ที่ปรึกษาด้าน PDPA มีความจำเป็นอย่างไรกับองค์กร

วารุณี เอื้อไตรรัตน์

ทีมงาน cyfence ผู้ดูแลด้านบริการด้าน Cyber Security พร้อมดูแลระบบให้มีความปลอดภัยห่างไกลภัยคุกคามไซเบอร์

จากบทความ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) หากไม่ปฏิบัติตามจะมีผลอย่างไร ได้กล่าวถึงผลของการไม่ปฎิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือเรียกแบบหนึ่งว่า PDPA (Personal Data Protection Act) กันไปบ้างแล้ว โดยปัจจัยหลักที่ทำให้เกิด พ.ร.บ. ฉบับนี้ขึ้นมาก็เพื่อให้มีมาตรการควบคุม ดูแลข้อมูลประชาชนให้มีความปลอดภัยเพราะในปัจจุบัน การโจมตีทางไซเบอร์ทวีความรุนแรงต่อเนื่องพุ่งเป้าที่ข้อมูลส่วนบุคคลเป็นหลัก ซึ่งเหตุการณ์ที่ผ่านมาพบว่าหน่วยงานหรือองค์กรขนาดใหญ่เป็นต้นเหตุการรั่วไหลของข้อมูลจำนวนมาก

ดังนั้น ทุกองค์กรที่เกี่ยวข้องในการเก็บข้อมูลส่วนบุคคลจะต้องพิจารณาว่าองค์กรของตนมีความเกี่ยวข้องกับกฎหมาย PDPA หรือไม่ เพื่อจะได้เตรียมตัวและปฏิบัติตามได้ทันที ดังนี้

  • มีการเก็บ/ใช้/เปิดเผย ข้อมูลส่วนบุคคล เรียกว่า ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เช่น การที่เว็ปไซต์เก็บข้อมูล ชื่อ เบอร์โทร email ลูกค้าเพื่อติดต่อรับข่าวสารทาง email
  • มีการประมวลผลข้อมูลหรือ ผู้ควบคุมข้อมูลส่วนบุคคลว่าจ้างให้ประมวลผลข้อมูลส่วนบุคคลหรือลูกค้า เรียกว่า ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) เช่น บริษัทวิจัยทางการตลาดโดยการนำข้อมูลลูกค้ามาประมวลผลเป็นข้อมูลทางการตลาด และ Cloud Service Provider เป็นต้น
  • มีการเก็บข้อมูลส่วนบุคคล ขายสินค้าบริการต่างๆ และ ถ่ายโอนข้อมูลในประเทศไทย แม้ว่าองค์กรจะอยู่ต่างประเทศก็ตาม

ระดับการจำแนกข้อมูล (Data Classification Levels)

  • ข้อมูลลับที่สุด (Top Secret) คือ ข้อมูลข่าวสารลับกรณีหากถูกเปิดเผย จะมีความเสียหายร้ายแรงที่สุดต่อความมั่นคงและอำนาจอธิปไตยของประเทศ ความสงบเรียบร้อยของชาติและผลประโยชน์แห่งรัฐ รวมถึงความสัมพันธ์ระหว่างประเทศ
  • ข้อมูลลับมาก (Secret) คือ กรณีถูกเปิดเผย จะมีความเสียหายร้ายแรงต่อการบริหารราชการแผ่นดิน การบริหารงานยุติธรรม การพัฒนาโครงสร้างพื้นฐานของประเทศ ระบบสาธารณสุข เทคโนโลยีสารสนเทศ นวัตกรรม เป็นต้น
  • ข้อมูลลับ (Confidential) คือ กรณีถูกเปิด จะมีความเสียหายต่อสิทธิมนุษยชน และการปฏิบัติหน้าที่ของเจ้าหน้าที่แห่งรัฐ เป็นต้น
  • ข้อมูลมูลส่วนบุคคล (Personal Information) คือ ข้อมูลเกี่ยวกับบุคคลซึ่ง ทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม เช่น เลขบัตรประจำตัวประชาชน, วันเดือนปีเกิด, ศาสนา, เงินเดือน เป็นต้น

หากหน่วยงานใดเกี่ยวข้องกับการจัดเก็บข้อมูลที่กล่าวข้างต้น จำเป็นอย่างยิ่งที่จะเริ่มวางแผนปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดย CAT cyfence ที่มีความเชี่ยวชาญด้านความปลอดภัยเทคโนโลยีสารสนเทศ สามารถเป็นที่ปรึกษาให้กับหน่วยงานภายนอกเพื่อให้ดำเนินการได้อย่างถูกต้อง โดยจัดทำ Solution ให้เหมาะสมในแต่ละองค์กรและงบประมาณของลูกค้า ให้คำปรึกษาด้านการจัดการข้อมูล การประเมินและวางแผนติดตั้งอุปกรณ์ที่เกี่ยวข้อง ตรวจสอบการดำเนินการ การรายงานผลสรุปวิเคราะห์ จนถึงการอบรมพนักงานให้มีความรู้ความเข้าใจเกี่ยวกับกฏหมายที่เกี่ยวข้อง ฯลฯ

บริการ PDPA Consulting ของ CAT cyfence ช่วยอะไรกับองค์กรบ้าง

  • สร้างความเชื่อมั่นในการจัดการข้อมูลส่วนบุคคลให้กับองค์กรที่ใช้บริการของเรา
  • เพื่อให้องค์กรที่ใช้บริการ สามารถดำเนินการได้ตาม พ.ร.บ. ข้อมูลส่วนบุคคล พ.ศ. 2562
  • มีนโยบายและขั้นตอนชัดเจน ในการปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลขององค์กร

จากที่กล่าวมานั้น การปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างเคร่งครัดจะต้องมีนโยบายการบริหารจัดการ เจ้าหน้าที่ที่ดูแล อุปกรณ์ที่เกี่ยวข้อง รวมไปถึงสถานที่การจัดเก็บข้อมูลอย่างรัดกุมและถูกต้อง หากดำเนินการผิดพลาดอาจมีโทษทางกฎหมายและสูญเสียโอกาสในทางธุรกิจ การมีที่ปรึกษาด้าน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงเป็นสิ่งสำคัญเพื่อช่วยย่นระยะเวลาในการเตรียมพร้อมและสามารถปฏิบัติตามได้อย่างถูกต้อง โดยไม่เกิดผลเสียหายในทางตรงและทางอ้อม

สำหรับองค์กรที่ต้องการคำปรึกษาจากทีมผู้เชียวชาญในด้านการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถอ่านรายละเอียดเพิ่มเติมได้ที่บริการ PDPA Consulting ของ CAT cyfence หรือ โทร NT contact center 1888 และติดต่อเราผ่านทาง www.catcyfence.com/it-security/contact-us

เขียนโดย : วารุณี เอื้อไตรรัตน์

ทีมงาน cyfence ผู้ดูแลด้านบริการด้าน Cyber Security พร้อมดูแลระบบให้มีความปลอดภัยห่างไกลภัยคุกคามไซเบอร์

Tagged on:             


เนื้อหาที่เกี่ยวข้อง

1. วิธีการปิดการใช้งาน Windows Print Spooler

2. HaveIBeenPwned (HIBP) คืออะไร มีวิธีใช้งานอย่างไร

3. พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) หากไม่ปฏิบัติตามจะมีผลอย่างไร

4. ระบบ Access Control ใช้กับเทคโนโลยีอะไรได้บ้าง

5. 5 วิธีป้องกันการโดน Code Injection ใน JavaScript และ Node.js