เปิด 9 Step ที่องค์กร ต้องเตรียมตัวให้พร้อมถ้าจะทำให้องค์กรสามารถตอบโจทย์กับ PDPA ได้


17/Mar/2021
Data Security and Privacy

    1. จัดตั้งงบประมาณ

            a. บันไดขั้นแรก ในการเริ่มทำโครงการ PDPA ต้องคุยรายละเอียดและความจำเป็นเหมือนการนำเสนอหลักการและเหตุผลว่าองค์กรต้องปฏิบัติตามกฎหมายเพื่ออะไร แล้วถ้าไม่ทำตามจะมีผลเสียอย่างไร อาจจะเสียหายเป็นค่าปรับที่มากกว่าการทำให้ระบบรองรับเสียด้วยซ้ำ หรือ ต้องเสียเวลาเสียบุคคลากรไปขึ้นโรงขึ้นศาล ซึ่งประการแรก น่าจะเพียงพอในการที่จะนำเสนอให้มีการจัดตั้งงบประมาณ และ เหตุผลหลักในเชิงธุรกิจนั้น คือ การปกป้องข้อมูลส่วนบุคคลให้กับผู้ใช้งาน ผู้รับบริการ และ เจ้าของข้อมูลได้สบายใจ และ กล้าใช้บริการต่อ

    2. แต่งตั้งทีมงานที่รับผิดชอบโดยเฉพาะ และ DPO (Data Protection Officer)

            a. กฎหมายระบุไว้ชัดเจนว่าแต่ละองค์กรที่จัดตั้ง DPO โดยเป็นผู้ดูแลความปลอดภัยและกำหนดนโยบายในการปกป้องกับกับดูแลข้อมูลส่วนบุคคล

            b. ตรวจสอบการดำเนินงานขององค์กรในการเข้าถึงและดูแลข้อมูลส่วนบุคคลต่างๆ ให้เป็นไปอย่างถูกต้องตามข้อกำหนดในกฎหมาย

            c. ประเมินผลและระบุถึงจุดประสงค์ของการนำข้อมูลส่วนบุคคลไปใช้หรือเผยแพร่ และชี้แจงถึงสิทธิ์ของเจ้าของข้อมูล รวมถึงมาตรการที่องกรณ์นำมาใช้ในการปกป้องข้อมูลส่วนบุคคล

            d. ประสานงานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีเกิดปัญหาเกี่ยวกับการใช้ กฎหมาย ในองค์กร

*** ถ้าหากองค์กรใดฝ่าฝืนไม่ปฏิบัติตาม อาจเสี่ยงต่อการถูกลงโทษจากการไม่ปฏิบัติตามกฎหมาย ซึ่งสามารถถูกปรับได้สูงสุดถึง 5 ล้านบาท ***

    3. กำหนดประเภทของข้อมูล และ วัตถุประสงค์ความจำเป็น

            a. การกำหนดขอบเขตของข้อมูลนั้นเป็นเรื่องที่ต้องทำเป็นเรื่องแรก เพื่อจัดหมวดหมู่ของข้อมูลเพราะข้อมูลส่วนบุคคลที่กฎหมายอ้างถึงนั้นเป็นข้อมูลอะไรก็ตามที่สามารถอ้างถึงตัวบุคคลได้ทั้งทางตรงและทางอ้อม ดังนั้น การเก็บข้อมูลส่วนบุคคลไม่ว่าจะ ทาง Word , Excel , TxT หรือข้อมูลอาจจะอยู่บนระบบอะไรก็ตาม ต้องมีการค้นหาแล้วเอามาทำนโยบายทั้งหมด

                i. ขั้นตอนนี้คือการทำ Data Classification หรือ Data Mapping (ส่วนนี้ถ้าไม่เริ่มทำ ก็ไม่ต้องไปเริ่มขั้นตอนหลังจากนี้เลย เพราะถ้าไม่จำแนกข้อมูลส่วนบุคคลไว้ การกำหนดเรื่องอื่นๆ ก็ไม่มีประโยชน์เลย ที่จะทำให้องค์กรตอบโจทย์ PDPA)

            b. การกำหนดวัตถุประสงค์ (Consent Management) การขอความยินยอมจากเจ้าของข้อมูล เพื่อใช้ เก็บ หรือประมวลผล ในทุก ๆ บริบทของข้อมูลส่วนบุคคลเป็นเรื่องจำเป็น และทั้งนี้ทั้งนั้นระบบที่ทำขึ้นมานั้นต้องรองรับการเปลี่ยนแปลงแก้ไข สิทธิที่อนุญาตไว้ได้ตลอด ดังนั้น ก่อนจะกระทำการใดเกี่ยวกับข้อมูลส่วนบุคคล ควรจะตรวจสอบสิทธิการอนุญาตของเจ้าของข้อมูลทุกครั้งเพราะถ้าเกิดการละเมิดเมื่อไหร่ นั่นหมายถึงความล้มเหลวของวัตถุประสงค์ทันที ทั้งนี้ การเขียนเงื่อนไข ที่เอื้อประโยชน์กับผู้ควบคุมข้อมูล หรือ ผู้ประมวลผลจนเกินไป ก็ทำให้เจ้าของข้อมูลเลือกที่จะเลิกใช้งานระบบนั้นได้เช่นกัน เพราะเป็นการเอาเปรียบ เป็นต้น

