ADPT

6 ขั้นตอนสร้าง PDPA Journey จากจีเอเบิล

นับถอยหลังอีกไม่นาน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ก็จะมีผลบังคับใช้ในเดือนมิถุนายนที่จะถึงนี้ สำหรับองค์กรที่ยังไม่ได้เตรียมความพร้อม หรือวางกลยุทธ์และแนวทางปฏิบัติไว้แล้ว แต่ไม่รู้ว่าจะเลือกใช้เครื่องมืออะไรบ้าง และนำเครื่องมือที่มีอยู่มาปรับใช้อย่างไรให้เกิดประสิทธิภาพสูงสุด วันนี้จีเอเบิล (G-Able) ในฐานะ Digital Transformation Agent จึงมาให้คำแนะนำการสร้าง PDPA Journey ให้ครบ จบ ง่าย ภายใน 6 ขั้นตอน พร้อมให้คำปรึกษาแก่องค์กรทุกระดับแบบครบวงจร

เริ่มต้น PDPA ไม่ยากอย่างที่คิด

ประเด็นที่ผู้บริหารมักตั้งข้อสงสัยเมื่อต้องเตรียมพร้อมสำหรับ PDPA คือ 

  1. เทคโนโลยี IT ที่องค์กรมีอยู่ จะนำมาปรับใช้อย่างไรเพื่อให้สอดคล้องกับ PDPA 
  2. เมื่อ PDPA เป็นกฎหมาย จึงต้องจัดทำนโยบายความเป็นส่วนบุคคล แล้วบังคับใช้ด้วยเทคโนโลยี IT อีกที

คำถามสำคัญคือองค์กรควรเริ่มต้นจากข้อไหนก่อนดี?

นอกจากนี้ยังมีอีกหลายคำถามที่ฝ่าย IT ขององค์กรจำเป็นต้องหาคำตอบ ไม่ว่าจะเป็น…

  • ต้องทำแค่ไหนถึงจะเพียงพอตามข้อกำหนด PDPA
  • เมื่อองค์กรจ้างที่ปรึกษาด้านกฎหมายมาช่วยออกแบบนโยบายด้านความเป็นส่วนบุคคล ฝ่าย IT จะมีขั้นตอนในการจัดเตรียมและวางระบบให้สอดคล้องกับนโยบายที่วางไว้ได้อย่างไร
  • หรือในกรณีที่องค์กรมีเครื่องมืออยู่แล้ว เช่น Access Control, Data Protection, Data Breach Detection จะนำเครื่องมือเหล่านี้มาปรับใช้ให้ตรงตามข้อกำหนดของ PDPA อย่างไรให้มีประสิทธิภาพสูงสุด

6 ขั้นตอนสร้าง PDPA Journey 

จากประเด็นคำถามที่กล่าวไป จีเอเบิลจึงได้ให้คำแนะนำในการสร้าง PDPA Journey หรือแนวทางที่นำไปสู่การดำเนินงานตามข้อกำหนดของ PDPA ให้ประสบความสำเร็จ โดยแบ่งออกเป็น 6 ขั้นตอน ดังนี้

เริ่มจากการประเมินและเตรียมความพร้อมขององค์กร

1. Data Policy 

ค้นหาข้อมูลส่วนบุคคลที่อยู่ในองค์กร จากนั้นทำการคัดแยก จำแนกประเภทข้อมูล กำหนดสิทธิ์และนโยบายในการเข้าถึงข้อมูลเหล่านั้น โดยทั่วไปจะแบ่งออกเป็น 3 กลุ่ม คือ ลูกค้า พนักงาน และพาร์เนอร์ (3rd Parties) ซึ่งนโยบายความเป็นส่วนบุคคลเหล่านี้จะถูกบังคับใช้ในขั้นการวางกลไกเพื่อปกป้องข้อมูลต่อไปนั้นเอง 

2. Data Subject Right 

เตรียมช่องทางในการติดต่อกับ Data Subject ภายใต้นโยบายความเป็นส่วนบุคคลที่กำหนด รวมไปถึงการออกแบบและบริการจัดการ Cookie & Consent และ Data Subject Access Request (DSAR)

