Breaking News
AMR | Citrix Webinar: The Next New Normal

[Guest Post] โค้งสุดท้าย !! ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วย IBM Guardium จาก Computer Union

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะบังคับใช้ในวันที่ 28 พฤษภาคม 2563 นี้แล้ว !! วันนี้ผู้เขียนเลยอยากจะมาเน้นย้ำถึงความสำคัญพร้อมทั้งวิธีรับมือให้แต่ละองค์กรสามารถปฏิบัติตามกฎหมายฉบับนี้ให้ได้อย่างมีประสิทธิภาพ

ตอนนี้หลายท่านอาจกังวลหรือกำลังให้ความสนใจเกี่ยวกับ “ไวรัสโคโรน่า” หรือ “Covid-19” ว่าเราจะรับมือแล้วเอาตัวรอดกับสถานการณ์นี้ได้ยังไง แต่อีกสถานการณ์หนึ่งของโลกไอทีและธุรกิจของประเทศไทย ที่เราอาจจะลืมกันไปแล้วก็คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะบังคับใช้ในวันที่ 28 พฤษภาคม 2563 นี้แล้ว !! วันนี้ผู้เขียนเลยอยากจะมาเน้นย้ำถึงความสำคัญพร้อมทั้งวิธีรับมือให้แต่ละองค์กรสามารถปฏิบัติตามกฎหมายฉบับนี้ให้ได้อย่างมีประสิทธิภาพ

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร สรุปแบบเข้าใจง่ายๆ

  • บทบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและโทษของผู้ฝ่าฝืนเริ่มมีผลบังคับใช้วันที่ 28 พฤษภาคม 2563
  • ผู้ควบคุมข้อมูลต้องชี้แจงข้อมูลที่จะเก็บรวบรวม และต้องได้รับอนุญาตหรือความยินยอมจากเจ้าของข้อมูลเท่านั้น จึงจะสามารถใช้และเข้าถึงข้อมูลของเจ้าของข้อมูลได้
  • ผู้ควบคุมและประมวลผลข้อมูลต้องรักษาความมั่นคงปลอดภัยของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล
  • เจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ หากเป็นความประสงค์ของเจ้าของข้อมูล
  • มีโทษทั้งจำทั้งปรับหากผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล สำหรับโทษทางอาญาหากมีการฝ่าฝืนมีโทษจำคุกไม่เกิน 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 ถึง 1,000,000 บาท หรือทั้งจำทั้งปรับ ส่วนระวางโทษปรับทางปกครองไม่เกิน 500,000 ถึง 5,000,000 บาท

4 ขั้นตอนในการเตรียมองค์กรให้พร้อมรองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

1.) ประเมินความเสี่ยงว่าในองค์กรมีอุปกรณ์อะไรบ้างที่น่าจะเก็บข้อมูลส่วนบุคคลไว้

2.) ค้นหาและแยกประเภทข้อมูลส่วนบุคคลออกจากข้อมูลประเภทอื่น เพื่อทำขั้นตอนการตรวจสอบและป้องกัน

3.) จัดทำนโยบายหรือขั้นตอนการเข้าถึงข้อมูลส่วนบุคคลสำหรับผู้ดูแลระบบ ผู้ใช้งาน รวมทั้งเพิ่มระบบรักษาความปลอดภัยที่เหมาะสมให้กับอุปกรณ์เก็บข้อมูลส่วนบุคคล

4.) ทำการตรวจสอบหรือออกรายงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เมื่อมีการร้องขอจากเจ้าของข้อมูลและหน่วยงานที่ทำหน้าที่กำกับดูแล

แต่ในความเป็นจริงสำหรับองค์กรหรือหน่วยงานขนาดกลางจนถึงขนาดใหญ่ การจะมานั่งทำหรือตรวจสอบทีละอุปกรณ์ว่ามีข้อมูลส่วนบุคคลหรือไม่เป็นเรื่องที่ยากมาก เพราะด้วยความซับซ้อนของแต่ละองค์กรรวมถึงความละเอียดของข้อกฎหมายอาจจะทำให้เกิดความผิดพลาดขึ้น

ดังนั้นวันนี้ผู้เขียนจึงขอแนะนำโซลูชั่น IBM Security Guardium จากบริษัท Computer Union ที่จะเข้ามาช่วยยกระดับองค์กรในการค้นหา จัดการ ป้องกัน และรองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลด้วยมาตรฐานระดับโลก

4 ขั้นตอน !! เตรียมความพร้อมเพื่อปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วย IBM Guardium

