จากข่าวล่าสุดที่กฎหมาย PDPA หรือพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้มีการบังคับใช้จริง ไปเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา อาจทำให้หลายองค์กรรู้สึกตื่นตัวกันมากขึ้น เพราะทุกองค์กรต่างก็มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล ไม่ว่าจะเป็นข้อมูลส่วนตัวของลูกค้าที่ใช้ในการสมัครสมาชิก ข้อมูลประวัติการเข้าชมเว็บไซต์ ข้อมูลที่อยู่ของเหล่าพนักงาน หรือประวัติการทำธุรกรรมผ่าน Mobile Banking ซึ่งองค์กรจะไม่สามารถจัดเก็บหรือเผยแพร่ข้อมูลส่วนบุคคลเหล่านี้ได้อีกต่อไป หากไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน
ด้วยความที่ PDPA เป็นสิ่งใหม่ การที่จะทำให้สำเร็จได้นั้น จะต้องอาศัยเวลาในการเตรียมตัว และมีผู้เชี่ยวชาญด้านระบบ PDPA คอยให้คำแนะนำ ซึ่งอาจทำให้ตอนนี้หลาย ๆ องค์กรอาจยังไม่ได้เริ่มทำเพราะไม่รู้ว่าควรเริ่มต้นจากสิ่งใด หรือบางองค์กรอาจเริ่มทำไปบ้างแล้ว แต่ก็ยังไม่มั่นใจว่าสิ่งที่ทำไปนั้นครบถ้วนและถูกต้องหรือไม่ และเพื่อเป็นการเสริมความมั่นใจให้กับผู้ประกอบการทุกคน วันนี้เรามี Checklist กับ 2 ส่วนสำคัญ ทั้งในเรื่องภาพรวมขององค์กร และงานในส่วนของ IT ว่ามีสิ่งไหนบ้างที่ต้องปรับให้ถูกต้อง เพื่อช่วยให้องค์กรของคุณสามารถทำ PDPA ได้อย่างเข้าใจมากยิ่งขึ้น
Checklist 7 ขั้นตอนที่จะช่วยให้องค์กรวางระบบ PDPA ได้อย่างมีประสิทธิภาพ 1
- เริ่มจากการจัดทำแผนผังสรุปการใช้ข้อมูลเพื่อดูว่าในองค์กรมีการนำข้อมูลไปใช้ในส่วนใดและจัดเก็บไว้ที่ไหนบ้าง เพื่อช่วยให้เราเห็นภาพรวมและวางแผนจัดการข้อมูลเหล่านั้นได้ง่ายขึ้น
- ตรวจสอบว่ามีเจ้าหน้าที่คอยดูแลในส่วนนี้แล้วหรือยัง เพราะการทำ PDPA จะต้องมีผู้ที่ทำหน้าที่ควบคุมและประมวลผลอยู่เสมอ
- เตรียมเอกสารให้พร้อมตามที่กฎหมายกำหนด ซึ่งประกอบด้วย 3 ส่วนที่สำคัญ ได้แก่
- Privacy Policy หรือที่เรารู้จักกันในอีกชื่อหนึ่งว่า “นโยบายความเป็นส่วนตัว” โดยเป็นเอกสารที่ระบุว่าองค์กรมีกระบวนการจัดเก็บ ใช้งาน เผยแพร่ และส่งต่อข้อมูลเหล่านั้นอย่างไร
- Privacy Notice คือการแจ้งวัตถุประสงค์ของการจัดเก็บ ใช้ เผยแพร่ และส่งต่อข้อมูล
- Consent Form/Message คือแบบฟอร์มหรือข้อความเพื่อขอความยินยอมจากเจ้าของข้อมูลก่อนที่จะทำการเก็บข้อมูลและนำไปใช้ ซึ่งต้องเป็นข้อความที่ชัดเจน เข้าใจง่าย และเจ้าของข้อมูลมีสิทธิ์ในการถอนความยินยอมได้ทุกเมื่อ
