ข้อมูลส่วนบุคคล ถือว่าเป็นข้อมูลที่องค์กรนั้นควรให้ความสำคัญ เพื่อไม่ให้เกิดการนำข้อมูลไปใช้โดยผิดวัตถุประสงค์ที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ (Personal Data Protection) PDPA ซึ่งองค์กรมีหน้าที่รับผิดชอบดูแลข้อมูลส่วนบุคคล เพื่อสร้างความไว้วางใจและภาพลักษณ์ที่ดี ไม่ว่าจะเป็นคู่ค้า หรือ ลูกค้าก็ตาม
สิ่งที่ต้องทำตาม PDPA แบ่งออกได้เป็น 3 ส่วนตามภาพนี้

1. PEOPLE (คณะทำงาน และพนักงาน)
คนในองค์กร คือ ทรัพยากรที่สำคัญในการปฏิบัติตาม PDPA เพราะพวกเขาสามารถเข้าถึงข้อมูลส่วนบุคคลและมีโอกาสเกิดความผิดพลาดในการจัดการข้อมูลส่วนบุคคลมากที่สุด ไม่ว่าจะเป็นแผนก HR(Human Resource), Marketing, หรือ Sales ดังนั้นองค์กรควรให้ความสำคัญของการตระหนักรู้เกี่ยวกับความปลอดภัยและการจัดการกับข้อมูลส่วนบุคคลเพื่อลดข้อผิดพลาดจากคนหรือทรัพยากรมนุษย์ให้ได้มากที่สุด
ซึ่งผมมีคำแนะนำ 3 ขั้นตอน คือ
- การฝึกอบรมพนักงาน หรือ การสร้างความตระหนักรู้ในการจัดการข้อมูลส่วนบุคคล (PDPA Awareness Training)
เช่น การจัดอบรมความรู้ PDPA รวมถึงด้านการรักษาความปลอดภัยของข้อมูล ให้กับคณะทำงานและพนักงานในองค์กร เพื่อสร้างความเข้าใจในการจัดการข้อมูลส่วนบุคคลตามนโยบาย และแนวทางการป้องกันข้อมูลรั่วไหลจากการโดนโจมตีทางไซเบอร์
- การทดสอบวัดระดับความรู้พนักงาน
เช่น หลังจากที่เราได้ทำการอบรมพนักงานหรือคณะทำงานของเราไปแล้ว ใช่ว่าทุกคนจะเข้าใจ ดังนั้น องค์กรควรปิดช่องโหว่นี้ โดย ทำการทดสอบเพื่อวัดความรู้, ความเข้าใจจากสิ่งที่ได้เรียนไป
- รายงานผลความเสี่ยง
เช่น จากการทำเราทดสอบความรู้พนักงาน อาจจะทำให้เรารู้ว่า พนักงานในองค์กรยังขาดความรู้บางส่วนหรือยังไม่เข้าใจ เราควรทำรายงานติดตามผลว่า ตอนนี้พนักงานส่วนใหญ่นั้นขาดความรู้ด้านอะไร เพราะมันทำให้เราเห็นว่า ช่องโหว่ความรู้อยู่ที่ไหนบ้าง
2. PROCESS (การจัดการกระบวนการทำงาน)
เนื่องจากแนวทางปฏิบัติของ พ.ร.บ. PDPA นั้นถูกประกาศออกมาภายหลัง แน่นอนว่ามันย่อมส่งผลให้ธุรกิจที่ดำเนินการอยู่ในปัจจุบันได้รับผลกระทบในด้านกระบวนการดำเนินกิจการหรือกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ที่ก่อนหน้านี้ไม่เคยมีข้อบังคับ องค์กรจะเริ่มต้นทำได้จากจุดไหน? เพื่อไม่ให้เกิดช่องโหว่ในการเก็บหรือใช้ข้อมูลส่วนบุคคล ที่จะเป็นปัญหาตามมาภายหลังได้ ซึ่งส่วนนี้จะมีขั้นตอนที่เยอะที่สุด เพราะ เป็นส่วนของการ implement โครงการ PDPA นั่นเอง
เริ่มต้นด้วย…
- บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ Record of Processing Acitivities (ROPA)
ซึ่งเป็นการทำรายการกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลขององค์กร ว่า อยู่ที่ไหน, ใครเป็นผู้ดูแล, มีกิจกรรมการใช้ข้อมูลอะไรบ้าง, และ มีการส่งข้อมูลขององค์กรไปยังบุคคลภายนอก (Data Processor) ที่เป็น Third Party หรือไม่
- การขอความยินยอมจากเจ้าของข้อมูล