3. Access Control

ควบคุมการเข้าถึงข้อมูลของบุคคลแต่ละประเภท ผ่านการบริหารจัดการตัวตนผู้ใช้งาน กำหนดสิทธิในการเข้าถึง การบริหารจัดการอุปกรณ์และเอกสาร รวมถึงสิทธิในการเข้าถึงและใช้ข้อมูลให้เหมาะสมสอดคล้องตามความยินยอมที่เจ้าของข้อมูลได้ให้ไว้กับองค์กร

4. Data Protection

ปกป้องข้อมูลจากภัยคุกคามทั้งขณะจัดเก็บและรับส่ง ด้วยการทำ Encryption, Masking, Tokenization, รวมถึงการรักษาความมั่นคงปลอดภัยบนแอปพลิเคชันเพื่อให้ข้อมูลมีความปลอดภัย ไม่ว่าข้อมูลเหล่านั้นจะอยู่ภายใน, ภายนอก หรือ บน Cloud

5. Data Breach Detection

ตรวจจับพฤติกรรมที่ผิดปกติหรือไม่พึงประสงค์ที่อาจก่อให้เกิดเหตุ Data Breach ตั้งแต่อุปกรณ์ปลายทาง เครือข่าย และระบบ Cloud รวมไปถึงการรับมือและฟื้นฟูระบบให้กลับคืนสู่สภาวะปกติได้อย่างรวดเร็วทันเวลา

6. Data Usage Monitoring

เฝ้าระวังการใช้ข้อมูล เพื่อให้มั่นใจได้ว่าข้อมูลถูกใช้อย่างเหมาะสม ภายใต้นโยบายความเป็นส่วนบุคคลของข้อมูลและการยินยอมจากเจ้าของข้อมูล ในกรณีที่เกิดเหตุผิดปกติ ก็สามารถเก็บหลักฐานและจัดทำรายงานส่งให้หน่วยงานกำกับดูแลที่เกี่ยวข้องได้ง่าย

จีเอเบิลร่วมสร้าง PDPA Journey ไปพร้อมกับลูกค้า

ไม่ได้จบแค่ให้คำปรึกษาและคัดสรรโซลูชันสำหรับดำเนินงานตามข้อกำหนดของ PDPA เท่านั้น แต่จีเอเบิลยังมีบริการที่ช่วยให้องค์กรของคุณสร้าง PDPA Journey ได้แบบครบวงจรตาม 6 ขั้นตอนที่กล่าวไปข้างต้น ด้วยการร่วมพัฒนาและออกแบบโซลูชันไปพร้อมกับลูกค้า เพราะเราเข้าใจว่าแต่ละองค์กรมีความต้องการเฉพาะที่ต่างกันออกไป

โดยลูกค้าจะเลือกใช้บริการครบทั้ง 6 ขั้นตอน หรือเลือกใช้เฉพาะบางขั้นตอนก็ได้ โดยจีเอเบิลแบ่งบริการ PDPA ออกเป็น 4 โซลูชันย่อย ได้แก่

1. Data Governance Solution

วางแผนกลยุทธ์ด้านการกำกับดูแลข้อมูล ออกแบบโมเดลการกำกับดูแล จัดทำ Data Inventory พร้อมค้นหาและจำแนกประเภทของข้อมูลทั้งหมดในองค์กร เพื่อกำหนดนโยบายด้านความเป็นส่วนบุคคลของข้อมูลแต่ละประเภทให้สอดคล้องกับ PDPA รวมไปถึงการออกแบบรายงานสำหรับส่งหน่วยงานกำกับดูแลที่เกี่ยวข้อง

2. Data Subject Solution

ให้คำปรึกษาเรื่องการยินยอมเปิดเผยและให้ใช้ข้อมูล (Consent) พร้อมแนะนำเครื่องมือที่เกี่ยวข้อง ได้แก่ Consent Management, Cookie Management และ Data Subject Access Request (DSAR) รวมไปถึงการผสานการทำงานกับระบบเดิมที่มีอยู่ เช่น Call Center