- อัปเดตแผนผังสรุปการใช้ข้อมูลพร้อมระบุผู้รับผิดชอบทุกครั้งที่มีข้อมูลเข้ามาใหม่ รวมถึงคอยตรวจเช็กวันหมดอายุของข้อมูลและจัดการลบข้อมูลให้เรียบร้อยเมื่อเลิกใช้
- พัฒนาระบบ IT ให้สอดคล้องกับข้อกำหนดของ PDPA เพื่อเพิ่มความปลอดภัยในการจัดเก็บข้อมูล
- ที่ขาดไม่ได้ก็คือเจ้าหน้าที่ DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งจะทำหน้าที่ดูแล ตรวจสอบ และคอยประสานงานกับหน่วยงานที่เกี่ยวข้อง
- ขั้นตอนสุดท้ายคือการให้ความรู้แก่ทุกฝ่ายที่เกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะเป็นผู้บริหาร พนักงานในองค์กร หรือลูกค้าที่เข้าใช้งานเว็บไซต์
โซลูชัน IT ที่จะช่วยให้ระบบ PDPA มีความปลอดภัยยิ่งขึ้น 2
ในส่วนของงานฝั่ง IT ก็สำคัญไม่แพ้งานภาพรวมขององค์กร เพราะต้องมุ่งเน้นไปที่การบริหารจัดการข้อมูลและปกป้องข้อมูลสำคัญไม่ให้รั่วไหลหรือถูกคุกคามจากภายนอก ซึ่งเราอาจเคยเห็นตัวอย่างกันอยู่บ้างจากข่าวที่ว่าองค์กรใหญ่ทั้งในไทยและต่างประเทศต่างก็เคยเผชิญกับการถูกโจรกรรมข้อมูล ส่งผลให้เกิดความเสียหายมหาศาล กระทบทั้งภาพลักษณ์และความน่าเชื่อถือขององค์กร ทั้งยังบั่นทอนความไว้วางใจของลูกค้า เรามาดูกันว่าจะมีโซลูชัน IT ใดบ้างที่ช่วยให้องค์กรสามารถทำระบบ PDPA ได้อย่างปลอดภัยยิ่งขึ้น
- Infrastructure Security
โซลูชันที่ช่วยปกป้องระบบการทำงานขององค์กรให้มีความปลอดภัย เช่น
- Firewall
- Intrusion Prevention System (IPS)
- Antivirus
- Web and Email Security Gateway
- Vulnerability Management
โซลูชันที่จะช่วยตรวจสอบความเสี่ยงและอุดช่องโหว่ที่อาจเกิดขึ้นในองค์กร ซึ่งถือเป็นกระบวนการที่สำคัญอย่างยิ่งในด้านการรักษาความปลอดภัย โดยจะทำหน้าที่ตรวจสอบทุก ๆ อุปกรณ์ที่อยู่ในเครือข่ายเดียวกัน ตั้งแต่เครื่องคอมพิวเตอร์ เครื่องถ่ายเอกสาร ไปจนถึงกล้องวงจรปิด เมื่อตรวจพบความเสี่ยงใด ๆ ที่อาจส่งผลกระทบต่อองค์กร ระบบจะทำการแก้ไขทันทีเพื่อป้องกันก่อนที่จะเกิดความเสียหาย
- Data Protection และ Data Governance
การเพิ่มความปลอดภัยให้กับการจัดเก็บและดูแลข้อมูล เช่น การพิสูจน์ตัวตน (Authentication) ก่อนที่จะสามารถเข้าถึงข้อมูลได้ (Data Encryption) หรือการกำหนดสิทธิ์ในการเข้าถึงข้อมูลสำคัญ (Previledged Access Management) ได้แก่ ฐานข้อมูล เซิร์ฟเวอร์ หรือแอปพลิเคชันใด ๆ ที่สามารถเข้าถึงข้อมูลส่วนบุคคลได้
