รู้หรือไม่ Data Governance ทำให้การดำเนินงานของ PDPA ง่ายขึ้น

แชร์

อ่าน

ครั้ง

โดย : ชไมพร วุฒิมานพ

รู้หรือไม่ Data Governance ทำให้การดำเนินงานของ PDPA ง่ายขึ้น

แชร์

อ่าน

ครั้ง

โดย : ชไมพร วุฒิมานพ

     ข้อมูลเป็นกลไกสำคัญในการขับเคลื่อนการดําเนินงานของหน่วยงาน เพื่อนําไปสู่เป้าหมายที่กําหนดไว้ ทั้งยังเป็นหนึ่งในทรัพย์สินที่สําคัญที่องค์กรต้องให้ความสำคัญ การจัดเก็บและควบคุมไม่ให้เกิดการใช้ข้อมูลอย่างไม่ถูกต้องตามวัตถุประสงค์และเป้าหมายขององค์กร จึงมีความสำคัญอย่างยิ่งที่องค์กรจะต้องดำเนินการ โดยการจัดให้มีการกำกับดูแลข้อมูลภายในองค์กรให้เป็นไปตามเป้าหมายที่กำหนดไว้ ทั้งเป็นการดำเนินการให้ข้อมูลมีความพร้อมใช้งาน ความสมบูรณ์ และความปลอดภัย ยิ่งข้อมูลดังกล่าวเป็นข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลองค์กรยิ่งมีความจำเป็นอย่างยิ่งในการที่จะต้องจัดการให้มีความพร้อมใช้งานและมีความปลอดภัยมากยิ่งขึ้นเพื่อป้องกันมิให้เกิดเหตุการละเมิดข้อมูลส่วนบุคคล เนื่องจากในปัจจุบันนี้การเก็บข้อมูลของแต่ละองค์กรมีเป็นจำนวนมาก ซึ่งข้อมูลที่เก็บรวบรวมไว้นั้นอาจนำมาใช้หรือไม่นำมาใช้เพื่อให้บรรลุวัตถุประสงค์หรือเป้าหมายที่แท้จริงได้ อีกทั้งปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลจากการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อนรำคาญหรือความเสียหาย ให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม เปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ความเสียหายต่อเศรษฐกิจโดยรวม ทำได้โดยง่าย สะดวก ละรวกดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม ดังนั้นจึงมีความจำเป็นอย่างยิ่งที่ต้องให้ความสำคัญในการจัดการข้อมูลและสร้างมาตราการในการคุ้มคุ้มครองข้อมูลส่วนบุคคลไปพร้อม ๆ กัน

     Data Governance หรือธรรมภิบาลข้อมูล คือ การกําหนดสิทธิในการตัดสินใจและความรับผิดชอบ ในการส่งเสริมให้เกิดกระบวนการจัดทํา การใช้งาน และ การบริหารจัดการข้อมูล รวมถึงกระบวนการที่กําหนดบทบาท นโยบาย และมาตรฐาน ที่ช่วยสนับสนุนให้การ ดําเนินงานเกี่ยวกับข้อมูลมีประสิทธิภาพมากยิ่งขึ้น ซึ่งส่งผลให้หน่วยงานหรือองค์กรทั้งภาครัฐและเอกชนสามารถบรรลุเป้าหมายได้ ในการจัดทำ Data Governance หรือธรรมาภิบาลข้อมูลขององค์นั้น ได้มีการกำหนดองค์ประกอบหลักสำคัญของการจัดการข้อมูลที่ดี โดยหน่วยงาน Intra-governmental Group on Geographic Information (IGGI, 2005) ซึ่งต้องประกอบไปด้วย

1) มีความมั่นคงปลอดภัยและรักษาความเป็นส่วนบุคคลโดยมีมาตรการในการรักษาความมั่นคงปลอดภัย และความเป็นส่วนบุคคล

2)มีมาตรการควบคุมและจัดการระบบบริหารและกระบวนการจัดการข้อมูลหรือวงจรชีวิตของข้อมูล

3) มีนโยบายการใช้ข้อมูลที่ชัดเจน

4) มีการกําหนดบทบาทหน้าที่ของเจ้าของข้อมูล

5) ข้อมูลมี Meta Data

6) ข้อมูลมีคุณภาพ 

     ดังนั้นการจัดทำ Data Governance จึงเป็นเรื่องที่องค์กรต้องให้ความสำคัญ เพื่อเป็นการกำหนดถึงสิทธิ หน้าและนโยบายเกี่ยวกับการดำเนินการต่าง ๆ เกี่ยวกับข้อมูลทุกประเภทที่อยู่ภายใต้การควบคุมและการดำเนินงานขององค์กร และครอบคลุมถึงข้อมูลส่วนบุคคลที่อยู่ภายใต้การควบคุมขององค์กรเช่นเดียวกัน เมื่อมีการดำเนินการเกี่ยวกับ Data Governance ในองค์แล้วนั้นจะทำให้การดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA สามารถทำได้ง่ายขึ้น เนื่องจาก Data Governance เป็นการจัดระเบียบและกำกับการใช้ข้อมูลในองค์กร เมื่อข้อมูลต่าง ๆ ถูกกำกับดูแลแล้วนั้น จะทำให้ทราบว่าข้อมูลเหล่านั้นมีการเก็บรวบรวมจากแหล่งใด ข้อมูลนั้นมีคุณภาพหรือไม่ และมีวิธีการเก็บและทำลายอย่างไร ซึ่งการดำเนินเนิการดังกล่าวมีลักษณะที่ใกล้เคียงกับการทำ PDPA คือ

     การดำเนินงานของ PDPA จะเริ่มต้นตั้งแต่กระบวนการเก็บรวบรวมข้อมูลส่วนบุคคลตลอดจนการทำลายข้อมูลส่วนบุคคล กล่าวคือ PDPA กำหนดให้ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลทุกครั้ง ถึงการนำข้อมูลเหล่านั้นมาใช้หรือเปิดเผย โดยการแจ้งดังกล่าวองค์กรต้องมีการจัดทำประกาศความเป็นส่วนตัวในการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบว่าจะมีข้อมูลส่วนบุคคลใดบ้างที่มีการเก็บรวบรวม และข้อมูลส่วนบุคคลนั้นจะถูกนำไปใช้เพื่อวัตถุประสงค์ใด รวมทั้งมีข้อมูลส่วนบุคคลใดบ้างที่เจ้าของข้อมูลส่วนบุคคลจำเป็นต้องให้ข้อมูลเพื่อปฏิบัติตามสัญญา ข้อมูลของผู้ควบคุมข้อมูลส่วนบุคคล ระยะเวลาในการเก็บข้อมูลส่วนบุคคลเหล่านั้น และสิทธิของเจ้าของข้อมูลส่วนบุคคลที่พึงมีต่อผู้ควบคุมข้อมูลส่วนบุคคล เมื่อมีการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบแล้วนั้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องพิจารณาว่า ข้อมูลส่วนบุคคลที่จัดเก็บมานั้นจำเป็นต้องขอความยินยอมหรือไม่ หากต้องขอความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลต้องกระทำโดยชัดแจ้งเป็นหนังสือหรือในรูปแบบอิเล็กทรอนิกส์ อีกทั้งในการเก็บรวบรวมข้อมูลส่วนบุคคลต้องเก็บเท่าที่จำเป็นตามวัตถุประสงค์ที่จะนำมาใช้งาน เมื่อนำข้อมูลส่วนบุคคลมาใช้งานแล้วผู้ควบคุมข้อมูลส่วนบุคคลจะต้องมีการจัดทำบันทึกรายการของกิจกรรมหารประมวลผลเพื่อแสดงให้เห็นถึงวงจรการใช้ข้อมูลส่วนบุคคลขององค์กร (Data Life Cycle) และหากองค์กรมีการนำข้อมูลส่วนบุคคลมาใช้อย่างสม่ำเสมอจะต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อควบคุมการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลให้สอดคล้องกับที่กฎหมายกำหนดไว้  เมื่อองค์กรนำข้อูลส่วนบุคคลเหล่านั้นมาใช้สำเร็จตามวัตถุประสงค์แล้วและต้องการเก็บข้อมูลเหล่าไว้ในฐานข้อมูลขององค์กร จะต้องมีการกำหนดระยะเวลาในการเก็บข้อมูลส่วนบุคคลเหล่านั้นให้ชัดเจน และเหมาะสมตามวัตถุประสงค์ของการใช้งาน เมื่อครบระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลแล้วต้องมีการข้อมูลส่วนบุคคลเหล่านั้นมาทำลายทิ้ง โดยต้อมีวิธีการทำลายข้อมูลส่วนบุคคลที่ครอบคลุมเพื่อไม่ให้ข้อมูลส่วนบุคคลนั้นรั่วไหลจนก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล ขณะที่องค์กรเก็บรวบรวมข้อมูลส่วนบุคคลตลอดจนการทำลายข้อมูลส่วนบุคคล องค์กรต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลจนเป็นเหตุให้เจ้าของข้อมูลส่วนบุคคลได้รับความเสียหายจนกระทบสิทธิและเสรีภาพของบุคคล

     จะเห็นได้ว่าการดำเนินงานของ Data Governance และ PDPA จะมีลักษณะที่คล้ายคลึงกันเพียงแต่ Data Governance จะเป็นจัดการข้อมูลทุกชนิดที่มีอยู่ภายในองค์กร ในการกำหนดสิทธิการเข้าถึง กำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลทุกชนิดที่อยู่ในการควบคุมของผู้ควบคุมข้อมูลส่วนบุคคล ส่วน PDPA จะเป็นการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเพียงอย่าง ตั้งแต่การเริ่มต้นกระบวนการจัดเก็บตลอดจนการทำลายข้อมูลส่วนบุคคลล ดังนั้น องค์กรใดที่ได้มีการดำเนินการด้าน Data Governance จะทำให้การดำเนินการเกี่ยวกับ PDPA ง่ายขึ้น แต่ถ้าหากองค์กรใดยังไม่ได้ดำเนินการไม่ว่าจะเป็น Data Governance หรือ PDPA หรือดำเนินการไปแล้วเพียงบางเรื่อง และอยากดำเนินการเรื่อง แต่ไม่มีความมั่นใจว่าจะทำได้ถูกต้องตามกฎหมายหรือไม่นั้น สามารถให้ทาง PDPA Thailand เป็นที่ปรึกษาในด้านนี้ได้

วิทยากร E-Larning-12
นางสาวชไมพร วุฒิมานพ
ที่ปรึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคล จาก PDPA Thailand

บทความที่เกี่ยวข้อง

ประกาศคณะกรรมการผู้เชี่ยวชาญคณะที่ 3 และ 4 พร้อมตัดสินโทษทางปกครอง PDPA