ครบ 1 ปี PDPA ‘ทรู คอร์ป’ คุมเข้มข้อมูลส่วนบุคคลลูกค้าอย่างไรกันบ้าง มาดูกัน
1 มิ.ย. 2566 ครบ1 ปีที่กฎหมาย PDPA มีผลบังคับใช้ คงมีคำถามมากมายว่าแต่ละองค์กรทำอะไรไปบ้าง ซึ่งทรู คอร์ป หนึ่งในองค์กรที่มีลูกค้าจากการควบรวมทรู-ดีแทค มากถึง 50.5 ล้านเลขหมาย ได้ออกแนวทางหรือมาตรการอะไรในการดูแลลูกค้าทรู-ดีแทค เรื่องการใช้ข้อมูลส่วนบุคคลไปบ้างแล้ว
ในช่วงปีที่ผ่านมา ทรู คอร์ปอยู่ในกระบวนการควบรวมทรู-ดีแทค ซึ่งมีหลายอย่างที่แตกต่างกัน แต่สิ่งที่เหมือนกันคือทั้ง 2 องค์กรต่างให้ความสำคัญสูงสุดกับนโยบายการดูแลเรื่องการใช้ข้อมูลส่วนบุคคลทั้งของลูกค้าและพนักงานในองค์กร
ซึ่งภายหลังการรวมธุรกิจ ทรู คอร์ปได้นำสิ่งที่ดีที่สุด เข้มงวดที่สุดของแต่ละองค์กรมากำหนดเป็นนโยบายและแนวปฎิบัติในการคุ้มครองข้อมูลส่วนบุคคล Privacy Policy and Procedure เพื่อให้เป็นไปตามฟุตพริ้นท์มาตรฐานการปกป้องข้อมูลที่เป็นสากล และสอดคล้องกับกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป โดยทรู คอร์ป ได้ดำเนินการ 5 แนวทางสำคัญ เพื่อดูแลคุ้มครองข้อมูลส่วนบุคคล (PDPA) ดังนี้
1. แต่งตั้งทีมงานดูแลเรื่องการปกป้องข้อมูลส่วนบุคคล ที่เป็นอิสระและเป็นกลาง เนื่องด้วยการประเมินการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะมิติใดก็ตาม จำเป็นอย่างยิ่งที่ควรมีมุมมองที่อิสระและเป็นกลาง เพื่อให้การควบคุมเป็นไปภายใต้มิติที่สอดคล้องกับวัตถุประสงค์ที่ทรูได้รับการยินยอมจากลูกค้า ทรู คอร์ป จึงแต่งตั้งให้มีทีมงานดูแลข้อมูลส่วนบุคคล ซึ่งเป็นกลางและมีอิสระในการตรวจสอบทุกหน่วยงานภายใน รายงานตรงผู้บริหารงานกิจการองค์กร และมีช่องทางรายงานต่อผู้บริหารสูงสุดหรือ CEO ซึ่งสะท้อนชัดว่า การดูแลข้อมูลส่วนบุคคล เป็นสิ่งสำคัญสูงสุดในองค์กร
2. จัดทำนโยบายและแนวปฎิบัติในการคุ้มครองการใช้ข้อมูลส่วนบุคคล Privacy Policy and Procedure ที่ชัดเจน การป้องกันข้อมูลส่วนบุคคล (Data Protection)เป็นสิ่งที่สำคัญยิ่ง ดังนั้นทุกชุดข้อมูลจะถูกกำกับตามมาตรฐานอุสาหกรรม และ กฎหมาย PDPA เพื่อปกป้องสิทธิและเสรีภาพของเจ้าของข้อมูล โดยทรู คอร์ปยึดหลัก 2 แกนสำคัญ คือ 1. ความเป็นส่วนตัว (Privacy) ที่เน้นความโปร่งใส ใช้ข้อมูลตามที่สัญญากับลูกค้าเท่านั้น และข้อมูลที่ใช้งานจะสอดคล้องกับประเภทธุรกิจที่บุคคลนั้นๆใช้บริการ เท่านั้น 2. การรักษาความปลอดภัย (Security) เพื่อมั่นใจว่าการใช้ข้อมูลทุกชุดเป็นไปตามวัตถุประสงค์ที่ได้แจ้งไว้กับเจ้าของข้อมูลส่วนบุคคล
ทั้งนี้ ทรู ตระหนักดีว่า ลูกค้าเป็นเจ้าของข้อมูล เราเป็นเพียง ‘ผู้คุ้มครองข้อมูลส่วนบุคคลเท่านั้น’ การกระทำการใดๆ ที่เกี่ยวข้องกับข้อมูล ต้องเป็นไปตามเงื่อนไขที่โปร่งใสและลูกค้าอนุญาต ภายใต้นโยบายความเป็นส่วนตัว ภายใต้มาตรการที่เข้มแข็งตาม มาตรฐานความปลอดภัยสารสนเทศ ISO 27001 ที่ช่วยรับประกันให้ระบบความปลอดภัยของข้อมูล ลดความเสี่ยงไม่ให้มีความละเมิดเกิดขึ้นได้
3. อบรมบุคลากรในองค์กร เรื่องของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลเพราะเราตระหนักดีว่าการดูแลข้อมูลส่วนบุคคลเป็นหน้าที่ของพนักงานทรูทุกคน จึงจัดอบรมเพื่อสร้างความรู้ความเข้าใจกับพนักงานทุกคน ในเรื่องของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และได้มีการกำหนดแนวทางปฏิบัติหน้าที่ของพนักงานที่ต้องสอดคล้องกับ วัตถุประสงค์ตามกฎหมาย รวมทั้งปลูกฝังเรื่องดังกล่าวให้เป็นสิ่งสำคัญของวัฒนธรรมองค์กรโดยได้ระบุไว้ในหลักธรรมาภิบาล (Code of Conduct) ของบริษัท ฯ
4. คุมเข้มการเข้าถึงข้อมูล ยึดหลัก Security and Privacy by Design (SPbD) ทรู คอร์ป ได้ปรับเปลี่ยนระบบการทำงานภายในองค์กร รวมถึง ผู้ให้บริการภายนอก (vendors), พันธมิตรทางธุรกิจ (Business Partners), และ บริษัทในเครือ (Subsidiaries) ให้มีการกลั่นกรองและการทบทวนสิทธิเข้าถึงข้อมูลลูกค้าของทุกหน่วยงานในองค์กร ตลอดจนคุมเข้มการเข้าถึงและการใช้งานข้อมูลตามขอบเขตและวัตถุประสงค์ของกฎหมาย รวมทั้งกำหนด checkpoint สำหรับการใช้ข้อมูลทุกชุดและทุกกระบวนการ เพื่อให้ทุกการใช้ข้อมูลอยู่ในทัศนะวิสัย (Visibility) และ ออกแบบกระบวนการโดยยึดการเคารพสิทธิ์ลูกค้าเป็นหลัก (Privacy by Design)
ทรู ยังกำหนดมาตรการในการปฎิบัติตามคำขอของหน่วยงานภาครัฐอย่างเคร่งครัด โดยทุกคำขอต้องยืนอยู่บนฐานกฎหมายและวัตถุประสงค์ที่ชัดเจน รวมถึงการขอข้อมูลการใช้งานหมายเลขโทรศัพท์เคลื่อนที่จากเจ้าหน้าที่ ตำรวจ หรือคำสั่งปิดเว็บไซต์ จำเป็นต้องมีการอ้างอิงฐานกฎหมาย หรือคำสั่งศาล ทั้งนี้เพื่อปกป้องสิทธิของลูกค้าบนหลักสิทธิมนุษยชน
5. ใช้เทคโนโลยี AI และระบบออโตเมชั่นเพิ่มความแม่นยำในการเก็บ-ใช้-เปิดเผยข้อมูลของลูกค้า ซึ่งจะเป็นไปตามมาตรฐานที่ กสทช. กำกับ เช่น การลงทะเบียนซิมโทรศัพท์ จะมีขั้นตอนการพิสูจน์ตัวตน ใช้ระบบ AI เน้นความแม่นยำและความปลอดภัย อีกทั้งทำให้บริการลูกค้าได้เร็ว สะดวก ยิ่งขึ้น และมีการเปิดซิมใหม่โดยใช้วิธีการสแกนหน้า กับบัตรประชาชน ซึ่งการนำเทคโนโลยีมาใช้ ช่วยลดปัญหาความผิดพลาดที่อาจเกิดจากคน และสร้างความมั่นใจให้กับลูกค้าได้เป็นอย่างดี อีกทั้งการนำข้อมูลส่วนบุคคลไปใช้หรือนำไปเปิดเผยไม่ว่าจะวัตถุประสงค์ใดก็ตาม จะเป็นไปตามวัตถุประสงค์ที่แจ้งกับเจ้าของข้อมูลเท่านั้น หากนอกเหนือจากที่แจ้ง จำเป็นต้องขอคำยินยอมจากเจ้าของข้อมูลก่อนเสมอ
ทรูตระหนักดีว่า สิทธิ์ในข้อมูลเป็นของเจ้าของข้อมูล ทรูมีช่องทางต่างๆ เพื่อให้เจ้าของข้อมูลสามารถติดต่อสอบถามถึงการใช้ข้อมูล (Right to Information) รวมถึงการใช้สิทธิ์ต่างๆ ตาม กฎหมาย
นอกจากนี้ เพื่อให้ก้าวทันความเปลี่ยนแปลงของโลก ทันต่อทุกสถานการณ์ ทรู คอร์ป ได้ทำงานอย่างใกล้ชิดกับภาครัฐ และองค์กรที่เกี่ยวข้องไม่ว่าจะเป็น สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เพื่อเสนอแนะแนวทางเน้นความเป็นบูรณาการในการควบคุมดูแลสิทธิ์ของเจ้าของข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าการทำงานของเราก้าวทันในยุคดิจิทัล ทำให้ลูกค้าเชื่อมั่นและไว้วางใจได้ เพราะเหนือสิ่งอื่นใดแล้ว ประโยชน์และคุณค่าที่เกิดขึ้นแก่ลูกค้าเป็นสิ่งที่สำคัญมากที่สุด