ดีลอยท์ ผู้บริหารส่วนใหญ่ให้ความสำคัญต่อ PDPA พบประโยชน์ที่มากกว่าแค่การปฏิบัติตามกฎหมาย

• ดีลอยท์เผยผลสำรวจองค์กรหลังทำ PDPA (Personal Data Protection Act) พบประโยชน์ที่มากกว่าแค่การปฏิบัติตามกฎหมาย 

• ปัจจัยสำคัญที่ผลักดันให้องค์กรปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) คือ โอกาสที่จะเกิดความเสียหายต่อชื่อเสียง และการสร้างความเชื่อมั่นของลูกค้าให้ดียิ่งขึ้นแล้ว ยังพบประโยชน์ด้านการสร้างความน่าเชื่อถือของแบรนด์ ซึ่งเป็นประเด็นที่ภาคธุรกิจให้ความสำคัญสูงสุด ในขณะที่ความกังวลว่าจะถูกปรับหรือถูกดำเนินการทางกฎหมาย ถูกลดความสำคัญลงมาเป็นอันดับ 3 จากที่เคยอยู่อันดับ 1 

• องค์กรถึงร้อยละ 72 เชื่อมั่นว่าแนวปฏิบัติที่ทำอยู่ สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เนื่องจากมีการดำเนินการตามข้อบังคับ และมีการประเมินความพร้อมของตนเองอย่างสม่ำเสมอ 

• องค์กรส่วนใหญ่ตระหนักถึงความสำคัญของการอบรมให้พนักงานมีความรู้และตื่นตัว ระมัดระวังเรื่อง PDPA โดยเฉพาะการเก็บรักษาข้อมูลลูกค้า 

• การป้องกันข้อมูลรั่วไหล (Data Leakage Prevention) เป็นเรื่องที่ได้รับงบประมาณ และ ความสำคัญในเชิงเทคโนโลยีสูงที่สุดในการคุ้มครองข้อมูลส่วนบุคคลในองค์กร  

ดร.นเรนทร์ ชุติจิรวงศ์ ผู้อำนวยการบริหาร ฝ่าย Clients & Markets ดีลอยท์ ประเทศไทย เปิดเผยว่าทาง ดีลอยท์ ประเทศไทย ได้ทำการสำรวจและเผยแพร่ รายงานผลการสำรวจการทำ PDPA ในระดับองค์กร ด้านความพร้อมในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลขององค์กรในประเทศไทย ในเดือนตุลาคม 2564  และได้ทำสำรวจอีกครั้งในปี 2567 สองปีหลังจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ในเดือนมิถุนายน 2565  เพื่อประเมินการปรับตัวของบริษัทต่างๆ ต่อการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เพื่อวิเคราะห์ความท้าทายที่องค์กรเผชิญ และศึกษากระบวนการภายในองค์กรที่เปลี่ยนแปลงไป

ผลจากการสำรวจพบว่ามีสองปัจจัยหลักที่ขับเคลื่อนให้องค์ปฏิบัติตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คือโอกาสที่จะเกิดความเสียหายต่อชื่อเสียง เพิ่มขึ้นเป็นร้อยละ 81 จากผลการสำรวจครั้งก่อนที่ร้อยละ 66 และการเพิ่มความเชื่อมั่นให้กับลูกค้า เพิ่มขึ้น เป็นร้อยละ 75 จากผลการสำรวจครั้งก่อนที่ร้อยละ 59 ในขณะที่ความกังวลว่าจะถูกปรับหรือถูกดำเนินการทางกฎหมาย ซึ่งเดิมเป็นประเด็นที่องค์กรให้ความสำคัญเป็นอันดับหนึ่ง ปรับลดลงเป็นร้อยละ 59 จาก ร้อยละ 73  ส่วนการเพิ่มประสิทธิภาพในการประมวลผลข้อมูล ปรับลดลงเป็นร้อยละ 15 จากร้อยละ 36 

องค์กรมองว่าการปฏิบัติตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไม่ได้เป็นเพียงการปฏิบัติตามกฎหมาย  หากแต่ส่งผลดีต่อองค์กรในหลายมิติ โดย ร้อยละ 58 ขององค์กรที่ตอบแบบสอบถามเห็นว่าการทำ PDPA มีประโยชน์อย่างมีนัยสำคัญ เทียบกับผลการสำรวจในครั้งก่อนที่ร้อยละ 45 โดยธุรกิจพลังงาน ทรัพยากร และอุตสาหกรรม เป็นกลุ่มธุรกิจที่เห็นว่าเป็นประโยชน์สูงที่สุดถึงร้อยละ 75  เมื่อพูดถึงมุมมองที่ว่า PDPA มีส่วนในการปรับปรุงการบริหารจัดการข้อมูลส่วนบุคคลอย่างไร จะพบว่าร้อยละ 38 มองว่า PDPA ทำให้เกิดการเปลี่ยนแปลงในวิธีการที่องค์กรจัดการกับข้อมูลส่วนบุคคล 

เมื่อถามถึงความมั่นใจโดยรวมในแนวปฏิบัติขององค์กร ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล  ร้อยละ 72 ตอบว่ามั่นใจและมั่นใจมาก  องค์กรส่วนใหญ่ (ร้อยละ 89) ที่ตอบแบบสอบถามบอกว่าได้ดำเนินการต่าง ๆ ตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลแล้ว ซึ่งเพิ่มขึ้นจากการสำรวจในครั้งก่อน (ร้อยละ 30) โดยธุรกิจด้านการเงินเป็นกลุ่มมีการปฏิบัติตามสูงที่สุด (ร้อยละ 100) ตามมาด้วย ธุรกิจอุปโภคบริโภค (Consumer) ที่ร้อยละ 95 ธุรกิจพลังงาน ทรัพยากร และอุตสาหกรรม (Energy, Resources & Industrial) ร้อยละ 93 และ ธุรกิจเทคโนโลยี สื่อสาร และ โทรคมนาคม (Technology, Media and Telecom) ร้อยละ 89 

นอกจากจะปฏิบัติตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลแล้ว  องค์กรยังได้ทำการประเมินความพร้อมของตนเองอีกด้วย ผลจากการสำรวจพบว่า องค์กรในประเทศไทย ร้อยละ 80 ได้ทำการประเมินความพร้อมแล้ว เพิ่มจาก ร้อยละ 45 จากการสำรวจในปี 2564 โดยธุรกิจด้านการเงินมีการประเมินความพร้อมสูงที่สุดที่ ร้อยละ 100 ตามมาด้วย ธุรกิจอุปโภคบริโภค ร้อยละ 81 ธุรกิจเทคโนโลยี สื่อสารและ โทรคมนาคม ร้อยละ 78 และ ธุรกิจพลังงาน ทรัพยากร และ อุตสาหกรรม ร้อยละ 71 และเมื่อถามถึงเรื่องการลงทุนในการบริหารจัดการข้อมูลส่วนบุคคล องค์กรร้อยละ 41 เชื่อมั่นว่าองค์กรของตนมีการจัดการที่ดีอยู่แล้ว และมีการลงทุนในระดับกลางๆเพื่อรักษาสถานะดังกล่าว 

องค์กรที่ร่วมตอบแบบสอบถาม ตอบว่า ฝ่ายบุคคล และ หน่วยงานในการควบคุมและกำกับดูแลการปฏิบัติงาน (Compliance) เป็นสองหน่วยงานหลักที่รับผิดชอบในเรื่อง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ในสัดส่วนสูงสุดเท่ากันที่ร้อยละ 34  องค์กรร้อยละ 72 มีการมอบหมายให้บุคลากรภายในองค์กรทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ซึ่งเพิ่มขึ้นจากการสำรวจคราวก่อน (ร้อยละ 56) โดยธุรกิจด้านการเงินมี DPO ในอัตราสูงสุดที่ ร้อยละ 100 เมื่อถามว่าองค์กรมีการจ้างบุคลากรมาดูแลเรื่อง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะหรือไม่ ร้อยละ 67 ตอบว่าไม่  มีเพียงแค่ร้อยละ 20 ที่บอกว่ามีการจ้างพนักงานเพิ่มเติมเพียงเล็กน้อย 

