ความเป็นส่วนตัว (Privacy) ถือเป็นสิทธิขั้นพื้นฐานของมนุษย์มาอย่างยาวนาน ในอดีตการเรียกร้องความเป็นส่วนตัวจะมุ่งเน้นไปที่ความเป็นส่วนตัวทางกายภาพ (Physical Privacy) หมายถึงสิทธิอันชอบธรรมในการอยู่อย่างสันโดดและปลอดภัยจากการรบกวนจากบุคคลภายนอก เช่น บุคคลอื่น องค์กร หรือแม้กระทั่งหน่วยงานจากภาครัฐ แต่เมื่อเข้าสู่ยุคแห่งการสื่อสารข้อมูลระหว่างกันผ่านทางระบบเครือข่ายคอมพิวเตอร์และเครือข่ายอินเทอร์เน็ต ข้อมูลส่วนบุคคลจึงหลั่งไหลเข้าไปอยู่บนระบบมากขึ้น ทำให้เกิดความต้องการความส่วนตัวด้านสารสนเทศ (Information Privacy) และรวมไปถึงความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Personal Data Privacy)
เจ้าของข้อมูล (Data Subject) จะต้องมีสิทธิและเสรีภาพอย่างเต็มที่ต่อข้อมูลของตนที่จะให้บุคคลอื่นหรือองค์กรต่าง ๆ นำข้อมูลไปใช้ตามความยินยอม (Consent) ที่อนุญาตเท่านั้น เพื่อรักษาความเป็นส่วนตัว ผลประโยชน์ และปกป้องความเสียหายที่อาจเกิดขึ้นกับตนเอง ซึ่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act – PDPA) ที่จะมีผลบังคับใช้ในกลางปี 2564 นี้ จะเป็นเครื่องมือที่จะทำให้ปัจเจกบุคคลมั่นใจได้ว่า ข้อมูลของตนที่อนุญาตให้องค์กรนำไปใช้มีการบริหารจัดการอย่างเหมาะสมและมีระบบการป้องกันข้อมูลที่น่าเชื่อถือและปลอดภัย
การที่องค์กรจัดเก็บและนำข้อมูลส่วนบุคคลไปใช้โดยไม่ปฏิบัติตาม พ.ร.บ. ถือว่าเป็นการละเมิดสิทธิของเจ้าของข้อมูล และองค์กรจะกลายเป็นผู้กระทำความผิดทั้งทางแพ่งและทางอาญาตามบทลงโทษของกฎหมาย ดังนั้นก่อนที่ พ.ร.บ. จะมีผลบังคับใช้อย่างจริงจัง องค์กรต่าง ๆ ควรทบทวนขั้นตอนพื้นฐานเพื่อเตรียมความพร้อมและแสดงความรับผิดชอบในการให้ความดูแลข้อมูลส่วนบุคคลและปฏิบัติตามกฎระเบียบอย่างเคร่งครัด ดังนี้
1. จัดตั้งและมอบหมายหน้าที่ให้บุคลากรหรือหน่วยงานเข้ามาดูแลอย่างชัดเจน ตามข้อกำหนดใน พ.ร.บ. ฯตรวจเช็คให้ชัดเจนว่าองค์กรมีผู้ดูแลความพร้อมในส่วนของผู้เกี่ยวข้องตาม พ.ร.บ. แล้วหรือยัง ซึ่งได้แก่
2. ค้นหาและจัดกลุ่มข้อมูลส่วนบุคคลอย่างเป็นระบบ (Data Discovery and Classification)
ทำการค้นหาข้อมูลส่วนบุคคลและข้อมูลที่เคลื่อนไหวทั้งหมดที่เก็บอยู่ภายในและภายนอกองค์กรเพื่อจัดการอย่างเป็นระบบ แต่ในกรณีที่ข้อมูลมีปริมาณมากและเพิ่มจำนวนขึ้นอย่างต่อเนื่องตลอดเวลา ควรจะพิจารณาจัดหาเครื่องมือหรือระบบเข้ามาช่วยในการค้นหา คัดแยก และจัดการ การใช้เครื่องมือเข้ามาช่วยในการจัดการข้อมูลที่มีปริมาณเพิ่มขึ้นและการเปลี่ยนแปลงอยู่ตลอดจะช่วยให้องค์กรสามารถปฏิบัติตาม พ.ร.บ. ได้อย่างรวดเร็ว ถูกต้อง และมีประสิทธิภาพมากขึ้น รวมทั้งยังช่วยในการออกแบบระบบรักษาความปลอดภัยของข้อมูลแต่ละกลุ่มได้อย่างเหมาะสม
