Special Report : ส่องภาคเอกชน​ พร้อมจริงหรือสำหรับ PDPA ?!?

ท่ามกลางกระแสความเปลี่ยนแปลงของโลกในศตวรรษที่ 21 ชีวิต สังคม และเศรษฐกิจล้วนถูกขับเคลื่อนด้วยข้อมูล ในส่วนของ “ภาครัฐ” ฐานข้อมูลถือเป็นเรื่องสำคัญ ที่สามารถนำมาพัฒนาขีดความสามารถในการแข่งขันระดับประเทศได้ ขณะที่ “ภาคเอกชน” ฐานข้อมูลของลูกค้าในมือ คือตัวขับเคลื่อนสำคัญในการพัฒนาองค์กรและออกแบบกลยุทธ์ทางการตลาด มาตรฐานการรักษาความปลอดภัยของข้อมูลส่วนบุคคลจำนวนมหาศาลที่อยู่ในมือจึงเป็นเรื่องสำคัญที่สุด เป็นที่มาของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act B.E.2562) ที่มีผลบังคับใช้อย่างเป็นทางการในวันที่ 1 มิ.ย.ที่ผ่านมา

‘นายกฯ’เน้นรัฐเร่งสร้างความมั่นใจ

เกี่ยวกับเรื่องดังกล่าว​ พลเอก ประยุทธ์ จันทร์โอชา นายกรัฐมนตรี ได้กล่าวในงานสัมมนา​ “แนวทางการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” ว่า การคุ้มครองสิทธิของประชาชนในเรื่องข้อมูลส่วนบุคคล เป็นสิ่งที่รัฐบาลและกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ให้ความสำคัญ ควบคู่ไปกับการผลักดันเรื่องการสร้างสรรค์นวัตกรรม และใช้ประโยชน์จากเทคโนโลยีดิจิทัลได้อย่างเต็มศักยภาพ จึงมอบหมายให้ กระทรวงดิจิทัลฯ โดยสำนักงานคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ (สดช.) ดำเนินโครงการแพลตฟอร์มภาครัฐ เพื่อรองรับกฎหมายคุ้มครองส่วนบุคคล โดยออกแบบระบบปฏิบัติงานทั้งสิ้น “4 ระบบ” ซึ่งสอดรับกับหน้าที่ของภาครัฐภายใต้กฎหมาย PDPA ฉบับนี้ ประกอบด้วย

1.ระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

2.ระบบบริหารจัดการความยินยอม  เพื่อใช้ในการบริหารจัดการความยินยอมของเจ้าของข้อมูลส่วนบุคคล

3.ระบบจัดการการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล  และ

4.ระบบจัดการการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล ซึ่งสามารถแจ้งเหตุละเมิดข้อมูลส่วนบุคคล ไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล(สคส.) ภายใน 72 ชั่วโมง

         ชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวว่า  แพลตฟอร์มทั้ง 4 ระบบดังกล่าวทำงานอยู่บนระบบคลาวด์กลางภาครัฐ  เพื่อสร้างมาตรฐานการใช้ เก็บ เผยแพร่ข้อมูลส่วนบุคลของไทย ให้เป็นที่ยอมรับในระดับสากล  รองรับการเข้าสู่เศรษฐกิจยุคใหม่ของไทย ที่ต้องแข่งขันด้วยเทคโนโลยีและการบริหารจัดการข้อมูล PDPA ถือเป็นกฎหมายที่มุ่งยกระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของไทยให้ทัดเทียมนานาประเทศ โดยก่อนหน้าในปี 2561 สหภาพยุโรปได้บังคับใช้กฎหมาย GDPR หรือ General Data Protection Regulation มีข้อกำหนดให้องค์กรที่มีธุรกรรม หรือการดำเนินการที่มีข้อมูลส่วนบุคคลต้องปฏิบัติตามมาตรการต่างๆที่เข้มงวดขึ้น ดังนั้นการบังคับใช้กฎหมายคุ้มครองข้อมูลฯ ในประเทศไทย จึงเป็นแนวทางที่จะช่วยส่งเสริมให้ภาคธุรกิจไทยมีมาตรฐานการใช้ข้อมูลเป็นที่ยอมรับในระดับสากล เปิดประตูสู่โอกาสใหม่ๆ บนเวทีโลกได้เข้มแข็งยิ่งขึ้น

10 เรื่อง ที่คุณต้องรู้เกี่ยวกับ ‘PDPA’

แม้จะประกาศบังคับใช้กฎหมาย PDPA อย่างเป็นทางการไปแล้ว แต่ประชาชนจำนวนมาก ดูเหมือนยังคงสับสนเกี่ยวกับกฎหมายดังกล่าวอยู่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจเเละสังคม ได้แนะนำเพิ่มเติมถึง “10 เรื่องพื้นฐาน” ที่ประชาชนทุกคนควรรู้ เกี่ยวกับกฎหมาย PDPA ไว้ดังนี้

1. ข้อมูลส่วนบุคคล คือ ข้อมูลเที่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมเฉพาะ เช่น ชื่อ ที่อยู่ หมายเลขประจำตัว ข้อมูลสุขภาพ ฯลฯ
2. ผู้ควบคุมข้อมูลส่วนบุคคลต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าตัวไว้ก่อนหรือในขณะเก็บรวบรวม (ห้ามใช้นอกเหนือวัตถุประสงค์)
3. ผู้ควบคุมข้อมูลส่วนบุคคล ต้องเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (ใช้ข้อมูลของเจ้าของให้น้อยที่สุด)
4. ความยินยอมเป็นฐานการประมวลผลฐานหนึ่งเท่านั้น ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ในการกำหนดฐานการประมวลผล ให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับเจ้าของข้อมูลส่วนบุคคล
5. ในการขอความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องคำนึงอย่างที่สุด ในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคล (ต้องไม่มีสภาพบังคับในการให้ / ไม่ให้
6. เจ้าของข้อมูลส่วนบุคคล มีสิทธิดังนี้

6.1 สิทธิในการถอนความยินยอม ในกรณีที่ใด้ให้ความยินยอมไว้

6.2 สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice)

6.3 สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล

6.4 สิทธิขอให้โอนข้อมูลส่วนบุคคล

6.5 สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

6.6 สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้

6.7 สิทธิขอให้ระงับการใช้ขอมูลส่วนบุคคล

6.8 สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล

7. PDPA ใช้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม
8. 8. ในกรณีที่เหตุการณ์ละเมิดข้อมูลส่วนบุคคลมีความเสี่ยงสูงที่จะ มีผลกระทบต่อสิทธิและเสริภาพของเจ้าของข้อมูลส่วนบุคคลผู้ ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า
9. ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดทำบันทึกรายการกิจกรรม เพื่อให้สำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
10. เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือประกาศฯ ที่ออกตาม PDPA (ทั้งนี้ กระบวนการร้องเรียนเป็นไปตามระเบียบที่คณะกรรมการฯ ประกาศกำหนด)

    สำหรับ “ข้อมูลส่วนบุคคล” ถูกแบ่งออกเป็นสองประเภท คือ  “ข้อมูลส่วนบุคคลทั่วไป” และ “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” ซึ่งประเภทหลังต้องมีความระมัดระวังมากเป็นพิเศษ เนื่องจากเป็นข้อมูลที่มีความละเอียดอ่อนมาก และสามารถส่งผลกระทบต่อการใช้ชีวิต การทำงานและการถูกปฏิบัติจากสังคมกับเจ้าของข้อมูลได้ โดยข้อมูลทั้งสองประเภทแบ่งออกเป็นดังนี้
    “ข้อมูลส่วนบุคคลทั่วไป” ได้แก่ ชื่อนามสกุล , ที่อยู่,  เบอร์โทรศัพท์, อีเมล์ส่วนตัว,เลขบัตรประชาชน, เลขหนังสือเดินทาง, ใบขับขี่, ข้อมูลทางการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ทะเบียนรถยนต์, โฉนดที่ดิน ,ทะเบียนบ้าน และข้อมูลอื่นๆบนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Location, Username/Password, IP address เป็นต้น“ข้อมูลที่มีความอ่อนไหว” ได้แก่ เชื้อชาติ, เผ่าพันธุ์, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ  ศาสนาหรือปรัชญา, ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม และข้อมูลชีวภาพ เช่น แบบจำลองใบหน้า ลายนิ้วมือ ข้อมูลม่านตา เป็นต้น

‘อาลีบาบา คลาวด์’ ยักษ์ใหญ่จีนพร้อมรับมือ ‘PDPA’

         ขณะที่ผู้ให้บริการในภาคเอกชนจากกลุ่มธุรกิจ “Cloud Computing” ซึ่งเกี่ยวข้องกับการจัดเก็บข้อมูลจำนวนมากของลูกค้าในหลายองค์กรธุรกิจ “อาลีบาบา คลาวน์” ยักษ์ใหญ่ระดับโลก นำโดย  ไทเลอร์ ชิว ผู้จัดการประจำประเทศไทยของอาลีบาบา คลาวด์ อินเทลลิเจนซ์ เปิดเผย “CIO World News” ว่า ดาต้าเซ็นเตอร์ของอาลีบาบา คลาวด์ ในไทยได้รับใบรับรอง ISO27001 และ ISO20000 และเป็นไปตามข้อกำหนด PDPA ของไทยทุกประการ รวมถึงแนวปฏิบัติด้านกฎระเบียบทางการเงินที่กำกับโดยธนาคารแห่งประเทศไทย (ธปท.)  ขณะนี้ อาลีบาบา คลาวด์ สามารถตอบสนองความต้องการด้านการจัดการข้อมูลที่หลากหลายของลูกค้าได้ภายใต้ PDPA ได้ด้วยดาต้าเซ็นเตอร์ของบริษัทฯในไทย

        “ลูกค้าสามารถใช้ฟีเจอร์การเข้ารหัสข้อมูลที่ละเอียดอ่อน โดยใช้ Key Management Service (KMS) จัดการกับคีย์การเข้ารหัส, เปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต หรือใช้ Action Trail เพื่อบันทึกการทำงานของคอนโซลการจัดการ และบันทึกการโทร OpenAPI ที่สามารถวิเคราะห์เพิ่มเติม เพื่อตรวจจับกิจกรรมที่น่าสงสัยได้ด้วย”

ทั้งนี้ “อาลีบาบา คลาวด์” ครองตำแหน่งผู้นำอันดับหนึ่ง ด้านการให้บริการคลาวด์ในภูมิภาคเอเชีย-แปซิฟิก ตามข้อมูลจากไอดีซี และเป็นหนึ่งในผู้ให้บริการคลาวด์รายใหญ่ที่สุด 3 อันดับสูงสุด เป็นปีที่ 4 ติดต่อกัน ตามการจัดอันดับของการ์ทเนอร์  ปัจจุบันเปิดให้บริการใน 84 เขตพื้นที่ใน 27 ภูมิภาคทั่วโลก และได้รับการรับรองมาตรฐานด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูลราว 80 รายการทั่วโลก โดยสามารถแก้ไขปัญหาช่องโหว่ของระบบมากกว่า 7.3 ล้านครั้งต่อปี

‘AIS’ ยืนยันข้อมูลปลอดภัยสูงสุดทุกมิติ

         ทางด้าน AIS ผู้นำด้านการให้บริการดิจิทัล ที่มีลูกค้ามากกว่า 44.6 ล้านเลขหมาย รวมถึงกลุ่มลูกค้าองค์กรตั้งแต่ระดับผู้ประกอบการ SMEs ไปจนถึงองค์กรขนาดใหญ่ ออกมายืนยันความพร้อมต่อกระบวนการทำงานให้สอดรับกับกฎหมาย PDPA  สายชล ทรัพย์มากอุดม หัวหน้าฝ่ายงานประชาสัมพันธ์ บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือ AIS กล่าวว่า AIS ได้เพิ่มมาตรการเพื่อกำกับดูแลข้อมูลส่วนบุคคลและความปลอดภัยทางไซเบอร์ จัดลำดับชั้นความลับของข้อมูลโดยนำเครื่องมือทางดิจิทัลเทคโนโลยีมาใช้งานทั้งองค์กร  ที่ผ่านมานับจากวันที่กฎหมาย PDPA ประกาศในราชกิจจานุเบกษา ตั้งแต่ปี 2562 มีการกำกับดูแล ศึกษา ปรับปรุง พัฒนาเครื่องมือและกระบวนการทำงานให้สอดคล้องกับกฎหมายที่เกี่ยวข้องอยู่อย่างสม่ำเสมอ

          “AIS ยืนยันความพร้อมและสร้างความมั่นใจให้กับลูกค้า ตลอดจนผู้มีส่วนได้ส่วนเสียทุกกลุ่ม เราจะช่วยส่งเสริมประสิทธิภาพในทำงานเพื่อการรักษาข้อมูลส่วนบุคคลของลูกค้า รวมถึงความปลอดภัยด้านไซเบอร์ตามมาตรฐานสากล ร่วมกันปกป้อง สร้างการรับรู้ ตลอดจนเสริมภูมิคุ้มกันด้านการใช้งานดิจิทัลอย่างแข็งแกร่ง เพื่อให้การเดินหน้าของเศรษฐกิจดิจิทัลของประเทศเป็นไปอย่างมีประสิทธิภาพ ปราศจากซึ่งอุปสรรคและความเสี่ยงใดๆ” สายชล กล่าว

‘​AMWAY’ มั่นใจPDPAช่วยเพิ่มความเชื่อมั่น

          ทางด้านผู้ประกอบการชั้นนำจากกลุ่มธุรกิจขายตรง บริษัท แอมเวย์ ประเทศไทย จำกัด ภายใต้การบริหารของ กิจธวัช ฤทธีราวี กรรมการผู้จัดการ เปิดเผย “CIO World News” ว่า กฎหมายนี้มีประโยชน์และมีความสำคัญมาก  ​ ในส่วนของแอมเวย์ PDPA จะช่วยเพิ่มความเชื่อมั่นให้กับนักธุรกิจแอมเวย์/สมาชิก ตลอดจนพาร์ทเนอร์ ว่าบริษัทฯมีการดูแลและจัดเก็บข้อมูลอย่างเหมาะสม

          “เรามีการดูแลเรื่องการจัดเก็บข้อมูลส่วนบุคคล ของผู้มีส่วนเกี่ยวข้องกับแอมเวย์มาก่อนหน้าที่ประเทศไทยจะมีการออกกฎหมายบังคับใช้อย่างเป็นทางการ เพราะเราปฏิบัติตามแนวนโยบายของสำนักงานใหญ่ที่ประเทศสหรัฐอเมริกา ที่เน้นและให้ความสำคัญในเรื่องสิทธิส่วนบุคคลอย่างเคร่งครัดมานานกว่า 60 ปี”

ในส่วนของประเทศไทยมีการนำระบบเทคโนโลยีการดูแลข้อมูลและการรักษาความปลอดภัยของข้อมูล ที่ถูกออกแบบโครงสร้างมาจากบริษัทแม่ที่สหรัฐอเมริกามาใช้งาน รวมถึงมีการแต่งตั้งหน่วยงานรับผิดชอบ PDPA โดยตรง ให้เป็นผู้เก็บรักษาฐานข้อมูลส่วนบุคคล อันได้แก่ นักธุรกิจแอมเวย์และสมาชิกกว่า 1 ล้านรหัส พนักงานประจำและพนักงานจ้างชั่วคราวร่วม 1,000 ราย

‘AIA’ การันตีข้อมูลกรมธรรม์ 8 ล้านฉบับปลอดภัยแน่นอน 

ขณะที่ค่ายประกันยักษ์ใหญ่อย่าง เอไอเอ ประเทศไทย ให้ข้อมูลกับ “CIO World News” ว่า  กฎหมาย PDPA ถือว่ามีความสำคัญอย่างยิ่งเพราะเป็นกฎหมายที่กำหนดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของบุคคลในประเทศไทย ให้ทัดเทียมระดับสากล สำหรับธุรกิจประกันชีวิตซึ่งมีการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลจำนวนมากในการพิจารณารับประกัน โดยเฉพาะอย่างยิ่งข้อมูลสุขภาพซึ่งเป็นข้อมูลที่อ่อนไหว กฎหมาย PDPA ที่เพิ่งมีผลบังคับใช้เต็มรูปแบบในประเทศไทยเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมานั้น ถือเป็นเรื่องใหม่ที่เกิดขึ้นในประเทศไทยและมีผลกระทบกับภาคธุรกิจประกันชีวิตอย่างมาก อย่างไรก็ตามการสร้างความรู้ ความเข้าใจ ทั้งภาคประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคล และ ภาคธุรกิจในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ยังมีความจำเป็น และยังคงต้องดำเนินการอย่างต่อเนื่อง 

สำหรับเอไอเอ การดูแลลูกค้าที่มีอยู่มากกว่า 5 ล้านคน ซึ่งถือกรมธรรม์มากกว่า 8 ล้านฉบับ ตัวแทนประกันชีวิตจำนวน 50,000 คน และพนักงานจำนวนมากกว่า 2,000 คน  การคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้มีส่วนได้เสียดังกล่าว ถือเป็นส่วนสำคัญในการสร้างความเชื่อมั่นให้กับลูกค้าซึ่งเป็นหลักสำคัญในการดำเนินธุรกิจของเรา รวมทั้งการดูแลตัวแทนประกันชีวิต พนักงาน ก็เป็นสิ่งที่สำคัญ เอไอเอมีการดำเนินการอย่างต่อเนื่อง เพื่อให้เป็นไปตามมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล  และ ปฏิบัติตามกฎหมาย PDPA ในเรื่องสำคัญต่างๆ ประกอบด้วย 

การประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล การลงนามข้อตกลงด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคลกับคู่ค้าและพันธมิตรทางธุรกิจ การสร้างและพัฒนาระบบปฏิบัติงานภายใน ระบบการจัดการคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล การพัฒนาระบบการเก็บรักษาและทำลายข้อมูลส่วนบุคคล การจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ มาตรการป้องกันด้านเทคนิค และมาตรการป้องกันทางกายภาพ การเตรียมความพร้อมที่เอไอเอให้ความสำคัญมากอีกอย่างหนึ่งคือการส่งเสริมความรู้ความเข้าใจให้กับผู้ที่เกี่ยวข้องในองค์กร ทั้งกับพนักงานและตัวแทน เพื่อสร้างความตระหนักรู้ และ ระมัดระวังในการประมวลผลข้อมูลส่วนบุคคล อย่างต่อเนื่อง

‘NIPA Cloud’ คลาวด์สัญชาติไทยชี้ ‘PDPA’ สำคัญต่อเศรษฐกิจดิจิทัล

ดร.อภิศักดิ์ จุลยา ประธานกรรมการบริหาร บริษัท นิภาเทคโนโลยี จำกัด หรือ NIPA Cloud ให้ความเห็นเรื่องนี้กับ “CIO World News” ว่า บริษัทได้เตรียมความพร้อมสำหรับ PDPA มาหลายเดือนและได้มีการแต่งตั้งเจ้าหน้าที่เรียกว่า DPO หรือ Data Protection Officer  ซึ่งเป็นตำแหน่งที่สำคัญที่จะรวบรวมหรือจัดเก็บข้อมูล ซึ่งหน้าที่ความรับผิดชอบของตำแหน่งนี้ก็จะรวมถึงการให้ความรู้แก่ บริษัท และพนักงานเกี่ยวกับข้อบังคับ ฝึกอบรมพนักงานที่เกี่ยวข้องกับการประมวลผลข้อมูล และดำเนินการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ

“กฎหมายนี้มีความสำคัญมากต่อเศรษฐกิจดิจิทัล ที่จะทำให้ผู้ประกอบการทุกรายให้ความสำคัญกับการดูแลข้อมูลส่วนบุคคลของลูกค้าอย่างรอบคอบ ไม่นำไปใช้โดยไม่ขออนุญาตจากลูกค้า ไม่เก็บข้อมูลโดยไม่ได้ความยินยอมจากลูกค้า ถ้าผู้ประกอบการรายใดไม่เข้าใจ ตอนนี้น่าจะต้องเข้าใจแล้ว เพราะมันคือกฎหมาย การทำธุรกิจที่ไม่ถูกต้องตามกฎหมาย ไม่น่าจะดีสำหรับความยั่งยืนของธุรกิจ” 

สำหรับจุดเด่นของนิภาคลาวด์ที่แตกต่างจากคู่แข่งในเรื่องนี้ คือ Innovation ที่เน้นการทำ R&D มาประมาณ 10 ปี บริษัทฯลงทุนในการสร้างนวัตกรรมเพราะเชื่อว่านี่คือทางออกที่จะทำให้บริษัทแข็งแกร่งเหนือคู่แข่งได้ ทำให้นิภาคลาวด์ได้รับการรับรอง ISO ด้านการบริหารจัดการ และ ความปลอดภัย ของข้อมูล ดังต่อไปนี้ ISO/IEC 27001-2013 Information Security Management System , ISO/IEC 20000-1:2018 IT Service Management System , ISO/IEC 29110-4-1: 2018 Project Management and Software ปัจจุบันลูกค้าที่ได้รับบริการจากนิภาคลาวน์แบ่งออกเป็น Public cloud ประมาณ 1500 ราย และ Private cloud ประมาณ10 ราย  

‘3BB’ พร้อมเชื่อมต่อธุรกิจไม่สะดุด

          บริษัท ทริปเปิลที บรอดแบนด์ จำกัด (มหาชน) หรือ 3BB  รองประธานบริหารสายงานปฏิบัติการ ยอดชาย อัศวธงชัย เปิดเผยว่า 3BB ได้เตรียมความพร้อมล่วงหน้ามาตั้งแต่ปี2562  ทั้งในระดับนโยบายและปฏิบัติการ โดยว่าจ้างบริษัทที่ปรึกษาภายนอก เข้ามาช่วยดำเนินการในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าและการบริหารจัดการภายในองค์กร อาทิ

การกำหนดนโยบายในการรักษาความมั่นคงปลอดภัยสารสนเทศ, นโยบายการคุ้มครองข้อมูลส่วนบุคคล, นโยบายการคุ้มครองข้อมูลส่วนบุคคลสำหรับพนักงานและผู้สมัครงาน, การคุ้มครองส่วนบุคคลเกี่ยวกับการใช้กล้องวงจรปิด, การจัดเก็บข้อมูลการทำกิจกรรมเกี่ยวกับข้อมูลส่วนบุคคล การปรับปรุงระบบบริการให้สอดคล้องกับกฎหมาย PDPA เป็นต้น ในส่วนของพนักงาน ได้เน้นสร้างการรับรู้และความเข้าใจให้กับพนักงานทุกคนปฏิบัติตามกฎหมายและรักษาข้อมูลส่วนบุคคลอย่างถูกต้องและเคร่งครัด เพื่อป้องกันการกระทำความผิดโดยรู้เท่าไม่ถึงการณ์อีกด้วย

           “การบังคับใช้ PDPA ในระดับประเทศ  จะยิ่งทำให้ภาพรวมต่อความเชื่อมั่นทางเศรษฐกิจของประเทศไทยดียิ่งขึ้นอย่างแน่นอน” ยอดชายกล่าว

‘RED HAT’ – ‘KBTG’ – ‘TDG’ Security แน่นปึ้ก!

ขณะที่ผู้ให้บริการโซลูชันโอเพ่นซอร์สระดับแนวหน้าของโลก “เร้ดเฮท อิงค์” ภายใต้การบริหารงานของ สุพรรณี อำนาจมงคล  ผู้จัดการประจำประเทศไทย กล่าวกับ “CIO World News” เกี่ยวกับ PDPA ว่า ในฐานะที่บริษัทฯทำเรื่องโอเพ่นซอร์สซอฟแวร์ให้กับลูกค้ารายใหญ่หลายองค์กร อาทิ กสิกร บิซิเนส-เทคโนโลยี กรุ๊ป และ ทรู ดิจิทัล กรุ๊ป  หนึ่งสิ่งที่ให้ความสำคัญเสมอ คือเรื่องของความปลอดภัยก่อนที่จะส่งมอบซอฟแวร์ให้กับลูกค้าได้ใช้งาน​ บริษัทฯ มี Security Team ที่คอย QC  อุดช่องโหว่เพื่อความปลอดภัยทางข้อมูล และคอยซัพพอร์ทลูกค้าให้ใช้ซอฟแวร์ได้อย่างมีความปลอดภัยอยู่ตลอดเวลาด้วย

              ตะวัน จิตรถเวช ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี กสิกร บิซิเนส-เทคโนโลยี กรุ๊ป (KBTG) ให้ความคิดเห็นเพิ่มเติมว่า  นอกจากจะเน้นความปลอดภัยทางซอฟแวร์ ก่อนหน้าที่จะประกาศบังคับใช้ PDPA กสิกรเองได้มีการเตรียมพร้อมมานานแล้ว และมีการศึกษากฎหมายอย่างลึกซึ้ง อันดับแรกที่สำคัญที่สุดที่จะทำให้การดำเนินงานตาม PDPA ไม่สะดุด คือ เราต้องรู้ให้ได้ว่า Customer Data อยู่ที่ไหนบ้าง ซึ่งกสิกรก็ได้มีการ Identify ไปอย่างครบถ้วน ทำให้เมื่อลูกค้าต้องการใช้สิทธิต่างๆตามที่กฎหมาย PDPA​ ระบุ  บริษัทฯก็สามารถปฏิบัติตามได้ทันท่วงทีตามที่กฎหมายควบคุม

ทางด้าน​ ภควัต นนท์คุณากร Deputy Director – Operations Engineering  ทรู ดิจิทัล กรุ๊ป (TDG) กล่าวเสริมว่า การรับมือกับ PDPA เป็นสิ่งที่บริษัทฯทำมาพักใหญ่แล้ว และเชื่อว่าในหลายๆ Enterprise Company ต่างให้ความสำคัญเกี่ยวกับเรื่องนี้อย่างจริงจัง  ทางด้านของทรูฯเองผู้บริหารให้ความสำคัญมาโดยตลอด แม้กระทั่งพนักงานยังต้องได้รับการฝึกอบรมและมีการสอบเพื่อให้ทุกคนเข้าใจจริงๆว่า PDPA คืออะไร เรียกได้ว่าเกิดจากการทั้ง Top Down และ Bottom Up ในการสนับสนุนให้เกิดความเข้าใจในกฎหมายฉบับใหม่นี้ แต่สิ่งสำคัญที่สุดตนยังมองว่า ประชาชนเองต้องเข้าใจเช่นกันว่า PDPA มีความหมายแค่ไหนกับชีวิตตน ไม่ใช่เพียงหวังในเชิงขององค์กรเอกชนเพียงอย่างเดียว แต่หมายถึงประชาชนต้องมีการปรับเปลียนพฤติกรรมบางอย่างเพื่อให้ข้อมูลส่วนบุคคลของตัวเองปลอดภัยมากขึ้นด้วย

‘NUTANIX’ แนะทางปกป้องข้อมูลองค์กร

ทางด้านผู้เชี่ยวชาญด้านการจัดการข้อมูลและคลาวด์สำหรับองค์กร ทวิพงศ์ อโนทัยสินทวี ผู้จัดการประจำประเทศไทย นูทานิคซ์ แนะนำเบื้องต้นเกี่ยวกับการรับมือ PDPA ให้สำเร็จ ว่า จะต้องรู้ให้ชัดเจนก่อนว่าข้อมูลของ “องค์กร” คืออะไร และข้อมูลใดบ้างที่ต้องได้รับการปกป้อง  สิ่งสำคัญคือการจัดประเภทข้อมูลที่มีความอ่อนไหวง่าย โดยทั่วไปข้อมูลที่มีความอ่อนไหวง่ายจะได้รับการจัดเป็น “4 กลุ่ม” ดังนี้

