จริงหรือไม่? กับคำกล่าวที่ว่า องค์กรใดสามารถสร้าง PDPA Security Awareness ได้จะช่วยให้โครงการ PDPA ภายในองค์กรยั่งยืน?
คำตอบเดียวของคำถามนี้คือ จริง
เพราะเมื่อใดที่บุคลากรในองค์กรมีความเข้าใจความสำคัญของข้อมูลส่วนบุคคลแล้ว ระบบของความรู้และความเข้าใจจะเกิดขึ้นในองค์กร และจะเอื้อให้เกิดการสร้างการตระหนักรู้ในการใช้ข้อมูลส่วนบุคคลได้ ผลในระยะยาวหรือความยั่งยืนก็คือ พนักงานในองค์กรตระหนักรู้และเห็นความสำคัญโดยพร้อมเพรียงกัน การตระหนักรู้จะเกิดขึ้นในกระบวนการทำงานได้อัตโนมัติ
บทความนี้เราพาทุกคนมาทำความเข้าใจ ข้อดีของการสร้างการตระหนักรู้เรื่องการคุ้มครองข้อมูลส่วนบุคคล ในองค์กรให้ยั่งยืนด้วย PDPA Security Awareness Training
PDPA Awareness สิ่งที่ไม่ควรมองข้ามเมื่อทำโครงการ PDPA
เป้าหมายภายในของหลาย ๆ องค์กรหลังจากการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คือการทำโครงการ PDPA
ตาม Checklist ที่นิยมทำในหลาย ๆ องค์กร จัดทำ Privacy Notice และ Privacy Policy ให้สำเร็จตรงตามที่กฎหมายกำหนด ในบางองค์กรจะมุ่งไปที่การเฟ้นหาเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) จัดเตรียมแพลตฟอร์มเพื่อรองรับการใช้สิทธิของลูกค้า หรือพัฒนาโปรแกรมเพื่อตรวจสอบการรั่วไหลของข้อมูล (Data Leak) แต่ทราบหรือไม่ว่าโครงการ PDPA ต่อให้ทำจนครบก็เหมือนขาด และความพยายามเหล่านี้อาจกลายเป็นศูนย์หากยังขาดการทำความเข้าใจหรือการตระหนักรู้ของคนภายในองค์กร
สิ่งสำคัญในการทำให้โครงการ PDPA และการบังคับใช้นโยบายให้ยั่งยืน นอกจากการจัดทำโครงการเพื่อรองรับกิจกรรมการใช้ข้อมูลของผู้ใช้บริการ หรือบุคคลภายนอก อย่างเดียวคงไม่เพียงพอ การสร้างความยั่งยืนภายในองค์กร โดยการสื่อสารแนวปฏิบัติ และการสร้างการตระหนักรู้ให้ทุกแผนก ทุกภาคส่วน เห็นความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลอย่างพร้อมเพรียงกัน เป็นสิ่งที่ควรเกิดขึ้นควบคู่กันด้วย
เพราะเมื่อใดที่ความเข้าใจและความสามารถในการตระหนักรู้ ค่อย ๆ แทรกซึมเข้าไปในกระบวนการทำงาน พนักงานจะตระหนักรู้ได้เองว่า กิจกรรมใดในแผนก กิจกรรมใดในองค์กรที่มีการใช้ข้อมูลส่วนบุคคล นอกจากพนักงานจะเข้าใจและตระหนักในการใช้ข้อมูลส่วนบุคคลในองค์กรตนเองแล้ว จะเกิดการตระหนักรู้เรื่องการใช้ข้อมูลส่วนบุคคลในชีวิตประจำวันของแต่ละคนด้วย
PDPA Security Awareness สำคัญต่อพนักงานในองค์กรอย่างไร

เหตุที่ต้องมีการสร้าง Awareness หรือการตระหนักรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นเพราะบุคลากรของแผนกต่าง ๆ ภายในองค์กร ต่างก็มีบทบาทในการเก็บ ใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยแฝงอยู่ในหลาย ๆ รูปแบบตามรูปแบบกิจการขององค์กร เช่น วิเคราะห์ข้อมูลเพื่อปรับปรุงผลิตภัณฑ์/บริการ สรุปรายงานต่าง ๆ การเพิ่มข้อมูลพนักงานใหม่ลงในระบบของฝ่ายบุคคล การสื่อสารแคมเปญการตลาดไปยังลูกค้า ซึ่งพนักงานผู้มีหน้าที่รับผิดชอบ
จะต้องใช้ข้อมูลส่วนบุคคลที่จัดเก็บไว้ มาขับเคลื่อนกิจกรรมนั้น ๆ อ่านเพิ่มเติมเกี่ยวกับ Security Awareness
นอกจากเหตุผลข้างต้นแล้ว สาเหตุที่องค์กรยังต้องคำนึงถึง PDPA Security Awareness เพราะถือเป็นการการปฏิบัติตามประกาศของ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ที่ได้ระบุไว้ในประกาศในข้อที่ 4 โดยมีใจความดังต่อไปนี้

เป้าหมายของข้อบังคับในประกาศนี้ คือ พนักงานในฐานะผู้เก็บ ใช้หรือเปิยเผยข้อมูลส่วนบุคคล มีความจำเป็นต้องรู้และเข้าใจ การคุ้มครองข้อมูลส่วนบุคคล เพื่อปกป้อง ข้อผิดพลาดที่อาจเกิดจากการกระทำของมนุษย์ (Human Error) ซึ่งเมื่อเกิดข้อผิดพลาดขึ้น จะส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล และส่งกระทบต่อภาพลักษณ์หรือผลประโยชน์ขององค์กร ตัวอย่าง Human Error ได้แก่
การนำเอกสารที่มีข้อมูลส่วนบุคคลไปรีไซเคิล โดยการขายให้ผู้รับซื้อ จากนั้นก็มีการนำไปใช้ห่ออาหาร หรือนำไปใช้เป็นหีบห่อผลิตภัณฑ์
การใช้ข้อมูลที่ผิดวัตถุประสงค์โดยพนักงานในองค์กรเอง เช่นพนักงานร้านสะดวกซื้อใช้เบอร์โทรศัพท์จากข้อมูลขององค์กรเพื่อวัตถุประสงค์เชิงชู้สาว
เก็บข้อมูลลูกค้า บนพื้นที่ Cloud ส่วนตัว เสี่ยงที่ข้อมูลจะเกิดการรั่วไหล
เกิดการโจรกรรมขโมยข้อมูลเพราะรหัสผ่านที่หละหลวม ไม่รัดกุม ทำให้ไวรัส/ มัลแวร์เจาะเข้าฐานข้อมูลได้ง่าย
พนักงานในองค์กรกระทำการทุจริตด้วยการโจรกรรมข้อมูลของลูกค้าในองค์กรไปขาย
พนักงานอาจถูกคุกคามด้วยฟิชชิ่งอีเมลหรือ SMS ที่ล่อลวงให้เหยื่อกระทำการบางอย่างเพื่อติดตั้งมัลแวร์ที่จะสามารถขโมยข้อมูลความลับในอนาคต หรือหลอกให้เหยื่อเป็นคนเปิดเผยข้อมูลความลับด้วยตัวเอง
อ่านกรณีตัวอย่างกรณีการกระทำผิด PDPA เพิ่มเติม
กรณีของอิออนธนสินทรัพย์
กรณีการก่ออาชญากรรมทางอีเมลที่พุ่งเป้าพนักงานในองค์กรเป็นหลักทั้งหมดนี้ล้วนเป็นกรณีที่เกิดขึ้นจริงแล้วทั้งสิ้น เป็นการกระทำทก่อให้เกิดความเสียหายต่อภาพลักษณ์ของบริษัท
อีกทั้งยังเป็นความผิดตามกฎหมาย PDPA และมีบทลงโทษระบุไว้อย่างชัดเจน
โครงการ PDPA มีนโยบายอย่างเดียวไม่พอ
