PDPA Awareness เรื่องสำคัญที่ไม่ควรมองข้าม

แชร์

อ่าน

ครั้ง

โดย : ชไมพร วุฒิมานพ

PDPA Awareness เรื่องสำคัญที่ไม่ควรมองข้าม

แชร์

อ่าน

ครั้ง

โดย : ชไมพร วุฒิมานพ

 

   การมีผลบังคับใช้ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มีการกำหนดหลักเกณฑ์และวิธีการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมไปถึงกำหนดบทบาทหน้าที่ต่าง ๆ ให้กับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วน หนึ่งในหน้าที่ที่กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติคือ การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล โดยมาตรการดังกล่าวต้องรวมถึงการสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย (privacy and security awareness) แก่บุคลากร พนักงาน ลูกจ้าง หรือบุคคลอื่นที่เป็นผู้ใช้งาน (user) หรือเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

     PDPA awareness คือการสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล ที่เป็นการสื่อสารให้บุคลากร พนักงาน หรือลูกจ้างในองค์กรเห็นว่า การคุ้มครองข้อมูลส่วนบุคคลนั้นมีความสำคัญอย่างไร ทั้งยังชี้ให้เห็นถึงความเสี่ยงที่เกิดจากการใช้ข้อมูลส่วนบุคคลในการทำงานโดยไม่ใช้ความระมัดระวัง จะก่อให้เกิดโทษอย่างไรบ้าง การสร้างเสริมความตระหนักรู้ให้แก่บุคลากร พนักงาน หรือลูกจ้าง เป็นการป้องกันความผิดพลาดที่เกิดจากบุคคล (human error) ในการนำข้อมูลส่วนบุคคลไปใช้ใช้การดำเนินงานขององค์กร 

     สิ่งสำคัญอย่างแรกที่จะต้องมีการสร้างความตระหนักรู้ให้กับบุคลากรในองค์กร คือ ความรู้พื้นฐานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (PDPA Fundamental awareness) เพื่อให้บุคลากรได้ทราบว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นสำคัญอย่างไรกับการทำงาน มีหลัการพื้นฐานอย่างไร การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องดำเนินการอย่างไรจึงจะสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิอะไรบ้างตามกฎหมายฉบับนี้ ผู้ควบคุมข้อมูลส่วนบุคคลมีบทบาทหน้าที่อะไรบ้าง รวมถึงโทษที่จะได้รับหากไม่ปฏิบัติตามกฎหมาย ซึ่งการสร้างความตระหนักรู้ในส่วนนี้บุคลากร พนักงาน ลูกจ้าง กรรมการบริษัท และผู้บริหารขององค์กร ควรได้รับการสร้างความตระหนักรู้ทุกคน

     ลำดับถัดมา คือ การอบรมสัมมนาเชิงปฏิบัติการ (workshop) ด้านการคุ้มครองข้อมูลส่วนบุคคล โดยแบ่งเป็น 2 เรื่องคือ 1) บันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities: RoPA) ที่จะทำให้บุคลากรในองค์กรบันทึกข้อมูลเกี่ยวกับข้อมูลส่วนบุคคลที่ไหลเวียนอยู่ในองค์กร ซึ่งเอกสารบันทึกรายการฉบับนี้จะนำไปสู่การประเมินความเสี่ยงด้านข้อมูลส่วนบุคคลขององค์กรในลำดับถัดไป และ 2) การบริหารจัดการเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Management) เป็นการสร้างความตระหนักรู้เพื่อเตรียมความพร้อมรับมือเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลขึ้นกับองค์กร เพื่อให้พนักงานสามารถดำเนินการแก้ไขได้อย่างรวดเร็ว และเพื่อป้องกันความเสียหายที่จะเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคลและองค์กรได้น้อยที่สุด การอบรมเชิงปฎิบัติการนี้ควรเน้นไปที่ผู้ปฏิบัติงานเป็นหลัก แต่ผู้บริหารขององค์กรก็ควรที่จะมีความรู้ในส่วนนี้เพื่อที่จะสารมารถบริหารจัดการหรือสั่งการได้อย่างรวดเร็ว

     นอกจาก PDPA Fundamental awareness และ workshop แก่บุคลากรในองค์กรแล้วนั้น หากองค์กรใดได้มีการจัดทำเอกสารต่าง ๆ ให้สอดคล้องกับที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดแล้วนั้น ควรมีการอบรมเกี่ยวกับเอกสารที่จัดทำเหล่านั้น ให้กับผู้บริหารขององค์กรได้รับรู้รับทราบ ว่าเอกสารเหล่านั้นคืออะไร นำไปใช้อย่างไร รวมถึงเพื่อออกคำสั่งให้นำเอกสารเหล่านั้นไปใช้รวมกับการดำเนินงานต่าง ๆ ในองค์กร นอกจากการสร้างความตระหนักรู้ให้กับบุคลากรที่เป็นผู้ปฏิบัติงานแล้วนั้น การสร้างความตระหนักรู้แก่ระดับผู้บริหารขององค์กรก็มีความสำคัญไม่ยิ่งหย่อนไปกว่ากัน เพราะหากผู้บริหารมีความรู้และให้ความสำคัญกับเรื่องดังกล่าวก็จะนำมาซึ่งการขับเคลื่อนขององค์กรที่ดี  และนำมาซึ่งการให้ความสำคัญ การป้องกัน และลดความเสียหายที่จะเกิดแก่เจ้าของข้อมูลส่วนบุคคลและองค์กรได้อย่างมาก

     การสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล ในปัจจุบันนั้นมีหลายองค์กรที่จัดให้มีการสร้างความตระหนักรู้ด้านนี้ขึ้น ทั้งหน่วยงานภาครัฐและเอกชน แต่อาจจะเป็นเพียงการอบรมให้ความรู้พื้นฐานเพียงเท่านั้น ซึ่งอาจจะยังไม่เพียงพอเมื่อเทียบกับกฎหมายที่จะมีการบังคับใช้อย่างเข้มข้นมากขึ้นในอนาคต ดังนั้นแล้วการสร้างความตระหนักรู้จึงควรรวมถึงการอบรมสัมมนาเชิงปฎิบัติการด้วย

วิทยากร E-Larning-12
นางสาวชไมพร วุฒิมานพ
ที่ปรึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคล จาก PDPA Thailand

บทความที่เกี่ยวข้อง