1. ข้อมูลสาธารณะ ข้อมูลที่ทุกคนทั้งภายในและภายนอกองค์กรสามารถเข้าถึงได้ทุกเวลาอย่างอิสระ เช่น ข้อมูลการติดต่อ สื่อทางการตลาด ราคาของสินค้าและบริการต่าง ๆ
2. ข้อมูลภายใน ข้อมูลที่ไม่เปิดเผยต่อสาธารณะหรือคู่แข่งทางธุรกิจ แต่สามารถแชร์กันภายในองค์กรได้อย่างอิสระ เช่น แผนผังองค์กร และคู่มือการขายต่าง ๆ
3. ข้อมูลลับ ข้อมูลที่มีความอ่อนไหวง่าย ซึ่งหากหลุดไปยังบุคคลที่ไม่ได้รับอนุญาต จะสามารถส่งผลในทางลบแก่องค์กร เช่น สัญญาการจัดซื้อจัดหาต่าง ๆ และเงินเดือนของพนักงาน
4. ข้อมูลที่จำกัดการเข้าถึง ข้อมูลองค์กรที่มีความอ่อนไหวง่ายในระดับสูง ซึ่งหากรั่วไหลออกไป จะนำความเสี่ยงทางกฎหมาย การเงิน ชื่อเสียง หรือกฎระเบียบมาสู่องค์กร เช่น ข้อมูลทางการแพทย์ของลูกค้า และรายละเอียดบัตรเครดิต เป็นต้น

“ไม่มีภัยคุกคามใดที่มีลักษณะเหมือนกัน ผู้ดูแลด้านไอทีจำเป็นต้องตระหนักรู้ถึงประเภทของภัยคุกคามที่แตกต่างกันเหล่านั้น ที่จะกระทบต่อสภาพแวดล้อมการทำงานขององค์กร และต้องแน่ใจว่าระบบต่าง ๆ ขององค์กรได้รับการติดตามตรวจสอบการบุกรุกต่าง ๆ อย่างรอบคอบรัดกุม และต้องให้ความรู้เกี่ยวกับ PDPA และแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดแก่พนักงานด้วย” ทวิพงศ์ ผู้เชี่ยวชาญด้านการจัดการข้อมูลและคลาวด์สำหรับองค์กร กล่าวในที่สุด  

อย่างไรก็ตามกฎหมาย PDPA หากมีการฝ่าฝืน บริษัทฯ องค์กร หรือบุคคลที่นำไปใช้งานจะมีความผิดและได้รับบทลงโทษตามกฎหมาย “บทลงโทษทางอาญา” จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ “บทลงโทษทางแพ่ง” ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่าของค่าเสียหายจริง “บทลงโทษทางปกครอง”  โทษปรับไม่เกิน 1, 3 และ 5 ล้านบาท

ด้วยเหตุนี้องค์กรเอกชนใด ที่ละเลยหรือไม่จัดการเรื่องนี้อย่างจริงจัง ต้องรีบหยิบยกขึ้นมาทำให้เร็วที่สุด และหากไม่สามารถจัดการเองได้ ปัจจุบันก็ยังสามารถเลือกใช้บริการบริษัทฯทั้งระดับเล็กและระดับใหญ่ตามงบประมาณ ที่มีความเชี่ยวชาญการจัดการในเรื่อง PDPA โดยเฉพาะ ที่มักจะมาพร้อมทั้งทีมกฎหมายและทีมจัดการซอฟแวร์ อย่ามัวประมาทจนเกิดความเสียหายกับแบรนด์เหมือน “วัวหายแล้วล้อมคอก” เพราะสิ่งที่จะหายไปไม่ใช่วัว แต่คือ “ข้อมูลสำคัญ” ของลูกค้า ที่จะโบกมือลาไปพร้อมกับ “ความเชื่อมั่น” ในแบรนด์นั่นเอง!

ปัฐ รุ่งสาโรจน์  : รายงาน