เคส PDPA: Privacy Data Protection Act ที่โดนปรับจริง เจ็บจริง เป็นเงินเกือบ 3 ล้านบาท
อันเนื่องมาจากเรื่องการบริหารลูกค้าสัมพันธ์ หรือ CRM กับ PDPA ที่เกิดการรั่วไหลของข้อมูลขึ้น
โดยปกติแล้ว ทุกธุรกิจมีกิจกรรมหลักของการบริหารลูกค้าสัมพันธ์ นั่นคือ การเก็บข้อมูลลูกค้า และนำมาจัดการ จัดเก็บ วิเคราะห์ประมวลผล เพื่อการขายและการตลาด /การบริการ / การช่วยเหลือ / และการดูแลด้านคุณภาพ
ซึ่งคือ CRM เพียงแต่อาจจะไม่ได้เรียกเฉพาะว่า CRM นั่นเอง
ในเบื้องต้นเรามาทำความเข้าใจกันก่อนว่า การบริหารลูกค้าสัมพันธ์ มีความเกี่ยวข้องอย่างไรกับ PDPA หรือการป้องกันการรั่วไหลของข้อมูลส่วนบุคคลหรือลูกค้าของเรา
สำหรับธุรกิจ การบริหารลูกค้าสัมพันธ์ นั้น มีความเกี่ยวพันกันกับ PDPA อย่างแยกไม่ออกเลยทีเดียว
ซึ่งอาจเปรียบได้ว่า หากข้อปฏิบัติของ PDPA เป็น หัวใจ CRM นั้นเป็นสมอง ที่ทำให้ธุรกิจดำเนินไปได้ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
กล่าวถึงกฎหมาย PDPA ที่ประเทศไทยจะบังคับใช้ในปีหน้า จึงจำเป็นจะต้องเรียนรู้และเข้าใจอย่างชัดเจน หากธุรกิจของคุณมีการเก็บข้อมูลลูกค้า ไม่ว่าจะใช้หรือไม่ใช้ระบบ CRM ซอฟท์แวร์ หรือไม่ก็ตาม
เพราะในกรณีที่เก็บข้อมูลลูกค้าใส่ Excel เพื่อนำไปใช้ในการขาย /การตลาด/การบริการ/การช่วยเหลือ/การดูแลคุณภาพ ตามที่กล่าวข้างต้น ดังนั้นคือกระบวนการเดียวกัน เพียงแต่ต่างกันในรูปแบบเครื่องมือเท่านั้นเอง
ในกรณีที่ธุรกิจของคุณใช้ซอฟท์แวร์ CRM อยู่แล้วนั้น มีข้อดีตรงที่มีซอฟท์แวร์ฟังก์ชั่น ให้ช่วยป้องกันปัญหาการรั่วไหลของข้อมูลได้
ส่วนในธุรกิจที่ยังไม่มีซอฟท์แวร์ CRM จำเป็นอย่างยิ่ง ที่จะต้องเข้าใจ PDPA เพราะการออกแบบกระบวนการ จำเป็นต้องรัดกุมในทุกๆขั้นตอน และทดสอบอย่างเหมาะสม จะได้ไม่เกิดความผิดพลาด แล้วโดนปรับ
เคสนี้ที่กล่าวถึง เป็นเคสจากประเทศสิงคโปร์ ซึ่งมีการตัดสินปรับ 3 ล้านบาท ไปเมื่อเดือนพ.ย. ปี 2019
เหตุผลที่อ้างอิงประเทศสิงคโปร์ก็เพราะว่า PDPA บังคับใช้ในสิงคโปร์ตั้งแต่ปี 2012 เป็นเวลา 8 ปีมาแล้ว และมีการปฏิบัติอย่างเข้มงวด ที่มีเคสต่างๆนำมาอ้างอิงได้
และหากจะยกตัวอย่างจาก GDPR ก็อาจจะไม่เหมือนกันสักทีเดียว เนื่องจากมีความแตกต่างบางประการ
ฉะนั้นจึงยกตัวอย่างให้เหมือน Apple to Apple และแม้ว่าประเทศสิงคโปร์กับประเทศไทยจะไม่เหมือนกันสักทีเดียว แต่เป็นตัวอย่างที่สามารถนำมาปรับใช้ได้กับของไทยเรา
ตัวอย่างเคสที่เกิดขึ้นที่ประเทศสิงคโปร์นี้ คือเคสของ นินจาแวน
นินจาแวนถือเป็นบริษัท start up ที่เปิดให้บริการขนส่ง มีสาขาในหลายประเทศ
แต่ในกรณีนี้เกิดขึ้นที่ประเทศสิงคโปร์ และต้นเรื่องของเคสคือถูกรายงานมาจากประชาชนผู้ใช้งาน และไต่สวนว่ามีความผิดในเรื่องข้อมูลรั่วไหลจริง และปรับจริงเป็นเงินถึง 90,000 SGD หรือเกือบ 3ล้านบาท!
