TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะบังคับใช้ในวันที่ 28 พฤษภาคม 2563 นี้แล้ว !! วันนี้ผู้เขียนเลยอยากจะมาเน้นย้ำถึงความสำคัญพร้อมทั้งวิธีรับมือให้แต่ละองค์กรสามารถปฏิบัติตามกฎหมายฉบับนี้ให้ได้อย่างมีประสิทธิภาพ
ตอนนี้หลายท่านอาจกังวลหรือกำลังให้ความสนใจเกี่ยวกับ “ไวรัสโคโรน่า” หรือ “Covid-19” ว่าเราจะรับมือแล้วเอาตัวรอดกับสถานการณ์นี้ได้ยังไง แต่อีกสถานการณ์หนึ่งของโลกไอทีและธุรกิจของประเทศไทย ที่เราอาจจะลืมกันไปแล้วก็คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะบังคับใช้ในวันที่ 28 พฤษภาคม 2563 นี้แล้ว !! วันนี้ผู้เขียนเลยอยากจะมาเน้นย้ำถึงความสำคัญพร้อมทั้งวิธีรับมือให้แต่ละองค์กรสามารถปฏิบัติตามกฎหมายฉบับนี้ให้ได้อย่างมีประสิทธิภาพ
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร สรุปแบบเข้าใจง่ายๆ
- บทบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและโทษของผู้ฝ่าฝืนเริ่มมีผลบังคับใช้วันที่ 28 พฤษภาคม 2563
- ผู้ควบคุมข้อมูลต้องชี้แจงข้อมูลที่จะเก็บรวบรวม และต้องได้รับอนุญาตหรือความยินยอมจากเจ้าของข้อมูลเท่านั้น จึงจะสามารถใช้และเข้าถึงข้อมูลของเจ้าของข้อมูลได้
- ผู้ควบคุมและประมวลผลข้อมูลต้องรักษาความมั่นคงปลอดภัยของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล
- เจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ หากเป็นความประสงค์ของเจ้าของข้อมูล
- มีโทษทั้งจำทั้งปรับหากผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล สำหรับโทษทางอาญาหากมีการฝ่าฝืนมีโทษจำคุกไม่เกิน 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 ถึง 1,000,000 บาท หรือทั้งจำทั้งปรับ ส่วนระวางโทษปรับทางปกครองไม่เกิน 500,000 ถึง 5,000,000 บาท
4 ขั้นตอนในการเตรียมองค์กรให้พร้อมรองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
1.) ประเมินความเสี่ยงว่าในองค์กรมีอุปกรณ์อะไรบ้างที่น่าจะเก็บข้อมูลส่วนบุคคลไว้
2.) ค้นหาและแยกประเภทข้อมูลส่วนบุคคลออกจากข้อมูลประเภทอื่น เพื่อทำขั้นตอนการตรวจสอบและป้องกัน
3.) จัดทำนโยบายหรือขั้นตอนการเข้าถึงข้อมูลส่วนบุคคลสำหรับผู้ดูแลระบบ ผู้ใช้งาน รวมทั้งเพิ่มระบบรักษาความปลอดภัยที่เหมาะสมให้กับอุปกรณ์เก็บข้อมูลส่วนบุคคล
4.) ทำการตรวจสอบหรือออกรายงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เมื่อมีการร้องขอจากเจ้าของข้อมูลและหน่วยงานที่ทำหน้าที่กำกับดูแล
แต่ในความเป็นจริงสำหรับองค์กรหรือหน่วยงานขนาดกลางจนถึงขนาดใหญ่ การจะมานั่งทำหรือตรวจสอบทีละอุปกรณ์ว่ามีข้อมูลส่วนบุคคลหรือไม่เป็นเรื่องที่ยากมาก เพราะด้วยความซับซ้อนของแต่ละองค์กรรวมถึงความละเอียดของข้อกฎหมายอาจจะทำให้เกิดความผิดพลาดขึ้น
ดังนั้นวันนี้ผู้เขียนจึงขอแนะนำโซลูชั่น IBM Security Guardium จากบริษัท Computer Union ที่จะเข้ามาช่วยยกระดับองค์กรในการค้นหา จัดการ ป้องกัน และรองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลด้วยมาตรฐานระดับโลก
4 ขั้นตอน !! เตรียมความพร้อมเพื่อปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วย IBM Guardium
1.) ประเมินความเสี่ยง: ตรวจสอบ Database ภายในองค์กรตาม Privileges, Configuration settings, Security patches, Password policies, profiles ด้วยมาตรฐาน DoD STIG, CIS, CVE เพื่อประเมินความพร้อมด้านความปลอดภัยพร้อมผลลัพธ์
และคำแนะนำในการแก้ไข
2.) ค้นหาและแบ่งประเภทข้อมูลส่วนบุคคล: สิ่งที่ยากที่สุดอีกสิ่งหนึ่งคือการที่องค์กรจะแบ่งประเภทข้อมูลทั้งหมดที่มีอยู่ได้อย่างไร ว่าอะไรคือข้อมูลส่วนบุคคล วันนี้ IBM Guardium ได้พัฒนา template การค้นหาและแบ่งประเภทข้อมูลส่วนบุคคลขึ้นมาโดยเฉพาะ โดยล้อตามมาตรฐาน GDPR ดังนั้นผู้ใช้งานเพียงแค่เลือก Database ที่สนใจ แล้วระบบ IBM Guardium จะทำการค้นหาและจัดประเภทข้อมูลส่วนบุคคลทั้งหมดที่มีอยู่ให้แบบอัตโนมัติ ว่าอะไรคือข้อมูลส่วนบุคคลเพื่อให้องค์กรนำไปทำเรื่อง consent management ต่อได้เลย
3.) นโยบายและจัดการการเข้าถึงข้อมูลส่วนบุคคล: กำหนดสิทธิ์ให้กับผู้ใช้งานและผู้ดูแลระบบสำหรับควบคุมคนที่สามารถเข้าถึงข้อมูลส่วนบุคคลเท่านั้น
4.) ตรวจสอบกิจกรรมการเข้าถึงข้อมูลส่วนบุคคล: IBM Guardium ถูกออกแบบมาให้สามารถตรวจสอบกิจกรรมต่างๆ ที่เกิดขึ้นกับข้อมูลส่วนบุคคลตามข้อบังคับของกฎหมาย เช่น การเข้าถึง, การแก้ไข และการลบข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลมีความมั่นใจและยังสามารถขอรายงานการเข้าถึง และขอลบข้อมูลส่วนบุคคลออกจากระบบก็สามารถทำได้เช่นเดียวกัน และยังสามารถแจ้งเตือนเมื่อมีการทำผิดนโยบายไปที่ผู้ดูแลระบบได้อีกด้วย
สอบถามข้อมูลเพิ่มเติมได้ที่ บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด
โทร : 02 311 6881 # 7156, 7151 หรือ email : cu_mkt@cu.co.th
เขียนบทความโดย
ทวีศักดิ์ ศรีนาค, Presales Software Specialist
บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด
