PDPA Thailand

684

PDPA Thailand
PDPA Thailand
DPO กับ PDPA และ Cyber Security
ในฐานะวิทยากรผู้ให้ความรู้ด้าน PDPA มาหลายปี รวมทั้งเป็นที่ปรึกษาด้าน Privacy Program ให้กับองค์กรต่างๆ มากกว่าร้อยแห่ง ทุกครั้งที่ต้องตอบคำถามด้าน Cyber Security และ Data Security จาก DPO นั้น ผมพบว่า DPO ส่วนใหญ่ที่ไม่ได้มาจากสาย Security โดยตรงมักมีความกังวลเรื่องนี้มากที่สุด เพราะดูเข้าใจยาก เป็นประเด็นเทคนิคส่วนใหญ่ และดูจะเกี่ยวข้องกับทุกฝ่ายทุกขั้นตอนในองค์กร ผมจึงขอสรุปประเด็นสำคัญที่ DPO มักสอบถามเกี่ยวกับ Cyber Security ไว้ดังนี้
1) ROPA ขององค์กรคือเครื่องมือจัดการมาตรการรักษาความมั่นคงปลอดภัยของ DPO
     ROPA ที่ DPO เป็นผู้นำในการทำอย่างยากเย็นนั้น แท้จริงแล้วเป็นแผนที่สำคัญในการมองมาตรการรักษาความมั่นคงปลอดภัยที่สำคัญที่สุด ทำหน้าที่สำรวจ ประเมิน และชี้นำได้ดีที่สุดหากนำมาใช้ประโยชน์อย่างถูกวิธี
เราสามารถแปลง ROPA กลับให้เป็น Data Flow และระบุ Control Matrix: กำหนดชัดว่าแต่ละกิจกรรมประมวลผลใช้ระบบใด ข้ามพรมแดนหรือไม่ ใครเป็น Data Owner และผูกกับมาตรการควบคุมที่เหมาะสม (เช่น การกำหนดสิทธิ์ การบันทึกเหตุการณ์ การเข้ารหัสตามความเสี่ยง) นอกจากนี้ ทุกครั้งที่มีการทบทวน ROPA อันเนื่องมาจากการเปลี่ยนแปลงกระบวนการ ควรใช้เป็นจังหวะทองในการทบทวนและยกระดับมาตรการความมั่นคงปลอดภัยไปพร้อมกัน เพื่อให้สอดคล้องกับสภาพแวดล้อมความเสี่ยงล่าสุด
2) เส้นตายให้ DPO รายงานเหตุละเมิด “ภายใน 72 ชั่วโมง” = บททดสอบความพร้อมเชิงปฏิบัติ
   ข้อกำหนดให้แจ้งเหตุละเมิดข้อมูล “โดยไม่ชักช้า และเมื่อเป็นไปได้ภายใน 72 ชั่วโมง” กำหนดมาตรฐานความพร้อมขององค์กรโดยตรง DPO จึงจำเป็นต้องเข้าใจ Incident Response อย่างเพียงพอ ตั้งแต่การคัดกรองเหตุ การจัดระดับความรุนแรง การเก็บรักษาพยานหลักฐานดิจิทัล การประเมินผลกระทบต่อเจ้าของข้อมูล ตลอดจนการตัดสินใจแจ้งต่อหน่วยงานกำกับและเจ้าของข้อมูลโดยมีหลักฐานและไทม์ไลน์ที่ตรวจสอบได้
ผลเชิงปฏิบัติคือ DPO ต้องเสริมความรู้ทั้งด้าน มาตรการองค์กร (นโยบาย กระบวนการ การบูรณาการกับงานธุรกิจ) และ มาตรการทางเทคนิค (การตรวจจับ บันทึกเหตุการณ์ การกักกันและการกู้คืน) พร้อมกำกับให้ทีมปฏิบัติการมี บทบาท หน้าที่ เส้นทางการสื่อสาร และ แบบฟอร์ม/เทมเพลต ที่พร้อมใช้จริง
3) องค์กรต้องมี “มาตรการที่เหมาะสม” ต้องวัดผลได้ และสอดคล้องบริบทจริง
     DPO จะรู้ได้อย่างไรว่าแค่ไหนคือเหมาะสม “ความเหมาะสม” ควรถูกกำหนดจากระดับความเสี่ยงของกิจกรรม ความอ่อนไหว/ปริมาณ/การเผยแพร่ของข้อมูล และศักยภาพองค์กร ความน่ากังวลของเรื่องนี้คือ ถ้ามาตรการที่มีอยู่อ่อนแอเกินไป และหากมีเหตุเกิดขึ้น DPO จะต้องรับผิดชอบในฐานะที่ไม่ได้ผลักดันมาตรการให้เข้มข้นขึ้นหรือไม่ และหาก DPO พยายามผลักดันมาตรการที่เข้มข้นขึ้น จนเกินระดับเหมาะสมจนส่งผลต่อการปฎิบัติงาน ไม่ได้รับความสะดวกสบายเท่าที่ควร หรือรวมทั้งเพิ่มต้นทุนจำนวนมากด้วย DPO ควรศึกษาและตัดสินใจให้ถ่องแท้ถึงมาตรการที่เหมาะสมอย่างไร? ทำอย่างไรจึงจะสอดคล้องกับบริบทขององค์กรจริง ๆ
สุดท้ายนี้ DPO ไม่จำเป็นต้องลงมือเทคนิคแทนทีมไอที แต่ต้อง อ่านภาษาควบคุมให้เป็น ถามให้ถูกจุด และขอหลักฐานได้—เพื่อขับเคลื่อนการปฏิบัติตาม PDPA อย่างมีประสิทธิภาพ ตรวจสอบได้ และยั่งยืน.

ไม่ว่าความท้าทายของ DPO จะมาจากแง่มุมใดก็ตาม สิ่งที่เป็นภารกิจสำคัญที่เลี่ยงไม่ได้คือ DPO จำต้องแสวงหาความรู้ และศึกษาบทเรียนจากองค์กรต่างๆ อยู่ตลอดเวลา ความเปลี่ยนแปลงจากกฎหมาย เทคโนโลยี และกระบวนการทำงานทำให้งานของ DPO ไม่สามารถหยุดนิ่งจากการแสวงหาความรู้ได้เลย.
pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม