PDPA BEGINS: เพื่อความเป็นส่วนตัวและความปลอดภัย


ความเป็นส่วนตัว (Privacy) ถือเป็นสิทธิขั้นพื้นฐานของมนุษย์มาอย่างยาวนาน ในอดีตการเรียกร้องความเป็นส่วนตัวจะมุ่งเน้นไปที่ความเป็นส่วนตัวทางกายภาพ (Physical Privacy) หมายถึงสิทธิอันชอบธรรมในการอยู่อย่างสันโดดและปลอดภัยจากการรบกวนจากบุคคลภายนอก เช่น บุคคลอื่น องค์กร หรือแม้กระทั่งหน่วยงานจากภาครัฐ แต่เมื่อเข้าสู่ยุคแห่งการสื่อสารข้อมูลระหว่างกันผ่านทางระบบเครือข่ายคอมพิวเตอร์และเครือข่ายอินเทอร์เน็ต ข้อมูลส่วนบุคคลจึงหลั่งไหลเข้าไปอยู่บนระบบมากขึ้น ทำให้เกิดความต้องการความส่วนตัวด้านสารสนเทศ (Information Privacy) และรวมไปถึงความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Personal Data Privacy)

 

เจ้าของข้อมูล (Data Subject) จะต้องมีสิทธิและเสรีภาพอย่างเต็มที่ต่อข้อมูลของตนที่จะให้บุคคลอื่นหรือองค์กรต่าง ๆ นำข้อมูลไปใช้ตามความยินยอม (Consent) ที่อนุญาตเท่านั้น เพื่อรักษาความเป็นส่วนตัว ผลประโยชน์ และปกป้องความเสียหายที่อาจเกิดขึ้นกับตนเอง ซึ่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act – PDPA) ที่จะมีผลบังคับใช้ในกลางปี 2564 นี้ จะเป็นเครื่องมือที่จะทำให้ปัจเจกบุคคลมั่นใจได้ว่า ข้อมูลของตนที่อนุญาตให้องค์กรนำไปใช้มีการบริหารจัดการอย่างเหมาะสมและมีระบบการป้องกันข้อมูลที่น่าเชื่อถือและปลอดภัย

 

การที่องค์กรจัดเก็บและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ปฏิบัติตาม พ.ร.บ. ถือว่าเป็นการละเมิดสิทธิของเจ้าของข้อมูล และองค์กรจะกลายเป็นผู้กระทำความผิดทั้งทางแพ่งและทางอาญาตามบทลงโทษของกฎหมาย ดังนั้นก่อนที่ พ.ร.บ. จะมีผลบังคับใช้อย่างจริงจัง องค์กรต่าง ๆ ควรทบทวนขั้นตอนพื้นฐานเพื่อเตรียมความพร้อมและแสดงความรับผิดชอบในการให้ความดูแลข้อมูลส่วนบุคคลและปฏิบัติตามกฎระเบียบอย่างเคร่งครัด ดังนี้



 

5 ขั้นตอนพื้นฐานในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล


1. จัดตั้งและมอบหมายหน้าที่ให้บุคลากรหรือหน่วยงานเข้ามาดูแลอย่างชัดเจน ตามข้อกำหนดใน พ.ร.บ.

2. ค้นหาและจัดกลุ่มข้อมูลส่วนบุคคลอย่างเป็นระบบ (Data Discovery and Classification)

3. จัดทำขั้นตอนและระบบการปกป้องข้อมูล (Data Protection)

4. จัดทำระบบป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention)

5. จัดทำระบบบริหารจัดการข้อมูลส่วนบุคคล (Personal Data Management)

 

 

1.จัดตั้งและมอบหมายหน้าที่ให้บุคลากรหรือหน่วยงานเข้ามาดูแลอย่างชัดเจน ตามข้อกำหนดใน พ.ร.บ. ฯตรวจเช็คให้ชัดเจนว่าองค์กรมีผู้ดูแลความพร้อมในส่วนของผู้เกี่ยวข้องตาม พ.ร.บ. แล้วหรือยัง ซึ่งได้แก่


        คณะกรรมการป้องกันข้อมูลส่วนบุคคล (Personal Data Protection Committee) ประกอบด้วยบุคลากรจากหลายหน่วยงานที่เกี่ยวข้อง ได้แก่ ผู้บริหารระดับสูงฝ่ายกฎหมาย (Legal), ฝ่ายกำกับดูแล (Compliance), ฝ่ายขายและการตลาด (Sales and Marketing), ฝ่ายเทคโนโลยีสารสนเทศ (Information Technology), ฝ่ายต่างประเทศ (International Administration) เป็นต้น

        ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคล/นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการจัดเก็บ รวบรวม นำไปใช้ ปรับปรุง หรือเปิดเผย ให้อยู่ภายใต้มาตรการรักษาความปลอดภัยที่เหมาะสม

        ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคล/นิติบุคลทั้งภายในและภายนอกองค์กร ซึ่งเป็นผู้ที่เก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล

        เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) คือ กรณีที่องค์กรหรือหน่วยงานมีข้อมูลประมวลผลทั้งข้อมูลส่วนบุคคลหรือข้อมูลอ่อนไหวเป็นปริมาณมาก องค์กรหรือหน่วยงานจำเป็นต้องแต่งตั้งเจ้าหน้าที่ DPO เพื่อทำหน้าที่ประสานงาน ตรวจสอบ ให้คำแนะนำ และดูแลด้านความมั่นคงปลอดภัยของข้อมูลโดยเฉพาะ

 

2.ค้นหาและจัดกลุ่มข้อมูลส่วนบุคคลอย่างเป็นระบบ (Data Discovery and Classification)


ทำการค้นหาข้อมูลส่วนบุคคลและข้อมูลที่เคลื่อนไหวทั้งหมดที่เก็บอยู่ภายในและภายนอกองค์กรเพื่อจัดการอย่างเป็นระบบ แต่ในกรณีที่ข้อมูลมีปริมาณมากและเพิ่มจำนวนขึ้นอย่างต่อเนื่องตลอดเวลา ควรจะพิจารณาจัดหาเครื่องมือหรือระบบเข้ามาช่วยในการค้นหา คัดแยก และจัดการ การใช้เครื่องมือเข้ามาช่วยในการจัดการข้อมูลที่มีปริมาณเพิ่มขึ้นและการเปลี่ยนแปลงอยู่ตลอดจะช่วยให้องค์กรสามารถปฏิบัติตาม พ.ร.บ. ได้อย่างรวดเร็ว ถูกต้อง และมีประสิทธิภาพมากขึ้น รวมทั้งยังช่วยในการออกแบบระบบรักษาความปลอดภัยของข้อมูลแต่ละกลุ่มได้อย่างเหมาะสม

 

3.จัดทำขั้นตอนและระบบการปกป้องข้อมูล (Data Protection)


Data ในยุคดิจิทัลมีบทบาทสำคัญเพิ่มขึ้นมาก จนอาจถือได้ว่า Data ได้กลายเป็นทรัพย์สิน (Asset) ที่สามารถนำไปใช้สร้างประโยชน์ให้กับผู้ที่ครอบครองได้อย่างมหาศาล ตัวอย่างเช่น

        รวบรวมข้อมูลเพื่อนำไปวิเคราะห์และสร้างสินค้าหรือบริการให้ตรงตามความต้องการมากขึ้น