3. จัดทำขั้นตอนและระบบการปกป้องข้อมูล (Data Protection)
Data ในยุคดิจิทัลมีบทบาทสำคัญเพิ่มขึ้นมาก จนอาจถือได้ว่า Data ได้กลายเป็นทรัพย์สิน (Asset) ที่สามารถนำไปใช้สร้างประโยชน์ให้กับผู้ที่ครอบครองได้อย่างมหาศาล ตัวอย่างเช่น
เมื่อผลกระทบของการนำ Data ไปใช้มีทั้งที่ก่อประโยชน์และสร้างโทษให้กับเจ้าของข้อมูล ผู้คนจึงเริ่มตื่นตัวกับสิทธิการเป็นเจ้าของข้อมูลส่วนบุคคลมากขึ้น ทั่วโลกต่างออกกฎหมายมารองรับการคุ้มครองความเป็นส่วนตัวและความเป็นเจ้าของข้อมูลเพื่อสร้างความมั่นใจว่าองค์กรจะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนการจัดเก็บ และมีระบบจัดเก็บและรักษาความปลอดภัยข้อมูลที่กันไม่ให้ผู้ที่ไม่ได้รับความยินยอมหรือผู้ไม่หวังดีสามารถนำข้อมูลออกไปใช้ได้ ดังนั้นข้อมูลที่จัดเก็บอยู่ในระบบคอมพิวเตอร์จึงจำเป็นต้องมีการปกป้องข้อมูล ไม่ว่าจะเป็นการเข้ารหัส/ถอดรหัสข้อมูล (Data Encryption/Decryption) การสลับข้อมูล (Data Shuffling) หรือการปกปิดหรือปิดบังข้อมูล (Data Masking, Pseudonymize or Anonymize)
4. จัดทำระบบป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention - DLP)
ผลกระทบจากการที่ข้อมูลส่วนบุคคลรั่วไหลออกจากองค์กรนั้นสามารถสร้างความเสียหายให้กับเจ้าของข้อมูลทั้งในด้านความเป็นส่วนตัว ชื่อเสียง หรือแม้กระทั่งทรัพย์สิน และความเสียหายนั้นอาจส่งผลต่อมูลค่าทางธุรกิจขององค์กรที่จัดเก็บข้อมูล เนื่องจากความน่าเชื่อถือของลูกค้าที่มีต่อองค์กรลดลง ดังนั้นองค์กรจึงหลีกเลี่ยงไม่ได้ที่จะต้องมีแผนการบริหารจัดการและป้องกันที่รัดกุม โดยหาวิธีป้องกันการถูกนำข้อมูลออกจากองค์กรทั้งโดยตั้งใจและไม่ตั้งใจ และครอบคลุมถึงข้อมูลที่มีการจัดส่งผ่านสื่อต่าง ๆ (Data in Motion) เช่น การส่งข้อมูลผ่านระบบเครือข่ายภายใน หรือระบบเครือข่ายอินเทอร์เน็ต แล้ว Copy ไปยัง Media อื่นเช่น USB flash drive/HDD Drive หรือ Flash Drive หรือข้อมูลที่อยู่บนเครื่อง Computer, Server, Storage และ On Cloud (Data in Rest)
5. จัดทำระบบบริหารจัดการข้อมูลส่วนบุคคล (Personal Data Management)
การบริหารจัดการข้อมูลส่วนบุคคล มีส่วนประกอบของงานดังนี้
การปฏิบัติตามขั้นตอนดังกล่าวข้างต้นอาจพบข้อขัดข้องเรื่องการปฏิบัติ พ.ร.บ. อยู่บ้าง แต่การเริ่มดำเนินการเป็นการแสดงความใส่ใจและให้ความเคารพในสิทธิในความเป็นเจ้าของข้อมูลส่วนบุคคลของลูกค้า ซึ่งเป็นก้าวเริ่มต้นที่สำคัญในการสร้างความน่าเชื่อถือให้กับองค์กร และจะนำมาซึ่งความไว้ใจในการเลือกใช้สินค้าและบริการต่อไป
บทความโดย: คุณวรเทพ ว่องธนาการ (ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย) จำกัด
ลงทะเบียนเข้าสู่ระบบ เพื่ออ่านบทความฟรีไม่จำกัด