ตั้งแต่ 1 มิถุนายน พ.ศ. 2565 เป็นต้นมา ซึ่งได้มีการประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกกันสั้น ๆ ว่า พรบ. PDPA โดยภาคธุรกิจไม่ว่าจะเป็นขนาดเล็กหรือขนาดใหญ่ จำเป็นต้องเร่งเตรียมพร้อมปรับตัว และดำเนินการในด้านต่าง ๆ เพื่อให้สอดคล้องต่อกฏหมาย โดยเฉพาะอย่างยิ่งในยุคที่ข้อมูลส่วนบุคคลของลูกค้าถือเป็นทรัพยากรสำคัญที่จะนำมาใช้ในการต่อยอดเพื่อผลประโยชน์ทางธุรกิจ ซึ่งต้องอยู่ภายใต้เงื่อนไขที่กฏหมายอนุญาตและมีข้อกำหนดให้นำไปใช้ได้ สำหรับธุรกิจ SMEs ซึ่งอาจจะไม่มีพนักงานที่มีความเชี่ยวชาญหรือมีความรู้ในกฏหมายนี้โดยตรง เพราะคนไทยยังใหม่กับเรื่องนี้มาก
จะมีการปรับตัว และเตรียมการกับพรบ. PDPAอย่างไร เพื่อไม่ก่อให้เกิดการกระทำผิดกฏหมาย และยังสามารถสร้างประโยชน์จากข้อมูลลูกค้าที่เก็บมาได้ มาติดตามกันไปพร้อม ๆ กันเลย
1. สร้างความตระหนักรู้แก่คนในองค์กร และจัดตั้งทีมดูแลโดยตรง
การสื่อสารเพื่อสร้างความรู้ความเข้าใจ โดยเฉพาะเริ่มต้นจากคนภายในองค์กร ถือเป็นเรื่องสำคัญ โดยธุรกิจ SMEs มีข้อได้เปรียบตรงที่องค์กรมีขนาดเล็ก มีพนักงานไม่มาก สามารถสื่อสารถ่ายทอดข้อมูลต่อกันได้สะดวก โดยควรแจ้งให้พนักงานทราบถึงแนวทางการเก็บข้อมูลของกลุ่มผู้มีส่วนได้ส่วนเสียกลุ่มต่าง ๆ และวิธีการทำไปใช้ที่ถูกต้องตามกฏหมาย และหากล่วงละเมิดจะต้องได้รับโทษอย่างไร นอกจากนั้นควรมีการจัดตั้งทีมงานเพื่อเข้ามาดูแลโดยตรง ทั้งในส่วนของการจัดเตรียมข้อมูล วางโครงสร้าง ข้อกำหนดต่าง ๆ ขององค์กร
2. ทำการสำรวจ และจัดเตรียมข้อมูลที่จำเป็นต่อการปฏิบัติตาม
เมื่อมีทีมงานที่เข้ามาดูแลโดยตรงแล้ว ควรมีการจัดเตรียมเอกสารที่จำเป็น รวมไปถึงแบบฟอร์มการเก็บข้อมูล การขอความยินยอมในการนำข้อมูลไปใช้เพื่อประโยชน์ในเชิงธุรกิจและสร้างความพึงพอใจแก่ลูกค้า วิธีการเก็บข้อมูล นโยบายความเป็นส่วนตัว การสร้างแบบฟอร์มและการขออนุญาตความยินยอมประเภทต่าง ๆ โดยเฉพาะกับเว็บไซต์ หรือแพลตฟอร์มออนไลน์อื่น ๆ รวมถึงการแจ้งให้คนในองค์กรทราบ และเปิดใช้งานกับบุคคลที่มีส่วนเกี่ยวข้องกับองค์กร
3. ประเมินผลกระทบ
เพื่อรับมือกับความเสี่ยงในด้านต่าง ๆ องค์กร SMEs จำเป็นต้องมีการวางแผนเพื่อการป้องกันไม่ให้มีการนำข้อมูลที่จัดเก็บจากกลุ่มผู้มีส่วนได้ส่วนเสียไปใช้ผิดประเภท หรือขัดต่อกฏหมาย PDPA ทั้งที่เกิดจากความไม่รู้และตั้งใจ โดยเฉพาะกับพนักงานที่มีหน้าที่ดูแลบริหารจัดการข้อมูลต่าง ๆ เหล่านี้โดยตรง ควรมีการกำชับอย่างเคร่งครัด นอกจากนั้นควรหาทางรับมือต่อผลกระทบหากเกิดการร้องเรียนรู้จากผู้ที่ได้ส่งข้อมูลให้แก่องค์กร และได้รับความเดือดร้อน ต้องการเรียกร้องความเสียหาย องค์กรจะต้องมีวิธีในการรับมืออย่างไร เพื่อไม่ให้ธุรกิจสะเทือน หรือต้องเสียเงินชดเชยจากความผิดพลาดดังกล่าว
4. วางกรอบนโยบายขององค์กรที่สอดคล้องต่อ พรบ.PDPA
เพื่อความชัดเจน และเป็นที่ทราบโดยทั่วกันทั้งภายในและภายนอกองค์กร ธุรกิจ SMEs ควรมีการวางกรอบข้อมูลที่จำเป็นหรือต้องการจัดเก็บจากผู้มีส่วนเกี่ยวข้องกลุ่มต่าง ๆ เท่าที่มีความจำเป็น เพื่อให้ง่ายต่อการบริหารจัดการ และสร้างประโยชน์ต่อธุรกิจ รวมทั้งไม่เป็นต้นเหตุในการทำความผิดที่เกี่ยวข้องกับ พรบ.PDPA
5. จัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคลขององค์กร
เพื่อให้ง่ายต่อการตรวจสอบและติดตามตรวจเช็คข้อมูลต่าง ๆ ที่ได้มีการจัดเก็บมา ธุรกิจ SMEs ควรมีการมอบหมายให้เจ้าหน้าที่ได้จัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity : ROP) ทั้งในด้านข้อมูลส่วนตัวที่มีการจัดเก็บมา วัตถุประสงค์ในการจัดเก็บข้อมูล ระยะเวลาในการจัดเก็บ แหล่งที่มาของข้อมูล รวมไปถึงมาตรการที่เกี่ยวข้องในการบริหารจัดการข้อมูลให้สอดคล้องต่อกฏหมายที่เกี่ยวข้อง
แม้ว่า พรบ. ข้อมูลส่วนบุคคล หรือ PADA จะยังประกาศใช้ไม่ได้ ยังไม่มีบทบังคับ หรือการลงโทษอย่างเป็นจริงเป็นจัง แต่หากธุรกิจ SMEs ละเลย ไม่ใส่ใจ นำข้อมูลส่วนบุคคลที่เก็บจากกลุ่มผู้มีส่วนได้ส่วนเสียมาใช้งานอย่างเป็นวัตถุประสงค์และไม่ได้รับความยินยอม ก็อาจจะโดนฟ้องร้อง ทำให้เกิดผลกระทบต่อธุรกิจได้ ดังนั้นขั้นตอนการเตรียมตัวต่าง ๆ ที่นำมาแนะนำกันนี้ คงทำให้ผู้ประกอบการธุรกิจขนาดกลางและขนาดเล็กทราบว่าจะต้องมีการดำเนินการอย่างไร เพื่อให้สอดคล้องต่อกฏหมายที่กำหนด
อ่านเพิ่มเติม: การลงทุนnft
