กฎหมาย PDPA จะบังคับใช้ในอีก 5 เดือนข้างหน้า องค์กรของคุณพร้อมหรือยัง ?

posted in: Blog | 0

 

กฎหมาย PDPA (Personal Data Protection Act) หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคล ที่จะบังคับใช้ในอีก 5 เดือนข้างหน้า ซึ่งทางบริษัท บลูบิค กรุ๊ป จำกัด (Bluebik) เป็นบริษัทที่ปรึกษาด้านกลยุทธ์ การจัดการนวัตกรรม และเทคโนโลยี เปิดเผยว่า ปัจจุบันข้อมูลลูกค้าได้กลายเป็นสินทรัพย์สำคัญขององค์กร ดังนั้น องค์กรจึงต้องให้ความสำคัญมากขึ้นกับการรักษาความปลอดภัยของข้อมูล (Data Security) เพื่อป้องกันความเสี่ยงข้อมูลภายในองค์กรรั่วไหล การถูกโจรกรรมข้อมูล รวมถึงการต้องปรับกระบวนการให้สอดคล้องกับระเบียบข้อบังคับต่าง ๆ ของภาครัฐ อย่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) ที่กำลังจะมีผลบังคับใช้ ในวันที่ 27 พ.ค. 2564 นี้

ซึ่งนางฉันทชา ได้กล่าวว่า ในปัจจุบันหลายองค์กรต่างตระหนักถึงความสำคัญของการดูแลความปลอดภัยของข้อมูล แต่ยังไม่แน่ใจว่าควรต้องเริ่มดำเนินการอย่างไร ทั้งนี้ ในการกำหนดแนวทางว่าควรบริหารจัดการจากการข้อมูลอย่างไร ควรเริ่มจากการประเมินความพร้อม หรือ ช่องโหว่ด้านการจัดการข้อมูล เพื่อที่จะได้วางแนวทางได้อย่างตรงจุด ดังนั้น หากต้องการอุดช่องโหว่ความเสี่ยง และเพิ่มความปลอดภัยในการดูแลข้อมูล จึงต้องปรับการจัดการข้อมูล ซึ่งประกอบด้วย 5 ขั้นตอนหลัก ดังต่อไปนี้

1. จัดทำ Data Mapping ซึ่งเป็นการจัดโครงสร้างข้อมูล เพื่อตรวจสอบว่าองค์กรมีข้อมูลอะไร และข้อมูลถูกเก็บไว้ที่ใดบ้าง ทำให้องค์กรนำข้อมูลไปใช้งานได้ง่ายขึ้น และหากเกิดปัญหาข้อมูลรั่วไหลหรือถูกขอให้ลบข้อมูล จะช่วยให้ระบุตำแหน่งข้อมูลได้อย่างรวดเร็ว

2. จัดลำดับความสำคัญของข้อมูล (Prioritization) เป็นการนำข้อมูลที่จัดให้เป็นระบบแล้ว มาจัดลำดับความสำคัญตามระดับความอ่อนไหวของข้อมูล (Sensitivity Level) ซึ่งจะช่วยให้องค์กรสามารถออกแบบนโยบาย แนวทางจัดการข้อมูล และวางแผนการดำเนินงาน

3. พัฒนาระบบควบคุมการเข้าถึงข้อมูล (Access Control System) เพื่อช่วยสร้างความปลอดภัยรัดกุมในการจัดการข้อมูล โดยระบบที่องค์กรควรพัฒนาเพิ่ม เช่น ระบบการให้สิทธิ์เข้าถึงข้อมูล และการยืนยันตัวตน การเข้ารหัสข้อมูลเพื่อรักษาความปลอดภัย (Encryption) เป็นต้น

4. กำหนดค่า และทดสอบระบบ (Configuration and Testing) โดยเริ่มจากการกำหนดมาตรฐานการตั้งค่าระบบปฏิบัติการ ระบบฐานข้อมูล และอุปกรณ์อื่น ๆ ภายในเครือข่าย เพื่อเพิ่มความปลอดภัยอีกขั้นในการเข้าถึงข้อมูล

5. ผลักดันสู่การปฏิบัติจริง (Implementation) ทางองค์กรควรมีทีมงานเฉพาะกิจในการวางแผน และบริหารจัดการ เพื่อผลักดันการให้แผนการจัดการข้อมูลเป็นไปอย่างมีประสิทธิภาพและถูกต้องตามกฎหมาย

นอกจากนี้บลูบิคยังแนะนำองค์กรเกี่ยวกับแนวทางการปรับกระบวนการธุรกิจให้สอดรับกับ PDPA ซึ่งองค์กรควรให้ความสำคัญกับเรื่องข้อมูล โดยไม่มองข้าม 3 ประเด็น ได้แก่ ประเด็นที่ 1 การให้ความรู้ความเข้าใจเรื่อง PDPA กับบุคลากรในองค์กร ประเด็นที่ 2 การกำหนดกระบวนการทำงานให้มีความชัดเจน และประเด็นที่ 3 การเลือกใช้เทคโนโลยีให้เหมาะสมกับขนาด และระบบข้อมูลขององค์กร ซึ่งการเตรียมความพร้อมอย่างรอบด้าน ทั้งเรื่องโครงสร้างข้อมูล บุคลากร กระบวนการ และเทคโนโลยีจะช่วยให้องค์กรประสบความสำเร็จในการอุดช่องโหว่ความเสี่ยง  และรักษาความปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ

ที่มา : thansettakij.com