20 April 2021

ส่องความสำคัญของ ‘Framework’
ทางออกสู่ก้าวที่มั่นคงทางธุรกิจกับการบังคับใช้ PDPA

โดย อาจารย์ปริญญ์ เสรีพงศ์
PDPA Lead ConsultantFTPI DPO
วิทยากรที่ปรึกษา ส่วนจัดการธุรกิจเพื่อความยั่งยืน
Certified Information System Auditor (CISA) และ Certified Ethical Hacker (CEH)
…………….

ในยุคที่ข้อมูลเปรียบเสมือนกุญแจสำคัญที่สร้างความสำเร็จให้แก่ธุรกิจ ยิ่งมีข้อมูลในมือมากเท่าไร ก็ยิ่งได้เปรียบมากขึ้นเท่านั้น จึงมีการใช้และแลกเปลี่ยนข้อมูลต่าง ๆ กันอย่างกว้างขวางระหว่างธุรกิจ ไปจนถึง ‘ข้อมูลส่วนบุคคล’ ส่งผลให้เกิดการใช้ข้อมูลส่วนบุคคลอย่างไม่เหมาะสมในบางกรณี จึงเป็นที่มาของการบังคับใช้ PDPA  (Privacy Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 2562 ที่มีเป้าหมายเพื่อกำหนดกรอบการใช้งานข้อมูลส่วนบุคคล โดยคำนึงถึงความสมดุลระหว่างประโยชน์ ความจำเป็นในการใช้ข้อมูล ซึ่งไม่ใช่แค่การขอความยินยอม (Consent) แต่หัวใจสำคัญคือการรักษาความมั่นคงปลอดภัยของข้อมูลเหล่านั้น


แล้วองค์กรธุรกิจควรปรับตัวอย่างไรให้สอดคล้องกับการบังคับใช้ PDPA ?

เมื่อองค์กรต้องเริ่มบริหารจัดการข้อมูลส่วนบุคคลให้เกิดความปลอดภัย เป็นระบบ มีประสิทธิภาพ และสอดคล้องกับข้อบังคับของ PDPA การนำ Framework ที่เหมาะสมมาปรับใช้ จึงเป็นทางออกสำคัญ และเป็นที่ยอมรับอย่างแพร่หลาย ซึ่งจะช่วยลดความเสี่ยงต่อการละเมิดข้อมูลส่วนบุคคล ซึ่งนำไปสู่การร้องเรียน ฟ้องร้อง อันเป็นสิ่งที่อาจสร้างความความเสียหายทั้งชื่อเสียงและงบประมาณต่อองค์กรได้

การระบุกิจกรรมที่รวบรวมข้อมูล การใช้ข้อมูล และส่งต่อข้อมูลนั้นเป็นจุดเริ่มต้นที่ดี ทำให้ทราบว่ามีข้อมูลส่วนบุคคลอะไรบ้าง ในกิจกรรมใด และจัดเก็บไว้อย่างไร จากนั้นพิจารณาว่าการรวบรวมข้อมูลดังกล่าว มีฐานกฎหมายรองรับหรือไม่  พรบ. กำหนดฐานไว้ 7 ฐานได้แก่

ฐานกฎหมายรอรับ PDPA

หากกิจกรรมที่พิจารณาใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ของเจ้าของข้อมูล เพื่อปฏิบัติตามกฎหมาย เพื่อประโยชน์สาธารณะ  โดยทั่วไปสามารถระบุฐานประมวลผล 1-6 ข้อใดข้อหนึ่งหรือหลายข้อก็ได้  กฎหมายได้ให้สิทธิครอบคลุมความจำเป็นไว้แล้ว  ทั้งนี้หากไม่สามารถระบุได้ว่าใช้ฐานใดใน 6 ฐานข้างต้น ก็จำเป็นต้องใช้ฐานที่ 7 คือ ฐานความยินยอม (Consent)

การระบุฐานประมวลผล เป็นก้าวแรกของการบริหารจัดการข้อมูลส่วนบุคคลให้สอดคล้องตามกฎหมาย เช่นเดียวกันหากเจ้าของข้อมูลได้ให้ความยินยอม ไม่ได้แปลว่า เราจะทำอะไรกับข้อมูลนั้นได้อย่างเสรี  สิ่งที่เราทำได้คือ การประมวลผลข้อมูลตามวัตถุประสงค์ที่แจ้งไว้ตอนขอความยินยอมเท่านั้น  หากทำอะไรเกินเลยไปกว่าที่แจ้งไว้ นั่นคือ การละเมิดข้อมูลส่วนบุคคลและมีโทษตามกฎหมาย

หัวใจสำคัญของการบริหารจัดการข้อมูลส่วนบุคคล ไม่ใช่การขอความยินยอม (Consent) แต่เป็นการดูแลข้อมูลส่วนบุคคลให้มีความมั่นคงปลอดภัย (Cyber Security) ป้องกันผู้ไม่เกี่ยวข้องเข้าถึงข้อมูล การกำกับดูแลการใช้ข้อมูลให้เป็นไปตามวัตถุประสงค์ (Data Governance) รวมถึงการดำเนินการตามสิทธิของเจ้าของข้อมูล (Data Subject Request) ได้อย่างมีประสิทธิภาพ โดยไม่กระทบการการดำเนินงานขององค์กร

ลองจินตนาการดูว่า หากวันหนึ่ง มีลูกค้าของท่านมาขอระงับการใช้ข้อมูลส่วนบุคคลที่เขาได้เคยให้ความยินยอมไว้ ท่านจะแจ้งลูกค้าได้หรือไม่ว่าจะใช้เวลาดำเนินการนานเท่าใดหากท่านไม่ได้ทำระบบไว้รองรับมาก่อน กรณีนี้หากเจ้าของข้อมูลไม่พอใจ และไปร้องเรียน องค์กรของท่านก็จะเกิดความเสียหายอย่างหลีกเลี่ยงไม่ได้

การบริหารจัดการข้อมูลส่วนบุคคลอย่างเป็นระบบด้วย Framework  คือทางออกที่ได้รับการยอมรับอย่างแพร่หลาย  หากท่านมีระบบบริหารคุณภาพ ISO 9001 หรือระบบการจัดการความมั่นคงปลอดภัย ISO 27001 Information Security Management System (ISMS) ท่านสามารถใช้ ISO 27701 Privacy Information Management System (PIMS) เพื่อจัดทำระบบได้โดยสอดประสานไปกับระบบเดิมที่ท่านมีอยู่  สามารถใช้โครงสร้างการบริหารจัดการ ระบบเอกสาร ระบบการฝึกอบรมร่วมกันได้เป็นอย่างดี  และที่สำคัญ ISO 27701 สามารถขอการรับรองได้ เพื่อยืนยันว่าองค์กรที่ได้จัดการข้อมูลส่วนบุคคลสอดคล้องตามกฎหมายและมาตรฐานสากล

นอกจาก ISO 27701 ก็ยังมี NIST Privacy Framework  ที่สามารถใช้เป็นกรอบแนวทางการบริหารจัดการข้อมูลส่วนบุคคลได้เช่นเดียวกัน โดย NIST Privacy Framework จะเน้นที่การบริหาร Privacy Risk เป็นแกนหลัก และกำหนดมาตรการที่เหมาะสม สอดคล้องกับความเสี่ยงของข้อมูลส่วนบุคคล ไม่บังคับเรื่องระบบเอกสารและองค์ประกอบเสริมต่างๆ เหมือนของ ISO 27701  จึงเหมาะกับองค์กรที่ต้องการความกระชับ เน้นเฉพาะมาตรการที่ตอบสนองความเสี่ยงของข้อมูลส่วนบุคคล และไม่ได้ต้องการขอการรับรอง (Certification)

จะเห็นว่าการใช้ Framework ช่วยให้องค์กรของท่านบริหารจัดการข้อมูลส่วนบุคคลอย่างรอบด้าน เป็นระบบ และเชื่อถือได้ ทำให้ลูกค้าและ Stakeholder เกิดความเชื่อมั่นในการติดต่อ หรือใช้บริการด้วยความไว้วางใจ นอกจากนี้ Framework ช่วยให้ท่านทราบจุดอ่อนจุดแข็งในกิจกรรมต่างๆ  ที่เกี่ยวข้องกับข้อมูล ทำให้ท่านวางระบบบริหารจัดการได้อย่างเป็นรูปธรรม รองรับการใช้สิทธิของเจ้าของข้อมูลได้ครบถ้วนและมีประสิทธิภาพ

สนใจ PDPA Compliance Implementation  คลิก

 

PDPA Link

 

หลักสูตรอบรม In-house Training

หลักสูตรอบรม PDPA in-house training

PDPA Compliance Implementation with NIST Privacy Framework 

PDPA Compliance Implementation with NIST Privacy Framework 

 




Writer

ปริญญ์ เสรีพงศ์

วิทยากรที่ปรึกษา ส่วนจัดการธุรกิจเพื่อความยั่งยืน
Thailand Productivity Institute
ความเชี่ยวชาญ
- ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO27001
- การควบคุมเอกสารด้วยระบบไอที (IT for Document Control)
- เทคโนโลยีสารสนเทศสำหรับการจัดการความรู้ (IT for Knowledge Management)