data Privacy เพื่อจะได้สนับสนุนกิจกรรมทางธุรกิจได้อย่างมีประสิทธิภาพ ดังนั้น ตัวชี้วัดในด้านนี้จึงควรครอบคลุมจำนวนของระบบเทคโนโลยีสารสนเทศที่ได้รับการปรับปรุงเพื่อให้สอดคล้องกับนโยบาย ไปจนถึงระดับความสอดรับกันระหว่างเครื่องมือด้าน Cybersecurity และเครื่องมือด้าน Data Privacy ซึ่งเป็นตัวสะท้อนว่าบริษัทมีความพร้อมที่จะรับมือกับเหตุทางไซเบอร์ที่อาจส่งผลกระทบต่อข้อมูลส่วนบุคคลดีเพียงใด

• กระบวนการภายใน: นอกจากจำนวนของนโยบายที่สอดคล้องกับข้อบังคับทางกฎหมายแล้ว สัดส่วนของบุคลากรที่มีความรู้และทักษะเรื่อง Data Privacy ก็เป็นอีกตัวชี้วัดที่สะท้อนให้เห็นความพร้อมด้าน Data Privacy ขององค์กร โดยสามารถพิจารณาได้จากจำนวนพนักงานที่เข้ารับการอบรม อีกตัวชี้วัดหนึ่งที่สำคัญคือการเปลี่ยนแปลงของ Risk Profile ขององค์กร การปรับปรุงมาตรการควบคุมต่างๆ ตามนโยบายด้าน Data Privacy จะส่งผลให้ Risk Profile พัฒนาไปในทางที่ดีขึ้น ซึ่งสะท้อนให้เห็นว่าบริษัทสามารถบริหารจัดการความเสี่ยงได้มีประสิทธิภาพเพียงใด

หลายท่านคงเคยได้ยินคำกล่าวเกี่ยวกับการใช้เทคโนโลยีสารสนเทศในการดำเนินธุรกิจว่าไม่ได้เป็นเพียงแค่เรื่องของฝ่าย IT แต่เป็นเรื่องของทุกฝ่ายในองค์กร เช่นเดียวกัน Data Privacy ก็ไม่ได้เป็นเพียงแค่เรื่องของหน่วยงาน Compliance หรือฝ่ายกฎหมาย เพราะปัจจัยสำเร็จสำคัญของการนำเทคโนโลยีและข้อมูลใดก็ตามมาใช้สร้างประโยชน์ให้แก่ธุรกิจก็คือ “คน” นั่นเอง ในการปรับตัวองค์กรเพื่อให้สอดรับกับ PDPA ทาง IOD จึงหวังว่าคณะกรรมการจะได้นำเรื่องวัฒนธรรมองค์กรมาพูดคุยกันในห้องประชุมด้วย
 

ข้อมูลอ้างอิง:
• Aaron Weller and Emily Leach, “How to Build a 'Culture of Privacy',” The International Association of Privacy Professionals, 25 February 2020.
• Deloitte Thailand, Deloitte Thailand’s PDPA Readiness Survey, January 2022.
• Muhammad Asif Qureshi, “Building a Privacy Culture,” ISACA Journal, 2 September 2020.
• สมาคมส่งเสริมสถาบันกรรมการบริษัทไทย, แนวปฏิบัติที่ดีสำหรับคณะกรรมการในการกำกับดูแลด้านเทคโนโลยีสารสนเทศ, 2022.

นางสาวจาร์รวี จีระมะกร
Senior CG Analyst – Curriculum and Facilitators
สมาคมส่งเสริมสถาบันกรรมการบริษัทไทย (IOD)