        ดังนั้นสิ่งที่ต้องทำใน Step นี้มาก่อนมาตรการด้าน Data Security เป็น การกำหนดนโยบายทางด้าน Data Privacy ที่แท้จริง

    4. ทบทวนมาตรการการจำแนกข้อมูล และ ขอวัตถุประสงค์ ให้เป็น Life – Cycle

            a. โดยขั้นตอนนี้จำเป็นอย่างไร โดยอ้างอิงจากขั้นตอนที่ 3 ถ้าเราไม่ทำให้ขั้นตอนนั้นเป็นเชิงของการบูรณาการให้รองรับกับข้อมูลที่เพิ่มขึ้นเรื่อยและทุกวันเพื่อไม่ให้ต้องมาจัดการข้อมูลใหม่ในทุกๆ รอบที่มีข้อมูลเข้ามาเพิ่มจึงต้องมีการจัดทำระบบที่รองรับกับการนำเข้าข้อมูลใหม่ๆ

    5. การพูดคุยหรือเตรียมการเรื่องข้อกำหนด คือ การนำบุคคลในขั้นตอนที่ 2 มานั่งคุยกันถึงสิทธิในการบริหารจัดการหรือการนำผู้ประมวลพลข้อมูล หรือ เจ้าของข้อมูลบางส่วนมาลองคุยเพื่อทบทวนกระบวนการและมาตราการในการจัดทำข้อความยินยอมหรือการให้รับทราบถึงแนวทางการปฏิบัติของข้อกำหนดที่เราจะได้เพิ่มเป็นมาตราลงไปใช้กับ ผู้ประมวลผลข้อมูล เจ้าของข้อมูล หรือ แม้กระทั่งเจ้าของระบบที่เป็นผู้ควบคุมข้อมูลก็ตาม

    6. กำหนดแผนแม่บทเรื่องมาตรการ Data Security + Privacy เข้าไปเพื่อปกป้องข้อมูลส่วนบุคคลในทุกๆช่องทางในการใช้งาน รวมถึงทุกๆ การพักของข้อมูล ในที่นี้ขอทับศัพท์แบบนี้ว่า การใช้งานข้อมูลส่วนบุคคลทั้งรูปแบบของ Web, Email , On Machine , On System , On Cloud , On Mobile หรือ ข้อมูลจะอยู่บนระบบ database , usb drive , external hardisk หรือ Cloud Storage ก็ต้องปกป้องให้ได้ทุกช่องทาง

            a. แหล่งของการเก็บข้อมูล

            b. แหล่งการใช้และเข้าถึงข้อมูล

            c. สิทธิในการใช้และการเข้าถึงข้อมูล

            d. การปกป้องการเข้าถึง ขโมยข้อมูล หรือละเมิด ในทุกช่องทางการใช้งาน

บทความหน้าผู้เขียนจะเขียนถึงระบบที่จะตรวจสอบและปกป้องการบริหารจัดการข้อมูลส่วนบุคคลเพิ่มเติมให้

    7. ระบบการแจ้งเตือนหรือเฝ้าระวัง Breach Management การเฝ้าระวังต้องสามารถแจ้งเตือนเจ้าของข้อมูลภายใน 72 ชั่วโมง หลังจากข้อมูลส่วนบุคคลถูกละเมิดหรือรั่วไหลออกจากผู้ควบคุมข้อมูล หรือ ผู้ประมวลผลข้อมูล ดังนั้นควรเตรียมมาตรการ การแจ้งเตือนให้พร้อมสำหรับเหตุการณ์ Data & Privacy Breach ทุกกรณี

    8. สร้างความตระหนักจัดทำ Awareness Training ให้กับผู้ใช้งาน พนักงาน เจ้าของข้อมูล ถึงมาตราการและปกป้องสิทธิของตัวเองจากการถูกละเมิดหรือกรณีข้อมูลรั่วไหล ทั้งเชิงการปกป้องข้อมูล และการฟ้องร้องในกรณีใช้กฎหมายในการปกป้อง

    9. Privacy & Security By Design กำหนดทุกระบบต่อจากนี้ ให้มีการคำนึงถึงทั้งความปลอดภัย และ การปกป้องสิทธิการใช้งานในด้าน Privacy กับทุกๆ ระบบ ทุกๆ ข้อมูล และตรวจสอบความถูกต้องแม่นยำอยู่เป็นประจำ

เพียงเท่านี้ ก็เชื่อได้แน่ว่าระบบพร้อมตอบโจทย์ PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลให้องค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือในฐานะเจ้าของข้อมูลได้เป็นอย่างดี และผู้ใช้งานระบบก็พร้อมที่จะฝากข้อมูลส่วนบุคคลไว้ให้ปกป้องและใช้บริการต่อได้อย่างสบายใจเป็นแน่