5 ขั้นตอน จำแนก-จัดการความเสี่ยง ข้อมูลส่วนบุคคล
#PDPAKnowledge | ปกป้องข้อมูลด้วยการจัดทำ Personal Data Classification จำแนกข้อมูลส่วนบุคคล รองรับ PDPA
หลัง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) มีผลบังคับใช้ตามกฎหมาย เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา หลายองค์กร ทั้งภาครัฐภาคเอกชน ต่างตื่นตัวกับการจัดการข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย PDPA หนึ่งในนั้นคือ การกำหนด จำแนกข้อมูลส่วนบุคคล และจัดการความเสี่ยง (Personal Data Classification) โดยมีขั้นตอนดังนี้
- Data Policy – การกำหนดนโยบาย และนิยามความหมายของข้อมูลส่วนบุคคล โดยมุ่งเน้นไปที่ 3 ด้านหลักที่องค์กรต้องจัดทำ คือ
นิยาม / คำจำกัดความ
ขอบเขต
บุคคลที่เกี่ยวข้อง - Data Discovery – การกำหนดขั้นตอนการตรวจสอบข้อมูลส่วนบุคคลที่องค์กรเป็นฝ่ายเก็บเอาไว้ เช่น
เตรียมพร้อมการตรวจสอบ รู้ และรับทราบสถานะข้อมูลที่เก็บไว้ว่า อยู่ที่ไหนบ้าง
Schedule มองหาวันที่ทำการตรวจสอบข้อมูลบุคคลที่เกี่ยวข้อง
วิธีการตรวจสอบ ใช้เครื่องมืออะไรบ้าง - Data Proliferation – การระบุความเชื่อมโยงและเส้นทางการส่งข้อมูลส่วนบุคคลที่จะเกิดขึ้นในองค์กร รวมถึงระบุแหล่งที่จะได้มาซึ่งข้อมูลส่วนบุคคล เช่น
ระบุตัวบุคคลที่เกี่ยวข้องกับกระบวนการ
ระบุความสัมพันธ์ระหว่างบุคคลที่เกี่ยวข้อง - Data Risk Level – การกำหนดความเสี่ยง และความร้ายแรงของผลกระทบ (Impact Levels) ให้กับองค์กร โดยมีระดับ ดังนี้
ระดับต่ำ (Low)
ระดับกลาง (Moderate)
ระดับสูง (High) - Data Protection – ผู้ประกอบการต้องมีกระบวนการขั้นตอนรองรับการคุ้มครองข้อมูลส่วนบุคคลให้เหมาะสมกับความเสี่ยง และความร้ายแรงของผลกระทบ
ในเชิงกายภาพ เช่น การกำหนดพื้นที่เพื่อความปลอดภัย (secure areas)
ในเชิง Software เช่น การแฝงข้อมูล (pseudonymization) หรือ การเข้ารหัสข้อมูล (encryption) และการปลดระวางข้อมูล
ที่มา : Thailand Data Protection Guidelines 3.0 แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
