“ผลสำรวจพบองค์กรทำ PDPA ได้พบประโยชน์ที่มากกว่าแค่การปฏิบัติตามกฎหมาย สองปัจจัยหลักที่ขับเคลื่อนให้องค์ปฏิบัติตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คือโอกาสที่จะเกิดความเสียหายต่อชื่อเสียง และการเพิ่มความเชื่อมั่นให้กับลูกค้า
ดีลอยท์ ประเทศไทย ได้ทำการสำรวจและเผยแพร่ รายงานผลการสำรวจการทำ PDPA ในระดับองค์กร ด้านความพร้อมในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลขององค์กรในประเทศไทย ในเดือนตุลาคม 2564
และได้ทำสำรวจอีกครั้งในปี 2567 สองปีหลังจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ในเดือนมิถุนายน 2565 เพื่อประเมินการปรับตัวของบริษัทต่างๆ ต่อการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เพื่อวิเคราะห์ความท้าทายที่องค์กรเผชิญ และศึกษากระบวนการภายในองค์กรที่เปลี่ยนแปลงไป
ด้านประโยชน์ และ ความตระหนักในเชิงธุรกิจ
ผลจากการสำรวจพบว่า สองปัจจัยหลักที่ขับเคลื่อนให้องค์ปฏิบัติตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คือโอกาสที่จะเกิดความเสียหายต่อชื่อเสียง เพิ่มขึ้นเป็นร้อยละ 81 จากผลการสำรวจครั้งก่อนที่ร้อยละ 66 และการเพิ่มความเชื่อมั่นให้กับลูกค้า เพิ่มขึ้น เป็นร้อยละ 75 จากผลการสำรวจครั้งก่อนที่ร้อยละ 59
ในขณะที่ความกังวลว่า จะถูกปรับหรือถูกดำเนินการทางกฎหมาย ซึ่งเดิมเป็นประเด็นที่องค์กรให้ความสำคัญเป็นอันดับหนึ่ง ปรับลดลงเป็นร้อยละ 59 จาก ร้อยละ 73 ส่วนการเพิ่มประสิทธิภาพในการประมวลผลข้อมูล ปรับลดลงเป็นร้อยละ 15 จากร้อยละ 36
องค์กรมองว่าการปฏิบัติตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไม่ได้เป็นเพียงการปฏิบัติตามกฎหมาย หากแต่ส่งผลดีต่อองค์กรในหลายมิติ โดย ร้อยละ 58 ขององค์กรที่ตอบแบบสอบถามเห็นว่าการทำ PDPA มีประโยชน์อย่างมีนัยสำคัญ เทียบกับผลการสำรวจในครั้งก่อนที่ร้อยละ 45
โดยธุรกิจพลังงาน ทรัพยากร และอุตสาหกรรม เป็นกลุ่มธุรกิจที่เห็นว่าเป็นประโยชน์สูงที่สุดถึงร้อยละ 75 เมื่อพูดถึงมุมมองที่ว่า PDPA มีส่วนในการปรับปรุงการบริหารจัดการข้อมูลส่วนบุคคลอย่างไร จะพบว่าร้อยละ 38 มองว่า PDPA ทำให้เกิดการเปลี่ยนแปลงในวิธีการที่องค์กรจัดการกับข้อมูลส่วนบุคคล
ด้านความพร้อม และ การปฎิบัติตาม
เมื่อถามถึงความมั่นใจโดยรวมในแนวปฏิบัติขององค์กร ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ร้อยละ 72 ตอบว่ามั่นใจและมั่นใจมาก องค์กรส่วนใหญ่ (ร้อยละ 89) ที่ตอบแบบสอบถามบอกว่าได้ดำเนินการต่างๆ ตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลแล้ว ซึ่งเพิ่มขึ้นจากการสำรวจในครั้งก่อน (ร้อยละ 30) โดยธุรกิจด้านการเงินเป็นกลุ่มมีการปฏิบัติตามสูงที่สุด (ร้อยละ 100)
ตามมาด้วย ธุรกิจอุปโภคบริโภค (Consumer) ที่ร้อยละ 95 ธุรกิจพลังงาน ทรัพยากร และอุตสาหกรรม (Energy, Resources & Industrial) ร้อยละ 93 และ ธุรกิจเทคโนโลยี สื่อสาร และ โทรคมนาคม (Technology, Media and Telecom) ร้อยละ 89
นอกจากจะปฏิบัติตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลแล้ว องค์กรยังได้ทำการประเมินความพร้อมของตนเองอีกด้วย ผลจากการสำรวจพบว่า องค์กรในประเทศไทย ร้อยละ 80 ได้ทำการประเมินความพร้อมแล้ว เพิ่มจาก ร้อยละ 45 จากการสำรวจในปี 2564
โดยธุรกิจด้านการเงินมีการประเมินความพร้อมสูงที่สุดที่ ร้อยละ 100 ตามมาด้วย ธุรกิจอุปโภคบริโภค ร้อยละ 81 ธุรกิจเทคโนโลยี สื่อสารและ โทรคมนาคม ร้อยละ 78 และ ธุรกิจพลังงาน ทรัพยากร และ อุตสาหกรรม ร้อยละ 71
และเมื่อถามถึงเรื่องการลงทุนในการบริหารจัดการข้อมูลส่วนบุคคล องค์กรร้อยละ 41 เชื่อมั่นว่าองค์กรของตนมีการจัดการที่ดีอยู่แล้ว และมีการลงทุนในระดับกลางๆ เพื่อรักษาสถานะดังกล่าว
ด้านบุคลากร กระบวนการ และ เทคโนโลยี
องค์กรที่ร่วมตอบแบบสอบถาม ตอบว่า ฝ่ายบุคคล และ หน่วยงานในการควบคุมและกำกับดูแลการปฏิบัติงาน (Compliance) เป็นสองหน่วยงานหลักที่รับผิดชอบในเรื่อง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ในสัดส่วนสูงสุดเท่ากันที่ร้อยละ 34