นินจาแวนเริ่มให้บริการในปี 2014 และการบริการลูกค้าในการอำนวยความสะดวกให้ลูกค้าตรวจเช็คข้อมูลสถานะการส่งของผ่านเว็บไซต์ ซึ่งเริ่มกิจกรรมตั้งแต่ปี 2014 เช่นกัน
ในการเช็คสถานะ ลูกค้าจะสามารถเข้าไปในเว็บไซต์ของนินจาแวน และใส่ Tracking number หรือหมายเลขเฉพาะที่ run number เพื่อการขนส่งครั้งนั้นๆ ที่ได้ให้ลูกค้าไว้ เพื่อเช็คว่าของส่งถึงหรือยัง อยู่ที่จุดไหนแล้ว และในกระบวนการของนินจาแวน เมื่อขนส่งถึงมือลูกค้าปลายทางแล้ว ก็จะมีการเซ็นรับของ และอัพโหลดขึ้นไว้ในเว็บไซต์
ดังนั้นข้อมูลในเว็บไซต์ก็จะมีชื่อ ที่อยู่ และลายเซ็นของสถานะที่จัดส่งเรียบร้อยแล้ว ผูกกันไว้เฉพาะของหมายเลขขนส่งนั้น
และในเดือนสิงหาคมปี 2016 นินจาแวนก็ได้มีการแบคอัพดาต้า หรือผ่องถ่ายข้อมูลออกจากเว็บไซต์
แต่นั่นเป็นครั้งเดียวตั้งแต่เริ่มดำเนินธุรกิจมาตั้งแต่ปี 2014 และไม่มีการแบคอัพดาต้าอีกเลย ทำให้ข้อมูลลูกค้าแม้ว่าจะได้รับของไปนานแล้ว ยังคงค้างอยู่ในเว็บไซต์
จนมาถึงปี 2018 มีการรายงานปัญหา (Complaint) ซึ่งคาดว่าจะเป็นลูกค้าของนินจาแวนนี่แหละ มาถึง PDPC (Personal Data Protection Commission) ซึงเป็นหน่วยงานรับเรื่องร้องเรียนเกี่ยวกับ PDPA ที่ประเทศสิงคโปร์ ว่า
ถ้าหากลูกค้าเข้าเว็บไซต์เช็คสถานะการส่งของ แล้วลองเปลี่ยนตัวเลขท้ายๆ 2-3 ตัว ก็จะสามารถเรียกดูข้อมูล ชื่อ ที่อยู่ และลายเซ็นต์ของลูกค้าคนอื่นๆได้ และนั่นคือข้อมูลส่วนบุคคล !
โดยเฉพาะลายเซ็น รวมกับชื่อและที่อยู่ ที่หากยกตัวอย่างให้น่ากลัว คือสำเนาแล้วเอาไปปลอมแปลงทำธุรกรรมได้ทั้งหมด!
