Blog, บทความ

PDPA 7 วิธีดูแล ข้อมูลส่วนบุคคล ให้ปลอดภัยในยุคปัจจุบัน

Posted on by ADD Admin
ผู้เข้าชม : 6,467

PDPA 7 วิธีดูแล ข้อมูลส่วนบุคคล ให้ปลอดภัยในยุคปัจจุบัน

7 วิธีดูแลข้อมูลส่วนบุคคล

มีผลบังคับใช้จริงแล้ว สำหรับ พรบ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA อย่างเต็มรูปแบบเมื่อ วันที่ 1 มิถุนายน ที่ผ่านมา ซึ่งหลายคนคงเริ่มเข้าใจถึงสาระสำคัญในการปฏิบัติตามกฎหมายนี้และเริ่มนำไปปรับใช้กันในองค์กรบ้างแล้ว

อ่านเพิ่มเติม : สามารถเข้าไปอ่านข้อมูลเพิ่มเติมได้ที่ 5 สาระสำคัญของพรบ.คุ้มครองข้อมูลส่วนบุคคล และ หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

แต่หลายคนอาจจะยังไม่รู้ว่า แล้วเราจะดูแลอย่างไร ให้ข้อมูลส่วนบุคคลของเราปลอดภัยจริงตามหลัก PDPA วันนี้เราจึงพามาทำความเข้าใจเพิ่มเติม เกี่ยวกับวิธีดูแลข้อมูลส่วนบุคคลให้ปลอดภัย เพื่อที่จะได้ปฏิบัติตามกฎหมายกันอย่างถูกต้อง

อย่างแรกเราต้องทำความเข้าใจก่อนว่าข้อมูลส่วนบุคคล ได้แก่อะไรบ้าง

ADD เลยนำตัวอย่างข้อมูลที่เป็นข้อมูลส่วนบุคคลและที่ไม่ใช่ข้อมูลส่วนบุคคลมาแยกแยะให้ทุกคนเข้าใจง่ายขึ้น

ข้อมูลที่เป็นข้อมูลส่วนบุคคล

เป็นข้อมูลที่สามารถระบุตัวตนของเจ้าของข้อมูลได้ทั้งแบบ online และ offline ในทางตรงและทางอ้อม

  • ชื่อ-นามสกุล
  • ที่อยู่
  • เบอร์โทรศัพท์
  • E-mail
  • รูปถ่าย
  • เลขบัตรประชาชน
  • วันเกิด
  • เชื้อชาติ
  • อายุ
  • ประวัติการทำงาน
  • ข้อมูลสุขภาพ
  • ข้อมูลด้านการเงิน
  • Biometric (เช่น ลายนิ้วมือ)
  • ความคิดเห็นต่างๆ
  • อื่นๆ

ข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคล

  • เลขทะเบียนบริษัท
  • ข้อมูลติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล
  • ข้อมูลผู้ตาย
Identification
Hands of person touching smartphone screen for idefication

หากองค์กรต้องการนำข้อมูลไปใช้ไม่ว่าจะด้วยจุดประสงค์ใดก็ตาม ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนเสมอ โดยต้องได้รับการยินยอม (Consent) อย่างถูกต้องและชัดเจน

อ่านเพิ่มเติม : วิธีรับมือและการขอ consent ตามพรบ.คุ้มครองข้อมูลส่วนบุคคล

หลังจากเราทราบประเภทของข้อมูลส่วนบุคคลไปเบื้องต้นแล้ว ทีนี้เรามารู้จักวิธีดูแลข้อมูลส่วนบุคคลให้ปลอดภัยตามหลัก PDPA กันเลย ซึ่งการดูแลข้อมูลส่วนบุคคลที่ปลอดภัยสามารถทำได้หลายวิธี ดังนี้

วิธีดูแลข้อมูลส่วนบุคคลให้ปลอดภัยตามหลัก PDPA

  1. Encryption
    ปกป้องข้อมูลที่พบด้วยการเข้ารหัสและกำหนดนโยบายในการรักษาความปลอดภัย

  2. Access Control
    การกำหนดสิทธิการเข้าถึงข้อมูล เพื่อไม่ให้คนที่ไม่เกี่ยวข้องเข้าถึงข้อมูลนั้นๆได้ เช่น การกำหนดสิทธิให้แค่ฝ่าย HR สามารถเข้าถึงข้อมูลของพนักงานได้ ส่วนฝ่ายบัญชีสามารถเข้าถึงได้เฉพาะข้อมูลเงินเดือนของพนักงาน หากฝ่ายบัญชีต้องการเข้าถึงข้อมูลส่วนอื่นๆของพนักงาน ก็จะไม่สามารถเแสดงข้อมูลได้ครบถ้วน (Data Masking) ซึ่งขึ้นอยู่กับการตั้งนโยบายของบริษัท เป็นต้น

  3. ติดตามการใช้งานข้อมูลและแอปพลิเคชันบนระบบคลาวด์ของผู้ใช้
    หากใครใช้ Windows จะสามารถเข้าใช้ Microsoft 365 ที่มีชุดเครื่องมือสามารถ ติดตาม ตรวจสอบ และป้องกัน การใช้งานไฟล์ที่มีข้อมูลส่วนตัวไปใช้งานบนแอปพลิเคชันบนระบบคลาวด์อื่นๆ ที่ไม่ใช่ขององค์กรได้

  4. มีการระบุความเสี่ยง
    โดยองค์กรควรร่างนโยบายเกี่ยวกับ Data Privacy/Data Protection Impact Assessment และ Risk Assessment เพื่อเป็นมาตรการในการวางแผนป้องกันข้อมูลและรองรับในกรณีที่ข้อมูลเกิดการรั่วไหล

  5. มีระบบ Monitoring
    สำหรับ Monitor พฤติกรรมการใช้งานของ user ในระบบ ถ้าหากมีพฤติกรรมการใช้งานที่ผิดปกติ ระบบควรมีการแจ้งเตือนให้ผู้ดูแลระบบทราบ

  6. จัดอบรม
    เกี่ยวกับการดูแลรักษาความปลอดภัยของข้อมูลในองค์กรให้กับพนักงานที่เกี่ยวข้องกับข้อมูลโดยตรงทั้งในรูปแบบ IT และ Non-IT

  7. ทำลายข้อมูลส่วนบุคคลที่ไม่ใช้แล้วอย่างถูกต้อง
    เนื่องจากหลายองค์กร จะมีข้อมูลที่ค่อนข้างมากอยู่ในระบบ และมักจะมีข้อมูลที่ไม่ใช้แล้วหลงเหลืออยู่ โดยที่คิดว่าการกดลบหรือ ลบลงRecycle Bin จะทำให้ลบข้อมูลส่วนบุคคลออกไปหมดได้ไม่ว่าจะเป็น ข้อมูลลูกค้า ข้อมูลพนักงานที่ลาออกไปแล้ว หรือข้อมูลความลับองค์กรก็ตาม

แต่!!…

เพียงแค่การกดลบออกจากถังขยะ หรือการ Format ข้อมูล ยังไม่สามารถเคลียร์ข้อมูลออกไปได้หมด ซึ่งหากข้อมูลส่วนบุคคลหรือข้อมูลสำคัญขององค์กรเหล่านี้ตกไปอยู่ในมือของผู้ไม่หวังดี อาจสร้างความเสียหายในเชิงธุรกิจของคุณอย่างมหาศาล และอาจจะทำให้องค์กรของคุณเสียชื่อเสียง ในฐานะองค์กรที่ทำข้อมูลส่วนบุคคลของผู้อื่นรั่วไหล และโดนบทลงโทษตามกฎหมาย PDPA อีกด้วย

Hacker With Their Hood Up
Hacker working in the darkness

ซึ่งการทำลายข้อมูลควรเลือกหน่วยงานที่มีความเชี่ยวชาญเฉพาะด้านหรือ Third Party ที่ดูแลจัดการข้อมูลอย่างปลอดภัย และควรเป็นหน่วยงานที่เชื่อถือได้ มีมาตรการจัดการข้อมูลส่วนบุคคลเหล่านั้นอย่างปลอดภัย ได้มาตรฐานตามที่กฎหมายกำหนด รวมถึงมีหลักฐานการทำลายข้อมูลที่ชัดเจน

เพราะสาเหตุหลักที่เราพบเห็นกัน ตามข่าวเกี่ยวกับข้อมูลขององค์กรรั่วไหลมักเกิดขึ้นหลังจากองค์กรเหล่านั้นเลิกใช้อุปกรณ์ IT ต่างๆ หรือการนำไปทำลายกับบุคคล/หน่วยงานที่ไม่มีมาตรฐาน เลยทำให้เกิดการแสวงหาผลประโยชน์ของข้อมูลเหล่านั้นอยู่บ่อยๆ

แต่สำหรับ Asia Data Destruction เราเป็นหน่วยงานที่ดูแลจัดการข้อมูลของคุณโดยเฉพาะ ไม่ว่าจะเป็นข้อมูลส่วนบุคคลหรือข้อมูลความลับองค์กรต่างๆที่ต้องการทำลายทิ้งและไม่อยากให้รั่วไหลออกไป รวมถึงเรายังใส่ใจสิ่งแวดล้อมด้วยการรับซื้ออุปกรณ์ IT ของคุณหลังจากทำลายข้อมูลอย่างหมดจดแล้ว ด้วยที่ว่าอุปกรณ์เหล่านั้นยังสามารถนำกลับไปใช้ใหม่ได้ โดยปราศจากข้อมูลของคุณในเครื่องอีกด้วย

แหล่งที่มา : microsoft, Chula Law, Sirisoft

Related articles

AirPort Time Capsule จาก Apple เปลี่ยนเครื่องใหม่ เครื่องเก่าเลิกใช้ สามารถนำมาล้างทำลายข้อมูลชัวร์ 100% ได้ที่ Asia Data Destruction

11 กันยายน 2020
Old Computer Mobile Sell Safely
วิธีจัดการคอมพิวเตอร์ และมือถือเก่าให้ปลอดภัยก่อนขาย บริจาคหรือรีไซเคิล ทั้งองค์กรบริษัทและบุคคลทั่วไป

20 เมษายน 2022
Apple iMac Macbook วิธีการลบข้อมูลแบบปลอดภัยใน macOS

11 กันยายน 2020