องค์กรร้อยละ 72 มีการมอบหมายให้บุคลากรภายในองค์กรทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ซึ่งเพิ่มขึ้นจากการสำรวจคราวก่อน (ร้อยละ 56)
โดยธุรกิจด้านการเงินมี DPO ในอัตราสูงสุดที่ ร้อยละ 100 เมื่อถามว่าองค์กรมีการจ้างบุคลากรมาดูแลเรื่อง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะหรือไม่ ร้อยละ 67 ตอบว่าไม่ มีเพียงแค่ร้อยละ 20 ที่บอกว่ามีการจ้างพนักงานเพิ่มเติมเพียงเล็กน้อย
จากผลการสำรวจ พบว่า องค์กรมีการจัดสรรงบประมาณ เพื่อใช้ในด้านการป้องกันข้อมูลรั่วไหล (Data Leakage Prevention) และ การกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง และ การปฏิบัติตามข้อกฎหมาย (Governance, Risk and Compliance) สูงสุดเท่ากันที่ร้อยละ 50 ตามมาด้วยการอบรมพนักงาน ที่ร้อยละ 46
เมื่อถามถึงการลงทุนในด้านเทคโนโลยีที่เกี่ยวข้องกับการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พบว่าองค์กรให้ความสำคัญกับเรื่องการป้องกันข้อมูลรั่วไหล (Data Leakage Prevention) เป็นอันดับหนึ่ง ที่ร้อยละ 57 ตามมาด้วย การจัดการความยินยอม (Consent / Preference Management) ที่ร้อยละ 55 และ การจัดการสิทธิ์การเข้าถึงข้อมูล (Privilege Access Management) ที่ร้อยละ 54
องค์กรร้อยละ 67 มองว่าความท้าทายที่สำคัญในการทำ PDPA_ได้แก่ การวางระบบเทคโนโลยี ตามมาด้วย ความรู้ของพนักงาน ที่ร้อยละ 61 และ เรื่องการบูรณาการนโยบายและกระบวนการทางธุรกิจ ร้อยละ 55
อย่างไรก็ตาม ประเด็นของการมีบุคลากรที่เพียงพอเป็นความท้าทายที่เพิ่มสูงขึ้นอย่างมีนัยสำคัญ โดยเพิ่มจากร้อยละ 13 เป็นร้อยละ 48 ในผลการสำรวจครั้งล่าสุด
เมื่อถามว่า องค์กรมีทรัพยากรที่จำเป็นและเพียงพอในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือไม่ องค์กรร้อยละ 52 มีการใช้ทรัพยากรทั้งภายในและภายนอกเพื่อสนับสนุนการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล รองลงมาคือใช้ทรัพยากรภายในองค์กรเพียงอย่างเดียว ที่ร้อยละ 33
แอนโทนี่ วิเศษ โลห์ พาร์ทเนอร์ บริการที่ปรึกษาด้านภาษีและกฎหมาย ดีลอยท์ ประเทศไทย กล่าวว่า “หลังจากที่ พรบ. คุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ออกประกาศและแนวปฏิบัติที่เกี่ยวข้องตามมาหลายฉบับ ภาคธุรกิจโดยเฉพาะองค์กรที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลควรตื่นตัวในเรื่องดังกล่าว”
“เพื่อให้สามารถปฏิบัติตามข้อกำหนดต่างๆ ได้อย่างครบถ้วนและนำแนวปฏิบัติดังกล่าวไปใช้ในการปฏิบัติตามภาระหน้าที่ของตนภายใต้กฎหมาย ผู้ควบคุมข้อมูลส่วนบุคคล ควรติดตามประกาศเพิ่มเติมจากคณะกรรมการฯ อย่างใกล้ชิด เพื่อที่จะเตรียมตัวรับมือกับการออกกฎหมายลำดับรองที่สำคัญต่างๆ”
ศมกฤต กฤษณามระ พาร์ทเนอร์ บริการที่ปรึกษาด้านความเสี่ยง ดีลอยท์ ประเทศไทย ให้ความเห็นเพิ่มเติมว่า “แม้ว่าผลสำรวจแสดงให้เห็นถึงการพัฒนาในมิติต่างๆ แต่ก็ยังคงมีข่าวเรื่องของอาชญากรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลให้เราได้ยินอยู่เสมอ เราจึงไม่สามารถปล่อยให้การ์ดตกได้ การป้องกันที่ได้ผลต้องเกิดจากความเข้าใจและการสอดประสานที่ดี ทั้งด้านบุคลากร ระบบ และ เทคโนโลยี”
“ดีลอยท์ได้ทำการสำรวจความพร้อมขององค์กรต่อ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล อย่างต่อเนื่อง เพื่อให้เข้าใจมุมมองของผู้บริหารภาคธุรกิจต่อกฎหมายฉบับนี้ในช่วงเวลาต่างๆ ผลจากการสำรวจทำให้เราได้เห็นภาพรวมของสถานการณ์ปัจจุบันและแนวโน้มการพัฒนาแนวปฏิบัติที่เหมาะสมในอนาคต ซึ่งมีความสำคัญต่อการกำหนดนโยบายและกลยุทธ์ที่สอดคล้องกับบริบทที่เปลี่ยนแปลงอยู่เสมอ” ดร.นเรนทร์ ชุติจิรวงศ์ ผู้อำนวยการบริหาร ฝ่าย Clients & Markets ดีลอยท์ ประเทศไทย กล่าวเสริม
Featured Image: Image by pikisuperstar on Freepik