จากผลการสำรวจ พบว่า องค์กรมีการจัดสรรงบประมาณ เพื่อใช้ในด้านการป้องกันข้อมูลรั่วไหล (Data Leakage Prevention) และ การกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง และ การปฏิบัติตามข้อกฎหมาย (Governance, Risk and Compliance) สูงสุดเท่ากันที่ร้อยละ 50 ตามมาด้วยการอบรมพนักงาน ที่ร้อยละ 46  เมื่อถามถึงการลงทุนในด้านเทคโนโลยีที่เกี่ยวข้องกับการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พบว่าองค์กรให้ความสำคัญกับเรื่องการป้องกันข้อมูลรั่วไหล (Data Leakage Prevention) เป็นอันดับหนึ่ง ที่ร้อยละ 57 ตามมาด้วย การจัดการความยินยอม (Consent / Preference Management) ที่ร้อยละ 55 และ การจัดการสิทธิ์การเข้าถึงข้อมูล (Privilege Access Management) ที่ร้อยละ 54  

องค์กรร้อยละ 67 มองว่าความท้าทายที่สำคัญในการทำ PDPA ได้แก่ การวางระบบเทคโนโลยี ตามมาด้วย ความรู้ของพนักงาน ที่ร้อยละ 61 และ เรื่องการบูรณาการนโยบายและกระบวนการทางธุรกิจ ร้อยละ 55 อย่างไรก็ตาม ประเด็นของการมีบุคลากรที่เพียงพอเป็นความท้าทายที่เพิ่มสูงขึ้นอย่างมีนัยสำคัญ โดยเพิ่มจากร้อยละ 13 เป็นร้อยละ 48 ในผลการสำรวจครั้งล่าสุด เมื่อถามว่าองค์กรมีทรัพยากรที่จำเป็นและเพียงพอในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือไม่ องค์กรร้อยละ 52 มีการใช้ทรัพยากรทั้งภายในและภายนอกเพื่อสนับสนุนการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล รองลงมาคือใช้ทรัพยากรภายในองค์กรเพียงอย่างเดียว ที่ร้อยละ 33

“หลังจากที่ พรบ. คุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ออกประกาศและแนวปฏิบัติที่เกี่ยวข้องตามมาหลายฉบับ ภาคธุรกิจโดยเฉพาะองค์กรที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลควรตื่นตัวในเรื่องดังกล่าว เพื่อให้สามารถปฏิบัติตามข้อกำหนดต่างๆ ได้อย่างครบถ้วนและนำแนวปฏิบัติดังกล่าวไปใช้ในการปฏิบัติตามภาระหน้าที่ของตนภายใต้กฎหมาย ผู้ควบคุมข้อมูลส่วนบุคคล ควรติดตามประกาศเพิ่มเติมจากคณะกรรมการฯ อย่างใกล้ชิด เพื่อที่จะเตรียมตัวรับมือกับการออกกฎหมายลำดับรองที่สำคัญต่าง ๆ” นายแอนโทนี่ วิเศษ โลห์ พาร์ทเนอร์ บริการที่ปรึกษาด้านภาษีและกฎหมาย ดีลอยท์ ประเทศไทย กล่าว

นายศมกฤต กฤษณามระ พาร์ทเนอร์ บริการที่ปรึกษาด้านความเสี่ยง ดีลอยท์ ประเทศไทย ให้ความเห็นเพิ่มเติมว่า “แม้ว่าผลสำรวจแสดงให้เห็นถึงการพัฒนาในมิติต่าง ๆ แต่ก็ยังคงมีข่าวเรื่องของอาชญากรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลให้เราได้ยินอยู่เสมอ เราจึงไม่สามารถปล่อยให้การ์ดตกได้ การป้องกันที่ได้ผลต้องเกิดจากความเข้าใจและการสอดประสานที่ดี ทั้งด้านบุคลากร ระบบ และ เทคโนโลยี”

"ดีลอยท์ได้ทำการสำรวจความพร้อมขององค์กรต่อ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล อย่างต่อเนื่อง เพื่อให้เข้าใจมุมมองของผู้บริหารภาคธุรกิจต่อกฎหมายฉบับนี้ในช่วงเวลาต่างๆ ผลจากการสำรวจทำให้เราได้เห็นภาพรวมของสถานการณ์ปัจจุบันและแนวโน้มการพัฒนาแนวปฏิบัติที่เหมาะสมในอนาคต ซึ่งมีความสำคัญต่อการกำหนดนโยบายและกลยุทธ์ที่สอดคล้องกับบริบทที่เปลี่ยนแปลงอยู่เสมอ" ดร.นเรนทร์ ชุติจิรวงศ์ ผู้อำนวยการบริหาร ฝ่าย Clients & Markets ดีลอยท์ ประเทศไทย กล่าวเสริม