ที่ปรึกษาด้าน PDPA มีความจำเป็นอย่างไรกับองค์กร

24 มิถุนายน 2021

วารุณี เอื้อไตรรัตน์
วารุณี เอื้อไตรรัตน์ทีมงาน cyfence ผู้ดูแลด้านบริการด้าน Cyber Security พร้อมดูแลระบบให้มีความปลอดภัยห่างไกลภัยคุกคามไซเบอร์

จากบทความ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) หากไม่ปฏิบัติตามจะมีผลอย่างไร ได้กล่าวถึงผลของการไม่ปฎิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือเรียกแบบหนึ่งว่า PDPA (Personal Data Protection Act) กันไปบ้างแล้ว โดยปัจจัยหลักที่ทำให้เกิด พ.ร.บ. ฉบับนี้ขึ้นมาก็เพื่อให้มีมาตรการควบคุม ดูแลข้อมูลประชาชนให้มีความปลอดภัยเพราะในปัจจุบัน การโจมตีทางไซเบอร์ทวีความรุนแรงต่อเนื่องพุ่งเป้าที่ข้อมูลส่วนบุคคลเป็นหลัก ซึ่งเหตุการณ์ที่ผ่านมาพบว่าหน่วยงานหรือองค์กรขนาดใหญ่เป็นต้นเหตุการรั่วไหลของข้อมูลจำนวนมาก

ดังนั้น ทุกองค์กรที่เกี่ยวข้องในการเก็บข้อมูลส่วนบุคคลจะต้องพิจารณาว่าองค์กรของตนมีความเกี่ยวข้องกับกฎหมาย PDPA หรือไม่ เพื่อจะได้เตรียมตัวและปฏิบัติตามได้ทันที ดังนี้

  • มีการเก็บ/ใช้/เปิดเผย ข้อมูลส่วนบุคคล เรียกว่า ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เช่น การที่เว็ปไซต์เก็บข้อมูล ชื่อ เบอร์โทร email ลูกค้าเพื่อติดต่อรับข่าวสารทาง email
  • มีการประมวลผลข้อมูลหรือ ผู้ควบคุมข้อมูลส่วนบุคคลว่าจ้างให้ประมวลผลข้อมูลส่วนบุคคลหรือลูกค้า เรียกว่า ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) เช่น บริษัทวิจัยทางการตลาดโดยการนำข้อมูลลูกค้ามาประมวลผลเป็นข้อมูลทางการตลาด และ Cloud Service Provider เป็นต้น
  • มีการเก็บข้อมูลส่วนบุคคล ขายสินค้าบริการต่างๆ และ ถ่ายโอนข้อมูลในประเทศไทย แม้ว่าองค์กรจะอยู่ต่างประเทศก็ตาม

ระดับการจำแนกข้อมูล (Data Classification Levels)

  • ข้อมูลลับที่สุด (Top Secret) คือ ข้อมูลข่าวสารลับกรณีหากถูกเปิดเผย จะมีความเสียหายร้ายแรงที่สุดต่อความมั่นคงและอำนาจอธิปไตยของประเทศ ความสงบเรียบร้อยของชาติและผลประโยชน์แห่งรัฐ รวมถึงความสัมพันธ์ระหว่างประเทศ
  • ข้อมูลลับมาก (Secret) คือ กรณีถูกเปิดเผย จะมีความเสียหายร้ายแรงต่อการบริหารราชการแผ่นดิน การบริหารงานยุติธรรม การพัฒนาโครงสร้างพื้นฐานของประเทศ ระบบสาธารณสุข เทคโนโลยีสารสนเทศ นวัตกรรม เป็นต้น
  • ข้อมูลลับ (Confidential) คือ กรณีถูกเปิด จะมีความเสียหายต่อสิทธิมนุษยชน และการปฏิบัติหน้าที่ของเจ้าหน้าที่แห่งรัฐ เป็นต้น
  • ข้อมูลมูลส่วนบุคคล (Personal Information) คือ ข้อมูลเกี่ยวกับบุคคลซึ่ง ทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม เช่น เลขบัตรประจำตัวประชาชน, วันเดือนปีเกิด, ศาสนา, เงินเดือน เป็นต้น

หากหน่วยงานใดเกี่ยวข้องกับการจัดเก็บข้อมูลที่กล่าวข้างต้น จำเป็นอย่างยิ่งที่จะเริ่มวางแผนปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดย NT cyfence ที่มีความเชี่ยวชาญด้านความปลอดภัยเทคโนโลยีสารสนเทศ สามารถเป็นที่ปรึกษาให้กับหน่วยงานภายนอกเพื่อให้ดำเนินการได้อย่างถูกต้อง โดยจัดทำ Solution ให้เหมาะสมในแต่ละองค์กรและงบประมาณของลูกค้า ให้คำปรึกษาด้านการจัดการข้อมูล การประเมินและวางแผนติดตั้งอุปกรณ์ที่เกี่ยวข้อง ตรวจสอบการดำเนินการ การรายงานผลสรุปวิเคราะห์ จนถึงการอบรมพนักงานให้มีความรู้ความเข้าใจเกี่ยวกับกฏหมายที่เกี่ยวข้อง ฯลฯ

บริการ PDPA Consulting ของ NT cyfence ช่วยอะไรกับองค์กรบ้าง

  • สร้างความเชื่อมั่นในการจัดการข้อมูลส่วนบุคคลให้กับองค์กรที่ใช้บริการของเรา
  • เพื่อให้องค์กรที่ใช้บริการ สามารถดำเนินการได้ตาม พ.ร.บ. ข้อมูลส่วนบุคคล พ.ศ. 2562
  • มีนโยบายและขั้นตอนชัดเจน ในการปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลขององค์กร

จากที่กล่าวมานั้น การปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างเคร่งครัดจะต้องมีนโยบายการบริหารจัดการ เจ้าหน้าที่ที่ดูแล อุปกรณ์ที่เกี่ยวข้อง รวมไปถึงสถานที่การจัดเก็บข้อมูลอย่างรัดกุมและถูกต้อง หากดำเนินการผิดพลาดอาจมีโทษทางกฎหมายและสูญเสียโอกาสในทางธุรกิจ การมีที่ปรึกษาด้าน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงเป็นสิ่งสำคัญเพื่อช่วยย่นระยะเวลาในการเตรียมพร้อมและสามารถปฏิบัติตามได้อย่างถูกต้อง โดยไม่เกิดผลเสียหายในทางตรงและทางอ้อม

สำหรับองค์กรที่ต้องการคำปรึกษาจากทีมผู้เชียวชาญในด้านการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถอ่านรายละเอียดเพิ่มเติมได้ที่บริการ PDPA Consulting ของ NT cyfence หรือ โทร NT contact center 1888 และติดต่อเราผ่านทาง www.cyfence.com/contact-us

บทความที่เกี่ยวข้อง