จะเห็นว่าการทำโครงการ PDPA ในองค์กรอย่างเดียว อาจไม่เพียงพอในการป้องกันข้อผิดพลาดที่เกิดจากความไม่เข้าใจ การติดตั้งโปรแกรมหรืออุปกรณ์เข้ามาช่วยแก้ปัญหานี้ ก็อาจจะมีค่าใช้จ่ายและการดำเนินการที่ยุ่งยาก
วิธีการป้องกันที่ยั่งยืนที่สุด คือการสร้างความเข้าใจ สร้างการตระหนักรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้กับพนักงานทุกภาคส่วนขององค์กร เพราะนอกจากจะช่วยให้โครงการ PDPA ขององค์กรมีประสิทธิภาพ ยับยั้งข้อผิดพลาดอันเกิดจากความไม่เข้าใจ ในอนาคตเมื่อมีการประกาศใช้กฎหมายพิเศษหรือกฎหมายลูก การสร้างความเข้าใจให้กับพนักงานก็จะเป็นสิ่งที่ง่ายขึ้น การสร้างการตระหนักรู้ ควบคู่ไปกับการประกาศแนวทางการปฏิบัติขององค์กรในการคุ้มครองข้อมูลส่วนบุคคล จึงเป็นสองปัจจัยสำคัญที่ควรเกิดขึ้นพร้อม ๆ กัน
ในหัวข้อถัดไป เราจะพาทุกท่านไปทำความเข้าใจประโยชน์และข้อควรระวัง ในการทำ PDPA Security Awareness Training และเนื้อหาเกี่ยวกับ PDPA ที่พนักงานควรรู้
ประโยชน์และข้อควรระวังในการ PDPA Security Awareness Training
มาดูกันว่า หากองค์กรมีการทำ PDPA Security Awareness Training แล้วผลที่เกิดประโยชน์ต่อผู้ปฏิบัติงานในองค์กร
มีอะไรบ้าง และอะไรที่องค์กรต้องระมัดระวัง หากกำลังจะจัดเทรนนิ่งด้วยตนเอง
ประโยชน์ต่อองค์กร
Get Everyone on the same page
พนักงานในองค์กรเห็นภาพเดียวกัน เกิดความเข้าใจและตระหนักรู้ถึงความสำคัญของข้อมูลส่วนบุคคลทั้งในระดับพนักงานและองค์กรDevelop privacy focused culture สร้างวัฒนธรรมการตระหนักรู้ เกี่ยวกับข้อมูลส่วนบุคคล
Reduce Threats & Protect asset ลดความเสี่ยงจากภัยคุกคามต่าง ๆ ปกป้องข้อมูลส่วนบุคคลซึ่งเป็นทรัพยากร
ที่ล้ำค่าขององค์กรEnsure compliance ถือเป็นการปฏิบัติตามที่กฎหมาย PDPA และประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม มีหลักฐานเกี่ยวกับการปฏิบัติตามกฎหมาย เมื่อมีการตรวจสอบย้อนหลัง
Collect risk data by driving awareness ป้องกันความเสี่ยงที่เกี่ยวกับ Privacy Risk ความเสี่ยงด้านการละเมิด
ใช้ผิดวัตถุประสงค์Cyber Security Risk ความเสี่ยงที่ข้อมูลจะรั่วไหลออกจากองค์กรอย่างยั่งยืน
ฝ่ายการตลาดขององค์กรที่ทำงานโดยตรงลูกค้า จะตระหนักรู้ถึงความสำคัญของเกี่ยวกับการรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของลูกค้า ลดการเก็บข้อมูลส่วนบุคคลที่ไม่จำเป็น
แผนก HR หรือฝ่ายทรัพยากรบุคคล ตระหนักรู้ว่าต้องเก็บ ใช้ รวมรวมข้อมูลอย่างไรให้ปลอดภัยต่อข้อมูลของพนักงานในองค์กร ตระหนักถึงความปลอดภัยของข้อมูลส่วนบุคคลภายในบริษัท เมื่อมีการส่งต่อข้อมูลให้กับหน่วยงานภายนอก อาทิ สำนักงานประกันสังคม บริษัทประกัน เป็นต้น
อ่านประโยชน์ของการทำ PDPA Security Awareness Training เพิ่มเติมที่นี่
ข้อควรระวังสำหรับองค์กร
หากองค์กรวางแผนดำเนินจัดเทรนนิ่งด้วยตนเอง จะต้องมั่นใจในความรู้ ความเข้าใจเกี่ยวกับข้อกฎหมาย PDPA และกฎหมายที่เกี่ยวข้องที่จะนำมาถ่ายทอด ต้องระมัดระวังการตีความกฎหมายอันจะนำไปสู่ความเข้าใจที่คลาดเคลื่อน
ค่าใช้จ่ายจากการซื้อคอร์สอบรม Webinar หรือการว่าจ้างทีมวิทยากรเพื่อจัดเทรนนิ่ง มักมีค่าใช้จ่ายที่สูง จึงจำเป็นต้องศึกษาและทำความเข้าใจเงื่อนไขของคอร์ส Webinar หรือทีมวิทยากรที่จะมาทำหน้าที่อบรมให้ความรู้แก่คนในองค์กร เปรียบเทียบราคา เนื้อหา ความเชี่ยวชาญและบริการหลังการขายอย่างถี่ถ้วน
เวลาที่เหมาะสมในการจัดเทรนนิ่ง เนื่องจากเนื้อหา PDPA เป็นเนื้อหาใหม่ ซึ่งต้องใช้ระยะเวลาในการทำความเข้าใจ และหากองค์กรมีพนักงานจำนวนมาก การจัดอบรมอาจใช้ระยะเวลานาน หรือจำเป็นต้องจัดอบรมนอกเวลาการทำงาน พนักงานอาจสูญเสียเวลาส่วนตัวได้
การวัดประเมินความรู้ความเข้าใจ ข้อควรพิจารณาเมื่อซื้อคอร์สอบรม Webinar หรือว่าจ้าง Outsource ภายนอก คือการอบรมในลักษณะนี้ มักเน้นไปที่การบรรยายให้ความรู้ตลอดทั้งวัน ส่วนน้อยที่จะมีการจัดการบรรยายควบคู่กับการปฏิบัติ และเมื่อสิ้นสุดการบรรยายมักไม่มีการวัดประเมินความรู้ความเข้าใจของผู้เข้าฟัง ซึ่งอาจทำให้ผู้เข้าฟัง ไม่ได้รับข้อมูลที่ครบถ้วน หรือมองไม่เห็นภาพรวมของกฎหมาย PDPA อย่างที่ควรจะเป็น
จากประโยชน์และข้อควรระวังข้างต้น จะเห็นว่าการจัด เทรนนิ่งในหัวข้อดังกล่าว ต่างก็มีข้อดีต่อโครงการ PDPA ขององค์กร เป็นประโยชน์ต่อพนักงานของบริษัท ขณะเดียวกัน หากองค์กรวางแผนที่จะดำเนินการจัดเทรนนิ่ง อาจต้องคิดค้นแนวทางเพื่อรองรับกับความท้าทายที่เกิดจากการจัดอบรมให้ความรู้ด้วย เมื่ออ่านมาถึงตรงนี้ หลายท่านคงได้ทราบถึงอรรถประโยชน์ของการจัดอบรมให้ความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และเกิดคำถามว่า หากองค์กรต้องการจัดเทรนนิ่ง ด้วยตนเอง จะต้องเริ่มอย่างไร? ควรมีเนื้อหาอะไรบ้าง? เพื่อให้ครอบคลุมเรื่องที่พนักงานควรรู้ และสอดคล้องกับประกาศฯ ที่กำหนดมา หาคำตอบได้ในหัวข้อถัดไป
t-reg Guideline: แนวทาง & เนื้อหาที่ควรอยู่ใน PDPA Security Awareness Training
หัวข้อนี้ t-reg จะขอแชร์ Guidline เริ่มต้นสำคัญในการจัดเทรนนิ่งและขอบเขตของเนื้อหาที่ควรอยู่ในการเทรนนิ่ง
เริ่มอย่างไร?
เริ่มแรก องค์กรต้องเตรียมแผนการอบรมให้ความรู้ โดยเริ่มจากตั้งทีมทำงานที่รับผิดชอบกิจกรรมการอบรมให้ความรู้ขึ้นมา
ขั้นที่หนึ่ง Set Goal โดยตั้งวัตถุประสงค์ของกิจกรรมการอบรมให้ความรู้ และออกแบบแผนการอบรม
จากนั้นเริ่มการวางกลยุทธ์ของเนื้อหา พัฒนาแผนการอบรมและเครื่องมือ
เมื่อเนื้อหาและทีมงานมีความพร้อม ทำการกระจายข้อมูล จัดการอบรมให้ความรู้แก่พนักงานตามแผน
- สุดท้ายคือ การวัดผลการดำเนินงาน วัดประเมินความรู้ความเข้าใจภายหลังการจัดอบรม
มีเนื้อหาอะไรบ้าง?
แนะแนวเนื้อหาในการจัดเทรนนิ่งสำหรับพนักงานทั่วไปในองค์กร
Why privacy is important ความสำคัญของความเป็นส่วนตัว
PDPA Objective วัตถุประสงค์ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
หน้าที่หลักของ DATA Controller หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล
ทำไมต้องขอความยินยอม ความจำเป็นในการขอ Consent
ข้อยกเว้นการขอความยินยอม กรณีที่ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
อะไรคือข้อมูลส่วนบุคคล และข้อยกเว้น (ม. 24)
อะไรคือข้อมูลอ่อนไหวสูง และข้อยกเว้น (ม. 26)
Data Subject Right สิทธิตามกฎหมายของเจ้าของข้อมูลส่วนบุคคล
Data Processer การส่งต่อข้อมูลให้กับองค์กรภายนอกเพื่อทำการประมวลผลต่อ
- บทลงโทษตามกฎหมาย เมื่อเกิดการกระทำผิดจากการเก็บ ใช้และเผยแพร่ข้อมูลส่วนบุคคล
"Data Security Foundation" Next Step หลังจากมี PDPA Security Awareness
ขั้นตอนและเนื้อหาที่กล่าวไปข้างต้น เป็น Guidline เริ่มต้นที่องค์กรสามารถนำไปปรับใช้ เพิ่ม/ ลด หรือพัฒนาให้ดียิ่งขึ้นได้ ตามขนาดและนโยบายของแต่ละองค์กร หลักการสำคัญที่เน้นยำเสมอในบทความนี้คือ นิเวศน์ของความรู้และความเข้าใจที่เกิดขึ้นในองค์กร จะเอื้อให้เกิดการสร้างการตระหนักรู้ในการใช้ข้อมูลส่วนบุคคล และเป็นการปูทางเพื่อให้เกิดการตระหนักรู้เรื่องการคุ้มครองข้อมูลส่วนบุคคลอย่างยั่งยืน หากองค์กรของท่าน ได้ทำการอบรมให้ความรู้เกี่ยวกับกฎหมาย PDPA อย่างครบถ้วน และบรรลุเป้าหมายในการสร้างแห่งการตระหนักรู้เรื่องการคุ้มครองข้อมูลส่วนบุคคลอย่างยั่งยืนแล้ว ขั้นตอนถัดไปที่ควรมีการพัฒนาให้ต่อเนื่องกัน คือการสร้างความรู้ความเข้าใจเรื่อง Data Security Foundation หรือระบบดูแลความปลอดภัยของข้อมูลส่วนบุคคล
เหตุที่องค์กรต้องมี Data Security Foundation
PDPA Security Awareness เปรียบได้กับการให้ความรู้แก่คนในบ้าน ทว่า Data Security Foundation จะเป็นระบบที่รักษาข้อมูลของคนในบ้าน ไม่ให้โจรหรือบุคคลอื่น ฉกฉวยข้อมูลของคนในบ้านเราไป ด้วยเหตุนี้ระบบดูแลความปลอดภัยของข้อมูลจึงเป็นเรื่องที่ต้องพัฒนาไปพร้อมกับการสร้างความเป็นส่วนตัว การสร้างความเข้าใจ เพราะถึงแม้ว่าบริษัทหรือองค์กรของคุณจะมี Privacy Notice มี Privacy Policy แล้ว แต่ยังไม่มี Security Foundation ข้อมูลส่วนบุคคลในบริษัท ก็อาจจะยังเสี่ยงต่อการโจรกรรมหรือคุกคามจากอาชญากรทางไซเบอร์ ดังนั้น โครงการ PDPA ในองค์กรจะประสบความสำเร็จ
อย่างยั่งยืนได้ ต้องอาศัยระบบความรู้ความเข้าใจ และ ระบบรักษาความปลอดภัยข้อมูลที่มีประสิทธิภาพ
สรุปภาพโครงการ PDPA ยั่งยืน จากการตระหนักรู้สู่ระบบรักษาความปลอดภัยข้อมูล
หากองค์กรเห็นถึงความสำคัญของการทำโครงการ PDPA ที่ไม่ใช่เพียงแค่การดำเนินงานให้สอดคล้องกับกฎหมาย แต่มองลึกลงไปถึงอรรถประโยชน์ของการส่งต่อองค์ความรู้ให้กับพนักงาน จะเห็นความสำคัญของการทำ PDPA Security Awareness Training ภายในองค์กร
เมื่อเห็นความสำคัญแล้ว การจัดอบรมให้ความรู้แก่พนักงานในองค์กร อาจเกิดขึ้นอย่างค่อยเป็นค่อยไปได้ เริ่มจากการตั้งเป้าหมายหรือภาพที่อยากให้เกิดขึ้นในองค์กร หากองค์กรต้องการจัดการอบรมด้วยตนเอง ตามด้วยการแต่งตั้งคณะทำงานขึ้นมาเพื่อพัฒนาในส่วนนี้โดยเฉพาะ หรือหากมีความต้องการว่าจ้าง Outsource ภายนอก ก็ควรมีการศึกษาจุดแข็งของ Outsource แต่ละแห่งให้ตรงกับเป้าหมายขององค์กร ขณะเดียวกันก็ต้องมีความคุ้มค่าทั้งราคาและระยะเวลาในการอบรม
เมื่อเกิดติดอาวุธให้กับพนักงานในองค์กรแล้ว ให้ต่อยอดองค์ความรู้ไปสู่การพัฒนาระบบรักษาความปลอดภัยข้อมูล เพื่อเพิ่มกำแพงความปลอดภัยให้กับข้อมูลส่วนบุคคลที่เป็นทรัพยากรอันล้ำค่า
แต่หากองค์กรยังมองภาพของการทำ PDPA Security Awareness Training ไม่ทะลุปรุโปร่ง หากองค์กรของคุณมีความต้องการจัดโครงการอบรมเอง แต่อยากได้ระบบ E-learning มาช่วยเสริมเป็นกำลังเสริมที่จะเข้ามาอุดรอยรั่วในการจัดอบรมให้ความรู้
t-reg ขอแนะนำ SECAP Security Awareness Platform แพลตฟอร์มสร้างความรู้ ความเข้าใจ เพิ่มประสิทธิภาพในการทำงานให้กับบุคลากร ด้วยสื่อที่ครบทุกเนื้อหาการเสริมสร้างความปลอดภัย รู้เท่าทันระวังภัยคุกคาม พร้อมแบบประเมิน เพื่อวิเคราะห์ความเสี่ยงที่อาจเกิดขึ้นจากบุคลากรในองค์กรคุณ ดูรายละเอียดเพิ่มเติมได้ที่ secap.co