ปกป้องข้อมูลสำคัญอย่างไรให้ปลอดภัยจากการเข้าถึงผ่านระบบออนไลน์ในยุคโควิด-19


เมื่อโควิด-19 ส่งผลให้ทุกบริบทของพนักงาน เข้าสู่ยุค Work from Home การทำงานไม่จำกัดอยู่เพียงภายในบริษัทอีกต่อไป และเมื่อเทคโนโลยีการจัดเก็บข้อมูลได้ถูกเข้าถึงจากภายนอก ช่องโหว่เกี่ยวกับกฎระเบียบ พรบ.ความมั่นคงปลอดภัยไซเบอร์เกิดขึ้น เราซึ่งเป็นคนที่ต้องปกป้องข้อมูลของบริษัทจะต้องปรับตัวอย่างไร?

ด้านธรรมาภิบาล สำนักบริหารความยั่งยืน ธรรมาภิบาลและสื่อสารองค์กร เครือเจริญโภคภัณฑ์ จัดสัมมนา หัวข้อ “Cyber Security and Thailand Digital Laws” ผ่าน True VROOM โดยได้รับเกียรติจาก อาจารย์ปริญญา หอมเอนก ประธานและผู้ก่อตั้ง ACIS Professional Center Co., Ltd. (ACIS) เป็นวิทยากรบรรยาย เมื่อวันที่ 25 กุมภาพันธ์ ที่ผ่านมา We Are CP ได้ไปเก็บข้อมูล และสรุปข้อมูลมาฝากกันค่ะ

พรบ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act)
มีผลบังคับใช้วันที่ 1 มิถุนายน 2564

อาจารย์ปริญญา หอมเอนก บอกว่า ปัจจุบันข้อมูลมีจำนวนมหาศาลและแพร่กระจายได้อย่างรวดเร็วบนโลกออนไลน์ แฮคเกอร์มักจะหาช่องโหว่ในการดึงข้อมูลได้ตลอดเวลา เทรนด์สำคัญที่ทุกคนควรพึงระวังเพื่อไม่ให้ ‘ข้อมูลรั่วไหล’ หรือถูก ‘นำไปใช้ผิดวัตถุประสงค์โดยไม่ได้รับอนุญาต’ ในยุคเทคโนโลยีคือ “การเข้ารหัสข้อมูล” ซึ่งฝ่ายไอทีของบริษัทควรตระหนักและให้ความสำคัญในการพัฒนาระบบการกรอกและเข้ารหัสข้อมูลเพื่อความปลอดภัย

นับตั้งแต่วันที่ 1 มิถุนายนเป็นต้นไป หากข้อมูลเกิดรั่วไหลหรือถูกนำไปใช้โดยไม่ได้รับการยินยอม สำนักงานข้อมูลส่วนบุคคล/เจ้าของข้อมูล สามารถยื่นฟ้องต่อศาลเพื่อดำเนินคดีกับบริษัทได้ ดังนั้น บริษัทจึงควรเร่งเตรียมความพร้อมปกป้องคลังข้อมูลให้ได้ก่อนจะสายเกินไป

ทั้งนี้ ‘หลักการคุ้มครองข้อมูลส่วนบุคคล’ ตามประกาศคณะกของรรมการธุรกรรมอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ.2553 ข้อ 1 ให้จัดทำนโยบายในการคุ้มครองข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร ประกอบด้วย 8 ประการ ดังนี้
1) หลักการรวบรวมข้อมูลอย่างจำกัด
2) หลักการคุณภาพของข้อมูล
3) หลักการระบุวัตถุประสงค์ในการเก็บรวบรวม
4) หลักการใช้ข้อมูลอย่างจำกัด
5) หลักการรักษาความปลอดภัยของข้อมูล
6) หลักการเปิดเผยเกี่ยวกับการดำเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
7) หลักการมีส่วนร่วมของเจ้าของข้อมูล
8) หลักการความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล

เจ้าของข้อมูลมีหน้าที่อะไร

เจ้าของข้อมูลมีสิทธิ์ขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล ขอรับข้อมูลส่วนบุคคล ส่งหรือโอนข้อมูลส่วนบุคคล สามารถคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนเองเมื่อใดก็ได้ และยังสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ รวมถึงขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้

อย่างไรก็ตาม บริษัทมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ถ้ามี outsource จ้างบริษัทอื่นดำเนินงาน บริษัทนั้นเป็น Data processor บริษัทเป็นจำเลยที่ 1 บริษัท outsource เป็นจำเลยที่ 2 หากเกิดประเด็นความผิดพลาดด้านข้อมูล

ไม่เพียงเท่านี้บริษัทหลักควรมี Data Protection Officer หรือ DPO ดูแลความปลอดภัยเกี่ยวกับข้อมูลส่วนบุคคลทั้งหมดในองค์กรทั้งข้อมูลภายใน (ข้อมูลพนักงาน) แนะนำให้จ้างบริษัท outsource เข้ามาดูแลส่วนนี้ เนื่องจากการใช้พนักงานภายในบริษัทอาจมีความเสี่ยงด้าน Legal Liability
ข้อควรปฏิบัติคือ การเก็บรวบรวมข้อมูลลูกค้า การนำมาใช้ และการเปิดเผยข้อมูล โดยได้รับการยินยอมจากเจ้าของข้อมูล

โทษทางกฏหมายควรรู้

การละเมิดพรบ.คุ้มครองข้อมูลส่วนบุคคลมีความผิดหมวด 6 ทางแพ่ง และหมวด 7 ทางอาญา ข้อมูลรั่ว มีปรับ จำคุก ทั้งจำและปรับ ผู้รับโทษสูงสุดคือ ประธานเจ้าหน้าที่บริหารของบริษัท ถ้าพนักงานมีความผิดแล้ว กรรมการผู้ลงนามก็มีความผิดเช่นเดียวกัน และกรรมการนั้นละเว้นสั่งการให้คนไม่ละเมิดพรบ. และถ้าละเว้นและไม่สั่งการก็ต้องรับโทษตามที่บัญญัติไว้ด้วย โทษการปกครองตั้งแต่ 1-5 ล้านบาท

รายละเอียดเพิ่มเติมเกี่ยวกับ แนวทางปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล สามารถดาวน์โหลด
ได้ที่ https://www.law.chula.ac.th/wp-content/uploads/2020/12/TDPG3.0-C5-20201208.pdf