5 ข้อปฎิบัติสำหรับ พ.ร.บ. การคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

พ.ร.บ. การคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) จะมีผลบังคับใช้กับทุกหน่วยงานและทุกผู้ประกอบการในวันที่ 27 พฤษภาคมนี้ สำนักงานพัฒนาธุรกิจอิเล็กทรอนิกส์ (ETDA) จะได้ออกแนวทางปฏิบัติที่ดีที่สุดสำหรับจัดทำข้อปฏิบัติในการดูแลข้อมูลส่วนบุคคล 5 ข้อ ดังต่อไปนี้

1. นิยามข้อมูลส่วนบุคคล

ทำความเข้าใจกลยุทธ์โดยรวมของการรักษาความมั่นคงปลอดภัยของข้อมูล ทั้งข้อมูลสำคัญของบริษัทและข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ จากนั้นกำหนดขอบเขตของเป้าหมายที่ต้องการปกป้อง รวมไปถึงพัฒนาโครงสร้างโมเดลข้อมูลและการจำแนกประเภทข้อมูลออกเป็นหมวดหมู่

2. ค้นหาว่ามีการใช้ข้อมูลอะไรอย่างไร

ดำเนินการตรวจค้น วิเคราะห์ และจำแนกข้อมูลประเภทต่างๆ อย่างสม่ำเสมอ รวมไปถึงทำความเข้าใจสภาพแวดล้อมของข้อมูล โครงสร้าง และ Lifecycle เพื่อที่จะได้วางมาตรการปกป้องข้อมูลแต่ละประเภทได้อย่างมีประสิทธิภาพ

3. กำหนดแนวทางพื้นฐานในการปกป้องข้อมูลสำคัญ

วางแนวทางพื้นฐาน (Baseline) สำหรับการปกป้องข้อมูลสำคัญของบริษัทและข้อมูลส่วนบุคคลให้สอดคล้องกับ พ.ร.บ.ฯ ประเมินกระบวนการและมาตรการควบคุมที่จำเป็นต้องใช้ รวมไปถึงดำเนินการประเมินความเสี่ยงและทำ Gap Analysis เพื่อกำหนดแนวทางแก้ไขและรับมือกับความเสี่ยง

4. วางแผน ออกแบบ และดำเนินการปกป้องข้อมูลให้มั่นคงปลอดภัย

วางแผนและกำหนดลำดับความสำคัญของกระบวนการปกป้องข้อมูลสำคัญของบริษัทและข้อมูลส่วนบุคคล ทั้งกระบวนการทางเทคนิคและกระบวนการเชิงธุรกิจ จากนั้นทำการออกแบบและดำเนินการเพื่อปกป้องข้อมูลเหล่านั้นให้มั่นคงปลอดภัย ที่สำคัญคือต้องให้สอดคล้องกับเป้าหมายการเติบโตทางธุรกิจด้วย

5. เฝ้าระวังการปกป้องข้อมูลสำคัญ

พัฒนากรอบธรรมาภิบาล ตัวชี้วัดการจัดการความเสี่ยง (Risk Metrics) และกระบวนการเฝ้าระวังเพื่อให้มั่นใจแนวทางปฏิบัติและมาตรการควบคุมที่ใช้งานนั้นทำงานได้ตามวัตถุประสงค์และมีประสิทธิภาพ นอกจากนี้ต้องคอยตรวจสอบกลยุทธ์และวิธีการในการปกป้องข้อมูลอย่างสม่ำเสมอ

ผู้ที่สนใจสามารถดาวน์โหลดเอกสาร “กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับบริบทการคุ้มครองข้อมูลส่วนบุคคลในกฎหมายอื่น” โดย ETDA ได้ ที่นี่