Data Governance and Thailand PDPA

เมื่อเร็วๆ นี้ ได้มีประกาศคณะกรรมการพัฒนารัฐบาลดิจิทัล เรื่อง ธรรมาภิบาลข้อมูลภาครัฐ (Data Governance) มีผลให้ทุกหน่วยงานภาครัฐที่ต้องปฏิบัติตามพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัลฯ ต้องปฏิบัติตามประกาศฯ ฉบับนี้ด้วย. นอกจากนี้ยังมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2560 ซึ่งจะมีผลบังคับใช้ในวันที่ 28 พ.ค.2563 นี้ ได้มีบทบัญญัติในสาระสำคัญที่เป็นการคุ้มครองข้อมูลส่วนบุคคล (Personal Data) และ Sensitive Personal Data มีผลให้ทุกคนเป็นเจ้าของข้อมูล (Data Owner) ที่ผู้รวบรวม จัดเก็บ นำไปใช้ และเปิดเผย มีหน้าที่ต้องปฏิบัติตามกฎหมาย. ท่านผู้อ่านคงได้เคยศึกษาและทำความเข้าใจจากงานเขียนและฟังบรรยายจากหลายๆ แหล่งมาแล้ว คำแนะนำที่ได้รับการกล่าวถึงอยู่บ่อยๆ เช่น การทำเอกสารขอความยินยอม (Consent Form). ผมมีความเห็นว่า คำแนะนำทั้งหมดเหล่านั้นเป็นสิ่งที่มีประโยชน์ ช่วยให้เราสามารถดำเนินธุรกิจต่อไปได้ แต่ก็มิได้หมายความว่า เมื่อทำทั้งหมดแล้วจะทำให้องค์กรของท่านมีภาพลักษณ์ที่ดี มีข้อมูลที่มีคุณภาพ และปลอดภาระทางกฎหมายอย่างยั่งยืนต่อไป. โชคดีที่เรายังมี ธรรมาภิบาลข้อมูล ไว้เป็นทางออกสำหรับเรื่องนี้ครับ.

Data Governance คืออะไร และเกี่ยวข้องอย่างไรกับ PDPA

กล่าวอย่างสั้นๆ ว่า ธรรมาภิบาลข้อมูล คือ การกำหนดสิทธิ หน้าที่ และความรับผิดชอบของผู้มีส่วนได้ส่วนเสีย (Stakeholder)ในการบริหารจัดการข้อมูลทุกขั้นตอน. ผลผลิตสำคัญของธรรมาภิบาลข้อมูล คือ นโยบายข้อมูล (Data Policy) ที่อธิบายว่า สิ่งใดที่ผู้มีส่วนได้ส่วนเสียควรปฏิบัติและสิ่งใดเป็นข้อห้าม โดยมีรายละเอียดการปฏิบัติที่สอดคล้องกับมาตรฐานต่างๆ นอกจากนี้ Data Policy ยังจะต้องสอดรับและเป็นไปตาม (Compliance) กฎหมาย ระเบียบ ประกาศ กฎเกณฑ์ รวมถึงมาตรฐาน (Regulation)ในระดับที่สูงกว่าระดับองค์กรอีกด้วย. ด้วยเหตุนี้ถ้อยคำต่างๆ ในเอกสารนโยบายข้อมูล (Data Policy) จะต้องระบุด้วยว่า Stakeholder ตาม PDPA อย่างเช่น “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ต้องทำอะไรบ้าง และอะไรบ้างที่ควรงดเว้นไว้ด้วย.

