รับมือกฎหมาย PDPA ด้วยการปกป้องความเป็นส่วนบุคคลที่ขับเคลื่อนด้วยเทคโนโลยี

0

ภายในงานสัมมนา TTT Virtual Summit: Enterprise Cybersecurity 2022 ที่เพิ่งจบไป คุณณัฏฐวี สกุลรัตน์ Chief Marketing Officer จาก Netka ได้ออกมาอัปเดตเรื่องการเตรียมความพร้อมขององค์กรให้ครอบคลุม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่กำลังบังคับใช้จริงในวันที่ 1 มิถุนายนนี้ รวมไปถึงแนะนำเทคโนโลยีจาก Netka ที่จะช่วยปกป้องข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพและมั่นคงปลอดภัย ดังนี้

ปัญหาที่เกี่ยวกับข้อมูลส่วนบุคคลในประเทศไทย

หนึ่งในปัญหาสำคัญที่นำไปสู่การออกกฎหมาย PDPA คือ การที่ข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ โดยเฉพาะในปัจจุบันที่ข้อมูลต่างๆ ถูกแปลงให้อยู่ในรูปดิจิทัลมากขึ้น ซึ่งข้อมูลส่วนบุคคลสามารถหลุดออกไปได้หลากหลายช่องทางโดยบางครั้งเจ้าของข้อมูลก็ไม่รู้ตัว เช่น การโพสต์ข้อมูลส่วนบุคคลลงสื่อสังคมออนไลน์ การใช้บริการแอปพลิเคชันต่างๆ แล้วกดตกลงให้ความยินยอมในการให้ข้อมูลเองโดยไม่อ่านรายละเอียด การโดนแฮ็กหรือเจาะขโมยข้อมูล การถูกหลอกลวงด้วยวิธีต่างๆ เช่น Phishing เป็นต้น

การรั่วไหลหรือขโมยข้อมูลส่วนบุคคลอาจนำไปสู่ความเสียหายดังต่อไปนี้

  • ถูกนำไปใช้ในทางผิดกฎหมาย เช่น เลขบัตรประชาชนถูกนำไปใช้เปิดบัญชีเพื่อฉ้อโกงผู้อื่น คลิปส่วนตัวถูกข่มขู่แบล็กเมล เป็นต้น
  • โดนจารกรรมทางการเงิน ไม่ว่าจะเป็นการใช้หมายเลขบัตรเครดิตไปซื้อสินค้า หรือโอนเงินจากบัญชีธนาคาร
  • ถูกนำไปทำการตลาดต่อ ส่งผลให้เจ้าของข้อมูลถูกรบกวนด้วยโฆษณา ขายสินค้าและบริการต่างๆ
  • ถูกปลอมแปลงตัวตน แล้วเอาไปแอบอ้างทำเรื่องเสียหายหรือผิดกฎหมาย

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

เพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนไทย ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ รวมไปถึงข้อมูลอื่นๆ ที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ ทั้งในรูปแบบเอกสาร กระดาษ หนังสือ หรืออิเล็กทรอนิกส์ กฎหมาย PDPA จึงถูกพัฒนาและเตรียมบังคับใช้งานอย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2022 นี้

หลักสำคัญของกฎหมาย PDPA สามารถสรุปได้เป็น 6 ประเด็น ดังนี้

  1. เจ้าของข้อมูลมีสิทธิ์ลบ เพิ่ม ห้าม แก้ไข และเข้าถึงข้อมูลส่วนบุคคลของตัวเองได้
  2. ต้องให้ความสะดวกในการขอเพิกถอนสิทธิ เช่นเดียวกับตอนที่ขอข้อมูลมาจากเจ้าของข้อมูลในตอนแรก
  3. เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น ตามวัตถุประสงค์ในการขอข้อมูลมา
  4. เมื่อพบข้อมูลรั่วไหล ต้องแจ้งเจ้าของข้อมูลและผู้ที่เกี่ยวข้องทั้งหมดภายใน 72 ชั่วโมง
  5. ต้องมีผู้ดูแล รับผิดชอบ และควบคุมข้อมูลส่วนบุคคล
  6. โทษปรับสูงสุดไม่เกิน 5,000,000 บาท โดยอาจมีความผิดทั้งทางอาญาและทางแพ่ง ไม่ว่าจะเป็น Data Controllers หรือ Data Processors

สำหรับผู้ที่เกี่ยวข้องในกฎหมาย PDPA สามารถดูได้ตามรูปด้านล่าง

8 ขั้นตอนการเตรียมความพร้อมขององค์กรก่อน PDPA ประกาศใช้

Netka ได้ให้คำแนะนำสำหรับการเตรียมความพร้อมขององค์กรในภาพใหญ่ 8 ข้อ ดังนี้

  1. ทำความเข้าใจว่ากฎหมาย PDPA คืออะไร
  2. ตั้งงบประมาณ
  3. แต่งตั้งทีมรับผิดชอบ
  4. กำหนดประเภทข้อมูลและวัตถุประสงค์
  5. เตรียมข้อกำหนด แนวทางปฏิบัติในการปกป้องข้อมูลตามที่กฎหมายกำหนด
  6. สร้างความตระหนักรู้ให้กับเจ้าของข้อมูลและประชาสัมพันธ์ให้กับบุคลากรที่เกี่ยวข้อง
  7. พัฒนาทักษะและกระบวนการตรวจสอบ
  8. ปรับปรุงกระบวนการและออกแบบให้เหมาะสมกับการคุ้มครองข้อมูงส่วนบุคคลอยู่เสมอ

สำหรับขั้นตอนในการรับมือกฎหมาย PDPA โดยละเอียด Netka ได้แบ่งออกเป็น 5 ขั้นตอน คือ

1. Data Discoveryค้นหาและตรวจสอบข้อมูลส่วนบุคคล
2. Privacy Policyกำหนดการใช้หรือการประมวลผลข้อมูลส่วนบุคคล
3. Security Measurementวางมาตรการด้านความมั่นคงปลอดภัยสำหรับปกป้องข้อมูลส่วนบุคคล
4. Data Transferวางระบบการบริหารจัดการ การส่ง หรือเปิดเผยข้อมูลส่วนบุคคล
5. DPOแต่งตั้งผู้กำกับดูแลข้อมูลส่วนบุคคล

PDPA in Action

เมื่อนำกฎหมาย PDPA มาแปลงให้อยู่ในระบบสารสนเทศ จะประกอบด้วย 3 ส่วนหลัก คือ Data Subject Request, Front-end (DPO) และ Back-end System ซึ่งแต่ละส่วนมีองค์ประกอบย่อยดังนี้

Netka นำเสนอโซลูชัน Netka Data Privacy & Protection (NDPP) ที่จะเป็นตัวช่วยให้การปรับใช้ข้อบังคับทางกฎหมาย PDPA ให้อยู่ในรูปแบบของเทคโนโลยี (PDPA Compliance Tool) ช่วยให้องค์กรของคุณสามารถปฏิบัติตาม PDPA ได้อย่างครอบคลุม โดย NDPPให้บริการในส่วน Front-end ได้แก่ Consent Management, Cookie Management, Privacy Policy Management, Request/Case Management และ Audit Report

ทั้งยังเพิ่มศักยภาพด้วยระบบ Automation ผ่านการใช้ Workflow มาเสริมการทำงานในการปรับปรุง แก้ไข และเชื่อมต่อกับระบบ Back-end เช่น Data Discovery, Data Masking, DLP, IRM, Database Firewall, Database Encryption ให้ทำงานร่วมกันอย่างอัตโนมัติ ลดภาระของผู้ดูแลระบบที่ต้องรับผิดชอบงานในส่วนนี้

ดูรายละเอียดเพิ่มเติมเกี่ยวกับ Netka Data Privacy & Protection ได้ที่ https://pdpa.netkasystem.com/

ผู้ที่สนใจเกี่ยวกับ PDPA สามารถรับชมวิดีโอการบรรยายเรื่อง “รับมือกฎหมาย PDPA ด้วยการปกป้องความเป็นส่วนบุคคลที่ขับเคลื่อนด้วยเทคโนโลยี” โดยคุณณัฏฐวี สกุลรัตน์ Chief Marketing Officer จาก Netka ภายในงานสัมมนา TTT Virtual Summit: Enterprise Cybersecurity 2022 ที่เพิ่งจัดไปเมื่อวันที่ 26 – 28 เมษายน ได้ที่นี่