“ดีแทค ประกาศความพร้อม PDPA เข้มงวดทุกกระบวนการทำงาน การเก็บ ใช้ และเปิดเผยข้อมูล สร้างความเชื่อมั่นให้ลูกค้าทั่วไป-ลูกค้าองค์กร
ดีแทค ประกาศความพร้อมรับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในวันที่ 1 มิถุนายนนี้ เตรียมความพร้อมมากว่า 2 ปี ตอกย้ำซึ่งหลักการด้านสิทธิมนุษยชนและธรรมาภิบาล ด้วยเส้นทางจากการพัฒนาแนวนโยบายสู่หลักปฏิบัติ
ผ่านการออกแบบกระบวนการทำงาน การเก็บ ใช้ และเปิดเผยข้อมูล ตอกย้ำคุณค่าองค์กรด้านธรรมาภิบาลและหลักสิทธิมนุษยชนที่เป็นวัฒนธรรมขององค์กร ชี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นหมุดหมายสำคัญนำพาประเทศสู่สังคมดิจิทัลอย่างยั่งยืน
จากหลักการรักษาสิทธิมนุษยชนสู่นโยบายการคุ้มครองข้อมูลส่วนบุคคล
สตีเฟ่น เจมส์ แฮลวิก รักษาการรองประธานเจ้าหน้าที่บริหาร กลุ่มกิจการองค์กร บริษัท โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น จำกัด (มหาชน) หรือดีแทค กล่าวว่า “ดีแทคมีจุดยืนในการทำธุรกิจอย่างมีความรับผิดชอบ ด้วยหลักการรักษาสิทธิมนุษยชน”
“ดีแทคในฐานะผู้ให้บริการโทรคมนาคม มีหน้าที่สำคัญในการเคารพในหลักความเป็นส่วนตัว (Privacy) และเสรีภาพในการแสดงออกสำคัญ (Freedom of Expression)”
“เราจึงปฏิบัติและดำเนินงานอย่างเคร่งครัด โดยพัฒนากระบวนการการทำงาน และความท้าทายต่างๆ กับผู้มีส่วนเกี่ยวข้องอย่างสม่ำเสมอ การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของไทยหรือ PDPA”
ถือเป็นหมุดหมายสำคัญของประเทศไทยในการคุ้มครองสิทธิขั้นพื้นฐานด้านการปกป้องความเป็นส่วนตัวและความมั่นคงทางข้อมูลของผู้บริโภค ซึ่งดีแทคสนับสนุนและยินดีปฏิบัติตามอย่างยิ่งเพื่อประโยชน์ของผู้บริโภค ธุรกิจ และสังคมส่วนรวม”
“ความเชื่อมั่นลูกค้าถือเป็นหัวใจสำคัญในการดำเนินกิจการของดีแทค โดยเฉพาะเมื่อเข้าสู่ยุคแห่งความก้าวหน้าทางเทคโนโลยี เช่น AI (ปัญญาประดิษฐ์) IoT (อินเทอร์เน็ตสรรพสิ่ง) และ 5G จะทำให้เกิดและต้องการใช้ข้อมูลจำนวนมหาศาลในการส่งมอบคุณค่าลูกค้า ดังนั้น ความโปร่งใสจึงเป็นปัจจัยสำคัญที่ทำให้ความเชื่อมั่นเกิดขึ้น” สตีเฟ่น กล่าว
สังคมดิจิทัลนำมาซึ่งโอกาสทางเศรษฐกิจและสังคมอย่างมาก แต่ขณะเดียวกัน การใช้ข้อมูลจำต้องคำนึงถึงสิทธิผู้บริโภคตามกฎหมายเป็นสำคัญ ดังนั้น ความเป็นส่วนตัวลูกค้า (Privacy) ถือเป็นสิ่งที่ดีแทคให้ความสำคัญสูงสุดในการพัฒนาสินค้าและบริการของเรา
นอกจากนี้ ยังถือเป็นการตอกย้ำซึ่งหลักการด้านสิทธิมนุษยชนและธรรมาภิบาลที่ดีแทคมุ่งส่งเสริมผ่านบริการเชื่อมต่อที่ปลอดภัย ทั่วถึงและเท่าเทียม
จากนโยบายสู่แนวปฏิบัติและวัฒนธรรมองค์กร
มนตรี สถาพรกุล ผู้เชี่ยวชาญดูแลข้อมูลส่วนบุคคล ดีแทค ปฏิบัติหน้าที่ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ได้อธิบายถึง การแปลงจากนโยบาย มาสู่แนวปฏิบัติและวัฒนธรรมองค์กร ที่เสมือนเป็นการเดินเตรียมความพร้อมใช้งาน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ของดีแทค
มนตรี อธิบายว่า “กลไกที่ดีแทคยึดถือในการปฏิบัติตาม PDPA ประกอบด้วย 3 ข้อหลักๆ ประกอบกัน คือ ความโปร่งใส Transparent คือ สิ่งที่ดีแทคต้องอธิบายกับลูกค้าด้วยความโปร่งใส ตรงไป ตรงมา เช่น การเก็บ การใช้ข้อมูลอะไร เพื่อวัตถุประสงค์ใด และต้องแจ้งเตือนลูกค้าอย่างตรงไปตรงมา”
ประการที่สองคือ การใช้งานอย่างถูกต้องตามกฎหมาย (Lawful use) คือ การใช้งานข้อมูลให้ถูกต้องตามเงื่อนไขของกฎหมาย เช่น การใช้ข้อมูลบนการได้รับการยินยามจากลูกค้าตามฐานกฎหมาย และตรงตามวัตถุประสงค์ที่ลูกค้าต้องการอาทิ ความยินยอมของลูกค้าเพื่อใช้สำหรับธุรกิจโทรคมนาคม นั่นหมายว่า ดีแทคจะไม่สามารถนำข้อมูลลูกค้าไปใช้ในกิจการอื่นนอกเหนือนี้ ถึงแม้จะเป็นการให้สิทธิประโยชน์ต่างๆ กับลูกค้าก็ตาม”
