บทความนี้จะช่วยธุรกิจและองค์กรของคุณ สำหรับการเตรียมความพร้อมการรับมือการจัดการ PDPA ด้วย 4 กลยุทธ์ที่จะทำให้องค์กรของคุณมีความปลอดภัยมากขึ้น
1. รู้เท่าทัน PDPA
การศึกษาและการทำความเข้าใจอย่างถ่องแท้ของกฏหมาย PDPA เป็นสิ่งสำคัญที่จะให้องค์กรของคุณปฏิบัติตามกฏหมายได้อย่างถูกต้อง โดยประเด็นต่อไปนี้คือสิ่งที่คุณควรรู้เป็นหลักเกี่ยวกับ PDPA
ความหมายของข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลคือข้อมูลที่สามารถระบุตัวตนของเจ้าของข้อมูลและก่อให้เกิดผลกระทบกับเจ้าของข้อมูล
หากมีข้อมูลรั่วไหล โดยจะแบ่งออกเป็น 2 ประเภทหลัก
• ข้อมูลส่วนบุคคล คือ ข้อมูลทั่วไปที่สามารถระบุตัวตนเจ้าของข้อมูลได้ เช่น ชื่อ-นามสกุล,บัตรประชาชน
• ข้อมูลส่วนบุคคลอ่อนไหว คือ ข้อมูลที่มีความละเอียดอ่อนสูงที่หากรั่วไหลแล้วสามารถส่งผลกระทบกับเจ้าของข้อมูลได้ เช่น เชื้อชาติ ความเชื่อทางศาสนา
สิทธิของเจ้าของข้อมูล
การรู้ถึงสิทธิของเจ้าของข้อมูล ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (Personal Data Protection Act) ซึ่งตามข้อกำหนดให้เจ้าของข้อมูล สามารถใช้สิทธิเพื่อเข้าถึงข้อมูลหรือสิทธิอื่นๆ เป็นเรื่องสำคัญอย่างยิ่ง เพื่อให้สามารถปกป้องข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพและดำเนินการตามกฏหมายได้อย่างถูกต้อง
การเก็บรวบรวมและการใช้ข้อมูล
องค์กรควรทำความเข้าใจการเก็บรวมข้อมูลและการใช้ข้อมูลของเจ้าของข้อมูลเริ่มตั้งแต่ การจัดทำนโยบายความเป็นส่วนตัว(Privacy policy) การขอความยินยอมลูกค้า เพื่อให้แน่ใจว่าองค์กรได้มีการเก็บรวบรวมข้อมูลที่เพียงพอและเหมาะสม (Data Minimization) โดยจะต้องไม่เกินความจำเป็นของวัตถุประสงค์ที่ได้แจ้งหรือขอความยินยอมจากเจ้าของข้อมูล
การเก็บรวบรวมข้อมูลภายใต้ PDPA ต้องทำด้วยความระมัดระวังและปฏิบัติตามหลักการที่ระบุไว้เพื่อคุ้มครองสิทธิและความเป็นส่วนตัวของเจ้าของข้อมูล องค์กรที่ปฏิบัติตาม PDPA อย่างถูกต้องจะสามารถสร้างความเชื่อมั่นและความไว้วางใจจากผู้ใช้บริการได้เป็นอย่างดี
การรักษาความปลอดภัยของข้อมูล
การรักษาความปลอดภัยของข้อมูลคือหัวใจสำคัญขององค์กรในฐานะผู้ควบคุมข้อมูล(Data Controller) เพื่อให้ผู้ใช้บริการมั่นใจว่าข้อมูลที่ถูกเก็บไปนั้นจะไม่ถูกละเมิดหรือรั่วไหล เช่น การจัดทำแบบประเมินความเสี่ยง (Risk Management) ในทุก 6 เดือน หรือขึ้นอยู่กับรูปแบบขององค์กร
บทลงโทษเมื่อฝ่าฝืน
ในกรณีที่มีข้อมูลส่วนบุคคลรั่วไหลนั้น เช่น การถูกนำเลขบัตรประชาชนไปทำธุรกรรม ทำให้เจ้าของข้อมูลมีสิทธิฟ้องร้องเพื่อเอาผิดกับองค์กรที่ทำให้ข้อมูลรั่วไหลได้ โดยจะมีกระบวนการตามกฎหมายดังนี้
• โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
• โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
• โทษทางปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท
* หากเป็นนิติบุคคล ถ้าการกระทำผิดดังกล่าวเกิดจากการสั่งการหรือการกระทำของกรรมการ กรรมการหรือผู้จัดการ
จะต้องได้รับโทษดังกล่าวด้วย
2. ปรับระบบให้สอดคล้องหรือหาตัวช่วยในการจัดการข้อมูล
เนื่องจากการจัดเก็บข้อมูลส่วนบุคคลนั้นเป็นเรื่องใหญ่ เพราะเรากำลังพูดถึงข้อมูลที่มีขนาดเยอะมาก และ ยังต้องมีขั้นตอนที่จะต้องทำเพื่อให้สอดคล้องกับ PDPA ไม่ว่าจะเป็นการจัดนโยบายคุ้มครองข้อมูลส่วนบุคคล การขอความยินยอม การจัดทำบันทึกการประมวลผลข้อมูล(RoPA) ซึ่งจะต้องขอความร่วมมือจากหลายฝ่าย หรือ หลายแผนกในองค์กรสำหรับการรับมือกับกระบวนการที่จะต้องเกิดขึ้น ซึ่งทำให้ใช้เวลาค่อนข้างมากในการค้นหาและจัดการข้อมูล เนื่องจากในแต่ละแผนกจะมีรูปแบบการทำงานหรือการจัดเก็บข้อมูลไม่เหมือนกัน ซึ่งองค์กรอาจจะต้องปรับเปลี่ยนมาใช้ เทคโนโลยีมาใช้ในการจัดการข้อมูล (Utilizing Technology) โดยมีตัวช่วยในการจัดการให้ดำเนินการสอดคล้องตามหลัก PDPA
ด้วยโซลูชั่นจาก
WhiteFact เครื่องมือที่ตอบโจทย์องค์กรอย่างครบถ้วนในด้าน PDPA เป็น Eco-system ที่พัฒนามาเพื่อช่วยองค์กรให้สามารถดำเนินการ PDPA ได้อย่างถูกต้อง มีประสิทธิภาพ และลดระยะเวลา ด้วยฟีเจอร์หลักๆ เช่น
💜 Data Inventory เมนูสำหรับการวบรวมข้อมูลส่วนบุคคลขององค์กรเพื่อเป็นศูนย์กลางสำหรับการค้นหาของแต่ละแผนก ประกอบไปด้วย การจัดทำแผนภาพข้อมูล (Data Flow Diagram) และ การจัดทำบันทึกการประมวลผลข้อมูล(RoPA)
💜 Privacy Notice เมนูสำหรับการจัดทำนโยบายส่วนบุคคลต่างๆเช่น HR Policy , Cookie Policy เพื่อให้เจ้าของข้อมูลทราบถึงการเก็บรวบรวมข้อมูลและการนำไปใช้ข้อมูลได้อย่างถูกต้องตามวัตถุประสงค์
💜 Consent Management เมนูสำหรับการจัดการความยินยอมของเจ้าของข้อมูล โดยองค์กรสามารถติดตามได้ทุกเวลา
3. เสริมสร้างความรู้ให้แก่พนักงานในองค์กร
นอกจากจะมีเจ้าหน้าที่คุ้มครองส่วนบุคคล (DPO) ในองค์กรแล้วการสร้างความตระหนักรู้ ความเข้าใจ ให้แก่พนักงานในองค์กรก็สำคัญเช่นกัน เนื่องจาก PDPA ไม่ใช่งานของใครคนใดคนหนึ่งแต่เป็นงานที่ทั้งองค์กรจะต้องช่วยกันปฏิบัติตามข้อกำหนดและเข้าใจในบทบาทความรับผิดชอบของการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้ลูกค้ามั่นใจว่าเราจะปกป้องดูแลข้อมูลที่ได้มาอย่างมีประสิทธิภาพ
4. ป้องกันภัยคุกคาม
นับตั้งแต่ปี 2564 ผ่านมาเราจะได้เห็นข่าวการรั่วไหลของข้อมูลส่วนบุคคลจากองค์กรต่างๆอย่างเลี่ยงไม่ได้ อย่างกรณี 9 Near แฮกเกอร์ที่โจรกรรมข้อมูลส่วนบุคคลของคนไทยได้ 55 ล้านรายชื่อ และได้ทำการโพสต์ขายในเว็บไซต์ BreachForums ที่เป็นแหล่งรวมการซื้อขายข้อมูลที่ได้จากการโจรกรรม
ยิ่งทำให้องค์กรกลับมาตระหนักถึงความสำคัญของ PDPA ซึ่งเราหวังว่า องค์กรของคุณจะตรวจสอบความปลอดภัยของคุณเป็นประจำ ทำการทดสอบการเจาะระบบ และกำจัดข้อมูลเก่าอย่างปลอดภัย เพื่อให้เป็นไปกฏหมายคุ้มครองข้อมูลส่วนบุคคล ตามมาตรา 37 “ความมั่นคงปลอดภัย” หมายความว่า การมีมาตราการจัดเก็บข้อมูลให้เป็นความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ
