*ข้อมูลส่วนบุคคลใดก็ตามที่ธุรกิจขนส่ง (Logistics) เก็บไว้ได้รับข้อมูลนั้นมาจาก username และ password ที่ลูกค้าได้รับมาดำเนินการเข้าสู่ระบบ

ธุรกิจ Logistics ทำหรือยัง ? 9 วิธีคุ้มครองข้อมูลส่วนบุคคลอย่างปลอดภัยตามแบบฉบับของ PDPA

ตามที่ระบุในข้างต้นว่า PDPA มีบทบัญญัติให้องค์กรต่างๆ จะต้องมีมาตรการในการคุ้มครองข้อมูลส่วนบุคคลที่มีการจัดเก็บอย่างเหมาะสมกับความเสี่ยง ด้วยเหตุนี้ ผู้ควบคุมข้อมูลฯ และผู้ประมวลผลข้อมูลฯ จึงต้องมีการจัดการที่เหมาะสมตามความเสี่ยงขององค์กร และความอ่อนไหวของข้อมูลซึ่งอาจจะส่งผลกระทบเป็นวงกว้างและนำไปสู่การละเมิดข้อมูลส่วนบุคคลที่เป็นอันตรายทั้งด้านร่างกาย และจิตใจแก่เจ้าของข้อมูล เราจึงมีข้อเสนอแนะสำหรับทุกองค์กรดังนี้ : 

1. เก็บรวบรวมเฉพาะข้อมูลที่จำเป็น : PDPA กำหนดว่าองค์กรควรจัดเก็บข้อมูลเท่าที่จำเป็นต้องใช้เท่านั้น ซึ่งข้อกำหนดนี้ไม่เพียงเป็นมาตรการจัดการความปลอดภัยของข้อมูลในขั้นต้น แต่ยังช่วยให้องค์กรประหยัดการดูแลและคุ้มครองข้อมูลได้อีกด้วย องค์กรจึงควรสำรวจและวางแผนเพื่อการเก็บรวบรวมข้อมูลที่ต้องการใช้เท่านั้น 
2. ลงทุนด้านเทคโนโลยีความปลอดภัยข้อมูลฯ : ธุรกิจขนส่ง (Logistics) มีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว หรือข้อมูลสัมคัญที่อาจจะสร้างความเสียหายแก่เจ้าของข้อมูล จึงต้องจัดสรรงบประมาณที่เหมาะสมในการลงทุนด้านเทคโนโลยีเพื่อการเก็บรักษาข้อมูลให้มีความปลอดภัยตามความเสี่ยง  
3. กำหนดสิทธิการเข้าถึงข้อมูล : องค์กรควรมีมาตรการในการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลอย่างเหมาะสม และควรให้สิทธิการเข้าถึงข้อมูลเฉพาะบุคคลที่มีส่วนเกี่ยวข้องในงานเท่านั้น เพื่อลดการเกิดข้อมูลรั่วไหล และควรอัปเดตสิทธิอยู่เสมอเพื่อกีดกันบุคคลที่ไม่เกี่ยวข้องกับงานนั้นแล้วให้ไม่สามารถเข้าถึงข้อมูลเหล่านั้นได้อีกต่อไป
4. จัดการความเสี่ยงข้อมูลที่ส่งต่อแก่บุคคลที่สาม : หนังสือสัญญาที่เป็นลายลักษณ์อักษรและเงื่อนไขการใช้หรือประมวลผลข้อมูลที่เฉพาะเจาะจงสำหรับข้อมูลที่ผู้ประมวลผลข้อมูลฯส่งต่อให้กับบุคคลที่สามเป็นเกราะคุ้มครองในเบื้องต้นที่องค์กรสามารถป้องกันการใช้ข้อมูลส่วนบุคคลผิดวัตถุประสงค์ ขณะที่การกำหนดมาตรการและเงื่อนไขขั้นต่ำในการคุ้มครองข้อมูลแก่บุคคลที่สามจะเป็นแนวทางที่สามารถป้องกันการสูญเสียหรือการละเมิดข้อมูลได้อีกระดับหนึ่ง  
5. ให้ความรู้เรื่องของความปลอดภัยข้อมูลส่วนบุคคลให้พนักงาน : ทุกองค์กรควรมีการอบรมพนักงานให้มีความรู้พื้นฐานด้านกฎหมาย PDPA ขณะเดียวกันต้องส่งเสริมค่านิยมความปลอดภัยของข้อมูลส่วนบุคคลภายในองค์กร ซึ่งจะเป็นประโยชน์ทั้งในด้านการป้องกันการละเมิดข้อมูลส่วนบุคคล และประโยชน์ในด้านการคุ้มครองข้อมูลภายในไม่ให้เกิดการรั่วไหล
6. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล : การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ภายในองค์กรไม่เพียงมีประโยชน์ในด้านการจัดการให้องค์กรมีการปฏิบัติตามกฎหมาย PDPA อย่างถูกต้องและเหมาะสม แต่ยังเป็นตำแหน่งที่จะมาบอกให้องค์กรกำหนดมาตรการด้านความปลอดภัยในส่วนต่างๆ ที่รอบรอบและรัดกุมมากยิ่งขึ้น
7. กำหนดนามแฝง หรือทำข้อมูลนิรนาม : การใช้วิธีการปกปิดข้อมูลในลักษณะการทำให้เป็นนามแฝง (Pseudonymization) หรือการเข้ารหัสบุคคลจะมีประโยชน์ในด้านที่ว่าหากเกิดข้อมูลรั่วไหล ผู้ที่ได้ข้อมูลไปก็ไม่สามารถที่จะระบุตัวตนบุคคลนั้นได้ หรือกรณีการทำข้อมูลให้เป็นนิรนาม (Anonymization) โดยใช้วิธีการทางเทคนิคที่จะทำให้ข้อมูลนั้นไม่สามารถระบุตัวบุคคลได้อีกต่อไป และผู้วิเคราะห์ข้อมูลจะไม่สามารถรู้ได้ว่าชุดข้อมูลบุคคลที่กำลังวิเคราะห์อยู่มาจากใครบ้าง ตัวตนเจ้าของข้อมูลเป็นใคร ซึ่งเป็นการจัดการด้านความเสี่ยงหากเกิดกรณีข้อมูลส่วนบุคคลรั่วไหล 
8. กำหนดแผนการตอบสนองต่อเหตุการณ์ : องค์กรควรวางแผนรับมือเหตุการณ์ในกรณีที่ข้อมูลของบริษัทโดนโจมตีหรือเกิดการรั่วไหล รวมทั้งการกำหนดบทบาทหน้าที่ความรับผิดชอบในการดำเนินการเมื่อทราบเหตุ ทั้งนี้การเตรียมการรับมือไว้ล่วงหน้าจะทำให้สามารถลดความสูญเสียได้ 
9. อัปเดตนโยบายความปลอดภัยอยู่เสมอ : ควรอัปเดตนโยบายด้านความปลอดภัยให้เหมาะสมตามสถานการณ์อยู่เสมอ และปรับเปลี่ยนเทคโนโลยีให้เหมาะสมกับความเสี่ยง ตลอดจนการบำรุงรักษาอุปกรณ์ให้มีความพร้อมใช้งานอยู่เสมอจะทำให้มาตรการในการคุ้มครองความปลอดภัยของข้อมูลมีความรัดกุมมากยิ่งขึ้น

อย่างไรก็ตาม หากเกิดการรั่วไหลของข้อมูลในองค์กรจะต้องดำเนินการสำรวจความเสียหายและประเมินผลกระทบที่อาจจะเกิดขึ้นแก่เจ้าของข้อมูล ทั้งกฎหมาย PDPA กำหนดให้จะต้องแจ้งเหตุแก่คณะกรรมการคุ้มครองข้อมูลฯ ไม่เกิน 72 ชั่วโมงหรือโดยไม่ชักช้านับตั้งแต่ทราบเหตุ ทั้งหากข้อมูลที่รั่วไหลนั้นอาจจะนำไปสู่การละเมิดที่สร้างความเสียหายแก่เจ้าของข้อมูล องค์กรจะต้องแจ้งเหตุ และแจ้งมาตรการเยียวยาแก่เจ้าของข้อมูลด้วย