หลัง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมาย PDPA ประกาศใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา ทำให้ธุรกิจองค์กรน้อยใหญ่เกิดการระส่ำระสายกันพอสมควร เพราะต้องมีการปรับเปลี่ยนกระบวนการ การไหลของข้อมูลส่วนบุคคลภายในองค์กร รวมถึงธุรกิจ Logistics ที่มีการรวมรวมข้อมูลส่วนบุคคลจำนวนมาก ไม่ว่าจะเป็น Logistics ประเภท โลจิสติกส์เพื่อการขนส่งผู้โดยสาร( Passenger Logistics) , โลจิสติกส์เพื่อการผลิต (Manufacturing Logistics) หรือ โลจิสติกส์เพื่อการกระจายสินค้า (Distribution Logistics)
กิจกรรมที่สำคัญของธุรกิจ Logistics
- การจัดการการรับหรือส่งสินค้า และ การบริการลูกค้า
- การขนถ่ายวัสดุภายในโรงงาน หรือ ในคลังสินค้า
- การขนส่งสินค้าระหว่างสถานที่ต่างๆ ทั้งในและต่างประเทศ
- การจัดการคลังสินค้า ไม่ว่าจะเป็นการวางผังสินค้าหรือ สถานที่ ที่จะตั้งคลังสินค้า
- จัดระบบในการบริหารสินค้าคงคลัง เพื่อให้เกิดการหมุนเวียนหรือกระจายสินค้าได้อย่างมีประสิทธิภาพ
- กำหนดแหล่งที่ตั้งในการกระจายสินค้าเพื่อเกิดการกระจายสินค้าอย่างทั่วถึง
- ควบคุมการผลิต
ซึ่งในทุกกิจกรรมของโลจิสติกส์จะมีการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลไม่ว่าจะเป็น ลูกค้า คู่ค้า หรือแม้กระทั่งข้อมูลส่วนบุคคลของพนักงานในองค์กร
*ข้อมูลส่วนบุคคลใดก็ตามที่ธุรกิจขนส่ง (Logistics) เก็บไว้ได้รับข้อมูลนั้นมาจาก username และ password ที่ลูกค้าได้รับมาดำเนินการเข้าสู่ระบบ
ธุรกิจ Logistics ทำหรือยัง ? 9 วิธีคุ้มครองข้อมูลส่วนบุคคลอย่างปลอดภัยตามแบบฉบับของ PDPA
ตามที่ระบุในข้างต้นว่า PDPA มีบทบัญญัติให้องค์กรต่างๆ จะต้องมีมาตรการในการคุ้มครองข้อมูลส่วนบุคคลที่มีการจัดเก็บอย่างเหมาะสมกับความเสี่ยง ด้วยเหตุนี้ ผู้ควบคุมข้อมูลฯ และผู้ประมวลผลข้อมูลฯ จึงต้องมีการจัดการที่เหมาะสมตามความเสี่ยงขององค์กร และความอ่อนไหวของข้อมูลซึ่งอาจจะส่งผลกระทบเป็นวงกว้างและนำไปสู่การละเมิดข้อมูลส่วนบุคคลที่เป็นอันตรายทั้งด้านร่างกาย และจิตใจแก่เจ้าของข้อมูล เราจึงมีข้อเสนอแนะสำหรับทุกองค์กรดังนี้ :
- เก็บรวบรวมเฉพาะข้อมูลที่จำเป็น : PDPA กำหนดว่าองค์กรควรจัดเก็บข้อมูลเท่าที่จำเป็นต้องใช้เท่านั้น ซึ่งข้อกำหนดนี้ไม่เพียงเป็นมาตรการจัดการความปลอดภัยของข้อมูลในขั้นต้น แต่ยังช่วยให้องค์กรประหยัดการดูแลและคุ้มครองข้อมูลได้อีกด้วย องค์กรจึงควรสำรวจและวางแผนเพื่อการเก็บรวบรวมข้อมูลที่ต้องการใช้เท่านั้น
- ลงทุนด้านเทคโนโลยีความปลอดภัยข้อมูลฯ : ธุรกิจขนส่ง (Logistics) มีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว หรือข้อมูลสัมคัญที่อาจจะสร้างความเสียหายแก่เจ้าของข้อมูล จึงต้องจัดสรรงบประมาณที่เหมาะสมในการลงทุนด้านเทคโนโลยีเพื่อการเก็บรักษาข้อมูลให้มีความปลอดภัยตามความเสี่ยง
- กำหนดสิทธิการเข้าถึงข้อมูล : องค์กรควรมีมาตรการในการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลอย่างเหมาะสม และควรให้สิทธิการเข้าถึงข้อมูลเฉพาะบุคคลที่มีส่วนเกี่ยวข้องในงานเท่านั้น เพื่อลดการเกิดข้อมูลรั่วไหล และควรอัปเดตสิทธิอยู่เสมอเพื่อกีดกันบุคคลที่ไม่เกี่ยวข้องกับงานนั้นแล้วให้ไม่สามารถเข้าถึงข้อมูลเหล่านั้นได้อีกต่อไป
- จัดการความเสี่ยงข้อมูลที่ส่งต่อแก่บุคคลที่สาม : หนังสือสัญญาที่เป็นลายลักษณ์อักษรและเงื่อนไขการใช้หรือประมวลผลข้อมูลที่เฉพาะเจาะจงสำหรับข้อมูลที่ผู้ประมวลผลข้อมูลฯส่งต่อให้กับบุคคลที่สามเป็นเกราะคุ้มครองในเบื้องต้นที่องค์กรสามารถป้องกันการใช้ข้อมูลส่วนบุคคลผิดวัตถุประสงค์ ขณะที่การกำหนดมาตรการและเงื่อนไขขั้นต่ำในการคุ้มครองข้อมูลแก่บุคคลที่สามจะเป็นแนวทางที่สามารถป้องกันการสูญเสียหรือการละเมิดข้อมูลได้อีกระดับหนึ่ง
- ให้ความรู้เรื่องของความปลอดภัยข้อมูลส่วนบุคคลให้พนักงาน : ทุกองค์กรควรมีการอบรมพนักงานให้มีความรู้พื้นฐานด้านกฎหมาย PDPA ขณะเดียวกันต้องส่งเสริมค่านิยมความปลอดภัยของข้อมูลส่วนบุคคลภายในองค์กร ซึ่งจะเป็นประโยชน์ทั้งในด้านการป้องกันการละเมิดข้อมูลส่วนบุคคล และประโยชน์ในด้านการคุ้มครองข้อมูลภายในไม่ให้เกิดการรั่วไหล
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล : การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ภายในองค์กรไม่เพียงมีประโยชน์ในด้านการจัดการให้องค์กรมีการปฏิบัติตามกฎหมาย PDPA อย่างถูกต้องและเหมาะสม แต่ยังเป็นตำแหน่งที่จะมาบอกให้องค์กรกำหนดมาตรการด้านความปลอดภัยในส่วนต่างๆ ที่รอบรอบและรัดกุมมากยิ่งขึ้น
- กำหนดนามแฝง หรือทำข้อมูลนิรนาม : การใช้วิธีการปกปิดข้อมูลในลักษณะการทำให้เป็นนามแฝง (Pseudonymization) หรือการเข้ารหัสบุคคลจะมีประโยชน์ในด้านที่ว่าหากเกิดข้อมูลรั่วไหล ผู้ที่ได้ข้อมูลไปก็ไม่สามารถที่จะระบุตัวตนบุคคลนั้นได้ หรือกรณีการทำข้อมูลให้เป็นนิรนาม (Anonymization) โดยใช้วิธีการทางเทคนิคที่จะทำให้ข้อมูลนั้นไม่สามารถระบุตัวบุคคลได้อีกต่อไป และผู้วิเคราะห์ข้อมูลจะไม่สามารถรู้ได้ว่าชุดข้อมูลบุคคลที่กำลังวิเคราะห์อยู่มาจากใครบ้าง ตัวตนเจ้าของข้อมูลเป็นใคร ซึ่งเป็นการจัดการด้านความเสี่ยงหากเกิดกรณีข้อมูลส่วนบุคคลรั่วไหล
- กำหนดแผนการตอบสนองต่อเหตุการณ์ : องค์กรควรวางแผนรับมือเหตุการณ์ในกรณีที่ข้อมูลของบริษัทโดนโจมตีหรือเกิดการรั่วไหล รวมทั้งการกำหนดบทบาทหน้าที่ความรับผิดชอบในการดำเนินการเมื่อทราบเหตุ ทั้งนี้การเตรียมการรับมือไว้ล่วงหน้าจะทำให้สามารถลดความสูญเสียได้
- อัปเดตนโยบายความปลอดภัยอยู่เสมอ : ควรอัปเดตนโยบายด้านความปลอดภัยให้เหมาะสมตามสถานการณ์อยู่เสมอ และปรับเปลี่ยนเทคโนโลยีให้เหมาะสมกับความเสี่ยง ตลอดจนการบำรุงรักษาอุปกรณ์ให้มีความพร้อมใช้งานอยู่เสมอจะทำให้มาตรการในการคุ้มครองความปลอดภัยของข้อมูลมีความรัดกุมมากยิ่งขึ้น
อย่างไรก็ตาม หากเกิดการรั่วไหลของข้อมูลในองค์กรจะต้องดำเนินการสำรวจความเสียหายและประเมินผลกระทบที่อาจจะเกิดขึ้นแก่เจ้าของข้อมูล ทั้งกฎหมาย PDPA กำหนดให้จะต้องแจ้งเหตุแก่คณะกรรมการคุ้มครองข้อมูลฯ ไม่เกิน 72 ชั่วโมงหรือโดยไม่ชักช้านับตั้งแต่ทราบเหตุ ทั้งหากข้อมูลที่รั่วไหลนั้นอาจจะนำไปสู่การละเมิดที่สร้างความเสียหายแก่เจ้าของข้อมูล องค์กรจะต้องแจ้งเหตุ และแจ้งมาตรการเยียวยาแก่เจ้าของข้อมูลด้วย
