GDPR Governance – การกำกับดูแลข้อมูลส่วนบุคคล
GDPR หรือ General Data Protection Regulation คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคฉบับใหม่ของอียู ที่กำลังจะมีผลบังคับใช้อย่างเป็นทางการในวันที่ 25 พฤษภาคม 2561 และจะมีผลกระทบโดยตรงต่อผู้ประกอบการธุรกิจในประเทศไทยเป็นจำนวนมากที่มีการเก็บบันทึก หรือประมวลผลข้อมูลส่วนบุคคลของลูกค้าที่มีถิ่นพำนักในอียู เนื่องจากกฎหมายฉบับนี้มีบทบังคับใช้นอกอาณาเขต (Extraterriterial Application) และมีบทลงโทษปรับที่รุนแรงมาก โดยมีเพดานค่าปรับสูงถึง 20 ล้านยูโร หรือร้อยละ 4 ของรายได้ทั่วโลกของธุรกิจในหนึ่งปี แล้วแต่ว่าปัญหาขององค์กรธุรกิจที่อยู่ในข่ายที่จะได้รับผลกระทบจากกฎหมายฉบับนี้ก็คือ ทั้งผู้บริหารและระดับปฏิบัติงานยังสับสน ไม่รู้ว่าจะต้องปฏิบัติอย่างไร จึงจะถูกต้องเป็นไปตามข้อบังคับของกฎหมาย
องค์กรของท่านมีความพร้อมหรือยัง ซึ่งเรื่องนี้จากการสำรวจทั่วโลก ปรากฎว่ามีประมาณร้อยละ 47 ที่มีความพร้อมระดับหนึ่ง แต่ไม่สมบูรณ์ นอกนั้นยังไม่พร้อมหรือยังไม่รู้เลยว่า GDPR คืออะไร ซึ่งเป็นเรื่องที่น่าห่วงใยเป็นอย่างมาก และมีความเสี่ยงที่องค์กรไม่น่าจะยอมรับได้ หากมีความรู้ มีความเข้าใจในเรื่องการกำกับดูแลข้อมูลที่ดี ซึ่งต้องเริ่มด้วยคำว่า องค์กรมีความเข้าใจในเรื่องการกำกับดูแลกิจการที่ดีเพียงใด การกำกับดูแลกิจการที่ดีนี้ จะครอบคลุมทุกเรื่อง ทั้งที่เป็นเรื่องของ governance ที่ประกอบด้วย Coporate Governance + IT Governance + Information Security/Cyber Security Governance หากองค์กรใดไม่มีนโยบายที่เกี่ยวข้องกับ GDPR หรือการปกป้องข้อมูลส่วนบุคคลที่ชัดเจน เป็นรูปธรรม และเป็นไปตามมาตรฐานของกฎหมายที่ระบุไว้ใน GDPR นี้ ก็ถือว่า องค์กรนั้นไม่มีการกำกับดูแลกิจการที่ดี ผลกระทบจะมีอยู่มากมาย ซึ่งเกิดจากความเสี่ยงที่ตามมา รวมทั้งการไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ มาตรฐาน นโยบาย กระบวนการทำงานที่เกี่ยวข้อง ซึ่งล้วนแล้วแต่มีผลกระทบต่อชื่อเสียง และความอยู่รอดขององค์กรได้ทั้งสิ้น
credit : gdpr- ready.co.uk
นอกจากนั้น ในมิติหรือมุมมองของการบริหารความเสี่ยง ซึ่งแน่นอนว่า จะเกี่ยวข้องกับ Enterprise Risk Management + IT Risk + Information Security/Cyber Security Risk ก็จะมีปัญหาในมิติที่เกี่ยวข้อง ตามหลักดุลยภาพการบริหารที่ดีในมุมมองของ Balanced Score Card ซึ่งในเรื่องนี้ก็อาจอธิบายได้ว่า การไม่ปฏิบัติตาม GDPR ก็จะมีผลต่อการควบคุมความเสี่ยง ที่ทำลายชื่อเสียงและความไว้วางใจขององค์กรอย่างสิ้นเชิง ทั้งนี้ การบริหารความเสี่ยงตามที่กล่าวนี้ เป็นมิติหนึ่งที่เกี่ยวข้องกับการกำกับดูแลกิจการที่ดี (Governance) และเมื่อพิจารณาต่อไปในมิติของ Compliance การไม่ปฏิบัติตาม GDPR ก็จะมีผลต่อการไม่ปฏิบัติตามกฎหมาย กฎเกณฑ์ รวมทั้งการไม่ปฏิบัติตามที่ผู้กำกับได้กำหนดเอาไว้ รวมทั้งผลกระทบจากการไม่ปฏิบัติตามมาตรฐานและหลักการบริหารจัดการองค์กรที่ดี ทั้ง 3 ส่วนที่เกี่ยวข้องกับ GDPR ในมิติกว้างๆ นั้น ก็จะมีผลทำให้ไม่มีการวางแผนที่ดี ซึ่งจะนำไปสู่ความล้มเหลวของกระบวนการกำกับที่ดีที่ไม่อาจยอมรับได้
credit : gdpr- ready.co.uk
ตอนนี้เป็นตอนแรกของเรื่องที่ผมนำมาเล่าสู่กันฟังในเรื่องเกี่ยวกับ Get GDPR Ready ซึ่งมีหลายเรื่องมากที่จะต้องมีการกำกับและกระบวนการจัดการที่ดี เพื่อก้าวไปสู่ GDPR Governance
GDPR เป็นทั้งความเสี่ยง และเป็นทั้งโอกาส ที่จะสร้างคุณค่าเพิ่มในหลายมิติ แล้วแต่มุมมองของคณะกรรมการ หรือผู้นำของประเทศ และขององค์กรที่เกี่ยวข้องว่า ได้ติตดามมาตรฐานต่างๆ ที่เกี่ยวข้องกับการกำกับดูแลกิจการที่ดีอย่างทันการหรือไม่เพียงใด
credit : gdpr- ready.co.uk
แล้วองค์กรของท่านล่ะครับ มีความพร้อมเพียงใด ในเรื่องของ GDPR Governance ซึ่งผมขออธิบายด้วยรูปภาพที่จะเข้าใจได้ดี ที่สามารถอธิบายได้หลายมุมมองมากกว่าคำเป็นพันๆ คำ ซึ่งจะเริ่มต้นด้วย Governance of Enterprise IT – GEIT ที่พิจารณาได้ว่า เป็นการบริหาร Governance แบบบูรณาการอย่างแท้จริง ระหว่าง Business กับ IT และนวัตกรรมในการสร้างคุณค่าเพิ่มให้กับองค์กรและประเทศชาติ เพื่อก้าวไปสู่ Thailand 4.0 ตามนโยบายของรัฐบาล
อย่างไรก็ดี การก้าวไปสู่นโยบาย ตามกลยุทธ์ของประเทศ ไปสู่ Thailand 4.0 นั้น เราได้เข้าใจถึงความหมายที่แท้จริงของคำจำกัดความและความหมายของคำว่า Thailand 4.0 ดีแล้วเพียงใด และข้อสำคัญอย่างยิ่งที่ผมอยากจะกล่าวไว้ในที่นี้ก็คือ การก้าวสู่ Thailand 4.0 มีหลักการอะไร มีนโยบายอะไร มีกระบวนการดำเนินการอย่างไร ที่จะใช้ในการกำกับให้ทุกนโยบายทั้งภาครัฐและเอกชน อยู่ภายใต้หลักการกำกับดูแลกิจการที่ดี ซึ่งผมอยากจะเรียกคำๆ นี้ว่า Thailand 4.0 Governance และจะขอแบ่งปันกับท่านผู้อ่านต่อไปควบคู่กับ GDPR Governance ที่ผมได้เริ่มต้นในหัวข้อใหญ่ คือความเชื่อกับการพัฒนาเพื่อการเติบโตอย่างยั่งยั่น ตอนที่ 15 ในวันนี้ครับ
โพสต์โดย Metha Suvanasarn 
Information Technology Governance 