GDPR Canvas ตัวช่วยการคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้เริ่มต้น

GDPR Canvas ตัวช่วยการคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้เริ่มต้น

ผู้ประกอบการ และ นักการตลาดคงน่าจะรู้จักกับ Business Model Canvas กันใช่มั๊ยครับ ?

Business Model Canvas คือ โมเดลการวางแผนธุรกิจที่เป็นที่รู้จักทั่วโลก ถูกคิดค้นขึ้นโดย คุณ Alexander Osterwalder Founder ของ Strategyzer และเป็นผู้เขียนหนังสือขายดีระดับโลกอย่าง “Business Model Generation”, “Value Proposition Design”, “The Invincible Company” .

Business Model Canvas หรือ BMC จะถูกแบ่งออกเป็น 9 ช่อง ซึ่งเกี่ยวข้องกับแง่มุมต่าง ๆ ที่ผู้ประกอบการ จะต้องให้ความสำคัญ และย้อนกลับมาดูธุรกิจของเราว่า เรื่องไหนบ้าง ที่เราจะพัฒนาเพื่อสร้างความแตกต่าง และสร้างความมั่นคงให้กับกิจการของเรา

Business Model Canvas

โครงสร้าง 9 ส่วนของ Business Model Canvas หลัก ๆ มีดังนี้

รายละเอียด Business Model Canvas

1. Customer Segment (กลุ่มลูกค้า)

กลุ่มลูกค้าที่เราความสำคัญ ในการแก้ไขปัญหา ส่งมอบคุณค่า และสร้างผลลัพธ์ให้ตอบสนองความต้องการ คือใคร?

2 .Value proposition (คุณค่าที่ลูกค้าได้รับ)

คุณค่าที่เรากำลังจะนำเสนอ หรือส่งมอบแก่กลุ่มลูกค้า คืออะไร?

3. Channel (ช่องทางติดต่อ)

เราใช้ช่องทางใดในการติดต่อสื่อสารกับลูกค้า?

4. Customer Relationship (ความสัมพันธ์กับลูกค้า)

เราสร้างความสัมพันธ์กับกลุ่มลูกค้าอย่างไร?

5. Revenue Streams (รายได้ที่จะได้รับจากธุรกิจ)

เงินที่กลุ่มลูกค้ายินดีจ่ายเพื่อคุณค่าที่เรามอบให้ลักษณะอย่างไร?

6. Key Resources (ทรัพยากรหลัก)

ทรัพยากรอะไรที่เรามี ที่เป็นความสามารถหลักของธุรกิจ ทำให้ธุรกิจประสบความสำเร็จ?

7. Key Activities (กิจกรรมหลัก)

รูปแบบการดำเนินธุรกิจ และกิจกรรมหลักของเรา คืออะไร ?

8. Key Partner (พันธมิตรหลัก)

พันธมิตรหลักที่ให้ความช่วยเหลือสำหรับการดำเนินธุรกิจคือใคร?

9. Cost Structure (ต้นทุนค่าใช้จ่ายที่ต้องใช้)

การดำเนินธุรกิจนั้นมีต้นทุนที่จำเป็นต้องจ่ายเพื่อส่งมอบคุณค่าแก่กลุ่มลูกค้า โครงสร้างต้นทุนเป็นแบบไหน?

GDPR Canvas ตัวช่วยการคุ้มครองข้อมูลส่วนบุคคล 

Business Model Canvas หลัก ๆ จะถูกนำมาใช้ ในการวิเคราะห์ธุรกิจของตัวเอง โดยมุ่งเป้าหมายไปที่ “กลุ่มลูกค้าเป้าหมาย” เป็นศูนย์กลาง แต่ก็ไม่ได้ถูกเอามาใช้แค่ในการวิเคราะห์กิจการเท่านั้นนะ BMC เป็น inspiration อย่างหนึ่งที่ มีคนนำไปพัฒนาและต่อยอดในการใช้งาน ไม่ว่าจะเป็นเรื่องของ Value Proposition Canvas, การวิเคราะห์หุ้น และรวมถึงวิเคราะห์เรื่องดาต้า อย่าง Data-Driven Canvas ที่พัฒนาโดยเพจ “การตลาดวันละตอน” ด้วยเหมือนกัน

และในเรื่องของ “การคุ้มครองข้อมูลส่วนบุคคล” ก็ไม่น้อยหน้าครับ มีผู้ที่คิดค้น Canvas ขึ้นมาเหมือนกันสิ่งนั้น เรียกว่า “GDPR Canvas” สร้างสรรค์ขึ้น โดย TechGDPR

.

