ย้อนอ่าน: แนะนำ 3 หลักเกณฑ์และแนวทางการจัดการข้อมูลส่วนบุคคล

1. หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลสำหรับผู้บริหารองค์กร

1.1 การเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูล

1.2 การใช้และเปิดเผยข้อมูล

1.3 คุณภาพของข้อมูล

1.4 การรักษาความปลอดภัยของข้อมูล

1.5 ความโปร่งใส

1.6 การเข้าถึงข้อมูลและการแก้ไขข้อมูล

1.7 การปกปิดตัวตน

1.8 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศอื่น

1.9 ความรับผิดชอบขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

2. หลักเกณฑ์และแนวทางการดำเนินการในเชิงนโยบายที่ต้องประกาศให้สาธารณชนได้ทราบ

2.1 แนวนโยบายเกี่ยวกับการเก็บรวบรวม การเก็บรักษาและการประมวลผลข้อมูลส่วนบุคคล

2.2 แนวนโยบายเกี่ยวกับการใช้และการเปิดเผยข้อมูลส่วนบุคคล

2.3 แนวนโยบายเกี่ยวกับการเก็บรักษา การแก้ไขและการโอนข้อมูลส่วนบุคคล

2.4 แนวนโยบายเกี่ยวกับการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล

2.5 แนวนโยบายที่สะท้อนให้เห็นถึงความรับผิดชอบขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูล

3. หลักเกณฑ์และแนวทางการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กรภาคเอกชน

องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลส่วนบุคคลควรจัดทำหลักเกณฑ์การคุ้มครองข้อมูลส่วนบุคคลขึ้นใช้ภายในองค์กรเพื่อเป็นแนวทางปฏิบัติสำหรับพนักงานหรือเจ้าหน้าที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลสามารถนำไปปฏิบัติได้อย่างถูกต้อง ดังมีรายละเอียดต่อไปนี้

3.1 แนวทางในการกำหนดนโยบายการให้ความคุ้มครองข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการ

1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลควรจำแนกความสำคัญของข้อมูลตามลักษณะของข้อมูล เช่น ข้อมูลที่มีลักษณะอ่อนไหวต่อความรู้สึกของบุคคล ซึ่งการเปิดเผยอาจเสี่ยงต่อการทำให้เจ้าของข้อมูลหรือผู้ที่เกี่ยวข้องกับข้อมูลได้รับความเสียหาย

2) กำหนดมาตรการการรักษาความปลอดภัยตามระดับความสำคัญของข้อมูลที่จำแนก

3) จัดให้มี Data Privacy Policy ที่ชัดเจน ทั้งในเรื่องของ Moral obligation และความรับผิดชอบตามกฎหมาย

4) กำหนดระดับของการเข้าถึงข้อมูลไว้ใน Access Control Policy เนื่องจากพนักงานแต่ละฝ่ายอาจมีความจำเป็นในการเข้าถึงข้อมูลที่แตกต่างกัน ทั้งนี้เพื่อลดโอกาสในการใช้ข้อมูลในทางที่มิชอบและเข้าถึงข้อมูลโดยไม่จำเป็น Access Control Policy ควรเป็นไปตามหลักการ Need-to-know

5) กำหนดการลบหรือทำลายข้อมูลดังกล่าวเมื่อพ้นระยะเวลาที่กำหนดหรือหมดความจำเป็นในการเก็บรวบรวมหรือเจ้าของข้อมูลเพิกถอนความยินยอม

3.2 แนวทางในการกำหนดมาตรการทางเทคนิคที่จำเป็นสำหรับการให้ความคุ้มครองข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการ

1) กำหนดให้มี Access Authorization System ซึ่งจะมีรายละเอียดเกี่ยวกับ

(1) application procedures สำหรับการขออนุญาตให้เข้าถึงข้อมูลส่วนบุคคล

(2) กำหนดตัวผู้มีอำนาจในการอนุญาตหรืออนุมัติในแต่ละระดับอย่างเหมาะสม

(3) กำหนด User name และ Password สำหรับพนักงานที่มีสิทธิในการเข้าถึงข้อมูลส่วนบุคคล

(4) มีการแจ้งเตือนถึงความจำเป็นในการรักษาความลับของ User name และ Password รวมทั้งการ log off ออกจากระบบภายหลังการใช้งาน ทั้งนี้เพื่อมิให้ล่วงรู้ถึงบุคคลอื่นที่ไม่มีสิทธิในการเข้าถึงข้อมูลได้

(5) ควรมีแนวทางการจัดการ Password อย่างเหมาะสม (Password Management) เช่น การให้คำแนะนำไม่ให้ใช้ Password ที่สามารถคาดเดาได้โดยง่าย หรือบังคับให้มีการเปลี่ยน Password ทันที เมื่อเข้าสู่ระบบครั้งแรก หรือในแต่ละช่วงเวลา

2) ในกรณีที่ลูกค้าต้องการทราบข้อมูลเกี่ยวกับตนเอง รวมทั้งข้อมูลการใช้บริการของตน องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลควรกำหนดแนวปฏิบัติให้ลูกค้าแต่ละรายต้องแจ้งข้อมูลหรือรายละเอียดที่สามารถระบุและยืนยันตัวตนของลูกค้าก่อนที่จะให้บริการข้อมูลแก่ลูกค้า

3) ควรจัดให้มีการตรวจสอบการเข้าถึงข้อมูลของลูกค้าของพนักงานเป็นระยะๆ อย่างสม่ำเสมอ เพื่อเป็นการตรวจสอบการทำงานของพนักงานที่สามารถเข้าถึงข้อมูลของลูกค้า ทั้งนี้ ข้อมูลการตรวจสอบดังกล่าวต้องเก็บรักษาไว้ชั่วระยะเวลาหนึ่ง เพื่อประโยชน์ในการสืบสวนสอบสวน หรือเพื่อกำหนดมาตรฐานในการเฝ้าระวัง

4) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลมีหน่วยงานสาขาซึ่งอาจมีความจำเป็นที่จะต้องเข้าถึงข้อมูลในระบบคอมพิวเตอร์ขององค์กรธุรกิจหรือหน่วยงานเอกชนผ่านทางเครือข่ายคอมพิวเตอร์ องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องตรวจสอบด้วยว่าการเข้าถึงระบบข้อมูลดังกล่าวเป็นการเข้าถึงข้อมูลจากระบบคอมพิวเตอร์ที่ได้รับอนุญาตให้เชื่อมต่อและเข้าถึงข้อมูลหรือไม่ และในกรณีจำเป็นอาจต้องจัดให้มีการเข้ารหัสข้อมูลที่มีการรับ-ส่งระหว่างกัน ทั้งนี้เพื่อป้องกันการดักข้อมูลหรือขโมยข้อมูลโดยมิชอบด้วย

5) ในกรณีการให้ความคุ้มครองข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการที่เกี่ยวข้องกับการใช้ Internet ควรดำเนินการดังนี้

(1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลควรดำเนินการตามขั้นตอนที่เหมาะสมสำหรับการจัดให้มีมาตรการหรือวิธีการที่สามารถรักษาความปลอดภัยของการส่งผ่านข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการบนเครือข่ายคอมพิวเตอร์สาธารณะ เช่น Internet

(2) ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลจัดให้มีระบบที่สามารถเข้าถึงหรือใช้ Internet ซึ่งรวมถึงการใช้ E-mail เพื่ออำนวยความสะดวกแก่ลูกค้า องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลควรแจ้งให้ลูกค้าทราบถึงนโยบายขององค์กรที่เกี่ยวกับการอนุญาตให้ใช้ระบบดังกล่าว รวมทั้งข้อสงวนสิทธิขององค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลที่จะเข้าถึงหรืออ่าน E-mail ของลูกค้าที่ใช้ระบบ E-mail ขององค์กร

6) ควรจัดให้มีวิธีการที่เหมาะสมเพื่อป้องกันมิให้มีการเข้าถึงหรือเปิดเผยข้อมูลต่างๆ ของลูกค้าที่จัดเก็บอยู่ในรูปของเอกสาร เช่น รายละเอียดที่ระบุไว้ในใบสมัครขอใช้บริการหรือในรายงานที่จัดพิมพ์จากระบบคอมพิวเตอร์ หรือเอกสารอื่น ๆ

7) สำเนาเอกสารแสดงตนหรือยืนยันตัวบุคคลควรที่จะต้องมีการจัดเก็บเพียงเท่าที่จำเป็น และควรที่จะต้องถือปฏิบัติในลักษณะเดียวกับเอกสารที่ต้องเก็บรักษาไว้เป็นความลับ และต้องจัดเก็บไว้ในสถานที่ที่มีความปลอดภัยและมีการจำกัดการเข้าถึง และไม่ควรเก็บรักษาไว้เป็นระยะเวลานานเกินความจำเป็น

3.3  แนวทางในการรักษาความปลอดภัยของสถานที่และอุปกรณ์

1) สถานที่ตั้งของระบบคอมพิวเตอร์แม่ข่ายและเครื่องลูกข่าย รวมทั้งสถานที่เก็บเอกสารและอื่นๆ ซึ่งเป็นสถานที่ที่สามารถเข้าถึงข้อมูลของลูกค้าได้ไม่ว่าโดยวิธีการใด ต้องจัดให้มีการควบคุมดูแลการเข้าถึงอย่างปลอดภัยและเหมาะสม และโดยผู้อำนาจในการเข้าถึงเท่านั้น

2) องค์กรธุรกิจหรือหน่วยงานเอกชนผู้ให้บริการที่อนุญาตให้มีการจัดส่งเอกสารการสมัครใช้บริการโดยผ่านทางเครื่องแฟกซ์ จะต้องระมัดระวังไม่ให้เครื่องแฟกซ์ที่ใช้ในการรับเอกสารติดตั้งอยู่ในสถานที่ที่ไม่มีการจำกัดการเข้าถึง

3.4  แนวทางปฏิบัติเกี่ยวกับพนักงานที่มีหน้าที่รับผิดชอบต่อการรักษาความปลอดภัยของข้อมูลส่วนบุคคล

1) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลควรจัดให้มีการฝึกอบรมอย่างสม่ำเสมอเพื่อให้ความรู้เกี่ยวกับระบบการรักษาความปลอดภัยของข้อมูล รวมทั้งการฝึกอบรมทางเทคนิคที่เกี่ยวข้องแก่พนักงานของตน โดยเฉพาะพนักงานที่มีหน้าที่เกี่ยวข้องกับข้อมูลของลูกค้า รวมทั้งการจัดทำหนังสือเวียนแจ้งให้พนักงานทราบเพื่อเป็นการกระตุ้นเตือนเป็นระยะๆ และอย่างสม่ำเสมอ

2) การรับพนักงาน ซึ่งโดยตำแหน่งหน้าที่ที่รับผิดชอบ เป็นตำแหน่งที่สามารถเข้าถึงข้อมูลที่สำคัญของลูกค้า (Sensitive Customer Personal Data) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องให้ความสำคัญเกี่ยวกับเกณฑ์การคัดเลือกที่สามารถสะท้อนให้เห็นถึงความซื่อสัตย์และ/หรือความน่าเชื่อถือเฉพาะตัวของบุคคลที่สมัครงาน

3) องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องจัดให้มีการกำกับ ตรวจสอบ หรือเฝ้าระวัง การปฏิบัติงานของพนักงานที่ถูกมอบหมายให้ปฏิบัติหน้าที่ที่มีความเสี่ยงต่อการกระทำที่มิชอบได้โดยง่าย เช่น พนักงานที่มีหน้าที่จัดพิมพ์ข้อมูลของลูกค้าเป็นจำนวนมาก หรือที่สามารถ Download ข้อมูลต่างๆ ของลูกค้าได้

3.5  การโอนข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการ

ในกรณีที่องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องมอบหมายหรือจ้างบุคคลที่สาม ให้ทำหน้าที่ในการให้บริการ ซ่อมแซมหรือบำรุงรักษา ซึ่งองค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลอาจต้องให้ข้อมูลที่จำเป็นของลูกค้าหรือผู้ใช้บริการต่อบุคคลดังกล่าว เพื่อประโยชน์ในการให้บริการ ซ่อมแซมหรือบำรุงรักษา องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลต้องเป็นผู้รับผิดชอบในกรณีที่มีความเสียหายเกิดขึ้นต่อลูกค้าหรือผู้ใช้บริการ เนื่องจากการกระทำของบุคคลดังกล่าวนั้น

3.6 การทบทวนและประเมินระบบและมาตรการการรักษาความปลอดภัยที่มีอยู่

ในกรณีที่มีการเปลี่ยนแปลงสภาพแวดล้อมในการทำธุรกิจ หรือปรับเปลี่ยนเทคโนโลยี บางครั้งอาจทำให้มาตรการรักษาความปลอดภัยที่ใช้อยู่เดิมไม่มีความเหมาะสมกับความเปลี่ยนแปลงที่เกิดขึ้น  องค์กรธุรกิจหรือหน่วยงานเอกชนที่จัดเก็บข้อมูลควรจัดให้มีการทบทวน และประเมินระบบและมาตรการการรักษาความปลอดภัยที่มีอยู่ เพื่อให้สอดคล้องกับสภาพแวดล้อมของการทำธุรกิจหรือเทคโนโลยีที่เปลี่ยนแปลงไปด้วย

หมายเหตุ   พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  มาตรา  37  (1)

ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้

(1) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม  ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด

กล่าวโดยสรุป สำหรับองค์กรธุรกิจแล้ว การกำหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลและแนวปฏิบัติภายในองค์กรภาคเอกชน นอกจากจะมีความจำเป็นต่อการปฏิบัติหน้าที่ของพนักงานที่เกี่ยวข้องแล้ว ยังเป็นภาพลักษณ์ที่ดีสำหรับองค์กรในสายตาของประชาชนผู้เป็นลูกค้าหรือผู้ใช้บริการ เพราะจะมีความมั่นใจว่าข้อมูลส่วนบุคคลของตนที่ได้มอบให้แก่องค์กรธุรกิจนั้นๆ จะได้รับการดูแลรักษาความปลอดภัยมิให้บุคคลอื่นล่วงรู้หรือนำไปใช้ในทางที่มิชอบ โดยทุกองค์กรมีมาตรฐานในการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เสมอเหมือนกัน และด้วยเหตุนี้ไม่ว่าจะมีการส่งต่อหรือโอนข้อมูลไปยังองค์กรธุรกิจอื่นใด ลูกค้าหรือผู้ใช้บริการก็จะยังคงมีความสบายใจในการดำเนินธุรกิจขององค์กรดังกล่าว การกำหนดหลักเกณฑ์และแนวทางปฏิบัติข้างต้นจึงสามารถช่วยส่งเสริมความมั่นคงในการมีนิติสัมพันธ์ในทางธุรกิจ และช่วยให้การประกอบธุรกิจขององค์กรภาคเอกชนในประเทศไทยมีพัฒนาการที่ก้าวหน้าภายใต้มาตรฐานกลางซึ่งเป็นที่ยอมรับในระดับสากลต่อไปด้วย

ติดตาม [Guideline ฉบับสมบูรณ์] ได้ที่ > หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรภาคเอกชน โดย เธียรชัย ณ นคร