ธุรกิจตั้งรับอย่างไร? ในวันที่ลูกค้ามองหา ‘ความคุ้มครองข้อมูลส่วนบุคคล’ จากแบรนด์

ถ้าวันนี้ธุรกิจไม่ได้แข่งกันที่ ‘สินค้า’ หรือ ‘บริการ’ เพียงอย่างเดียว แต่แข่งกันที่ ‘ความน่าเชื่อถือ’ อะไรคือสิ่งที่คนทำธุรกิจต้องรู้รอบและรู้ทัน เพื่อสร้างความเชื่อมั่นและเสริมแกร่งให้ธุรกิจ 

 

พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เผยสถิติจากสำนักงานตำรวจแห่งชาติ ในปี 2566 จนถึงปัจจุบันมีคดีที่เกี่ยวข้องกับอาชญากรรมทางเทคโนโลยีเฉลี่ยปีละกว่า 200,000 คดี คิดเป็นมูลค่าความเสียหายกว่า 30,000 ล้านบาท

 

เพื่อรับมือกับภัยคุกคามเหล่านี้ ประเทศไทยได้มีการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 กำหนดให้

• คุ้มครองข้อมูลส่วนบุคคล: ป้องกันการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผยโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
• ให้สิทธิ์แก่เจ้าของข้อมูล: เพื่อให้บุคคลมีสิทธิ์ในการควบคุมข้อมูลส่วนบุคคลของตนเอง
• สร้างมาตรฐาน: กำหนดมาตรฐานให้กับองค์กรในการจัดเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลอย่างปลอดภัยและถูกวัตถุประสงค์

 

พ.ต.อ. สุรพงศ์ บอกว่า ข้อมูลล่าสุดจนถึงวันที่ 31 สิงหาคม 2568 มีเหตุรับแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล 1,184 เรื่อง
ธุรกิจที่มีความเสี่ยงสูง ได้แก่ ธุรกิจด้านการเงิน การลงทุน และการค้าปลีกค้าส่ง มีเคสมากถึง 553 เรื่อง

 

ส่วนสาเหตุหลักของการละเมิดเกิดจาก ความผิดพลาดของมนุษย์ เช่น การส่งอีเมลผิดพลาด หรือการเข้าถึงเอกสารโดยไม่ตั้งใจ ตามมาด้วยภัยคุกคามจากภายนอก เช่น การโจมตีทางไซเบอร์ การหลอกลวงผ่าน SMS หรือลิงก์ปลอม

 

การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เป็นข้อหาเดียวที่ถูกปรับสูงสุดในขณะนี้ โดยมูลค่ารวมของคำสั่งปรับที่ผ่านมาอยู่ที่ 21.5 ล้านบาท ตัวอย่างกรณีที่ถูกปรับ เช่น การไม่จัดให้มีอุปกรณ์ป้องกันภัยคุกคาม หรือการไม่กำกับดูแลผู้รับจ้างพัฒนาซอฟต์แวร์

 

ทั้งนี้ได้มีมาตรการป้องกันข้อมูลรั่วไหลโดยการจัดการความเสี่ยงเชิงรุก 3 ส่วนหลัก

• จัดการกับผู้กระทำผิด: สำนักงานฯ มีมาตรการเฝ้าระวังการละเมิดข้อมูลและดำเนินคดีตามกฎหมาย
• การกับช่องโหว่ขององค์กร: องค์กรต้องมีมาตรการตรวจสอบและกำกับดูแลภายใน
• สร้างความตระหนักรู้แก่เจ้าของข้อมูล: ประชาชนต้องระมัดระวังและตระหนักถึงอันตราย เพื่อไม่ตกเป็นเหยื่อหรือเป็นผู้ละเมิดข้อมูลเสียเอง

 

พร้อมทั้งออกมาตรการรักษาความมั่งปลอดภัยที่เหมาะสม เพื่อช่วยคุ้มครองข้อมูลส่วนบุคคล 3 ด้าน ได้แก่

• Organizational Measures มาตรการเชิงองค์กร กำหนดนโยบายและระเบียบภายใน จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล
• Technical Measures มาตรการเชิงเทคนิค การใช้ระบบป้องกันข้อมูล เช่น การเข้ารหัส หรือการอัปเดตซอฟต์แวร์อย่างสม่ำเสมอ
• Physical Measures มาตรการทางกายภาพ การจัดเก็บข้อมูลที่เป็นเอกสารในที่ปลอดภัย ติดตั้งกล้องวงจรปิด และเซิร์ฟเวอร์สำรอง

 

“ข้อดีของการปกป้องข้อมูลส่วนบุคคล ไม่เพียงสร้างความน่าเชื่อถือและสร้างโอกาสให้กับธุรกิจ ยังลดความเสี่ยงด้านกฎหมาย ป้องกันการถูกฟ้องร้องหรือถูกปรับตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล รวมถึงลดความเสี่ยงทางไซเบอร์” พ.ต.อ. สุรพงศ์ กล่าว

 

GPPC เครื่องมือสร้างความเชื่อมั่นให้ธุรกิจ

ปัจจุบัน สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้พัฒนาแพลตฟอร์ม GPPC (Government Platform for Data Protection Compliance) เพื่อช่วยให้องค์กรปฏิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง ภายในประกอบด้วย 11 ระบบ ได้แก่

• Data Flow Generator: ระบบการจัดทำแผนผังการไหลของข้อมูลส่วนบุคคล
• Privacy Notice Generator: ระบบการร่างหรือสร้างข้อมูลและแบบฟอร์มประกาศความเป็นส่วนตัว
• DPO Module: ระบบบริหารจัดการเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
• Organization Management: ระบบบริหารจัดการข้อมูลหน่วยงาน
• DPIA Management Module: ระบบบริหารจัดการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล
• Data Processing Agreement: จัดทำข้อตกลงการประมวลผลข้อมูล
• RDPA Template Generator: ระบบจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามมาตรฐาน
• Data Breach Notification: ระบบแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
• Data Subject Access Request (DSAR): ระบบจัดการคำขอใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล
• Consent and Cookies Management: ระบบบริหารจัดการความยินยอม
• Record of Processing Activities (RoPA): ระบบจัดเก็บและบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

 

“GPPC เป็นระบบช่วยให้หน่วยงานกำกับดูแลตนเองให้ปฏิบัติตามกฎหมาย PDPA โดยเริ่มนำร่องในหน่วยงานภาครัฐกว่า 600 แห่งแล้ว ปัจจุบันแพลตฟอร์มนี้เปิดให้ภาคเอกชนเข้าใช้งานได้ฟรี เพื่อลดความเสี่ยงการละเมิดข้อมูล”