- Data Loss Prevention (DLP)
ในบางครั้งการรั่วไหลของข้อมูลอาจเกิดขึ้นได้โดยความไม่ตั้งใจ ทั้งจากซอฟต์แวร์ที่ไม่อัปเดต หรือจากการใช้งานอุปกรณ์ที่ขาดความระมัดระวังของพนักงาน โซลูชันนี้จะคอยตรวจสอบสถานะข้อมูลที่สำคัญในองค์กร เช่น ไฟล์ข้อมูลส่วนตัวของลูกค้า ไฟล์เอกสารสัญญา หรือไฟล์เอกสารการเงิน และทำการแจ้งเตือนไปยังผู้ดูแลระบบทันทีหากตรวจพบพฤติกรรมน่าสงสัยที่อาจก่อให้เกิดความเสียหาย นอกจากนี้ยังสามารถจำกัดสิทธิ์การเข้าถึงเพื่อเพิ่มความปลอดภัยในการใช้งานข้อมูลที่สำคัญได้อีกด้วย
- File Integrity Monitoring
โซลูชันนี้จะทำหน้าที่ตรวจสอบว่าข้อมูลมีการเปลี่ยนแปลงไปอย่างไรบ้าง เช่น มีใครที่เข้ามาใช้งานข้อมูล หรือมีการแก้ไขตรงจุดไหน ในช่วงเวลาใด เพื่อให้แน่ใจว่าการใช้งานข้อมูลในส่วนนั้นจะยังคงเป็นไปตามข้อกำหนดของ PDPA
- Security Information and Event Management
โซลูชันที่ทำหน้าที่เก็บรวบรวมข้อมูลด้านความปลอดภัยจากอุปกรณ์และซอฟต์แวร์ที่ใช้ในองค์กร เพื่อนำข้อมูลเหล่านั้นมาวิเคราะห์หาสิ่งผิดปกติที่อาจเป็นภัยคุกคาม จะช่วยให้องค์กรสามารถหาทางเฝ้าระวังและแจ้งเตือนได้ก่อนที่จะมีความเสียหายเกิดขึ้น นอกจากนี้ยังสามารถกำหนดระยะเวลาในการจัดเก็บข้อมูลได้ ซึ่งเป็นจุดที่สอดคล้องกับข้อกำหนดของ PDPA เป็นอย่างยิ่ง
เพราะเราทุกคนจะต้องอยู่ร่วมกับ PDPA ไปอีกนาน จึงต้องพยายามทำความเข้าใจกับความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลกันให้มากขึ้น โดยเฉพาะองค์กรที่ต้องเร่งทำให้ถูกต้องและครบถ้วนโดยเร็วที่สุด เพราะโทษปรับของการไม่ปฏิบัติตามกฎหมายนั้นรุนแรงไม่ใช่เล่น ทั้งการปรับสูงสุดถึง 5 ล้านบาท จำคุกสูงสุด 1 ปี หรือทั้งจำทั้งปรับ แม้แต่กรรมการบริษัทที่มีส่วนเกี่ยวข้องก็ต้องร่วมรับผิดชอบด้วยในทุกกรณี
แต่ในขณะเดียวกันก็ไม่ใช่ว่าจะปล่อยให้การทำ PDPA เข้ามารบกวนจนไม่เป็นอันทำงานหลัก หากมีจุดใดที่ Technical จริง ๆ หรือต้องใช้เวลานานในการจัดการ การปรึกษาผู้เชี่ยวชาญหรือเลือกใช้บริการรับทำ PDPA แบบ One Stop Services ก็ช่วยได้ไม่น้อย เพื่อที่จะได้ใช้เวลาไปกับการทำอย่างอื่นที่สำคัญกว่า แถมไม่ต้องกังวลด้วยว่าเมื่อทำไปแล้วจะถูกหรือผิดอีกด้วย
ข้อมูลอ้างอิง:
- https://www.techtalkthai.com/jrit-ichi-5-pdpa-checklist-data-protection-2022/