ผู้เขียน หัวข้อ: เจาะลึกกฎหมาย pdpa กับการบริหารข้อมูลระดับองค์กร Data Governance  (อ่าน 18 ครั้ง)

unyana

  • Jr. Member
  • **
  • กระทู้: 107
          กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ pdpa (Personal Data Protection Act) เกี่ยวข้องกับข้อมูลส่วนบุคคลครอบคลุมทั้งลูกค้า คู่ค้า ผู้ใช้เว็บไซต์ ไปจนถึงพนักงานของหน่วยงานทั้งภาครัฐและเอกชน ซึ่งข้อมูลเหล่านี้ไม่ได้เก็บรวบรวมหรือใช้เฉพาะภายในเท่านั้น แต่ระบบคอมพิวเตอร์หรืออุปกรณ์บันทึกที่สามารถเคลื่อนย้ายได้ เช่น แล็บท็อป, สมาร์ทโฟน และแท็บเล็ต ซึ่งเชื่อมต่อออนไลน์ล้วนมีความเสี่ยงต่อการถูกโจมตีเข้าเจาะระบบนำข้อมูลไปใช้ในทางมิชอบจนเกิดความเสื่อมเสียหรือเสียหายได้ ดังนั้น องค์กรยุคใหม่จึงต้องมีความรู้ความเข้าใจเกี่ยวกับกระบวนการที่เรียกว่า Data Governance มากขึ้น

Data Governance คืออะไร?
          ข้อมูลเป็นทรัพยากรที่มีความสำคัญต่อหลายองค์กร โดยเฉพาะภาคธุรกิจที่ต้องการนำข้อมูลมาวิเคราะห์เพื่อตอบสนองความต้องการลูกค้าได้ตรงจุด พร้อมทั้งปกป้องความปลอดภัยของข้อมูลเพื่อส่งเสริมภาพลักษณ์ความน่าเชื่อถือและไม่เสียโอกาสทางธุรกิจ แต่หากเมื่อใดจะต้องใช้ข้อมูลสำคัญอย่างข้อมูลส่วนบุคคลนั้น ต้องรู้จักกฎหมายเรื่อง pdpa คือ กฎหมายที่มีความสำคัญและกำลังจะบังคับใช้ในไม่ช้า องค์กรต่าง ๆ จำเป็นต้องปรับตัวจัดการข้อมูลส่วนบุคคลอย่างถูกต้องและโปร่งใส ซึ่งการวางแผนนโยบายธรรมาภิบาลข้อมูล (Data Governance) จะเป็นตัวแปรสำคัญที่มีส่วนสนับสนุนการเตรียมพร้อมรับมือกับกฎหมาย PDPA ในอนาคต เนื่องจาก Data Governance คือการกำหนดขอบเขตการทำงานของบุคคลที่เกี่ยวข้องกับข้อมูลเพื่อให้บริหารจัดการอย่างเป็นระบบ รู้ที่มาและที่ไปเพื่อให้ง่ายต่อการตรวจสอบตั้งแต่ขั้นตอนการเก็บข้อมูลไปจนถึงการใช้งาน ส่งผลดีต่อการรักษาความปลอดภัยให้ได้มาตรฐานเข้ากับหลักเกณฑ์ของกฎหมาย ทุกคนในองค์กรจึงควรรับรู้และร่วมมือกันในการจัดการข้อมูลส่วนบุคคลอย่างมีระเบียบแบบแผน

องค์ประกอบสำคัญของการทำ Data Governance มี 5 หัวข้อดังนี้
          - Lineage รู้แหล่งที่มาของข้อมูลชัดเจน ตรวจสอบความถูกต้องง่ายและมีความน่าเชื่อถือ สามารถตรวจสอบย้อนหลังได้
          - Audit บันทึกการเปลี่ยนแปลงที่เกิดขึ้นกับข้อมูล ไม่ว่าจะเป็นการแก้ไข เพิ่มเติมเนื้อหา เปลี่ยนชื่อไฟล์ หรือลบข้อมูล องค์กรต้องไม่ทำสิ่งใด ๆ ที่อาจนำข้อมูลไปใช้โดยมิชอบหรือไม่ตรงกับความยินยอมของเจ้าของข้อมูล
          - Security การปกป้องความปลอดภัยของข้อมูลส่วนบุคคล กฎหมาย pdpa คือ มาตรการรักษาความปลอดภัยที่ไม่ใช่การปกปิดเป็นความลับ แต่เป็นการชี้แจงรายละเอียดของการเก็บ ใช้ หรือโอนข้อมูลให้บุคคลอื่นโดยวางแผนด้านระบบไอทีและแผนกอื่น ๆ ในองค์กรให้สอดคล้องกับนโยบายและกฎหมายใหม่
          - Data Quality ข้อมูลมีคุณภาพ มีความถูกต้องน่าเชื่อถือ ผู้มีหน้าที่รับผิดชอบสามารถปรับปรุงข้อมูลส่วนบุคคลให้ถูกต้องสมบูรณ์และมีความเป็นปัจจุบัน
          - Compliance การบริหารจัดการข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย คุ้มครองข้อมูลส่วนบุคคลที่สำคัญคือ การเก็บรวบรวมข้อมูล เปิดเผย หรือนำไปใช้ทางใดทางหนึ่งต้องขอความยินยอมจากเจ้าของข้อมูลก่อน โดยมีเอกสารยืนยันอย่างชัดแจ้งเป็นลายลักษณ์อักษรหรือผ่านระบบอิเล็กทรอนิกส์

ทำไมการทำ Data Governance ถึงจำเป็น?
          หากจะถามว่าการบริหารข้อมูลระดับองค์กรจำเป็นต่อกฎหมาย pdpa มากน้อยแค่ไหน ก็กล่าวได้ว่าการทำ Data Governance เป็นหนึ่งในปัจจัยความอยู่รอดขององค์กรเลยทีเดียว ความจำเป็นของการกำหนดสิทธิ์การเข้าถึงข้อมูล การควบคุมเปลี่ยนแปลงแก้ไข ตรวจสอบความถูกต้อง และติดตามความเคลื่อนไหวตั้งแต่ที่มาไปถึงจุดหมายปลายทาง การจัดการที่เป็นระบบระเบียบทำให้ง่ายต่อการให้สิทธิ์เจ้าของข้อมูลเข้าถึงข้อมูลของตัวเองได้แบบเรียลไทม์และขอให้ทำการแก้ไข ทำสำเนา โอน และลบข้อมูลจากระบบได้ตลอดเวลา นับว่าการทำ Data Governance เป็นการปรับเปลี่ยนกลยุทธ์ทั้งการวางแผนและการปฏิบัติของบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่นำมาใช้ในองค์กร เพื่อพัฒนาศักยภาพการบริหารจัดการข้อมูลขององค์กรให้สอดคล้องกับกฎหมาย pdpa โดยเฉพาะการวางมาตรการป้องกันความปลอดภัยที่เหมาะสม เนื่องจากการละเมิดกฎหมายนี้มีโทษรุนแรงทั้งทางทางอาญาและปกครอง อาจถูกปรับสูงถึง 5 ล้านบาทหรือจำคุกไม่เกิน 1 ปี