Black Hat Asia 2021

6 ขั้นตอนสร้าง PDPA Journey จากจีเอเบิล

นับถอยหลังอีกไม่นาน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ก็จะมีผลบังคับใช้ในเดือนมิถุนายนที่จะถึงนี้ สำหรับองค์กรที่ยังไม่ได้เตรียมความพร้อม หรือวางกลยุทธ์และแนวทางปฏิบัติไว้แล้ว แต่ไม่รู้ว่าจะเลือกใช้เครื่องมืออะไรบ้าง และนำเครื่องมือที่มีอยู่มาปรับใช้อย่างไรให้เกิดประสิทธิภาพสูงสุด วันนี้จีเอเบิล (G-Able) ในฐานะ Digital Transformation Agent จึงมาให้คำแนะนำการสร้าง PDPA Journey ให้ครบ จบ ง่าย ภายใน 6 ขั้นตอน พร้อมให้คำปรึกษาแก่องค์กรทุกระดับแบบครบวงจร

เริ่มต้น PDPA ไม่ยากอย่างที่คิด

ประเด็นที่ผู้บริหารมักตั้งข้อสงสัยเมื่อต้องเตรียมพร้อมสำหรับ PDPA คือ 

  1. เทคโนโลยี IT ที่องค์กรมีอยู่ จะนำมาปรับใช้อย่างไรเพื่อให้สอดคล้องกับ PDPA 
  2. เมื่อ PDPA เป็นกฎหมาย จึงต้องจัดทำนโยบายความเป็นส่วนบุคคล แล้วบังคับใช้ด้วยเทคโนโลยี IT อีกที

คำถามสำคัญคือองค์กรควรเริ่มต้นจากข้อไหนก่อนดี?

นอกจากนี้ยังมีอีกหลายคำถามที่ฝ่าย IT ขององค์กรจำเป็นต้องหาคำตอบ ไม่ว่าจะเป็น…

  • ต้องทำแค่ไหนถึงจะเพียงพอตามข้อกำหนด PDPA
  • เมื่อองค์กรจ้างที่ปรึกษาด้านกฎหมายมาช่วยออกแบบนโยบายด้านความเป็นส่วนบุคคล ฝ่าย IT จะมีขั้นตอนในการจัดเตรียมและวางระบบให้สอดคล้องกับนโยบายที่วางไว้ได้อย่างไร
  • หรือในกรณีที่องค์กรมีเครื่องมืออยู่แล้ว เช่น Access Control, Data Protection, Data Breach Detection จะนำเครื่องมือเหล่านี้มาปรับใช้ให้ตรงตามข้อกำหนดของ PDPA อย่างไรให้มีประสิทธิภาพสูงสุด

6 ขั้นตอนสร้าง PDPA Journey 

จากประเด็นคำถามที่กล่าวไป จีเอเบิลจึงได้ให้คำแนะนำในการสร้าง PDPA Journey หรือแนวทางที่นำไปสู่การดำเนินงานตามข้อกำหนดของ PDPA ให้ประสบความสำเร็จ โดยแบ่งออกเป็น 6 ขั้นตอน ดังนี้

เริ่มจากการประเมินและเตรียมความพร้อมขององค์กร

1. Data Policy 

ค้นหาข้อมูลส่วนบุคคลที่อยู่ในองค์กร จากนั้นทำการคัดแยก จำแนกประเภทข้อมูล กำหนดสิทธิ์และนโยบายในการเข้าถึงข้อมูลเหล่านั้น โดยทั่วไปจะแบ่งออกเป็น 3 กลุ่ม คือ ลูกค้า พนักงาน และพาร์เนอร์ (3rd Parties) ซึ่งนโยบายความเป็นส่วนบุคคลเหล่านี้จะถูกบังคับใช้ในขั้นการวางกลไกเพื่อปกป้องข้อมูลต่อไปนั้นเอง 

2. Data Subject Right 

เตรียมช่องทางในการติดต่อกับ Data Subject ภายใต้นโยบายความเป็นส่วนบุคคลที่กำหนด รวมไปถึงการออกแบบและบริการจัดการ Cookie & Consent และ Data Subject Access Request (DSAR)

3. Access Control

ควบคุมการเข้าถึงข้อมูลของบุคคลแต่ละประเภท ผ่านการบริหารจัดการตัวตนผู้ใช้งาน กำหนดสิทธิในการเข้าถึง การบริหารจัดการอุปกรณ์และเอกสาร รวมถึงสิทธิในการเข้าถึงและใช้ข้อมูลให้เหมาะสมสอดคล้องตามความยินยอมที่เจ้าของข้อมูลได้ให้ไว้กับองค์กร

4. Data Protection

ปกป้องข้อมูลจากภัยคุกคามทั้งขณะจัดเก็บและรับส่ง ด้วยการทำ Encryption, Masking, Tokenization, รวมถึงการรักษาความมั่นคงปลอดภัยบนแอปพลิเคชันเพื่อให้ข้อมูลมีความปลอดภัย ไม่ว่าข้อมูลเหล่านั้นจะอยู่ภายใน, ภายนอก หรือ บน Cloud

5. Data Breach Detection

ตรวจจับพฤติกรรมที่ผิดปกติหรือไม่พึงประสงค์ที่อาจก่อให้เกิดเหตุ Data Breach ตั้งแต่อุปกรณ์ปลายทาง เครือข่าย และระบบ Cloud รวมไปถึงการรับมือและฟื้นฟูระบบให้กลับคืนสู่สภาวะปกติได้อย่างรวดเร็วทันเวลา

6. Data Usage Monitoring

เฝ้าระวังการใช้ข้อมูล เพื่อให้มั่นใจได้ว่าข้อมูลถูกใช้อย่างเหมาะสม ภายใต้นโยบายความเป็นส่วนบุคคลของข้อมูลและการยินยอมจากเจ้าของข้อมูล ในกรณีที่เกิดเหตุผิดปกติ ก็สามารถเก็บหลักฐานและจัดทำรายงานส่งให้หน่วยงานกำกับดูแลที่เกี่ยวข้องได้ง่าย

จีเอเบิลร่วมสร้าง PDPA Journey ไปพร้อมกับลูกค้า

ไม่ได้จบแค่ให้คำปรึกษาและคัดสรรโซลูชันสำหรับดำเนินงานตามข้อกำหนดของ PDPA เท่านั้น แต่จีเอเบิลยังมีบริการที่ช่วยให้องค์กรของคุณสร้าง PDPA Journey ได้แบบครบวงจรตาม 6 ขั้นตอนที่กล่าวไปข้างต้น ด้วยการร่วมพัฒนาและออกแบบโซลูชันไปพร้อมกับลูกค้า เพราะเราเข้าใจว่าแต่ละองค์กรมีความต้องการเฉพาะที่ต่างกันออกไป

โดยลูกค้าจะเลือกใช้บริการครบทั้ง 6 ขั้นตอน หรือเลือกใช้เฉพาะบางขั้นตอนก็ได้ โดยจีเอเบิลแบ่งบริการ PDPA ออกเป็น 4 โซลูชันย่อย ได้แก่

1. Data Governance Solution

วางแผนกลยุทธ์ด้านการกำกับดูแลข้อมูล ออกแบบโมเดลการกำกับดูแล จัดทำ Data Inventory พร้อมค้นหาและจำแนกประเภทของข้อมูลทั้งหมดในองค์กร เพื่อกำหนดนโยบายด้านความเป็นส่วนบุคคลของข้อมูลแต่ละประเภทให้สอดคล้องกับ PDPA รวมไปถึงการออกแบบรายงานสำหรับส่งหน่วยงานกำกับดูแลที่เกี่ยวข้อง

2. Data Subject Solution

ให้คำปรึกษาเรื่องการยินยอมเปิดเผยและให้ใช้ข้อมูล (Consent) พร้อมแนะนำเครื่องมือที่เกี่ยวข้อง ได้แก่ Consent Management, Cookie Management และ Data Subject Access Request (DSAR) รวมไปถึงการผสานการทำงานกับระบบเดิมที่มีอยู่ เช่น Call Center

3. Data Protection & Breach Detection

ให้คำปรึกษาและบริการเครื่องมือสำหรับปกป้องข้อมูลตามข้อกำหนดของ PDPA ได้แก่ Data Encryption, Data Masking/Tokenization, Application Security, CASB, Data Loss Prevention, Endpoint Detection Response รวมไปถึงการทำ Incident Management เมื่อเกิดเหตุข้อมูลรั่วไหลสู่ภายนอก

4. PDPA for HR or Employee Journey under PDPA

บริการคุ้มครองข้อมูลส่วนบุคคล ตั้งแต่ได้รับข้อมูลไปจนถึงนำข้อมูลออกจากระบบ พร้อมให้คำแนะนำว่าจะต้องบริหารจัดการข้อมูลและวิเคราะห์อย่างไรจึงจะได้ประโยชน์สูงสุด รวมถึงการขอความยินยอมในการเปิดเผย/ใช้ข้อมูลอย่างไร จึงจะเป็นไปตามข้อกำหนดของ PDPA ซึ่งทั้งหมดนี้เหมาะกับฝ่ายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล อาทิ HR, IT, Admin/Webmaster, Digital Marketer, PR, Customer Service, Sales, Accounting และ Finance เป็นต้น

มีการทำงานร่วมกัน ระหว่างทีมกฎหมายและ IT 

จุดเด่นสำคัญของบริการ PDPA ของจีเอเบิล คือ มีทีมกฎหมายและทีม IT ประสานการทำงานร่วมกัน ช่วยให้องค์กรวางมาตรการควบคุมไปพร้อม ๆ กับการกำหนดนโยบายความเป็นส่วนบุคคลของข้อมูลตาม PDPA ได้เลย โดยไม่จำเป็นต้องรอให้นโยบายทั้งหมดถูกร่างเสร็จก่อน ซึ่งช่วยร่นระยะเวลาในการดำเนินงานไปได้หลายเดือน

แต่ในกรณีที่องค์กรเตรียมนโยบายความเป็นส่วนบุคคลของข้อมูลเรียบร้อยแล้ว ทีมกฎหมายของจีเอเบิลก็จะช่วยตีความและทำงานร่วมกับฝ่าย IT เพื่อให้มั่นใจได้ว่ามาตรการควบคุมที่วางแผนนั้นครบถ้วนและเหมาะสมกับ PDPA นั้นเอง

สนใจบริการ G-Able PDPA สอบถามข้อมูลเพิ่มเติมได้ที่ bit.ly/2Og4SV1 
หรือติดต่อแผนกลูกค้าสัมพันธ์ โทร. 02-781-9333
Website: www.g-able.com

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปงานสัมมนา Empowering Intelligent Enterprise for Multinational Companies โดย NTT DATA, QUNIE Consulting และ ISS Consulting

ในวันที่ 23 มีนาคม 2021 ที่ผ่านมา ทาง NTT DATA, QUNIE Consulting, และ ISS Consulting ได้ร่วมกันจัดงานสัมมนา Empowering …

อัปเดตเทรนด์ด้าน Enterprise Security ล่าสุด ในงานสัมมนาออนไลน์ฟรี TTT Virtual Summit  2021: Network & Security 27-30 เมษายน 2021

อัปเดตเทรนด์ล่าสุดด้าน Enterprise Security จากเหล่าผู้เชี่ยวชาญและแบรนด์ชั้นนำ ในงานสัมมนาออนไลน์ฟรี TTT Virtual Summit  2021: Network & Security งานสัมมนาออนไลน์ครั้งใหญ่สำหรับผู้ดูแลระบบเครือข่ายและผู้ดูแลรักษาความมั่นคงปลอดภัยในธุรกิจองค์กร จัดเต็มกับประเด็นเนื้อหาทางด้าน Enterprise Security โดยเฉพาะ ในวันที่ 29-30 เมษายน 2021 นี้ เวลา 13.00น. - 16.00น. กับหัวข้อหลากหลายทางด้าน Enterprise Security ที่พลาดไม่ได้ อาทิ