มาทำความรู้จัก Data Protection by Design & By Default กันดีกว่า

ถ้าจะพูดกันตามตรงแล้ว แนวคิด Data protection by design  ถือว่าไม่ใช่เรื่องใหม่อะไรสำหรับคนที่ปฏิบัติงานในกระบวนการทางวิศวกรรมบางสาขาและปฏิบัติเพราะระบบถูกใช้กันโดยแพร่หลาย แต่การที่เรามาให้ความสำคัญกันตอนนี้ก็ด้วยเหตุผลที่ว่าแนวทางที่กล่าวมาได้ถูกบัญญัติไว้ในกฎหมาย GDPR ที่มีผลบังคับใช้ตั้งแต่วันที่ 25 พ.ค. 2561 ที่ผ่านมา และนี่จะไม่ใช่เรื่องไกลตัวอีกต่อไป เพราะประเทศไทยเราได้นำกฎหมายแม่อย่าง GDPR มาประยุกต์ใช้ในชื่อว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA นั้นเอง องค์กรไหนที่จัดอยู่ในกลุ่มขอบเขตการทำงานที่มีกิจกรรมประมวลผลข้อมูลส่วนบุคคลรวมอยู่ด้วย ก็ควรจะต้องพึงระวัง และศึกษาแนวคิดพื้นฐานไว้ เพื่อการจัดการดูแลข้อมูลอย่างเป็นระบบ

เรามาทำความรู้จักกับสองแนวคิดพื้นฐานนี้กันดีกว่า...

1. Data Protection by Default (การคุ้มครองข้อมูลส่วนบุคคลโดยค่าเริ่มต้น)ผู้ควบคุมข้อมูล หรือ Controller มีหน้าที่ดำเนินการตามมาตรการทางเทคนิคให้กับองค์กรอย่างเหมาะสม เพื่อให้มั่นใจว่าค่าเริ่มต้นข้อมูลส่วนบุคคลเป็นไปตามวัตถุประสงค์ที่ระบุไว้เบื้องต้นเกี่ยวกับข้อมูลการประมวลว่าจะถูกประมวลในขอบเขตดังกล่าว และผู้ควบคุมอีกทั้งต้องทำให้มั่นใจได้ว่าการป้องกันข้อมูลส่วนบุคคลนั้น บุคคลที่ไม่มีสิทธ์จะไม่สามารถเข้าถึงและแทรกแซงได้

2. Data Protection by Design (การคุ้มครองข้อมูลส่วนบุคคลโดยการออกแบบ)ในปัจจุบันนี้ Data Protection by default จะเกิดขึ้นไม่ได้เลย ถ้าไม่มี Data Protection by design แนวคิดนี้จะเป็นไปในทางวางแผนมาตรการทางเทคนิคและทางการจัดการองค์กร การวางแผนจะต้องคลอบคลุมตั้งแต่ขั้นตอนแรกจนไปถึงขั้นตอนสุดท้ายของการออกแบบระบบ และการดำเนินการ ซึ่งมีหลากหลายเทคนิคที่จะช่วยป้องกันข้อมูลไม่ให้ถูกใช้จนเกินขอบเขตที่ระบุ และยังป้องกันการรั่วไหลของข้อมูลอีกด้วย ยกตัวอย่างเช่น:

• Pseudonymisation: หรือการใช้นามแฝง (ยังถือว่าเป็นข้อมูลส่วนบุคคล) เป็นขั้นตอนการจัดการข้อมูลและการใช้นามแฝงหรืออักษรอักขระย่อมาเพื่อปกป้องตัวตันของเจ้าของข้อมูล เป็นวิธีการที่จะทำให้ผู้ควบคุมบันทึกข้อมูลน้อยลง และใช้ข้อมูลที่เหมาะสมสำหรับการวิเคราะห์ข้อมูลเท่านั้น ๆ
• Data Minimalizsation: การจัดเก็บข้อมูลส่วนตัวของผู้อื่นนั้นต้องไม่เยอะเกินกว่าความจำเป็น หรือน้อยที่สุดเท่าที่จำเป็นต่อการใช้งาน อีกทั้งยังช่วยลดความเสี่ยงที่จะเกิด Data Breach หรือข้อมูลรั่วไหลจนมีความเสียหายร้ายแรงเพราะข้อมูลที่ถูกเก็บมีเฉพาะที่จำเป็นต่อการประมวล
• Encoding: การเข้ารหัส หรือการใช้ encryption ก็จะเป็นอีกทางเลือกนึงที่สามารถจำกัดการเข้าถึงข้อมูลได้
• Firewall: ติดตั้งกำแพงไฟ หรือ Firewall เป็นระบบรักษาความปลอดภัยที่จะป้องกันระบบ Network หรือเครือข่าย จากการสื่อสารทั่วไปที่ถูกบุกรุกจากผู้ที่ไม่ได้รับอนุญาต เจ้ากำแพงไฟนี้จะเป็นการกำหนดกฏเกณฑ์ในการควบคุมการเข้า-ออก หรือการควบคุมการรับ-ส่งข้อมูล ในระบบเครือข่าย นั่นเอง
• VPN (Virtual Private Network) ซอฟท์แวร์ที่ถูกสร้างขึ้นมาเพื่อปกป้องความเป็นส่วนตัวในโลกออนไลน์ และการติดตามได้ว่าเราทำอะไร และสามารถซ่อนหมายเลข IP ของเราได้อีกด้วย

ปรับจูนองค์กรของคุณให้สอดคล้องกับกฎหมายด้วยการสร้าง Privacy Policy ที่ PDPA Pro ได้แล้ววันนี้!