เหตุใด Data Governance จึงทำให้องค์กรมั่นใจได้ว่าจะ Compliance กับ PDPA ได้อย่างยั่งยืน

Policy ก็คือ Long Term Plan แบบหนึ่ง. ถ้าอะไรก็ตามที่ได้ Plan ไว้แล้ว แต่ไม่เคยได้รับการนำไปปฏิบัติ มันก็คือ “Plan นิ่ง”!. การนำกระบวนการอย่างเช่น Plan-Do-Check-Act มาใช้หลังมี Data Policy แล้วก็จะช่วยให้เกิดการถ่ายทอด Data Policy สู่การปฏิบัติ โดยมีกระบวนการติดตาม ประเมินผล และปรับปรุงนโยบายให้เกิดความเหมาะสมและเป็นประโยชน์กับองค์กรมากขึ้น. กระบวนการติดตามที่กล่าวถึงนี้อาศัยหลักการดั้งเดิมของ Data Management ที่มีมานานแล้วเป็นพื้นฐาน คือ Data Lineage ที่เป็นการ Track & Trace การเปลี่ยนแปลงเคลื่อนไหวของข้อมูล (Data Movement) จาก Data Source หรือ Data Originator ไปจนถึงปลายทางสุดท้ายของวงจรชีวิตข้อมูล คือ การทำลายข้อมูลนั้นทิ้งไป.

ด้วยเหตุนี้เมื่อองค์กรได้ยอมรับนำ Data Governance มาใช้แล้ว (หรือจะถูกบังคับให้ใช้ก็ตาม) องค์กรก็จะต้องกำหนดกระบวนการติดตามอย่าง Data Lineage นี้ขึ้นมา เพื่อดูว่า ใครเป็นเจ้าของข้อมูลนี้ อะไรบ้างที่เจ้าของข้อมูลได้ให้ความยินยอมไว้ และใครที่จะเข้าถึงข้อมูลนี้ด้วยวิธีการอย่างไรบ้างในรายละเอียดโดยจะต้องครอบคลุมบทบาทของ “ผู้ควบคุมข้อมูลส่วนบุคคล” “ผู้ประมวลผลข้อมูลส่วนบุคคล” และบทบาทอื่นๆ อย่างต่อเนื่อง. ในจุดนี้เอง Data Governance ได้กำหนดบุคคลผู้มีหน้าที่ “ติดตาม” ด้วย อย่างเช่น บริกรข้อมูล (Data Steward) ก็จะต้องทำการประเมินผลที่ได้จากการติดตามไปด้วยว่า กิจกรรมต่างๆ ที่เกิดขึ้นกับข้อมูลตั้งแต่ การสร้างหรือรวบรวม จัดเก็บ ใช้ เผยแพร่หรือเปิดเผย ไปจนถึงการทำลายข้อมูลนั้นเป็นไปตามนโยบายข้อมูลที่องค์กรได้กำหนดไว้หรือไม่อย่างไร. บริกรข้อมูลจึงเสมือนเป็น “ผู้คุมกฎ” ที่จะรับรู้อย่างต่อเนื่องว่า กำลังจะมีเหตุการณ์หรือได้เกิดเหตุการณ์ที่อาจขัดต่อ PDPA และสามารถแจ้งเตือน หรือนำเข้าสู่กลไกอื่นๆ ขององค์กร เพื่อให้เกิดการควบคุมความเสี่ยง หรือบรรเทา (Mitigate) ความเสียหายที่เกิดขึ้นตั้งแต่เนิ่นๆ ให้อยู่ในระดับที่องค์กรสามารถยอมรับได้ต่อไป.

ถ้าองค์กรไม่ทำ Data Governance แล้วจะเป็นอย่างไร

แม้ว่าองค์กรภาครัฐที่มีระบบดิจิทัล จะต้องปฏิบัติตามประกาศคณะกรรมการฯ ในเรื่อง Data Governance เสมือนหนึ่งว่าเป็นกฎหมาย แต่องค์ภาคเอกชนไม่ได้อยู่ในบังคับตามประกาศฯ ฉบับนี้. ประเด็นนี้อาจทำให้เกิดคำถามว่า ภาคเอกชนจำเป็นต้องทำ Data Governance หรือไม่. คำตอบคือ ภาคเอกชนควรต้องทำ Data Governance เพื่ออาศัย Data Lineage ในการติดตามความเคลื่อนไหวเปลี่ยนแปลงที่เกิดขึ้นกับข้อมูล และมั่นใจว่าการบริหารจัดการข้อมูลขององค์กรเรายังคง Compliance ตาม PDPA อย่างต่อเนื่อง