เช่น ช่องทางการเก็บข้อมูลส่วนบุคคล (Consent form), การจัดการวัตถุประสงค์ของการจัดเก็บ, การกำหนดระยะเวลาการจัดเก็บข้อมูล
- การส่งต่อข้อมูลส่วนบุคคลไปยังบุคคลภายนอกหรือต่างประเทศ
เช่น การกำหนดว่าใครเป็น Third party ที่ใช้ข้อมูลส่วนบุคคลกับองค์ของเรา หลังจากนั้น เราต้องร่างสัญญาการประมวลผลข้อมูลส่วนบุคคลกับองค์กรที่เราส่งข้อมูลไปให้
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
เมื่อใดที่พนักงานได้ข้อมูลส่วนบุคคลมา บริษัทควรมีนโยบายในการประกาศให้พนักงานทราบ เกี่ยวกับ การเก็บรวบรวม, ใช้ข้อมูล, ผู้รับผิดชอบเป็นใคร, และอาจจะมีบทลงโทษสำหรับคนที่ไม่ปฏิบัติตามนโยบาย
- ประกาศความเป็นส่วนตัว (Privacy Notice)
เป็นการประกาศให้สาธารณะชนได้รู้ว่า เรามีนโยบายในการคุ้มครองข้อมูลส่วนบุคคลแล้ว ไม่ว่าจะเป็นพนักงานในองค์กร หรือ คนนอกองค์กร เช่น ลูกค้า หรือ ผู้ใช้บริการ ซึ่งจะทำให้เจ้าของข้อมูลได้รู้ว่า ข้อมูลส่วนบุคคลของเขานั้นถูกบริหารจัดการอย่างไร, มีข้อมูลอะไรบ้างที่เก็บ, วัตถุประสงค์ในการจัดเก็บ, การส่งต่อและการเปิดเผยข้อมูล, ระยะเวลาที่จัดเก็บ
- ช่องทางสิทธิของเจ้าของข้อมูลส่วนบุคคล
องค์กรจะต้องมีแบบฟอร์มการขอใช้สิทธิของเจ้าของข้อมูล เพื่อเป็นช่องทางการติดต่อกับ ลูกค้า หรือ ผู้ใช้บริการ เพราะกฎหมายได้กำหนดว่า เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการ แก้ไข, เปลี่ยนแปลง, หรือ ลบ ข้อมูลได้ทุกเมื่อ
- รายงานเหตุการณ์ข้อมูลรั่วไหล
เมื่อไหร่ที่เกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลจากองค์กร ผู้ที่ดำรงตำแหน่ง DPO หรือ ตัวแทนที่ดูแลโครงการ PDPA จะต้องมีจดหมายแจ้งไปยัง สำนังานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง
3. TECHNOLOGY (ตัวช่วยในการตรวจสอบข้อมูล)
1) การจัดการสิทธิการเข้าถึงข้อมูลส่วนบุคคล ตามที่กฎหมายได้มีประกาศเพิ่มเติม “ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) โดยอย่างน้อยต้องประกอบด้วยการดำเนินการ” ดังต่อไปนี้
- การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูล
- การอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
- การบริหารจัดการ การเข้าถึงของผู้ใช้งาน (user access management)
- การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities)
- การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบหรือถ่ายโอนข้อมูล
เพื่อที่องค์กรจะสามารถระบุตัวตนผู้เข้าถึงข้อมูลได้ จึงต้องมีการเก็บ log เพื่อเป็นการบันทึกกิจกรรมการเข้าถึงข้อมูล เพื่อในวนที่ข้อมูลรั่วไหล องค์กรจะสามารถตอบได้ว่าใครในองค์กรที่ทำข้อมูลรั่วไหลนั่นเอง ซึ่งเป็นเหตุผลว่าทำไม องค์กรถึงต้องมี log analytic platform
2) การตรวจสอบการปกป้องข้อมูลส่วนบุคคล อีกเรื่องนึงที่อยากแนะนำคือ การทำ Data Security กับระบบที่เก็บข้อมูลส่วนบุคคล เพื่อไม่ให้ข้อมูลรั่วไหล เนื่องจากมีช่องโหว่ของระบบที่เก็บรักษาข้อมูลนั่นเอง เช่น ปกป้องข้อมูลไม่ให้ถูกส่งออกไปยังภายนอกองค์กร (Data Loss Prevention)