        นำไปใช้ในการชี้นำหรือเปลี่ยนความคิดที่มีต่อ Brand บุคคล หรือ หน่วยงาน/องค์กร

        นำไปใช้ในโจมตีและสร้างความเสียหายให้กับเจ้าของข้อมูล

เมื่อผลกระทบของการนำ Data ไปใช้มีทั้งที่ก่อประโยชน์และสร้างโทษให้กับเจ้าของข้อมูล ผู้คนจึงเริ่มตื่นตัวกับสิทธิการเป็นเจ้าของข้อมูลส่วนบุคคลมากขึ้น ทั่วโลกต่างออกกฎหมายมารองรับการคุ้มครองความเป็นส่วนตัวและความเป็นเจ้าของข้อมูลเพื่อสร้างความมั่นใจว่าองค์กรจะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนการจัดเก็บ และมีระบบจัดเก็บและรักษาความปลอดภัยข้อมูลที่กันไม่ให้ผู้ที่ไม่ได้รับความยินยอมหรือผู้ไม่หวังดีสามารถนำข้อมูลออกไปใช้ได้ ดังนั้นข้อมูลที่จัดเก็บอยู่ในระบบคอมพิวเตอร์จึงจำเป็นต้องมีการปกป้องข้อมูล ไม่ว่าจะเป็นการเข้ารหัส/ถอดรหัสข้อมูล (Data Encryption/Decryption) การสลับข้อมูล (Data Shuffling) หรือการปกปิดหรือปิดบังข้อมูล (Data Masking, Pseudonymize or Anonymize)

 

4.จัดทำระบบป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention - DLP)


ผลกระทบจากการที่ข้อมูลส่วนบุคคลรั่วไหลออกจากองค์กรนั้นสามารถสร้างความเสียหายให้กับเจ้าของข้อมูลทั้งในด้านความเป็นส่วนตัว ชื่อเสียง หรือแม้กระทั่งทรัพย์สิน และความเสียหายนั้นอาจส่งผลต่อมูลค่าทางธุรกิจขององค์กรที่จัดเก็บข้อมูล เนื่องจากความน่าเชื่อถือของลูกค้าที่มีต่อองค์กรลดลง ดังนั้นองค์กรจึงหลีกเลี่ยงไม่ได้ที่จะต้องมีแผนการบริหารจัดการและป้องกันที่รัดกุม โดยหาวิธีป้องกันการถูกนำข้อมูลออกจากองค์กรทั้งโดยตั้งใจและไม่ตั้งใจ และครอบคลุมถึงข้อมูลที่มีการจัดส่งผ่านสื่อต่าง ๆ (Data in Motion) เช่น การส่งข้อมูลผ่านระบบเครือข่ายภายใน หรือระบบเครือข่ายอินเทอร์เน็ต แล้ว Copy ไปยัง Media อื่นเช่น USB flash drive/HDD Drive หรือ Flash Drive หรือข้อมูลที่อยู่บนเครื่อง Computer, Server, Storage และ On Cloud (Data in Rest)

 

5.จัดทำระบบบริหารจัดการข้อมูลส่วนบุคคล (Personal Data Management)


การบริหารจัดการข้อมูลส่วนบุคคล มีส่วนประกอบของงานดังนี้

        การบริหารจัดการสิทธิ์การเข้าถึงข้อมูล (Right of Access) ตั้งแต่การรับคำร้องขอ การยืนยันตัวตน การเก็บรักษา/แก้ไข/ปรับปรุง/ลบข้อมูลที่จำเป็น และการรักษาความปลอดภัย

        การบริหารความยินยอม (Consent Management) เพื่อเก็บรวบรวม นำไปใช้ และเปิดเผยข้อมูลส่วนบุคคลตามที่เจ้าของข้อมูลได้แจ้งไว้ จึงต้องมีการจัดทำระบบบริหารความยินยอมแบบครบวงจร ตั้งแต่ขั้นตอนการเริ่มเก็บความยินยอมของลูกค้า การร้องขอ ไปจนถึงขั้นตอนการเพิกถอนความยินยอมของลูกค้าออกจากระบบ

 

การปฏิบัติตามขั้นตอนดังกล่าวข้างต้นอาจพบข้อขัดข้องเรื่องการปฏิบัติ พ.ร.บ. อยู่บ้าง แต่การเริ่มดำเนินการเป็นการแสดงความใส่ใจและให้ความเคารพในสิทธิในความเป็นเจ้าของข้อมูลส่วนบุคคลของลูกค้า ซึ่งเป็นก้าวเริ่มต้นที่สำคัญในการสร้างความน่าเชื่อถือให้กับองค์กร และจะนำมาซึ่งความไว้ใจในการเลือกใช้สินค้าและบริการต่อไป

 

ใหม่กว่า เก่ากว่า