ซึ่งในกรณีนี้ ถูกเปิดเผยได้หากมีคนตั้งใจเข้าไปหาดู นั่นแสดงให้เห็นว่า พรบ. PDPA นั้น ที่จริงก็ช่วยคนอย่างเราๆ ให้สามารถปกป้องข้อมูลส่วนตัวของตนเองได้ ไม่ให้ถูกนำไปใช้ในทางมิชอบ
ดังนั้นหน่วยงาน PDPC (Privacy Data Protection Commission) จึงไต่สวนและพบว่า ตั้งแต่ปี 2016 – 2018 ซึ่งเป็นช่วงหลังจากแบคอัพครั้งแรกครั้งเดียว จนถึงเมื่อมีคนแจ้งนี้ มีข้อมูลที่คงอยู่ในเว็บไซต์และสามารถเข้าถึงได้ มีอยู่มากถึง 1.3 ล้านชุดรายชื่อ
หน่วยงาน PDPC จึงได้ตัดสินว่า นินจาแวนมีความผิด 2 ประการด้วยกัน คือ
1. นินจาแวนทราบความเสี่ยงนี้ และทราบตั้งแต่เริ่มให้บริการเช็คสถานะในเว็บไซต์ ปกติแล้วเวลาเราต้องเข้าระบบที่มีข้อมูลส่วนตัว เช่นแอพธนาคาร หรือแอพซื้อของจ่ายเงิน ที่ไปผูกกับข้อมูลส่วนบุคคล มักจะมีการส่งพาสเวิร์ดชั้นที่ 2 เพื่อยืนยันตัวตน เมื่อเราใส่พาสเวิร์ดแล้ว ก็จะมีพาสเวิร์ดอีกอันส่งมาที่โทรศัพท์เราเป็นเมสเสจ เป็นเลข 4 /6/8 ตัวเพื่อยืนยันอีกครั้ง เป็น 2nd authentication password
โดยที่นินจาแวนเอง เคยตั้งระบบนี้ไว้ โดยให้ใส่หมายเลขโทรศัพท์ 4 ตัวท้าย และนามสกุลของผู้รับปลายทางในการเช็ค เป็นการกรองข้อมูลเบื้องต้น แต่ก็ได้เลิกหรือเอาออกไป โดยให้เหตุผลว่าไม่สามารถใช้งานได้จริง เนื่องจากหากคนส่งของที่ใช้นินจาแวน อาจไม่ใช่ลูกค้าคนรับปลายทาง จึงไม่มีเบอร์โทรศัพท์ ตัวอย่างที่นึกออกก็ประมาณกรณีธุรกิจประเภท drop shipping ที่มีคนกลางเป็นทางผ่าน แต่คนผลิตหรือคนขายตัวจริง เป็นคนส่งให้คนซื้อ และเหตุผลอีกอย่างคือ ลูกค้า จำไม่ได้ ไม่สามารถใส่ข้อมูลได้
ซึ่งเหตุผลนี้ มาจากการทดสอบหลังเปิดฟังก์ชั่นใช้งานเป็นเวลา 3 เดือน จึงตัดสินใจให้ไม่มีการกรองข้อมูลในเว็บไซต์ นับตั้งแต่นั้นมา โดยลักษณะเหมือนเว็บไซต์ที่มีถังข้อมูลอยู่หลังหน้าเว็บ แล้วใครจะกรอกตัวเลข Tracking ใดๆ ก็สามารถเรียกข้อมูลมาดูได้ทั้งหมด เลยทำให้มีคนตรวจสอบและเจอข้อมูลชื่อ ที่อยู่ ลายเซ็น ของผู้อื่น
ส่วนข้อที่ 2. กล่าวถึงจำนวนของข้อมูลที่มีความเสี่ยงถูกเปิดเผย คือเมื่อเปิดบริษัทและดำเนินกิจกรรมตั้งแต่ปี 2014 จนถึงปี 2016 แล้วมีการแบคอัพข้อมูล 1 ครั้ง ส่งผลให้ข้อมูล 2.6 ล้านชุดรายชื่อได้โยกย้ายเข้าไปจัดเก็บ แต่หลังจากปี 2016 จนถึง 2018 มีชุดรายชื่อข้อมูลคงอยู่มากถึง 1.3 ล้านชุดรายชื่อ ที่มีความเสี่ยงถูกเปิดเผยต่อผู้ไม่ได้รับอนุญาต คือบุคคลอื่นๆนั่นเอง
โดยคาดว่า หากไม่มีการแบคอัพในปี 2016 ค่าปรับอาจจะมากกว่า 3 ล้านบาท ก็เป็นได้
ตัวอย่างใกล้ตัวในประเทศไทยเมื่อต้นเดือนกันยายน 2020 ที่ผ่านมา คือ โรงพยาบาลแห่งหนึ่งถูกแฮคข้อมูลและเรียกค่าไถ่เป็นเงิน Bitcoin ซึ่งถ้าไม่จ่าย จะไม่สามารถกู้ข้อมูลลูกค้าหรือคนไข้ที่ถูกแฮคเอาไปได้ และจากเหตุนี้ก็ทราบว่า ทางโรงพยาบาลไม่ได้แบคอัพข้อมูลมาเป็นเวลา 5 ปีแล้ว
ดังนั้นจากเรื่องนี้ที่คล้ายๆกับนินจาแวนคือ จำเป็นต้องมีการออกแบบระบบกระบวนการที่รัดกุมและคิดถึงความเสี่ยงที่จะเกิดขึ้น เป็นสิ่งแรกๆ ซึ่งไม่ใช่แค่ความเสี่ยงเกิดต่อลูกค้า แต่เกิดต่อบริษัท คือค่าปรับและชื่อเสียงองค์กรด้วย
ที่จริงนั้น นินจาแวนมีการโต้แย้ง ว่ามีการร้องเรียนเพียงแค่ 1 ครั้ง และชื่อในระบบนั้น ไม่ใช่ชื่อเต็ม
อีกทั้งยังไม่มีเหตุการณ์ที่นำไปสู่ความเสียหายเกิดขึ้นจริง
และนินจาแวนยังพาดพิงถึงอีก 3 บริษัทขนส่ง ว่ามีความผิดเหมือนกันหรือไม่
แต่โชคดีที่ 3 บริษัทนั้น มีจำนวนของชุดข้อมูลที่มีความเสี่ยง ไม่ถึงล้านชุดรายชื่อ
และยังไม่มีผู้รายงาน จึงถือเป็นการยกประโยชน์ ไม่มีกรณีกับ 3 บริษัทนั้น
แต่นั่นแสดงให้เห็นว่า ถ้าเพื่อนในวงการเราโดน เราก็มีโอกาสโดนตามไปติดๆเลยทีเดียว
เหตุนี้จึงทำให้นินจาแวนถูกตัดสินปรับเป็นเงินเกือบ 3 ล้านบาท
และต้องปฏิบัติตามระเบียบบังคับของกฎหมาย PDPA เร็วที่สุดหรือภายใน 30 วัน
อีกทั้งต้องช่วยเหลือหน่วยงานเพื่อความปลอดภัยทางสารสนเทศเป็นเวลา 1 ปี ในการวางเฟรมเวิร์คสำหรับการปกป้องข้อมูลส่วนบุคคล และฝึกอบรมพนักงานในทุกภาคส่วนที่เกี่ยวข้องให้เข้าใจ PDPA
ซึ่งนินจาแวนก็ได้จัดการข้อมูลที่อยู่บนเว็บไซต์ ให้ไม่มีที่อยู่ปรากฏสำหรับการจัดส่งที่ยังไม่สำเร็จ และกำหนดเวลาที่ข้อมูลจะอยู่บนเว็บไซต์ หลังงานขนส่งสำเร็จเรียบร้อยแล้ว คือ 14 วัน ซึ่งพิจารณาว่าเพียงพอสำหรับกรณีที่อาจมีปัญหาหลังการจัดส่ง
เช่นกันกับธุรกิจของเรา ที่ต้องกำหนดระยะเวลาให้เหมาะสม มีเหตุผลและมีความเสี่ยงน้อยที่สุด ฝึกอบรมพนักงานให้เข้าใจ และทดสอบให้รอบคอบเพียงพอ