1.) ประเมินความเสี่ยง: ตรวจสอบ Database ภายในองค์กรตาม Privileges, Configuration settings, Security patches, Password policies, profiles ด้วยมาตรฐาน DoD STIG, CIS, CVE เพื่อประเมินความพร้อมด้านความปลอดภัยพร้อมผลลัพธ์
และคำแนะนำในการแก้ไข

2.) ค้นหาและแบ่งประเภทข้อมูลส่วนบุคคล: สิ่งที่ยากที่สุดอีกสิ่งหนึ่งคือการที่องค์กรจะแบ่งประเภทข้อมูลทั้งหมดที่มีอยู่ได้อย่างไร ว่าอะไรคือข้อมูลส่วนบุคคล วันนี้ IBM Guardium ได้พัฒนา template การค้นหาและแบ่งประเภทข้อมูลส่วนบุคคลขึ้นมาโดยเฉพาะ โดยล้อตามมาตรฐาน GDPR ดังนั้นผู้ใช้งานเพียงแค่เลือก Database ที่สนใจ แล้วระบบ IBM Guardium จะทำการค้นหาและจัดประเภทข้อมูลส่วนบุคคลทั้งหมดที่มีอยู่ให้แบบอัตโนมัติ ว่าอะไรคือข้อมูลส่วนบุคคลเพื่อให้องค์กรนำไปทำเรื่อง consent management ต่อได้เลย

3.) นโยบายและจัดการการเข้าถึงข้อมูลส่วนบุคคล: กำหนดสิทธิ์ให้กับผู้ใช้งานและผู้ดูแลระบบสำหรับควบคุมคนที่สามารถเข้าถึงข้อมูลส่วนบุคคลเท่านั้น

4.) ตรวจสอบกิจกรรมการเข้าถึงข้อมูลส่วนบุคคล: IBM Guardium ถูกออกแบบมาให้สามารถตรวจสอบกิจกรรมต่างๆ ที่เกิดขึ้นกับข้อมูลส่วนบุคคลตามข้อบังคับของกฎหมาย เช่น การเข้าถึง, การแก้ไข และการลบข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลมีความมั่นใจและยังสามารถขอรายงานการเข้าถึง และขอลบข้อมูลส่วนบุคคลออกจากระบบก็สามารถทำได้เช่นเดียวกัน และยังสามารถแจ้งเตือนเมื่อมีการทำผิดนโยบายไปที่ผู้ดูแลระบบได้อีกด้วย

สอบถามข้อมูลเพิ่มเติมได้ที่ บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด

โทร : 02 311 6881 # 7156, 7151 หรือ email : cu_mkt@cu.co.th

เขียนบทความโดย

ทวีศักดิ์ ศรีนาค, Presales Software Specialist

บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด 



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] เราคิดไกลพอหรือยัง กับการคิดให้ไกลกว่าโรคระบาด

แม้ยังเป็นประเด็นถกเถียงกันอยู่ว่า เรายังอยู่ในช่วงเริ่มต้นของการทำความเข้าใจผลพวงจากการระบาดของโควิด-19 ในระยะกลางและระยะยาว แต่ก็เป็นไปได้ว่าในอนาคตธุรกิจส่วนใหญ่จะต้องพิจารณา ถึงการเปลี่ยนแปลงในสาระสำคัญของกลยุทธ์ รูปแบบธุรกิจ และการดำเนินการต่างๆ ของตนเองด้วย ดูเหมือนว่าบรรดานักวิเคราะห์ต่างเห็นพ้องกันมากขึ้นเรื่อยๆ ว่าธุรกิจในอุตสาหกรรมต่างๆ จะต้องกลับมาครองตลาด ส่วนแบ่ง และลูกค้าได้อีกครั้ง การจะทำให้สำเร็จได้นั้น จำเป็นต้องอาศัยนวัตกรรมที่เร็วขึ้นและการตลาดที่ดียิ่งขึ้น …

[รีวิว] Samsung Galaxy XCover Pro และ Samsung Galaxy Tab Active Pro: Smartphone และ Tablet สำหรับภาคธุรกิจและอุตสาหกรรม ที่เน้นความทนทานและการปรับแต่งเพื่อการทำงาน

ทีมงาน TechTalkThai มีโอกาสได้ทดลองใช้งาน Samsung Galaxy XCover Pro อุปกรณ์ Smartphone รุ่นธุรกิจและอุตสาหกรรม กับ Samsung Galaxy Tab Active …