หน้าตาเป็นแบบนี้ครับ

The GDPR Canvas | TechGDPR | Methodology to start GDPR Compliance
GDPA Canvas

โครงสร้างของ GDPR Canvas

สำหรับการพัฒนา Canvas นี้ขึ้นมา ก็ได้แรงบันดาลใจมาจาก Business Model Canvas เหมือนกันครับ โดย Canvas นี้ ถูกสร้างขึ้นเพื่อให้เราได้มองย้อนกลับมาดูที่กิจการของเราว่า มีส่วนไปเกี่ยวข้องกับ “ข้อมูลส่วนบุคคล (Personal Data)” บ้างหรือไม่ โดยยึดหลักการตามกฎหมาย General Data Protection Regulation หรือ GDPR ซึ่งเป็นกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป

แบ่งออกเป็น 8 ช่องหลัก ๆ

ช่องที่ 1 : Data Sources 

ช่องทางในการเก็บรวบรวมข้อมูลส่วนบุคคลจากช่องทางไหน ใครเป็นคนเอาข้อมูลส่วนบุคคลเหล่านั้นมาให้เรา

ช่องที่ 2 : Data Categories

ข้อมูลส่วนบุคคลที่เก็บรวบรวมมา เป็นข้อมูลส่วนบุคคลอะไรบ้าง เป็นข้อมูลส่วนบุคคลประเภทใด ข้อมูลส่วนบุคคลทั่วไป หรือ ข้อมูลส่วนบุคคลประเภทอ่อนไหว (Sensitive Data)

ช่องที่ 3 : Data Recipient / Transfers

เรามีการส่งข้อมูลส่วนบุคคลต่อไปยังที่ไหน ให้กับใคร ในหรือต่างประเทศ อยู่ในหรืออยู่นอกสหภาพยุโรป

ช่องที่ 4 : Data Subjects 

ใครเป็นเจ้าของข้อมูลส่วนบุคคลที่เราเก็บรวบรวม

ช่องที่ 5 : Purposes for Data Collection

วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล คือ อะไร

ช่องที่ 6 : Data Processing Activities

กิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ตั้งแต่ เก็บรวบรวม ใช้ บันทึก เปิดเผย ทำลายข้อมูลส่วนบุคคล มีขั้นตอนใดบ้าง 

ช่องที่ 7 : Data Processors 

ใครเป็นผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าว เป็นคนในองค์กรของเรา หรือเป็นหน่วยงานอื่นข้างนอก

ช่องที่ 8 : Technical & Organizational Measures 

มาตรการทางเทคนิค และ มาตรการที่ใช้ในองค์กร มีหรือไม่ มีอะไรบ้าง ?

ความแตกต่างระหว่าง GDPR Canvas กับ Business Model Canvas

ส่วนตัวเข้าใจว่าความแตกต่างของ Canvas นี้ ไม่ได้เน้นไปที่กลุ่มลูกค้าเป้าหมาย (Customers) เช่นเดียวกัน Business Model Canvas ครับ

เพราะเรื่องของ “การคุ้มครองข้อมูลส่วนบุคคล” เจ้าของข้อมูลส่วนบุคคล ไม่ได้จำกัดเฉพาะอยู่แต่เพียงกลุ่ม “ลูกค้า” แต่เพียงกลุ่มเดียว บุคคลอื่นๆ ก็สามารถเป็นเจ้าของข้อมูลส่วนบุคคลได้ ไม่ว่าจะเป็น พนักงาน กรรมการ หุ้นส่วน คู่ค้า ซับพลายเออร์ เพื่อน หรือใครต่อใครที่เราได้พบเจอในแต่ละวัน

และเขาคนนั้น ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล คือ จุดเริ่มต้น ที่เราจะต้องมองให้เห็น ก่อนที่จะเริ่มลองใช้งาน GDPR Canvas นี้ครับ

5 ขั้นตอนการใช้ GDPR Canvas

สำหรับ 5 ขั้นตอนสำหรับของการใช้ GDPR Canvas มีดังนี้ครับ

ขั้นตอนที่ 1 : Defining The Main Data Flow

จับเส้นทางการไหลเวียนของข้อมูล โดยต้องเข้าใจเบื้องต้นเกี่ยวกับ “ข้อมูลส่วนบุคคล” ประเภทต่าง ๆ ว่าเราเก็บมาจากที่ไหน เก็บมาจากใคร และเก็บอะไรมาบ้าง เพื่อที่จะได้มองให้ขาดว่า ข้อมูลส่วนบุคคลที่เรารับเข้ามา มันมีเส้นทางในการไหลเวียนเป็นอย่างไร

ขั้นตอนที่ 2 : Defining the Data Subjects

มองให้ขาดว่าใครคือ “เจ้าของข้อมูลส่วนบุคคล” อย่างที่บอกไว้ตอนต้นว่า “เจ้าของข้อมูลส่วนบุคคล” ไม่ได้จำเป็นว่าจะต้องเป็นลูกค้า เราต้องหาให้เจอว่า เจ้าของข้อมูลส่วนบุคคลที่เป็น Stakeholder ของกิจการเรา ที่เราจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเขาเหล่านั้นมา คือใคร

