เสี่ยงไหม? หากให้ผู้เชี่ยวชาญภายนอกดูแลข้อมูลส่วนบุคคลของลูกค้า

เมื่อข้อมูลส่วนบุคคลกลายเป็นหัวใจสำคัญของธุรกิจ พร้อมๆ กับเป็นประเด็นสำคัญในสังคมจนมีการประกาศ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ขึ้น และในฐานะบริษัทที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้า คุณมีความพร้อมที่จะป้องกันการรั่วไหล และละเมิดสิทธิ์แก่เจ้าของข้อมูลดีแล้วหรือยัง? และเสี่ยงไหม? หากให้ผู้เชี่ยวชาญภายนอกดูแลข้อมูลส่วนบุคคลของลูกค้า

สาระสำคัญของ PDPA

• การเก็บ ใช้ เปิดเผย ข้อมูลส่วนบุคคลต้องได้รับความยินยอม (การยินยอมโดยผ่านลายลักษณ์อักษรหรือระบบอิเล็กทรอนิกส์ก็ได้) รวมถึงต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม

• ต้องแจ้งวัตถุประสงค์ (เก็บอะไรบ้าง นำข้อมูลไปใช้ทำอะไร นานแค่ไหน มีมาตรการความปลอดภัยอย่างไร) หรือ ลบ ทำลายข้อมูลเมื่อพ้นระยะเวลา

• สิทธิ์ของเจ้าของข้อมูล เช่น สิทธิ์การเข้าถึงข้อมูลส่วนบุคคล โดยขอให้เปิดเผยถึงการได้มา และสิทธิ์ขอให้ระงับการใช้ ลบ ทำลาย แก้ไขข้อมูลให้ถูกต้อง

จัดการข้อมูลส่วนบุคคลอย่างไรให้ถูกกฎหมายข้อมูลส่วนบุคคล?

ประชาชนหรือบุคคลทั่วไป

PDPA ให้ความคุ้มครองเจ้าของข้อมูล โดยทุกคนมีสิทธิ์ในการบริหารจัดการข้อมูลส่วนบุคคลของตัวเอง และมีสิทธิ์รู้ที่มาที่ไปของข้อมูลว่าองค์กรหรือบริษัทใดได้มาอย่างไร และถูกนำไปใช้ทำอะไร หรือเปิดเผยที่ไหนบ้าง

ดังนั้นเพื่อปกป้องข้อมูลส่วนบุคคลไม่ให้ถูกละเมิดสิทธิ์ เบื้องต้นเจ้าของข้อมูลควรตรวจสอบและเช็กสถานะข้อมูลของตนเองว่ามีการอนุญาตให้ใช้ที่ใดกับหน่วยงานใดบ้าง

ผู้ประกอบการหรือเจ้าของธุรกิจ

การปฏิบัติตามแนวทางของ PDPA เป็นโจทย์ที่หลายองค์กรต้องศึกษาแนวทางและปรับตัว เพื่อประโยชน์ทั้งการป้องกันการละเมิดสิทธิ์ และการรักษาความไว้วางใจจากลูกค้าผู้เป็นเจ้าของข้อมูลด้วย โดยควรมีแนวทางปฏิบัติ 2 แนวทางคือ

• ให้การคุ้มครองข้อมูลส่วนบุคคล โดยต้องให้สิทธิ์แก่เจ้าของข้อมูลในการเข้าถึงข้อมูลและจัดการข้อมูล ซึ่งสามารถปรับ แก้ไข ลบ หรือระงับข้อมูลบางส่วนเพื่อให้ผลที่ถูกต้องเป็นปัจจุบัน

• ดำเนินการแจ้งแก่เจ้าของข้อมูลเมื่อมีปัญหาข้อมูลรั่วไหล พร้อมแจ้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลด้วย

สัญญาณบ่งชี้เข้าข่ายเสี่ยงข้อมูลส่วนบุคคลรั่วไหล

• ถูกขโมยตัวตน โดยข้อมูลนั้นอาจถูกนำไปใช้เพื่อก่ออาชญากรรม หรือโจรกรรมข้อมูลทางการเงิน

• ข้อมูลถูกนำไปใช้ตั้งค่า Profile เพื่อแสวงหาผลประโยชน์ทางการตลาด หรือการเมือง

• สแปม ซึ่งมาในช่องทางของเบอร์โทรศัพท์ หรืออีเมล

• ข้อมูลถูกขายให้บุคคลที่ 3 เพื่อประโยชน์ทางการตลาด

• การติดตาม สะกดรอย และสอดแนม ซึ่งบางครั้งเจ้าของข้อมูลอาจเป็นผู้ให้ข้อมูลโดยไม่รู้ตัว เช่น การเช็กอินสถานที่ต่างๆ

องค์กรจะป้องกันข้อมูลส่วนบุคคลรั่วไหลได้อย่างไร?

ข้อมูลส่วนบุคคลที่รั่วไหลไม่เพียงสร้างความเสียหายแก่เจ้าของข้อมูลที่อาจถูกละเมิดสิทธิ์หรือถูกแอบอ้างเพื่อนำข้อมูลไปใช้ประโยชน์เท่านั้น แต่ยังส่งผลเสียต่อองค์กรและธุรกิจ รวมไปถึงชื่อเสียงและความน่าเชื่อถืออีกด้วย ซึ่งสำหรับองค์กรแล้วสิ่งเหล่านี้ย่อมไม่อาจกู้คืนกลับมาได้ในระยะเวลาอันสั้น ดังนั้นการปกป้องดูแลข้อมูลส่วนบุคคลอย่างเข้มงวดและรัดกุมจึงเป็นแนวทางที่หลายองค์กรให้ความสำคัญ

สิ่งที่องค์กรควรรู้และทำเมื่อต้องป้องกันข้อมูลส่วนบุคคลเป็นอันดับแรกๆ คือ การจัดระเบียบของข้อมูล เพื่อใช้ประโยชน์ในการจำแนกความสำคัญของข้อมูลต่างๆ ซึ่งมีปัจจัยหลากหลาย เช่น

• ข้อมูลที่องค์กรมีอยู่แบ่งได้เป็นกี่ประเภท

• องค์กรใช้ประโยชน์จากข้อมูลประเภทไหนบ้าง และใช้อย่างไร

• องค์กรควรให้ความสำคัญกับข้อมูลประเภทใด

• ต้องป้องกันข้อมูลด้วยวิธีการใด

• ใช้งบประมาณในการจัดสรรดูแลข้อมูลเท่าไร

ทั้งนี้การปกป้องข้อมูลส่วนบุคคลขององค์กร อาจดำเนินการโดยแต่งตั้งหรือมอบหมายให้มีผู้ประมวลผลข้อมูลส่วนบุคคล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ซึ่งอาจเป็นบริษัทหรือบุคคลที่มีความน่าเชื่อถือและไว้วางใจได้

ให้ผู้เชี่ยวชาญภายนอกช่วยดูแลข้อมูลส่วนบุคคลดีอย่างไร?

• มีความชำนาญและความรอบรู้เกี่ยวกับ PDPA เพื่อดูแลป้องกันข้อมูลได้อย่างรอบด้าน และรัดกุม

• มีการบริหารจัดการข้อมูล ที่คำนึงถึงสิทธิ์การเข้าถึงข้อมูลส่วนบุคคล และการรักษาความปลอดภัยของข้อมูลอย่างดี

• มีระบบบริหารจัดการข้อมูลที่มีความปลอดภัย ป้องกันการรั่วไหลของข้อมูลได้อย่างดี รวมทั้งยังมีเครื่องมือเพื่อตรวจสอบในกรณีฉุกเฉินได้อีกด้วย

• ช่วยวางระบบ ออกแบบขั้นตอน ตรวจสอบข้อมูลและสิ่งที่เกี่ยวข้องภายใน รวมถึงช่วยเหลือหน่วยงานภายในให้ปฏิบัติตามแนวทางข้อกำหนดกฎหมาย

• สามารถประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกรณีเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลและหาแนวทางแก้ไขได้อย่างทันท่วงที

• ลดความผิดพลาดของการรั่วไหลของข้อมูล

• ทีมผู้เชี่ยวชาญมีความพร้อมในการดูแลบริหารจัดการข้อมูลอย่างปลอดภัยและเป็นมืออาชีพ

เมื่อข้อมูลส่วนบุคคลมีความสำคัญต่อทุกระบบ จึงเลี่ยงไม่ได้ที่จะถือว่าการปกป้องข้อมูลเหล่านี้ก็มีความสำคัญไม่ต่างกัน ดังนั้นเพื่อการปฏิบัติตามแนวทางของ PDPA ได้อย่างถูกต้อง พร้อมรักษาความปลอดภัยของข้อมูลได้อย่างดีเยี่ยม หากองค์กรไม่มีความเชี่ยวชาญหรือถนัดในด้านนี้ การเลือกผู้เชี่ยวชาญเข้ามาช่วยจัดการดูแลจึงถือเป็นทางเลือกที่ตอบโจทย์ เพราะความผิดพลาดเพียงครั้ง อาจแลกมาด้วยชื่อเสียงและความน่าเชื่อถือที่องค์กรสร้างสมมายาวนาน