ในภาพรวมของการบริหารความสัมพันธ์ลูกค้า นอกจากเคสนี้ที่เกี่ยวข้องกับการบริการลูกค้าแล้ว
ยังมีอีกหลายเคสที่เกี่ยวข้องกับการเปิดเผยข้อมูลลูกค้า เช่น กรณีของ Grab ที่มี Grab carpool
ที่มีผู้โดยสารหลายคนแชร์ค่าใช้จ่าย Grab เมื่อเดินทางไปเส้นทางเดียวกัน Grab จึงมีข้อมูลอีเมล์
และทำการตลาดโดยส่งโปรโมชั่นให้กับผู้โดยสาร carpool คือหลายคนพร้อมกัน
เหตุนี้ ทำให้สามารถเห็นข้อมูลอีเมล์ของคนอื่นได้
โดยการที่ข้อมูลไม่เป็นการส่วนตัวเฉพาะคนนี้ เลยทำให้ Grab ถูกปรับตามกฎหมาย PDPA เป็นเงินจำนวนหนึ่งเช่นกัน
และอีก 2 ตัวอย่างคือ Ikea เฟอร์นิเจอร์ และ Sephora เครื่องสำอาง
มีอีเมล์ลูกค้าและทำการตลาดช่องทางออนไลน์ ปกติจะต้องส่งเป็นส่วนตัว
คือผู้รับจะต้องไม่สามารถเห็นอีเมล์ของคนอื่นได้ ดังนั้นถ้ามีใครส่งโปรโมชั่นหาเรา
จะต้อง To หรือ Copy ก็จะต้องมีแค่อีเมล์เราคนเดียวเท่านั้น
แต่ในกรณี Ikea และ Sephora เมื่อเกิดการผิดพลาดขึ้น อาจจะเป็นเพราะพนักคีย์ข้อมูลผิด field
ทำให้มีการส่งไปหลายร้อยอีเมล์พร้อมกันแบบเห็นอีเมล์คนอื่น
แต่เมื่อรู้ตัวแล้ว Ikea และ Sephora ได้รีบแจ้งลูกค้าผู้ได้รับผลกระทบหรืออาจมีความเสี่ยงถูกเปิดเผยข้อมูลทันที ซึ่งถูกต้องตามหลักการของ PDPA
ซึ่งหากมีการพบการรั่วไหลของข้อมูล ต้องรีบจัดการ แจ้งให้เจ้าตัวได้รู้ทันที จึงไม่เกิดความผิดหรือโดนปรับนั่นเอง
ทบทวนกิจกรรมทางธุรกิจของเราที่เป็นวงจรบริหารความสัมพันธ์ลูกค้า CRM
คือการบริการลูกค้า /การช่วยเหลือ /การดูแลด้านคุณภาพ / และการขาย&การตลาด
อย่างที่กล่าวไปข้างต้น คือจำเป็นต้องวางแผนการเก็บและใช้ข้อมูลให้เหมาะสมและรัดกุม
สำหรับท่านที่ธุรกิจที่กำลังเติบโตระดับหนึ่งแล้วและมีการใช้ระบบอัตโนมัติมาช่วยในกิจกรรมบริหารลูกค้าสัมพันธ์
มีคำแนะนำจากเราว่า อย่าให้ PDPA เป็นอุปสรรคของการทำระบบอัตโนมัติ
บางท่านอาจจะกลัวในเรื่องของความผิดพลาดที่อาจเกิดขึ้น หรือ กลัวว่าความอัตโนมัติอาจจะทำให้ยุ่งยากในการจัดการที่สอดคล้องกับ PDPA
แต่ที่จริงแล้ว ระบบอัตโนมัติ CRM ช่วยได้มากในการเก็บข้อมูล ประมวลผลเพื่อจำแนกประเภทลูกค้า และจะได้ส่งโปรโมชั่นเฉพาะที่เค้าสนใจไปให้
อีกทั้งซอฟท์แวร์ CRM บางตัว ยังมีความสามารถในการกำหนดประเภทข้อมูล
ว่าเป็นข้อมูลส่วนบุคคล ข้อมูลอ่อนไหว หรือไม่
และความจำเป็นที่เราร้องขอข้อมูลนั้นเพื่อทำกิจกรรมอะไรได้ด้วย
เพื่อจะได้กำหนดต่อไปได้ว่า ถ้าหากกิจกรรมนั้นสิ้นสุดแล้ว จะได้จัดการข้อมูลต่อได้
โดยที่กำหนดสิทธิ์ของคนที่เข้าดูได้ด้วย ให้สอดคล้องตามข้อกำหนด PDPA
ซึ่งเครื่องมือบางอย่างเช่น Excel พื้นฐาน อาจจะไม่สามารถช่วยได้ หรือต้องใช้แบบขึ้นสูงนั่นเอง
ดังนั้นมีความสำคัญที่ ต้องออกแบบระบบ หรือหากไม่มีระบบช่วย
จำเป็นต้องออกแบบกระบวนการให้รอบคอบ รัดกุม หากเมื่อใดที่เห็นช่องโหว่ ต้องรีบจัดการ
และควรจะทดสอบ ทดสอบ และทดสอบ เพื่อความแน่ใจว่าจะไม่มีการรั่วไหลของข้อมูล
รวมถึงเลือกใช้เครื่องมือที่จะช่วยเราอีกแรงในการระวังป้องกันการเปิดเผย/รั่วไหล
ทำให้มั่นใจได้มากขึ้นว่าจะไม่ถูกปรับ
และสุดท้าย เรามีเทมเพลต เติมคำในช่องว่าง ให้เป็นอีกหนึ่งเครื่องมือที่ใช้ทบทวนความจำเป็นในการเก็บข้อมูลลูกค้ากัน ให้เป็นด่านแรกของการออกแบบกระบวนการตั้งต้นที่ดีที่จะสอดคล้องกับ PDPA
ซึ่งเป็นสิ่งที่เราใช้เสมอในการให้บริการด้าน CRM
เพื่อจัดการความคิด ให้ลงมาอยู่ในกระดาษ เพื่อจะได้ไม่พลาดวัตถุประสงค์
และทุกธุรกิจควรคำนึงถึง ซึ่งไม่จำกัดว่าจะมีหรือไม่มีระบบ CRM ก็ตาม
สิ่งที่ต้องทบทวนนี้ มี 3 อย่างด้วยกัน โดยเริ่มจากอันดับ 0 คือ
เขียนลงไปว่า ข้อมูลลูกค้าอะไรบ้างที่เราตั้งใจจะเก็บ
1. ทบทวนจุดประสงค์
- ทำไมเราต้องเก็บข้อมูลนี้
- อยากจะเห็นอะไร อยากให้ข้อมูลนี้บอกอะไรเรา
- ใครจะได้ประโยชน์จากข้อมูลนี้ ได้จากทางไหน เช่น เราจะเอามาทำการตลาด เราจะเอามาปรับปรุงสินค้าหรือบริการ หรือจะปรับปรุงกระบวนการใดๆ
2. ทบทวนความจำเป็น
- หากราได้ข้อมูลนี้มาประมวลผล จะทำให้เราบรรลุวัตถุประสงค์จริงๆใช่หรือไม่
- หากมีวิธีอื่นที่ทำให้ได้มาซึ่งปลายทางเหมือนกัน แทนที่จะล่วงรู้ข้อมูลส่วนบุคคลของบุคคล ทำได้หรือไม่
3. ทบทวนความสมดุล
- การใช้ข้อมูลนั้น เป็นไปในทิศทางเดียวกันกับความคาดหวังของลูกค้าหรือไม่
- มีข้อมูลอ่อนไหวหรือไม่
- อะไรอาจจะเกิดขึ้นกับบุคคลนั้น ถ้าเราใช้ข้อมูลนี้
วางแผนกันเพื่อป้องกันโดนการโดนปรับ
สามารถเข้าไปในเว็บไซต์เพื่อดาวน์โหลดเฟรมเวิร์คนี้
และหากต้องการความช่วยเหลือ กรุณาติดต่อเรา
