ในตัวกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่จะมีผลบังคับใช้ในปีหน้า และบังคับใช้กับทุกองค์กรที่เก็บข้อมูลลูกค้า ไม่ใช่เพียงแค่เรื่องไอทีเท่านั้นนะครับดังนั้นจึงเป็นสิ่งสำคัญที่ทุกภาคส่วนในองค์กรต้องปฏิบัติตามกฎหมาย และคำนึงถึงทุกๆ ด้านของแผนกต่าง ๆ ในองค์กรที่มีส่วนเกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วย
“ทำไม PDPA จึงเป็นมากกว่าเรื่องของ IT”
ในระดับองค์กร พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะเข้าไปสัมผัสทุกแง่มุมทุกแผนกที่มีการเก็บ และใช้ข้อมูลส่วนบุคคล มันเป็นสิ่งที่สำคัญที่ต้องเริ่มปฎิบัติตาม ก่อนที่จะเริ่มบังคับใช้จริงในปีหน้านะครับสรุปแล้วองค์กร หรือบริษัทที่รวบรวม และประมวลผลข้อมูลส่วนบุคคล ใช้ข้อมูลส่วนบุคคลในการทำการตลาด ไม่ว่าจะเก็บข้อมูลไว้ใน Server หรือบนกระดาษก็ตามครับ
หมายเหตุ หากว่าองค์กรเก็บข้อมูลที่สามารถระบุตัวตนได้ ข้อมูลถือว่าเป็นทรัพย์สินที่มีค่ามาก ๆ ขององค์กร เลยครับ และมีความเสี่ยงที่จะจะทำให้บริษัทเสียหายหากว่าใช้ไม่ระวัง หรือถูกโจรกรรมข้อมูลส่วนบุคคล
แผนกไหนบ้างที่ได้รับผลกระทบจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
1.ทรัพยากรมนุษย์ (Human resources)
“ข้อมูลพนักงานก็ถือว่าเป็นข้อมูลส่วนบุคคล”
แผนก HR ควรจัดการเข้ามาทำงานใหม่ และการลาออกของพนักงานให้กับองค์กรเพื่อให้มั่นใจว่ามีการจัดการข้อมูลเริ่มต้นใหม่อย่างถูกต้องสัญญาว่าจ้าง จัดอบรมให้พนักงานเกี่ยวกับการตระหนักรู้ถึงความรับผิดชอบในการจัดการข้อมูลเป็นสินทรัพย์ HR อาจต้องได้รับความยินยอมจากพนักงานในการขออนุญาตให้ประมวลผลข้อมูลสำหรับการจ่ายเงินเดือน ซึ่งตรงนี้จะต้องทำให้พวกเขามั่นใจว่าจะไม่ถูกนำไปใช้ในทางที่ผิด
2. ฝ่ายการฝึกอบรม (Training Department)
“ข้อมูลที่เกี่ยวกับการฝึกอบรมที่มีข้อมูลพนักงานก็ถือเป็นข้อมูลส่วนบุคคลเช่นเดียวครับ”
การศึกษาอย่างต่อเนื่อง และการฝึกอบรมพนักงานเพื่อให้แน่ใจว่าพวกเขาเข้าใจว่าข้อมูลสามารถ และไม่สามารถจัดการได้ สิ่งนี้ต้องรวมข้อมูลเกี่ยวกับสิ่งที่ต้องเกี่ยวกับการใช้งาน และการจัดการกับข้อมูลส่วนบุคคล ซึ่งในแผนกนี้ข้อมูลของพนักงานภายในที่ฝึกอบรม หรือเรียนรู้ Core Knowledge ในองค์กรจะต้องถูกเก็บไว้อย่างถูกต้อง และปลอดภัยเช่นเดียวกัน
3. การจัดซื้อจัดจ้าง (Procurement)
“ชื่อบุคคลที่อยู่ในสัญญาจัดซื้อจัดจ้างเป็นข้อมูลส่วนบุคคล”
ฝ่ายจัดซื้อจัดจ้างควรตรวจสอบให้แน่ใจว่าบุคคลที่สาม (Third Party) ที่นำข้อมูลส่วนบุคคลมาใช้ในการประมวลผลข้อมูลเป็นไปตามสัญญาว่าข้อมูลได้รับการคุ้มครองไม่แบ่งปันกับผู้อื่น และมีการส่งผ่านเฉพาะข้อมูลที่จำเป็นเท่านั้น หากสูญเสียข้อมูลที่ได้รับการโจมตีจาก ransomware หรือสงสัยว่าระบบของพวกเขาถูกบุกรุกระบบเกิดขึ้น เราจะสื่อสารฐานะ Data Controller ได้อย่างไร? และถ้าหากจ้าง IT จากภายนอกผู้ให้บริการจะมีกระบวนการและระบบที่ถูกต้องเพื่อจัดการข้อมูลของคุณอย่างปลอดภัยหรือไม่?
4. ฝ่ายปฏิบัติการ (Operation)
“เป็นฟันเฟืองที่สำคัญที่จะทำให้ Comply พรบ. คุ้มครองข้อมูลส่วนบุคคลง่ายขึ้น”
ในส่วนของฝ่ายปฎิบัติการ (Operation) จะเป็นกลไลที่สำคัญ และเกี่ยวกับกับทุกแผนกที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลไม่ว่าจะเป็นข้อมูลภายในหรือว่าภายนอก ดังนั้นการทำ Compliance Checklist จะช่วยทำให้ติดตามแผนกอื่น ๆ ว่าทำตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ถึงไหนแล้ว อีกทั้งยังต้องมีการออกแบบแผนผังการไหลของข้อมูล (Data Mapping) ที่ง่ายต่อการให้แผนกอื่น ๆ เข้ามาอัพเดทข้อมูล และเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
5. การตลาด และการขาย (Marketing & Sales)
“สื่อสาร และสร้างความเชื่อมั่นให้แก่ลูกค้าว่าข้อมูลส่วนบุคคลที่เก็บไว้จะปลอดภัย และ Comply PDPA”
ในส่วนพนักงานที่ทำงานเกี่ยวกับการตลาดจะเป็นส่วนหน้าด่านแรกในการขอความยินยอมเก็บข้อมูลส่วนบุคคลลูกค้า ไม่ว่าจะเป็นช่องทางไหน และสร้างความมั่นใจว่าข้อมูลส่วนตัวที่องค์กรเก็บไว้ ปฎิบัติตาม PDPA
นอกจากนี้ การทำลายข้อมูลส่วนบุคคลก็เป็นสิ่งที่สำคัญเช่นเดียวกัน ต้องทำแน่ใจว่าข้อมูลที่ถูกทำลายเป็นอย่างถูกต้อง
พออ่านมีถึงตรงนี้จะรู้ว่าจริง ๆ แล้วกฎหมาย พรบ. ข้อมูลส่วนบุคคลไม่ใช่เรื่องของคน IT เท่านั้นนะครับมันเป็นสิ่งที่เกี่ยวข้องทุก ๆ คนในองค์กรที่เก็บ และใช้ข้อมูลส่วนบุคคล ซึ่งถ้าคนใดคนนึงเก็บ หรือใช้ข้อมูลส่วนบุคคลไม่ถูกต้อง ถึงแม้ว่าจะ Comply PDPA แต่สามารถทำให้เกิดความเสียหายเป็นจำนวนมหาศาลได้หากว่าเกิดเหตุการณ์ข้อมูลรั่วไหลขึ้นมานะครับ
Reference : https://www.itgovernance.co.uk/data-protection-dpa-and-eu-data-protection-regulation