วิธีดูแลข้อมูลส่วนบุคคล ให้ปลอดภัย ตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล PDPA ฉบับปี 2021

ใกล้เข้ามาแล้วกับการประกาศใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)
แบบเต็มรูปแบบในปี 2564 นี้ หลายคนเริ่มเข้าใจถึงสาระสำคัญในการปฏิบัติตามกฎหมายนี้
และเริ่มนำไปปรับใช้กันในองค์กรบ้างแล้ว

แต่หลายคนอาจจะยังไม่รู้ว่า แล้วเราจะดูแลอย่างไรให้ข้อมูลส่วนบุคคลของเราปลอดภัยจริง
วันนี้เราจึงจะมาทำความเข้าใจเพิ่มเติมเกี่ยวกับวิธีดูแลข้อมูลส่วนบุคคลให้ปลอดภัย
เพื่อที่จะได้ปฏิบัติตามกฎหมายกันอย่างถูกต้อง

อย่างแรกเราต้องเข้าใจก่อนว่า ข้อมูลส่วนบุคคล ได้แก่อะไรบ้าง

ข้อมูลที่เป็นข้อมูลส่วนบุคคล  เป็นข้อมูลที่สามารถระบุตัวตนของเจ้าของข้อมูลได้
ทั้งแบบ online และ offline ในทางตรงและทางอ้อม ได้แก่

  • ชื่อ-นามสกุล
  • ที่อยู่
  • เบอร์โทรศัพท์
  • E-mail
  • รูปถ่าย
  • เลขบัตรประชาชน
  • วันเกิด
  • เชื้อชาติ
  • อายุ
  • ประวัติการทำงาน
  • ข้อมูลสุขภาพ
  • ข้อมูลด้านการเงิน
  • Biometric (เช่น ลายนิ้วมือ)
  • ความคิดเห็นต่างๆ
  • อื่นๆ

ส่วนข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคล ได้แก่

  • เลขทะเบียนบริษัท
  • ข้อมูลติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล
  • ข้อมูลผู้ตาย

หากองค์กรต้องการนำข้อมูลไปใช้ไม่ว่าจะด้วยจุดประสงค์ใดก็ตาม
ต้องได้รับความยินยอมจากข้อมูลก่อนเสมอ โดยต้องทำการขอคำยินยอม
(Consent) อย่างถูกต้องและชัดเจน

หลังจากเราทราบประเภทของข้อมูลส่วนบุคคลไปเบื้องต้นแล้ว
ทีนี้เรามารู้จักวิธีดูแลข้อมูลส่วนบุคคลให้ปลอดภัยตามหลัก PDPA กันเลย
ซึ่งการดูแลข้อมูลส่วนบุคคลที่ปลอดภัยสามารถทำได้หลายวิธีดังนี้

  1. Encryptionปกป้องข้อมูลที่พบด้วยการเข้ารหัสและกำหนดนโยบายรักษาความปลอดภัย
  2. Access Controlการกำหนดสิทธิการเข้าถึงข้อมูล เพื่อไม่ให้คนที่ไม่เกี่ยวข้องเข้าถึงข้อมูลนั้นๆได้ เช่น การกำหนดสิทธิให้แค่ฝ่าย HR สามารถเข้าถึงข้อมูลของพนักงานได้ ส่วนฝ่ายบัญชีสามารถเข้าถึงได้เฉพาะข้อมูลเงินเดือนของพนักงาน หากฝ่ายบัญชีต้องการเข้าถึงข้อมูลส่วนอื่นๆของพนักงานก็จะไม่สามารถเสดงข้อมูลได้ครบถ้วน (Data Masking) ซึ่งขึ้นอยู่กับการตั้งนโยบายของบริษัท เป็นต้น
  3. ติดตามการใช้งานข้อมูลและแอปพลิเคชันบนระบบคลาวด์ของผู้ใช้หากใครใช้ Windows จะสามารถเข้าใช้ Microsoft 365 ที่มีชุดเครื่องมือสามารถ ติดตาม ตรวจสอบ และป้องกัน การใช้งานไฟล์ที่มีข้อมูลส่วนตัวไปใช้งานบนแอปพลิเคชันบนระบบคลาวด์อื่นๆ ที่ไม่ใช่ขององค์กรได้
  4. มีการระบุความเสี่ยงโดยองค์กรควรร่างนโยบายเกี่ยวกับ Data Privacy/Data Protection Impact Assessment และ Risk Assessment เพื่อเป็นมาตรการในการวางแผนป้องกันข้อมูลและรองรับในกรณีที่ข้อมูลเกิดการรั่วไหล
  5. มีระบบ Monitoringสำหรับ Monitor พฤติกรรมการใช้งานของ user ในระบบ ถ้าหากมีพฤติกรรมการใช้งานที่ผิดปกติ ระบบควรมีการแจ้งเตือนให้ผู้ดูแลระบบทราบ
  6. จัดอบรมเกี่ยวกับการดูแลรักษาความปลอดภัยของข้อมูลในองค์กรให้กับพนักงานที่เกี่ยวข้องกับข้อมูลโดยตรงทั้งในรูปแบบ IT และ Non-IT
  7. ทำลายข้อมูลส่วนบุคคลที่ไม่ใช้แล้วอย่างถูกต้องเนื่องจากหลายองค์กรจะมีข้อมูลที่ค่อนข้างมากอยู่ในระบบ และมักจะมีข้อมูลที่ไม่ใช้แล้วหลงเหลืออยู่โดยที่คิดว่าการกดลบหรือ ลบลงRecycle Bin จะทำให้ลบข้อมูลส่วนบุคคลออกไปหมดได้ไม่ว่าจะเป็น ข้อมูลลูกค้า ข้อมูลพนักงานที่ลาออกไปแล้ว หรือข้อมูลความลับองค์กรก็ตาม

แต่!!?

เพียงแค่การกดลบออกจากถังขยะ หรือการ Format ข้อมูลยังไม่สามารถเคลียข้อมูลออกไปหมดได้ ซึ่งหากข้อมูลส่วนบุคคลหรือข้อมูลสำคัญขององค์กรเหล่านี้ตกไปอยู่ในมือของผู้ไม่หวังดี อาจสร้างความเสียหายในเชิงธุรกิจของคุณอย่างมหาศาล

ซึ่งการทำลายข้อมูลควรเลือกหน่วยงานเฉพาะด้านหรือ Third Party ที่ดูแลจัดการข้อมูลอย่างปลอดภัย และควรเป็นหน่วยงานที่เชื่อถือได้ มีมาตรการจัดการข้อมูลส่วนบุคคลเหล่านั้นอย่างปลอดภัย ได้มาตรฐานตามที่กฎหมายกำหนด รวมถึงมีหลักฐานการทำลายข้อมูลที่ชัดเจนให้กับองค์กรด้วยนะคะ

=======================

IDENMATIC Digital Door Lock

Live your life

Website :  http://www.idenmatic.com

Facebook :  http://www.facebook.com/Idenmatic.Thailand/

#liveyourlife #ชีวิตแค่ออกไปใช้

#Digital door lock #กลอนประตูดิจิตอล #smartdoorlock #ดิจิตอลดอร์ล๊อค