3 ขั้นตอนทำ PDPA ครบวงจร พร้อมคำแนะนำสำหรับองค์กร

     ข้อมูลส่วนบุคคล ถือว่าเป็นข้อมูลที่องค์กรนั้นควรให้ความสำคัญ เพื่อไม่ให้เกิดการนำข้อมูลไปใช้โดยผิดวัตถุประสงค์ที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ (Personal Data Protection) PDPA ซึ่งองค์กรมีหน้าที่รับผิดชอบดูแลข้อมูลส่วนบุคคล เพื่อสร้างความไว้วางใจและภาพลักษณ์ที่ดี ไม่ว่าจะเป็นคู่ค้า หรือ ลูกค้าก็ตาม 

สิ่งที่ต้องทำตาม PDPA แบ่งออกได้เป็น 3 ส่วนตามภาพนี้

1. PEOPLE (คณะทำงาน และพนักงาน)

คนในองค์กร คือ ทรัพยากรที่สำคัญในการปฏิบัติตาม PDPA เพราะพวกเขาสามารถเข้าถึงข้อมูลส่วนบุคคลและมีโอกาสเกิดความผิดพลาดในการจัดการข้อมูลส่วนบุคคลมากที่สุด ไม่ว่าจะเป็นแผนก HR(Human Resource), Marketing, หรือ Sales ดังนั้นองค์กรควรให้ความสำคัญของการตระหนักรู้เกี่ยวกับความปลอดภัยและการจัดการกับข้อมูลส่วนบุคคลเพื่อลดข้อผิดพลาดจากคนหรือทรัพยากรมนุษย์ให้ได้มากที่สุด

ซึ่งผมมีคำแนะนำ 3 ขั้นตอน คือ

• การฝึกอบรมพนักงาน หรือ การสร้างความตระหนักรู้ในการจัดการข้อมูลส่วนบุคคล (PDPA Awareness Training)

  เช่น การจัดอบรมความรู้ PDPA รวมถึงด้านการรักษาความปลอดภัยของข้อมูล ให้กับคณะทำงานและพนักงานในองค์กร เพื่อสร้างความเข้าใจในการจัดการข้อมูลส่วนบุคคลตามนโยบาย และแนวทางการป้องกันข้อมูลรั่วไหลจากการโดนโจมตีทางไซเบอร์ 

• การทดสอบวัดระดับความรู้พนักงาน

  เช่น หลังจากที่เราได้ทำการอบรมพนักงานหรือคณะทำงานของเราไปแล้ว ใช่ว่าทุกคนจะเข้าใจ ดังนั้น องค์กรควรปิดช่องโหว่นี้ โดย ทำการทดสอบเพื่อวัดความรู้, ความเข้าใจจากสิ่งที่ได้เรียนไป

• รายงานผลความเสี่ยง 

  เช่น จากการทำเราทดสอบความรู้พนักงาน อาจจะทำให้เรารู้ว่า พนักงานในองค์กรยังขาดความรู้บางส่วนหรือยังไม่เข้าใจ เราควรทำรายงานติดตามผลว่า ตอนนี้พนักงานส่วนใหญ่นั้นขาดความรู้ด้านอะไร  เพราะมันทำให้เราเห็นว่า ช่องโหว่ความรู้อยู่ที่ไหนบ้าง

2. PROCESS (การจัดการกระบวนการทำงาน)

เนื่องจากแนวทางปฏิบัติของ พ.ร.บ. PDPA นั้นถูกประกาศออกมาภายหลัง แน่นอนว่ามันย่อมส่งผลให้ธุรกิจที่ดำเนินการอยู่ในปัจจุบันได้รับผลกระทบในด้านกระบวนการดำเนินกิจการหรือกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ที่ก่อนหน้านี้ไม่เคยมีข้อบังคับ องค์กรจะเริ่มต้นทำได้จากจุดไหน? เพื่อไม่ให้เกิดช่องโหว่ในการเก็บหรือใช้ข้อมูลส่วนบุคคล ที่จะเป็นปัญหาตามมาภายหลังได้ ซึ่งส่วนนี้จะมีขั้นตอนที่เยอะที่สุด เพราะ เป็นส่วนของการ implement โครงการ PDPA นั่นเอง

เริ่มต้นด้วย…

• บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ Record of Processing Acitivities (ROPA)

  ซึ่งเป็นการทำรายการกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลขององค์กร ว่า อยู่ที่ไหน, ใครเป็นผู้ดูแล, มีกิจกรรมการใช้ข้อมูลอะไรบ้าง, และ มีการส่งข้อมูลขององค์กรไปยังบุคคลภายนอก (Data Processor) ที่เป็น Third Party หรือไม่

• การขอความยินยอมจากเจ้าของข้อมูล

  เช่น ช่องทางการเก็บข้อมูลส่วนบุคคล (Consent form), การจัดการวัตถุประสงค์ของการจัดเก็บ, การกำหนดระยะเวลาการจัดเก็บข้อมูล

• การส่งต่อข้อมูลส่วนบุคคลไปยังบุคคลภายนอกหรือต่างประเทศ

  เช่น การกำหนดว่าใครเป็น Third party ที่ใช้ข้อมูลส่วนบุคคลกับองค์ของเรา หลังจากนั้น เราต้องร่างสัญญาการประมวลผลข้อมูลส่วนบุคคลกับองค์กรที่เราส่งข้อมูลไปให้

• นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

  เมื่อใดที่พนักงานได้ข้อมูลส่วนบุคคลมา บริษัทควรมีนโยบายในการประกาศให้พนักงานทราบ เกี่ยวกับ การเก็บรวบรวม, ใช้ข้อมูล, ผู้รับผิดชอบเป็นใคร, และอาจจะมีบทลงโทษสำหรับคนที่ไม่ปฏิบัติตามนโยบาย

• ประกาศความเป็นส่วนตัว (Privacy Notice)

  เป็นการประกาศให้สาธารณะชนได้รู้ว่า เรามีนโยบายในการคุ้มครองข้อมูลส่วนบุคคลแล้ว ไม่ว่าจะเป็นพนักงานในองค์กร หรือ คนนอกองค์กร เช่น ลูกค้า หรือ ผู้ใช้บริการ ซึ่งจะทำให้เจ้าของข้อมูลได้รู้ว่า ข้อมูลส่วนบุคคลของเขานั้นถูกบริหารจัดการอย่างไร, มีข้อมูลอะไรบ้างที่เก็บ, วัตถุประสงค์ในการจัดเก็บ, การส่งต่อและการเปิดเผยข้อมูล, ระยะเวลาที่จัดเก็บ

• ช่องทางสิทธิของเจ้าของข้อมูลส่วนบุคคล

  องค์กรจะต้องมีแบบฟอร์มการขอใช้สิทธิของเจ้าของข้อมูล เพื่อเป็นช่องทางการติดต่อกับ ลูกค้า หรือ ผู้ใช้บริการ เพราะกฎหมายได้กำหนดว่า เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการ แก้ไข, เปลี่ยนแปลง, หรือ ลบ ข้อมูลได้ทุกเมื่อ

• รายงานเหตุการณ์ข้อมูลรั่วไหล

   เมื่อไหร่ที่เกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลจากองค์กร ผู้ที่ดำรงตำแหน่ง DPO หรือ ตัวแทนที่ดูแลโครงการ PDPA จะต้องมีจดหมายแจ้งไปยัง สำนังานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง

3. TECHNOLOGY (ตัวช่วยในการตรวจสอบข้อมูล)

1) การจัดการสิทธิการเข้าถึงข้อมูลส่วนบุคคล ตามที่กฎหมายได้มีประกาศเพิ่มเติม “ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) โดยอย่างน้อยต้องประกอบด้วยการดำเนินการ” ดังต่อไปนี้

• การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูล
• การอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
• การบริหารจัดการ การเข้าถึงของผู้ใช้งาน (user access management)
• การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities)
• การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบหรือถ่ายโอนข้อมูล

เพื่อที่องค์กรจะสามารถระบุตัวตนผู้เข้าถึงข้อมูลได้ จึงต้องมีการเก็บ log เพื่อเป็นการบันทึกกิจกรรมการเข้าถึงข้อมูล เพื่อในวนที่ข้อมูลรั่วไหล องค์กรจะสามารถตอบได้ว่าใครในองค์กรที่ทำข้อมูลรั่วไหลนั่นเอง ซึ่งเป็นเหตุผลว่าทำไม องค์กรถึงต้องมี log analytic platform

2) การตรวจสอบการปกป้องข้อมูลส่วนบุคคล อีกเรื่องนึงที่อยากแนะนำคือ การทำ Data Security กับระบบที่เก็บข้อมูลส่วนบุคคล เพื่อไม่ให้ข้อมูลรั่วไหล เนื่องจากมีช่องโหว่ของระบบที่เก็บรักษาข้อมูลนั่นเอง เช่น ปกป้องข้อมูลไม่ให้ถูกส่งออกไปยังภายนอกองค์กร (Data Loss Prevention)