3. Data Protection & Breach Detection

ให้คำปรึกษาและบริการเครื่องมือสำหรับปกป้องข้อมูลตามข้อกำหนดของ PDPA ได้แก่ Data Encryption, Data Masking/Tokenization, Application Security, CASB, Data Loss Prevention, Endpoint Detection Response รวมไปถึงการทำ Incident Management เมื่อเกิดเหตุข้อมูลรั่วไหลสู่ภายนอก

4. PDPA for HR or Employee Journey under PDPA

บริการคุ้มครองข้อมูลส่วนบุคคล ตั้งแต่ได้รับข้อมูลไปจนถึงนำข้อมูลออกจากระบบ พร้อมให้คำแนะนำว่าจะต้องบริหารจัดการข้อมูลและวิเคราะห์อย่างไรจึงจะได้ประโยชน์สูงสุด รวมถึงการขอความยินยอมในการเปิดเผย/ใช้ข้อมูลอย่างไร จึงจะเป็นไปตามข้อกำหนดของ PDPA ซึ่งทั้งหมดนี้เหมาะกับฝ่ายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล อาทิ HR, IT, Admin/Webmaster, Digital Marketer, PR, Customer Service, Sales, Accounting และ Finance เป็นต้น

มีการทำงานร่วมกัน ระหว่างทีมกฎหมายและ IT 

จุดเด่นสำคัญของบริการ PDPA ของจีเอเบิล คือ มีทีมกฎหมายและทีม IT ประสานการทำงานร่วมกัน ช่วยให้องค์กรวางมาตรการควบคุมไปพร้อม ๆ กับการกำหนดนโยบายความเป็นส่วนบุคคลของข้อมูลตาม PDPA ได้เลย โดยไม่จำเป็นต้องรอให้นโยบายทั้งหมดถูกร่างเสร็จก่อน ซึ่งช่วยร่นระยะเวลาในการดำเนินงานไปได้หลายเดือน

แต่ในกรณีที่องค์กรเตรียมนโยบายความเป็นส่วนบุคคลของข้อมูลเรียบร้อยแล้ว ทีมกฎหมายของจีเอเบิลก็จะช่วยตีความและทำงานร่วมกับฝ่าย IT เพื่อให้มั่นใจได้ว่ามาตรการควบคุมที่วางแผนนั้นครบถ้วนและเหมาะสมกับ PDPA นั้นเอง

สนใจบริการ G-Able PDPA สอบถามข้อมูลเพิ่มเติมได้ที่ bit.ly/2Og4SV1 
หรือติดต่อแผนกลูกค้าสัมพันธ์ โทร. 02-781-9333
Website: www.g-able.com


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] HPE GreenLake เปิดตัวผลิตภัณฑ์ใหม่ ภายในงาน HPE Discover 2021

ที่งาน HPE Discover 2021 เมื่อวันที่ 23-25  มิถุนายนที่ผ่านมา HPE GreenLake ได้มีการเปิดตัวผลิตภัณฑ์ใหม่มากมาย หนึ่งในนั้นคือ HPE GreenLake Lighthouse และ Project Aurora เพื่อเป็นการตอกย้ำวิสัยทัศน์และทิศทางของบริษัทที่จะเป็น Edge-to-Cloud Platform as-a-Service

[Guest Post] เจาะเส้นทางการ Transform ขององค์กร เพื่อก้าวสู่การเป็น Data Driven Organization

ในยุคนี้ใคร ๆ ก็ต่างพูดกันว่า Data is a new oil จนเราต่างรู้สึกคุ้นชินกันไปแล้ว และเห็นถึงความสำคัญของ Data หรือข้อมูลในการขับเคลื่อนธุรกิจในโลกใหม่ที่กำลังดำเนินไปในยุคเทคโนโลยีกันไม่น้อย แต่อีกหนึ่งประกาศที่สำคัญ แม้ว่า Data จะเปรียบเป็นน้ำมันดิบก็จริง แต่หากไม่มีการกลั่นออกมาให้เป็นเชื้อเพลิงให้เราสามารถนำไปใช้งานต่อได้ ซึ่งก็เหมือนกัน การสกัดข้อมูลออกมาผ่านการวิเคราะห์แยกแยะ เพื่อให้ได้ Insight นำไปใช้ประโยชน์ในการดำเนินธุรกิจต่อนั้นก็ไม่มีค่าอะไรเช่นกัน