ดีลอยท์ ประเทศไทย เผยแพร่ผลสำรวจภาคธุรกิจไทยกับการเตรียมพร้อมรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) จากการเก็บข้อมูลและการใช้ข้อมูลส่วนบุคคลที่เพิ่มมากขึ้น การจัดการและความเป็นส่วนตัวของข้อมูลจึงเป็นสิ่งที่ธุรกิจทุกภาคส่วนมีความกังวลมากขึ้นไปด้วย
ที่สำคัญกว่านั้น คือการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย พ.ศ. 2562 จะมีผลบังคับใช้อย่างเป็นทางการในเดือนมิถุนายน พ.ศ. 2565 หลังจากเลื่อนออกจากกำหนดการเดิมสองปี เพื่อให้การจัดการข้อมูลส่วนบุคคลมีความโปร่งใสและสามารถตรวจสอบได้มากยิ่งขึ้น แม้ว่าการบังคับใช้กฎหมายที่ล่าช้าจะทำให้ธุรกิจมีเวลาเตรียมตัวพร้อมปฏิบัติตามกฎระเบียบใหม่มากขึ้น แต่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลจะเปลี่ยนแนวคิดในเรื่องความเป็นส่วนตัวสำหรับภาคธุรกิจอย่างมาก
ในเดือนตุลาคม 2564 ดีลอยท์ฯ ได้จัดทำแบบสำรวจการเตรียมพร้อมรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จากกลุ่มตัวอย่างองค์กรและอุตสาหกรรมต่างๆ ในประเทศไทย โดยมีเป้าหมายคือเพื่อทำความเข้าใจว่าองค์กรมีแนวทางการเตรียมความพร้อมเพื่อปฏิบัติตามพระราชบัญญัติดังกล่าวอย่างไร องค์กรมีแผนการดำเนินงานครอบคลุมถึงขั้นตอนใดบ้าง และความท้าทายที่อาจเผชิญระหว่างการดำเนินการคืออะไร
ทั้งนี้ ผู้ตอบแบบสำรวจส่วนใหญ่มาจากกลุ่มอุตสาหกรรมอุปโภคบริโภค (40%) รองลงมาคือกลุ่มอุตสาหกรรมบริการทางการเงิน (27%) โดยสรุปแล้ว ผู้ตอบแบบสอบถามมากกว่าครึ่งหนึ่งประกอบด้วยบริษัทขนาดใหญ่ที่มีจำนวนพนักงานในองค์กร 500 คนขึ้นไป
ผลการสำรวจชี้ให้เห็นว่า ความรวดเร็วในการดำเนินงาน และแผนการดำเนินงานให้เป็นไปตามพระราชบัญญัติดังกล่าวนั้นแตกต่างกันในแต่ละอุตสากรรมต่างๆ และพบว่า ปัจจุบันกลุ่มอุตสาหกรรมบริการทางการเงินมีการดำเนินที่คืบหน้ามากกว่าภาคธุรกิจอื่นๆ โดยดำเนินงานเป็นไปตามพระราชบัญญัติอย่างเต็มรูปแบบ และมีความพร้อมตามกำหนดบังคับใช้ในเดือนมิถุนายน 2565 โดย 81% ระบุว่าได้ปฏิบัติตามอย่างเต็มรูปแบบ หรือคาดว่าจะปฏิบัติตามพระราชบัญญัติดังกล่าวอย่างเต็มรูปแบบภายในเดือนมีนาคม 2565 เนื่องจากอุตสาหกรรมดังกล่าวมีกฎข้อบังคับอย่างเข้มงวด รวมถึงการที่ธนาคารแห่งประเทศไทยให้การสนับสนุนในเรื่องการป้องกันข้อมูลส่วนบุคคลของลูกค้าธนาคาร
ปัจจัยหลักที่ขับเคลื่อนให้เกิดการปฏิบัติตามพระราชบัญญัติดังกล่าว คือความเกรงกลัวต่อการถูกฟ้องร้องดำเนินคดีหากมีการละเมิดข้อมูลส่วนบุคคล รองลงมาคือการเสียชื่อเสียงและสูญเสียความเชื่อมั่นของผู้บริโภค ตัวขับเคลื่อนส่วนใหญ่เป็นเกิดจากกฎเกณฑ์ข้อบังคับมากกว่าผลประโยชน์ที่เกี่ยวข้อง ซึ่งการไม่ปฏิบัติตามกฎหมายในประเด็นดังกล่าวอาจส่งผลให้องค์กรต้องเผชิญกับค่าใช้จ่ายที่สูงตามมา
45% ของผู้ตอบแบบสำรวจคาดหวังประโยชน์ที่มีนัยสำคัญจากการปฏิบัติตามพระราชบัญญัติดังกล่าว อย่างไรก็ตาม เมื่อเปรียบเทียบในแต่ละอุตสาหกรรมพบว่าประมาณ 80% ของธุรกิจในกลุ่มอุตสาหกรรมบริการทางการเงินและชีววิทยาศาสตร์และการดูแลสุขภาพคาดหวังผลประโยชน์ในขอบเขตจำกัด หรือไม่คาดหวังผลประโยชน์อื่นนอกเหนือจากการปฏิบัติตามข้อบังคับ เนื่องมาจากกลุ่มอุตสาหกรรมทั้งสองต้องเกี่ยวข้องกับข้อมูลที่มีความอ่อนไหวซึ่งมีข้อกำหนดที่เข้มงวดกำกับอยู่แล้ว
การผนวกรวมนโยบายและกระบวนการใหม่ในการดำเนินธุรกิจ ตามด้วยการตีความข้อกำหนดของพระราชบัญญัติดังกล่าว ได้รับเลือกให้เป็นความท้าทายอันดับต้นๆ ของทุกกลุ่มอุตสาหกรรม ในระหว่างการดำเนินการเพื่อปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
"ความเข้าใจที่ชัดเจนในกฎข้อบังคับใหม่จะช่วยให้บริษัทต่างๆ เตรียมความพร้อมอย่างรับผิดชอบและครอบคลุมในเรื่องความเป็นส่วนตัวซึ่งเป็นหัวใจสำคัญของพระราชบัญญัตินี้ เจ้าของธุรกิจจำเป็นต้องดำเนินการปกป้องข้อมูลและความเป็นส่วนตัวในลักษณะองค์รวม เพื่อให้มั่นใจว่าสามารถดำเนินกิจการได้อย่างรัดกุม เพื่อประโยชน์สูงสุดในการให้บริการลูกค้าและขับเคลื่อนการเติบโตธุรกิจในอนาคต" นายศมกฤต กฤษณามระ พาร์ทเนอร์ ที่ปรึกษาด้านความเสี่ยงทางการเงิน ดีลอยท์ฯ กล่าว
นายแอนโทนี่ วิเศษ โลห์ พาร์ทเนอร์ ที่ปรึกษาด้านภาษีและกฎหมาย กล่าวเสริมว่า ก่อนการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) องค์กรควรให้ความสำคัญกับความพร้อมในด้านกฎหมายเป็นอันดับแรกๆ เพื่อให้ธุรกิจสามารถดำเนินงานด้วยความมั่นใจและสามารถสร้างความเชื่อมั่นให้กับบุคลากรในองค์กรและบุคคลภายนอก เช่น ลูกค้า สำหรับดีลอยท์ เราให้พิจารณาในด้านกฎหมายที่เกี่ยวเนื่องไปกับการทำธุรกิจ ไม่ใช่เพียงสิ่งที่กฎหมายกำหนดแต่ยังครอบคลุมถึงผลลัพธ์และวิธีการที่กฎหมายจะช่วยให้ธุรกิจสามารถสร้างโอกาสในการเติบโตอีกด้วย
"การจัดการกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎระเบียบข้อบังคับด้านการคุ้มครองข้อมูลในวงกว้างจำเป็นต้องมีกระบวนการการเปลี่ยนแปลงแบบองค์รวม โดยผนวกรวมเทคโนโลยี กฎหมาย การปฏิบัติตามกฎระเบียบ และรูปแบบการทำงานขององค์กรเข้าด้วยกัน เพื่อสร้างความเชื่อมั่นว่าองค์กรได้มีการปฏิบัติตามและปกป้องข้อมูลอย่างครบถ้วนในทุกแง่มุมและกระบวนการ" นายศมกฤต กล่าวเสริม