ศูนย์ CSOC ของ NT cyfence พร้อมปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แล้ว
23 มกราคม 2023
นับตั้งแต่ที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรียกกันว่า กฎหมาย PDPA ถูกบังคับใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน 2565 ทำให้ในปัจจุบันหัวข้อเกี่ยวกับข้อมูลส่วนบุคคลถูกพูดถึงมากขึ้นเรื่อย ๆ องค์กรต่าง ๆ เริ่มมีการปรับขั้นตอนการทำงานเพื่อให้สอดคล้องกับกฎหมายดังกล่าว ซึ่งศูนย์ CSOC (Cybersecurity Operations Center) หรือศูนย์ปฏิบัติการเฝ้าระวังภัยคุกคามทางด้านไซเบอร์ของ NT cyfence ก็ต้องมีการปรับปรุงการปฏิบัติงานให้สอดคล้องกับกฏหมาย PDPA ด้วยเช่นกัน โดยรายละเอียดหลัก ๆ ที่ CSOC ดำเนินการมีดังนี้
1.จัดทำ Privacy Policy และ Privacy Notice
“Privacy Policy” หรือ นโยบายความเป็นส่วนตัว เป็นสิ่งที่องค์กรต้องจัดทำและปฏิบัติตามอย่างหลีกเลี่ยงไม่ได้ โดย Privacy Policy นั้น คือนโยบายที่ถูกจัดทำขึ้นเพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล ซึ่ง CSOC เองก็มีการจัดทำ Privacy Policy และเผยแพร่ให้พนักงานภายในองค์กรรับทราบอย่างทั่วถึง นอกจากนี้ยังมีการจัดทำเอกสารที่ชื่อว่า “Privacy Notice” หรือก็คือคำประกาศถึงเจ้าของข้อมูลส่วนบุคคลทั้งบุคคลภายในและภายนอกว่าองค์กรมีการเก็บรักษา ใช้ เผยแพร่ และทำลายข้อมูลส่วนบุคคลอย่างไรบ้าง
2.จดบันทึกกิจกรรมของ CSOC ที่เกี่ยวข้องกับ PDPA
อีกสิ่งที่ขาดไม่ได้เลยคือการจัดทำ “Record of Processing Activities” หรือ “RoPA” การทำ RoPA นั้นก็เป็นเหมือนการบันทึกกิจกรรมของแต่ละแผนกหรือหน่วยงานภายในองค์กรว่าทำงานเกี่ยวกับอะไรบ้าง มีวัตถุประสงค์เพื่ออะไร และเกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคลหรือไม่ ประโยชน์ของการจดบันทึกคือช่วยให้ตรวจสอบได้รวดเร็ว ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น ดังนั้น CSOC จึงมีแบบฟอร์มในการทำ RoPA เพื่อช่วยทำหน้าที่เป็น Checklist สำหรับทบทวนกิจกรรมที่ทำอยู่ว่าเกี่ยวข้องกับ PDPA หรือไม่ และสอดคล้องกับข้อกำหนดในกฎหมายหรือไม่
3.ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล
เนื่องจาก CSOC มีกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจำนวนมาก ดังนั้นจึงมีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือก็คือ “Data Protection Impact Assessment (DPIA)” เพื่อวิเคราะห์ความเสี่ยงต่าง ๆ ที่อาจเกิดขี้นได้กับข้อมูลส่วนบุคคลที่จัดเก็บว่ามีผลกระทบที่ตามมาอย่างไรบ้าง รวมถึงมีโอกาสที่จะเกิดมากน้อยแค่ไหน จะได้หาแนวทางป้องกันและลดความเสี่ยงได้อย่างเหมาะสม
4.จัดทำขั้นตอนปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคล
แน่นอนว่าการจัดทำเอกสารขั้นตอนปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคลก็มีความจำเป็น เพราะเสมือนเป็นกรอบให้เจ้าหน้าที่ที่เกี่ยวข้องปฏิบัติตามได้ง่ายขึ้น ขั้นตอนการปฏิบัตินั้นอาจครอบคลุมไปถึงการให้สิทธิ ระงับสิทธิเจ้าของข้อมูลส่วนบุคคล การทำข้อร้องเรียนต่าง ๆ รวมถึงการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยทาง CSOC จะใช้แบบฟอร์มเป็นตัวกลางในการดำเนินการดังกล่าว เพื่อให้เป็นในทิศทางเดียวกันและถูกต้องตามกฎหมาย
5.ตรวจประเมินภายใน (Internal Audit)
การตรวจประเมินภายใน (Internal Audit) เป็นหนึ่งในวิธีการพื้นฐานที่จะช่วยให้องค์กรตรวจสอบการดำเนินการต่าง ๆ ว่าได้ปฏิบัติตามข้อกำหนดครบทุกข้อหรือไม่ ในกฎหมาย PDPA ก็มีข้อกำหนดสำคัญหลายมาตรา ดังนั้น CSOC จึงจำเป็นต้องมีวิธีการที่จะช่วยตรวจสอบความสอดคล้องกับมาตราต่าง ๆ ใน PDPA ซึ่งก็คือ การตรวจประเมินภายในนั่นเอง โดยจะตรวจอย่างน้อยปีละ 2 ครั้ง เพื่อปรับปรุงการดำเนินงานให้ครอบคลุมทุกข้อกำหนดอย่างสม่ำเสมอ
6.อบรมให้ความรู้กับบุคลากร
กฎหมาย PDPA ถือว่าเป็นสิ่งใหม่ที่เกี่ยวข้องกับหลายหน่วยงาน ซึ่ง CSOC เองก็เป็นหนึ่งในนั้น จึงมีการจัดอบรมให้เจ้าหน้าที่ปฏิบัติงาน เพื่อให้ตระหนักถึงความสำคัญและให้เข้าใจรายละเอียดของกฎหมาย จะได้นำไปประยุกต์ใช้ในการทำงานได้อย่างเหมาะสม นอกจากนี้ CSOC ยังมีแผนการจัดอบรมสร้างความตระหนัก และสร้างความรู้ ความเข้าใจทั้งในด้านการรักษาความปลอดภัยเทคโนโลยีสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลในทุก ๆ ปี เพื่อพัฒนาศักยภาพของบุคลากรให้ปฏิบัติงานต่าง ๆ ได้อย่างมีประสิทธิภาพ
จะเห็นได้ว่า CSOC ก็เหมือนกับองค์กรอื่น ๆ ที่ต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ถึงแม้จะเป็นสิ่งใหม่สำหรับประเทศไทย แต่หากองค์กรค่อย ๆ ปรับตัวและส่งเสริมบุคลากรให้เห็นถึงความสำคัญของกฎหมายฉบับนี้ จะพบว่า PDPA มีประโยชน์อย่างมากในการปกป้องเจ้าของข้อมูลส่วนบุคคล และนำไปสู่ความเป็นสากล
NT cyfence มีบริการ Cybersecurity Monitoring ที่ปฏิบัติงานผ่าน ศูนย์ปฏิบัติการ Cybersecurity Operations Center (CSOC) ที่พร้อมดูแลและให้คำปรึกษา โดยในขั้นต้น สามารถติดต่อให้เราเข้าไปนำเสนอบริการได้ที่ www.cyfence.com/contact-us หรือโทร NT contact center 1888
บทความที่เกี่ยวข้อง