“ประการที่สามคือ หลักความรับผิดชอบ (Accountability) ในการใช้ข้อมูล เป็นหนึ่งในหลักการคุ้มครองข้อมูลส่วนบุคคลที่สำคัญ อาทิ การใช้ข้อมูลด้วยความ เป็นธรรม และโปร่งใส การจำกัดวัตถุประสงค์การใช้งาน การรักษาความสมบูรณ์และความลับ”
ดีแทคพัฒนาสินค้าและบริการโดยยึดหลักความเป็นส่วนตัวเป็นสำคัญ (Privacy by design) เพื่อส่งมอบบริการที่ตอบโจทย์ ปลอดภัย และคำนึงถึงประโยชน์สูงสุดของลูกค้าไม่ว่าพนักงานจะทำงานจากที่ใดก็ตาม
ดีแทคมีกระบวนการจัดการกับข้อมูลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล คือ
- เก็บรวบรวมจัดเก็บข้อมูลที่เป็นประโยชน์และจำเป็นต่อการให้บริการ ทั้งข้อมูลที่ระบุตัวตน ทางตรง และข้อมูลที่ระบุตัวตนทางอ้อม
- ใช้มีการใช้ข้อมูลตรงตามวัตถุประสงค์ที่แจ้ง เพื่อนำเสนอสิทธิประโยชน์สินค้าและบริการที่ตรงกับ ความต้องการ เพื่อให้ลูกค้าได้รับประโยชน์สูงสุด
- เปิดเผยเพื่อให้เป็นไปตามหลักเกณฑ์และเงื่อนไขการดูแลคุ้มครองข้อมูลตามที่กฏหมายกำหนด
กระบวนการดังกล่าวอยู่ภายใต้หลักธรรมาภิบาล และขั้นตอนการบริหารจัดการ ดังนี้
1. การทำงานเชิงรุก (Proactive approach) ดีแทคมีการวางแนวทางในการใช้ข้อมูลลูกค้าเพื่อให้เป็นไปตามเจตจำนงค์ตามที่ลูกค้าได้อนุญาตผ่าน Privacy Checkpoint ซึ่งเป็นโครงสร้างการทำงานเพื่อควบคุมและลดความเสี่ยงอันเกิดจากการละเมิดความเป็นส่วนตัวของลูกค้าโดยตั้งใจหรือไม่ตั้งใจ โดยผู้แสดงความจำนงค์ต้องการใช้ข้อมูลลูกค้า (ตัวอย่างเช่น ทีมพัฒนาแอปพลิเคชัน ทีมบริหารคุณค่าลูกค้า ระเบียบการปฏิบัติการในส่วนต่างๆ)
จะต้องแจ้งความจำนงค์มายังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ของบริษัทเพื่อพิจารณาถึงวัตถุประสงค์ตามกฎหมาย (Legal basis) และความจำเป็น (Necessity and Proportionality) ของการใช้ข้อมูล นอกจากนี้ ยังต้องมีการประเมินความปลอดภัยข้อมูลทางด้านเทคนิค ซึ่งกำกับโดยทีมเทคโนโลยี
จากนั้น จะเข้าสู่กระบวนการพิจารณาและอนุมัติโดยคณะกรรมการ การประเมินผลกระทบด้านการคุ้มครองส่วนบุคคล (DPIA) ของบริษัท
นอกจากนี้ ยังได้กำหนดโครงสร้างการทำงานของ DPO ให้เป็นอิสระ สามารถรายงานการทำงานแก้คณะผู้บริหาร (Management Committee) ได้โดยตรง เพื่อให้ความคิดเห็นของ DPO คงไว้ซึ่งหลักการความเป็นส่วนตัวและหลีกเลี่ยงผลกระทบจากปัจจัยภายนอกที่มีอิทธิพลต่อความคิดเห็นของ DPO
2. การตรวจสอบ (Investigative approach) เพื่อลดความเสี่ยงการละเมิดความเป็นส่วนตัวของข้อมูล พนักงานด่านหน้าที่มีเกี่ยวข้องกับข้อมูลลูกค้าจะต้องมีการทำประเมินอย่างสม่ำเสมอ จากนั้นส่งผลการประเมินมายัง DPO นอกจากนี้ ยังมีการตรวจสอบรายไตรมาส (Audit) จากทั้งคณะกรรมการภายในและภายนอก เพื่อให้มั่นใจว่ามีการปรับใช้นโยบายสู่แนวปฏิบัติอย่างถูกต้อง
3. การแก้ไข (Corrective action) เมื่อตรวจสอบพบการละเมิดความเป็นส่วนตัวของข้อมูล DPO มีหน้าที่ในการ ประสานงานผู้เกี่ยวข้อง เพื่อระงับ จัดการประเมิน ความเสียหาย กำหนดแนวทางการแก้ไข รวมถึงถ้าเหตุละเมิดดังกล่าวมีผลกระทบต่อเจ้าของข้อมูล จะต้องมีการแจ้งให้สำนักงานคณะกรรมการข้อมูลส่วนบุคคลรับทราบและแก้ไข
“ดีแทคมีความพร้อมต่อการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยได้พัฒนาเป็นนโยบายและแนวทางการทำงาน ตลอดจนบังคับใช้เป็นการภายในมาแล้วกว่า 2 ปี มีการอบรมและสร้างการรับรู้กับพนักงานต่อนโยบายความเป็นส่วนตัวแล้ว 100%” สตีเฟ่น กล่าว
