คำถามที่หลาย ๆ คนยังคงสงสัย ... เริ่มต้นทำตาม PDPA ควรทำอย่างไร?
หลังเรียนรู้เกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และแนวทางในการปฏิบัติตามกฎหมายฉบับนี้กันแล้ว [ภายใต้หลักสูตร PDPC] สิ่งที่คุณควรทำในลำดับถัดมาก็คือลงมือปฏิบัติให้เป็นรูปธรรม ด้วยการสำรวจข้อมูลภายในองค์กรของคุณว่ามีอยู่มากน้อยเพียงใด อยู่ตรงไหนบ้าง และสถานะของข้อมูลเหล่านั้นเป็นอย่างไรบ้าง? ผู้ควบคุมข้อมูลจะได้วางแผนและวางมาตรการในการจัดการคุ้มครองข้อมูลได้อย่างครอบคลุมและเหมาะสม ซึ่ง Data Map ก็คือเครื่องมือที่จะมาช่วยสนับสนุนการสำรวจข้อมูลภายในองค์กรนั่นเองครับ
Data Map คืออะไรกันแน่?
Data Map หรือเรียกเป็นภาษาไทยว่า “แผนผังข้อมูล” คือ เครื่องมือที่จะช่วยให้องค์กรของคุณดำเนินการสำรวจข้อมูล และมองเห็นภาพรวมของข้อมูลที่มีอยู่ภายในองค์กรได้อย่างสะดวกและเป็นโครงสร้างที่ชัดเจน ด้วยการสร้างลิสต์รายการของข้อมูลออกมา แล้วคุณจะประหลาดใจกับปริมาณของข้อมูลส่วนบุคคลที่มีเก็บรักษาหรือใช้งานอยู่ภายในองค์กร
แผนผังข้อมูลฉบับนี้ (สามารถลงทะเบียนเพื่อรับ e-Book ได้ทางด้านล่าง) แนะแนวทางการทำรายการบันทึกข้อมูลองค์กรด้วยหลักการ 5Ws คือ
- ทำไมข้อมูลส่วนบุคคลถูกประมวลผล (Why?)
- ข้อมูลส่วนบุคคลของใครถูกประมวลผล (Who?)
- ข้อมูลส่วนบุคคลอะไรถูกประมวลผล (What?)
- ข้อมูลส่วนบุคคลถูกประมวลผลเมื่อไหร่ (When?)
- ข้อมูลส่วนบุคคลถูกประมวลผลที่ไหน (Where?)
โดยหลักการในเบื้องต้นก็คือ คุณต้องทราบก่อนว่าองค์กรประมวลผลข้อมูลส่วนบุคคลด้วยเหตุผลใด หลังจากนั้นจึงค่อยมาสำรวจดูว่า ข้อมูลส่วนบุคคล (ที่ประมวลผลอยู่ภายใต้เหตุผลหนึ่ง ๆ) นั้นเป็นของใคร มีที่มา ประเภท ประมวลผลอยู่ภายใต้ฐานทางกฎหมายใด ตลอดจนช่วงเวลาการประมวลผลและระยะเวลาในการเก็บ (Data Retention) สถานที่และรูปแบบของข้อมูลที่เก็บ และข้อมูลนั้นถูกเปิดเผยอย่างไรบ้าง?
ทุกคนในองค์กรควรมีส่วนร่วมในการจัดทำแผนผังข้อมูลขององค์กร เนื่องจากบุคลากรแต่ละระดับหรือหน่วยงานจะสัมผัสกับชุดข้อมูล (รวมถึงข้อมูลส่วนบุคคล) ที่แตกต่างกัน
ประโยชน์อื่น ๆ ของ แผนผังข้อมูล
การสำรวจข้อมูลภายในองค์กรเบื้องต้นโดยใช้แผนผังข้อมูล หลาย ๆ ครั้งอาจช่วยให้ค้นพบจุดบกพร่อง/ช่องโหว่ของการประมวลผลข้อมูล และสามารถปรับปรุงมาตรการหรือวิธีการได้ นอกจากนั้นหากพบการประมวลผลข้อมูลที่ไม่จำเป็น คุณก็อาจลบหรือทำลายข้อมูลเหล่านั้นทิ้งเสีย เพื่อป้องกันการละเมิดที่อาจเกิดขึ้นได้ และไม่ประมวลผลข้อมูลส่วนบุคคลนี้อีกในอนาคต
นอกจากนั้น GDPR (ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการยอมรับว่าเป็นแม่แบบของ PDPA ของไทย) กล่าวเกี่ยวกับ หลักการคุ้มครองข้อมูลส่วนบุคคลด้าน Accountability หรือหลักความรับผิดชอบ ว่า ผู้ควบคุมข้อมูลจะต้องแสดงความรับผิดชอบปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยต้องสามารถแสดงให้เห็นหลักฐานถึงความพยายามในการคุ้มครองข้อมูลได้ ซึ่งการจัดทำ Data Map นับเป็นการทำตามหลักการดังกล่าว เช่นเดียวกับการแต่งตั้ง DPO ขององค์กรที่มีความจำเป็นตามบัญญัติของกฎหมาย