ในเรื่องนี้ผมอยากจะยกตัวอย่างสนับสนุนคำตอบเพิ่มเติม เช่น บริษัท ก. ทำสัญญาจ้างบริษัท ข. ดำเนินงานการจ่ายเงินเดือนพนักงานของบริษัท ก.โดยมีเงื่อนไขว่า บริษัท ข. จะจ่ายเงินเดือนให้พนักงานของบริษัท ก. เมื่อได้รับแจ้งจากบริษัท ก. ดังนั้นทั้งสองบริษัทจึงมีหน้าที่ที่จะต้องปฏิบัติตาม PDPA. ประเด็นคือ ถ้ามีการจ่ายเงินเดือนพนักงานเพียงครั้งเดียวแล้ว เรื่อง Data Governance อาจไม่สำคัญต่อทั้งสองบริษัท เพราะทั้งบริษัท ก. มีการเปิดเผยและบริษัท ข. มีการใช้ข้อมูลส่วนบุคคลเพียงครั้งเดียว ไม่เกิดการบริหารจัดการข้อมูลอย่างต่อเนื่อง จึงไม่ต้องมี Data Lineage ที่เป็นส่วนสำคัญของ Data Governance. อย่างไรก็ตามในสัญญาจ้างฯ คงไม่ได้ระบุแต่เพียงเงื่อนไขในการจ่ายเงินเดือนอย่างเดียว อาจมีการกำหนดรายละเอียดของงานอื่นๆ อีกที่บริษัท ข. จะต้องทำ เช่น การวิเคราะห์ในแบบ Predictive Analytics เพื่อจะประมาณการณ์ว่าเงินเดือนเท่าใดจึงจะจูงใจให้พนักงานที่มี Talent อยู่ทำงานต่อกับองค์กรต่อไปได้อีก 5 ปี เป็นต้น. เพียงเท่านี้ก็ทำให้เห็นภาพแล้วว่า จะต้องมีคนอีกหลายกลุ่มหลายบทบาทหน้าที่ ที่จะต้องมาใช้ข้อมูลส่วนบุคคลไปวิเคราะห์เพื่อตอบโจทย์ Predictive Analytics ดังกล่าว อีกทั้งคงทำการวิเคราะห์รอบเดียวไม่ได้ คงจะต้องทำการวิเคราะห์หลายๆ รอบจนกระทั่งได้ผลลัพธ์ที่ถูกต้อง. ถ้าบริษัท ก. หรือ ข. ไม่ทำ Data Governance แล้ว ก็ยากที่ตอบคำถามพนักงานบริษัทว่า ข้อมูลส่วนบุคคลของตนเองถูกนำไปใช้อย่างไรและมีใครที่เข้าถึงข้อมูลบ้าง. ยิ่งถ้าเรื่องนี้เกิดขึ้นกับพนักงานบริษัทที่ลาออกไปด้วยเหตุผลความไม่พอใจเรื่องเงินเดือนด้วยแล้ว อาจมีประเด็นฟ้องร้อง ส่งผลต่อภาพลักษณ์ขององค์กรที่ไปบั่นทอนความเชื่อมั่นของลูกค้าในที่สุดได้.

สรุปส่งท้าย

จากที่กล่าวมาจะเห็นว่า ทั้ง Data Governance และ Thailand PDPA มีความเกี่ยวข้อง ส่งเสริมกัน. Data Governance ต้อง Compliance ตามกฎหมายอย่างเช่น PDPA ด้วย และทุกคนทุกองค์กรต้องปฏิบัติตาม PDPA โดยมี Data Governance ที่ช่วยให้มั่นใจได้ว่า เรากำลังใช้ข้อมูลส่วนบุคคลตามขอบเขตของกฎหมาย และสร้างคุณค่าจากข้อมูลให้กับธุรกิจได้อย่างแท้จริง