ขั้นตอนที่ 3 : Defining the Data Processing Activities and Data Processors

ระบุตัว “ผู้ควบคุมข้อมูลส่วนบุคคล” และ ขั้นตอนการประมวลผลข้อมูลส่วนบุคคลว่า มีขั้นตอนใดบ้างที่เราเข้าไปเกี่ยวข้องกับ “ข้อมูลส่วนบุคคล” แล้วเอามันไปทำไร ซึ่งส่วนนี้ เป็นหัวใจสำคัญ ที่จะทำให้เราเห็นภาพการไหลเวียนของข้อมูลทั้งหมด เพื่อที่จะได้จับจุดว่า มีจุดใดมีความเสี่ยงในการหลุดรั่วของข้อมูลส่วนบุคคลที่อาจเกิดขึ้นได้

ขั้นตอนที่ 4 : Defining the Purpose for Data Collection

ระบุ “วัตถุประสงค์” ในการเก็บรวบรวมข้อมูลส่วนบุคคลเหล่านั้นให้ชัดเจน เพราะเรื่องนี้ เป็นเรื่องสำคัญมาก ๆ ตามกฎหมาย GDPR ที่ให้ความสำคัญกับการระบุ “วัตถุประสงค์” ในการเก็บรวบรวมข้อมูลให้ชัดเจน

ขั้นตอนที่5 : Defining Technical and Organizational Measures (TOMs)

ขั้นตอนสุดท้ายนี้เป็นการกำหนดมาตรการในการรองรับข้อมูลส่วนบุคคล ไม่ว่าจะเป็นในเรื่องของ

      – มาตรการทางเทคนิค (Technical Measures) เช่น การกำหนดมาตรการการเข้าถึงข้อมูล (Access Control System), การสำรองข้อมูล (Regular Backups), การยืนยันตัวตนสองชั้น (Two-factor Authentication), การตั้งค่ารหัสผ่าน (Password Strength Requirements), การติดตั้งระบบ Firewall (Firewall in place) เป็นต้น

       – มาตรการที่ใช้ในองค์กร (Organizational Measures) เช่น การกำหนดนโยบายเกี่ยวกับด้านเทคโนโลยีสารสนเทศ (IT Security Policy), การจำกัดพื้นที่และบุคคลในการเข้าถึงข้อมูล (Doors to Server rooms are locked) การใช้เครื่องย่อยกระดาษในการทำลายเอกสาร (Using shredders for documents with personal data)เพื่อให้เราเริ่มต้นการคุ้มครองข้อมูลส่วนบุคคลให้มั่นคงยิ่ง ๆ ขึ้นครับ

GDPR Canvas เหมาะกับใคร?

GDPR Canvas เหมาะสมหรับผู้เริ่มต้น ที่ให้ความสนใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และน่าจะเป็นจุดเริ่มต้นที่ดี ที่เราจะได้เตรียมตัวให้พร้อม เมื่อวันหนึ่ง กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ของประเทศไทยมีผลใช้บังคับเต็มรูปแบบครับ

โปรเจคลับอันหนึ่งที่ทำอยู่ คือ กำลังพัฒนา PDPA Canvas ขึ้นมาเหมือนกันครับ ไว้ลงตัวเมื่อไหร่ จะเอามาเล่าให้ฟังนะครับ

สำหรับท่านใดที่สนใจ GDPR Canvas เอาไปลองใช้เล่น ๆ ก่อน ได้ที่นี่ครับ https://techgdpr.com/blog/gdpr-canvas/

เขาให้โหลดใช้ได้ โดยไม่มีค่าใช้จ่าย และอยู่ภายใต้ Creative Commons ที่สามารถใช้ซ้ำ แจกจ่าย ดัดแปลงได้ แต่ต้องให้เครดิตที่มา และ ถ้าจะดัดแปลง ก็ต้องกำกับด้วยสัญญาอนุญาตให้ใช้สิทธิได้ในลักษณะและเงื่อนไขเดียวกันครับ

แล้วสำหรับใครที่สนใจอยากเรียนรู้เกี่ยวกับกฎหมาย PDPA ให้รู้ลึก รู้จริง เพื่อที่จะได้ไม่ถูกปรับในอนาคต มาลงลงทะเบียนเรียนกับผมได้ที่ https://bit.ly/PDPA4MKT1

วันอาทิตย์ที่ 19 กันยายนนี้

คนละ 5,900 บาท

เรื่องนี้ธุรกิจเล็กไม่รู้ไม่ได้ รีบลงทะเบียนก่อนเต็มนะครับ

#กฎหมายดาต้าสัปดาห์ละตอน #รู้ทันกฎหมาย #ทนายกอล์ฟ

Sanpob Pornwattanakij

Sanpob Pornwattanakij

ทนายความ ที่ปรึกษากฎหมาย บริษัท ที่ปรึกษากฎหมาย ลีกัล มายด์ จำกัด วิทยากรด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล สถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) Facebook Admin : รู้ทันกฎหมาย, ทนายกอล์ฟ Sanpob Pornwattanakij เลขานุการคณะกรรมาธิการความมั่นคงแห่งรัฐ กิจการชายแดนไทย ยุทธศาสตร์ชาติ และการปฏิรูปประเทศ Training Ambassador องค์กรธุรกิจ BNI (Business Network International) Mentor เพจ สรุปให้

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *