5 คำถามที่ควรถามตัวเองก่อนเริ่มใช้จริงกับ PDPA

   

1. คุณรู้หรือไม่ว่าคุณจัดเก็บข้อมูลส่วนบุคคล และข้อมูลที่ละเอียดอ่อนไว้ที่ไหน?

PDPA แนะนำแนวคิดใหม่ที่เรียกว่า Privacy by Design ซึ่งเป็นมุมมองในการทำธุรกิจว่าควรออกแบบระบบของตนอย่างไร ที่ให้ความสำคัญกับความเป็นส่วนตัวของข้อมูล ส่วนคำถามแรกที่ควรถามตัวเองเพื่อให้แน่ใจว่าองค์กรของเรานั้นมีการป้องกันที่ถูกวิธีหรือเปล่า ก็คือค้นหาว่ามีข้อมูลส่วนบุคคลและข้อมูลละเอียดอ่อนในฐานข้อมูลของเราอยู่ที่ใด

2. องค์กรของคุณมีเจ้าหน้าที่คุ้มครองส่วนบุคคล (DPO) หรือไม่?

PDPA ถือเป็นเป็นพ.ร.บ. ด้านข้อมูลที่ค่อนข้างเข้มงวดในปัจจุบัน และได้ระบุถึงหลายบทบาท เช่น ผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล และหัวเรื่องข้อมูล เพื่อให้แน่ใจว่าบริษัทปฏิบัติตามข้อกำหนดด้านกฎระเบียบทั้งหมด จึงมาซึ่งคำถามว่าองค์กรของเรามี “เจ้าหน้าที่ป้องกันข้อมูล หรือ DPO หรือไม่?” คนที่คอยช่วยเหลือผู้ควบคุมข้อมูล (ซึ่งอาจเป็น DBA ‘ผู้ดูแลระบบฐานข้อมูล‘)ฯลฯ ในขณะที่บทบาท DPO นั้นจำเป็นสำหรับองค์กรบางแห่งเท่านั้น (เว้นแต่ว่าเราสามารถแสดงให้เห็นถึงความไม่จำเป็น) แต่อย่างน้อยการมีตำแหน่งนี้อยู่ ก็อาจมีประโยชน์ในการระบุว่าใครจะเป็นผู้รับผิดชอบงานนั้นถ้าจำเป็น

3. ระบบในองค์กรของคุณได้สร้างขึ้นสำหรับระบบอัตโนมัติหรือเปล่า? และมีการคำนึงถึงความปลอดภัยของข้อมูลมากน้อยแค่ไหน?

พ.ร.บ นี้ได้มอบหมายให้ผู้ควบคุมข้อมูลดำเนินการประเมินผลกระทบและปกป้องข้อมูล เมื่อการประมวลผลข้อมูลส่วนบุคคลบางประเภทที่มีแนวโน้ม “ความเสี่ยงสูง” การประเมินแต่ละครั้งจะต้องเป็นระบบและครอบคลุมถึงกระบวนการและโปรไฟล์ขององค์กร การนำ PDPA และข้อกำหนดการควบคุมข้อมูลต่าง ๆ มาประยุกต์ใช้นั้นจะเป็นประโยชน์ในการทำให้กระบวนการค้นหาข้อมูลที่ละเอียดอ่อนในฐานข้อมูลทั้งหมดของเราโดยอัตโนมัติ

4. คุณมีการเตรียมพร้อมเพื่อที่จะรับมือต่อเหตุการข้อมูลส่วนตัวรั่วไหลหรือไม่?

มีสองวิธีหลักในการปกป้องข้อมูลส่วนบุคคล โดยใช้ Data Pseudonymisation และ Data Anonymisation Pseudonymisation จะช่วยเราลดความเสี่ยงในขั้นตอนการประมวลผลข้อมูลโดยที่สถาบันการเงินยังสามารถใช้ข้อมูลได้ประโยชน์เต็มที่แบบเท่าเดิม ส่วน Anonymization คือการทำให้เจ้าของข้อมูลเหล่านี้กลายเป็นบุคคลนิรนาม ผู้วิเคราะห์ไม่สามารถล่วงรู้ได้ว่า ก้อนข้อมูลที่กำลังวิเคราะห์อยู่นั้น แท้จริงแล้วมาจากใครบ้าง Data Anonymization เกิดขึ้นก็เพื่อปกป้องความเป็นส่วนตัวหรือข้อมูลที่เป็นความลับ ด้วยการลบ หรือเข้ารหัส ‘ตัวตน’ ของผู้เป็นเจ้าของข้อมูลเหล่านั้น หรืออาจจับกลุ่มเจ้าของข้อมูลที่มีลักษณะพื้นฐานเบื้องต้นเข้าด้วยกันเป็นกลุ่มย่อยๆ แล้วค่อยวิเคราะห์เป็นหน่วยๆ

5. คุณรู้วิธีตรวจสอบข้อมูลที่มีความเป็นไปได้ว่าอาจเกิดการรั่วไหล – เมื่อข้อมูลมีการเคลื่อนไหวตลอดเวลา?

โดยทั่วไปแล้ว ข้อมูลจะถูกเก็บไว้ในที่เดียวนั้นก็คือ ฐานข้อมูล พร้อมด้วยการสำรองไว้ในตัวกลางของระบบสื่อสารข้อมูล (Physical Media) ข้อมูลนั้นควรจะถูกจัดเก็บอยู่ในตำแหน่งที่ตั้งที่สามารถกู้คืนได้ในกรณีที่ข้อมูลสูญหาย สิ่งนึงที่ควรถามตัวเองก็คือ: คุณมีเครื่องมือตรวจสอบสำหรับระบบ HA, DR, cloud และ DevOps อยู่แล้วหรือไม่? ด้วยเครื่องมือการตรวจสอบฐานข้อมูลและเครื่องมือตรวจสอบ ก็สามารถตรวจสอบและติดตามลักษณะสำคัญของพฤติกรรมผู้ใช้รวมถึงการดำเนินงานได้ ปรับจูนองค์กรของคุณให้สอดคล้องกับกฎหมายด้วยการสร้าง Privacy Policy ที่ PDPA Pro ได้แล้ววันนี้! สร้างแบบบฟอร์มที่จะช่วยให้บริษัทของคุณรับคำขอสิทธิต่างๆ จากเจ้าของข้อมูลอย่างง่ายดาย เพียงคลิ๊ก PDPA Form