4 ขั้นตอนที่ต้องรู้ สำหรับผู้ประกอบการที่อยากผ่านเกณฑ์ PDPA

4 ขั้นตอนควรรู้สำหรับผู้ประกอบการที่อยากผ่านเกณฑ์ PDPA เตรียมความพร้อมก่อนจะเริ่มประกาศใช้จริง

หลังมีประกาศเรื่องพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ออกมา ผู้ประกอบการหลายคนอาจเกิดคำถามว่า PDPA มีผลบังคับใช้เมื่อไหร่ แล้วจะเริ่มทำ PDPA อย่างไรให้ผ่านเกณฑ์ เนื่องจากพ.ร.บ. นี้มีความสำคัญต่อธุรกิจและการทำ Digital Marketing ที่จำเป็นต้องเก็บข้อมูลของลูกค้าเพื่อนำมาทำการตลาด แม้ปัจจุบันพ.ร.บ. PDPA จะถูกเลื่อนใช้ไปยังวันที่ 1 มิ.ย. 2565 แล้วก็ตาม แต่ Connect X อยากจะมาแนะนำ 4 ขั้นตอนควรรู้สำหรับผู้ประกอบการที่อยากผ่านเกณฑ์ PDPA เพื่อเตรียมพร้อมไว้ก่อนใคร

ขั้นตอนที่ 1: เตรียม “คน” ในองค์กรให้พร้อม

ในขั้นตอนแรก Connect X แนะนำว่าถ้าอยากผ่านเกณฑ์ PDPA ทุกองค์กรควรเริ่มต้นจัดการกับความพร้อมของคนในองค์กรก่อน โดยสามารถจัดการได้ดังนี้

จัดตั้ง DPO (Data Protection Officer)

DPO (Data Protection Officer) คือเจ้าหน้าที่ดูแลความปลอดภัยของข้อมูลภายในและภายนอกองค์กร ทุกองค์กรที่จัดเก็บข้อมูลส่วนบุคคลของผู้ใช้งานเอาไว้จำเป็นต้องมีการจัดตั้ง DPO ขึ้น เพื่อให้สอดรับกับพ.ร.บ. PDPA มาตรา 41 และ 42 โดยหน้าที่ของ DPO คือการให้คำแนะนำ ตรวจสอบ จัดเก็บข้อมูล และประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหา

ฝึกอบรมพนักงานภายในองค์กรให้ตระหนักรู้เรื่อง PDPA

เพื่อสร้างความเข้าใจเกี่ยวกับ PDPA ให้เป็นไปในทิศทางเดียวกัน ทุกองค์กรควรมีการจัดอบรมพนักงานให้เข้าใจถึงหลักการทำงานและความสำคัญของ PDPA และรู้จักวิธีแก้ไขปัญหาอย่างเหมาะสม

ประเมินผลพนักงาน

หลังจัดอบรมพนักงานควรมีการทำแบบทดสอบเพื่อประเมินความเข้าใจหลังอบรม หากมีข้อมูลส่วนไหนตกหล่นไปก็จะได้แก้ไขได้อย่างตรงจุด

ขั้นตอนที่ 2: ปรับ “กระบวนการจัดเก็บข้อมูลส่วนบุคคล” ให้ตรงตาม PDPA

สำหรับธุรกิจที่เน้นขายสินค้าบนเว็บไซต์อาจกังวลว่า PDPA กับเว็บไซต์ PDPA คือพ.ร.บ. ที่จะทำให้เว็บไซต์เก็บข้อมูลไม่ได้หรือเปล่า ความจริงแล้วไม่ว่าจะอยู่ในแพลตฟอร์มไหนก็ยังเก็บข้อมูลได้ แต่ต้องเป็นไปตามมาตรฐานที่กฎหมายกำหนด ซึ่งสามารถจัดการได้ดังนี้

ยื่นเรื่องขอความยินยอมจากเจ้าของข้อมูล

เพื่อให้เป็นไปตามมาตรฐานของพ.ร.บ. PDPA มาตรา 19, 41 และ 42 ธุรกิจจะต้องขอความยินยอมก่อนเก็บข้อมูลผู้ใช้งาน โดยอาจจะทำเป็นแบบฟอร์มขอความยินยอมพร้อมแจ้งรายละเอียดให้ผู้ใช้งานทราบว่าจะเก็บข้อมูลเพื่ออะไรและจะเก็บไว้นานแค่ไหน นอกจากนี้ทุกองค์กรยังค1วรทำสัญญา DPA (Data Processing Agreement) เพื่อทำข้อตกลงเรื่องขอบเขตความรับผิดชอบเอาไว้ด้วย

เพิ่มช่องทางการจัดการสิทธิ์ให้กับผู้ใช้งาน

แม้จะทำการขอความยินยอมแล้ว แต่ตามกฎหมายผู้ใช้งานยังคงเป็นเจ้าของข้อมูลและมีสิทธิ์จะยกเลิกข้อตกลงหรือแก้ไขความต้องการได้ตลอดเวลา ดังนั้นผู้ประกอบการต้องเพิ่มช่องทางให้ผู้ใช้งานสามารถเข้ามาแก้ไขหรือเปลี่ยนแปลงข้อมูลของตนเองได้

จัดทำ Data Inventory Mapping

กระบวนการนี้คือการจัดระเบียบข้อมูลทุกอย่างภายในองค์กร เพื่อแยกแยะว่ามีข้อมูลใดบ้าง แล้วข้อมูลเหล่านั้นอยู่ที่ไหน จัดเก็บอย่างไร ใครเป็นผู้ดูแล แล้วส่งข้อมูลเหล่านี้ไปให้องค์กรไหนบ้าง ซึ่งการบันทึกข้อมูลอย่างเป็นระบบจะช่วยให้องค์กรนำข้อมูลส่วนบุคคลไปใช้ได้ง่ายขึ้น

ประเมินความเสี่ยงก่อนใช้งานข้อมูลส่วนบุคคล

แน่นอนว่าแม้จะทำทุกขั้นตอนครบแล้ว แต่ก่อนจะนำข้อมูลส่วนบุคคลใดที่จัดเก็บไว้มาใช้งาน ผู้ประกอบการต้องพิจารณาความเสี่ยงก่อนทุกครั้งว่าจะส่งผลกระทบต่อธุรกิจหรือไม่

ขั้นตอนที่ 3: “ความปลอดภัย” คือหัวใจของความเชื่อมั่น

ทุกคนคงรู้อยู่แล้วว่าความ “ปลอดภัยของข้อมูล” คือหัวใจหลักของพ.ร.บ. PDPA หากธุรกิจไหนไม่มีนโยบายที่รองรับเรื่องนี้ ย่อมไม่มีทางผ่านเกณฑ์แน่นอน โดยผู้ประกอบการสามารถจัดการกับความปลอดภัยได้ดังนี้

ต้องมีนโยบายความเป็นส่วนตัว (Privacy Policy) 

ผู้ประกอบการต้องคำนึงไว้เสมอว่า ข้อมูลของผู้ใช้งานทุกคนจะต้องได้รับการปกป้องจากองค์กร ดังนั้นองค์กรจึงต้องมีนโยบายความเป็นส่วนตัวเข้ามาควบคุม เพื่อทำให้พนักงานทราบถึงกระบวนการทำงานว่าจะจัดการกับข้อมูลเหล่านี้อย่างไร รวมถึงต้องมีบทลงโทษสำหรับคนที่ทำข้อมูลรั่วไหล เป็นการสร้างความมั่นใจให้กับผู้ให้ข้อมูลด้วย

ต้องมีมาตรการรับมือเมื่อเกิดปัญหา

ในกรณีที่ข้อมูลรั่วไหล เจ้าหน้าที่ DPO ขององค์กรจะต้องแจ้งกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง รวมถึงแจ้งเตือนให้ผู้ให้ข้อมูลรับทราบด้วย และสิ่งสำคัญอีกอย่างหนึ่งก็คือ องค์กรจะต้องมีมาตราการเยียวยาความเสียหายที่เกิดขึ้นอย่างเป็นระบบ

ขั้นตอนที่ 4: เลือก “เทคโนโลยี” จัดเก็บข้อมูลที่รองรับ PDPA

ในการทำธุรกิจ การเก็บข้อมูลลูกค้าเป็นเรื่องสำคัญอย่างมาก แต่หลังจากพ.ร.บ. PDPA เริ่มใช้งาน การจัดเก็บข้อมูลในรูปแบบเดิมอาจไม่สามารถทำได้แล้ว การเลือกเทคโนโลยีที่รองรับ PDPA จึงเป็นทางเลือกเดียวที่จะทำให้ธุรกิจของคุณผ่านเกณฑ์ได้ง่าย ยกตัวอย่างเช่น แพลตฟอร์มของ Connect X แพลตฟอร์มที่มีเครื่องมือเก็บข้อมูลลูกค้าเอาไว้ในที่เดียวกัน (CDP) และมี Marketing Automation คอยช่วยเรื่องการตลาดแบบอัตโนมัติด้วย ซึ่งแพลตฟอร์มนี้มีการรองรับ PDPA ผู้ประกอบการจึงไม่ต้องกังวลว่าจะไม่ผ่านเกณฑ์

หลังจากอ่านมาถึงตรงนี้ทุกคนคงทราบแล้วว่าจะทำให้ธุรกิจของตัวเองผ่านเกณฑ์ PDPA ได้อย่างไร แม้พ.ร.บ. PDPA จะเริ่มใช้จริงในอีก 1 ปีข้างหน้า แต่ Connect X ขอแนะนำให้ผู้ประกอบการทุกคนรีบเตรียมตัวตั้งแต่เนิ่น ๆ เพื่อเตรียมธุรกิจของตัวเองให้พร้อม พอถึงเวลาจะได้ผ่านเกณฑ์ง่าย ๆ แบบไร้กังวล เพราะยิ่งเตรียมตัวได้เร็วและดีเท่าไร ก็จะนำหน้าคู่แข่งไปได้ไกลเท่านั้น

สำหรับเจ้าของธุรกิจท่านใดที่กำลังมองหาระบบ CRM ดีๆ สักอัน หรือต้องการคำปรึกษาก่อนตัดสินใจ Connect X ก็พร้อมจะช่วย ด้วยแพลตฟอร์ม CDP ที่มาพร้อมกับระบบ CRM, Marketing Automation และรองรับกฎหมาย PDPA เพื่อให้ธุรกิจสามารถขยายฐานลูกค้าและเพิ่มยอดขายในยุคดิจิทัลได้อย่างยั่งยืน

เริ่มต้นสร้างประสบการณ์ดีๆ ให้ลูกค้าได้แล้ววันนี้ด้วย Connect X Marketing Platform ที่มาพร้อม CDP & Marketing Automation

Connect X คือ Platform ที่จะเข้ามาช่วยไม่ให้ธุรกิจถูก Digital Disruption ถึงเวลาแล้วที่ทุกธุรกิจจะต้องเริ่ม Connect กับประสบการณ์ของลูกค้า (Customer Experience) แบบไร้รอยต่อด้วย Marketing Platform ที่ไม่เพียงแต่มี Feature เด็ดๆ แต่ยังสามารถปรับแต่ง Platform Customize ให้เข้ากับแบรนด์ที่มีความแตกต่างกันได้ด้วย