27 พฤษภาคม 2563 ไทยจะมีการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) สาระหลักของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมุ่งป้องกันการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล ทั้งนี้องค์กรธุรกิจจะต้องมีมาตรการในการปรับตัวเพื่อรับมือกับการเก็บจัดข้อมูลส่วนบุคคลของผู้บริโภค หรือลูกค้าหลายองค์กร โดยเฉพาะองค์กรขนาดใหญ่เริ่มมีการปรับตัวเพื่อรองรับ พ.ร.บ.ดังกล่าว แต่ที่น่าห่วงคือองค์กรธุรกิจขนาดกลาง และเล็ก ที่มีการเก็บข้อมูลส่วนบุคคลของลูกค้าเอาไว้จะต้องทำความเข้าใจ เพื่อเตรียมการป้องกันไม่ให้เกิดการนำข้อมูลไปใช้ในทางที่ผิดกฎหมาย
นายโอม ศิวะดิตถ์ ผู้บริหาร ด้านนโยบายภาครัฐ บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด เปิดเผยว่ายังมีองค์กรอีกจำนวนไม่น้อยยังไม่สามารถปรับเปลี่ยนระบบงานได้อย่างทั่วถึงและสมบูรณ์ในส่วนความต้องการในด้านการค้นหา จัดเก็บ และประมวลผลข้อมูล ยังเพิ่มขึ้นอย่างรวดเร็ว และขยายตัวไปถึงข้อมูลในรูปแบบใหม่ ทำให้การปรับตัวให้รองรับมาตรฐานใหม่อย่างถูกต้องตามกฎหมายเป็นภารกิจที่ซับซ้อนไม่น้อย”
“ความจำเป็นต้องปรับตัวนี้ กำลังทวีความสำคัญขึ้นในสถานการณ์ปัจจุบัน เมื่อพนักงานจำนวนมากในหลากหลายองค์กรจำเป็นต้องทำงานที่บ้านหรือจากนอกสถานที่ หรือในบางกรณีอาจเลือกใช้อุปกรณ์ส่วนตัวของตนเองในการเข้าถึงเอกสารและระบบงานต่าง ๆ ขององค์กร ซึ่งทำให้การควบคุมการใช้งานข้อมูลให้ถูกต้องตามหลักการทางกฎหมายมีความซับซ้อนมากขึ้น
ด้าน ดร.นิพนธ์ นาชิน ประธานเจ้าหน้าที่บริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด กล่าวว่า ทุกองค์กรต้องลงมือยกระดับมาตรฐานการทำงานให้เท่าทันมาตรฐานใหม่ของ พ.ร.บ. เช่นกัน โดยจะ
ไม่เพียงช่วยลดผลกระทบที่อาจเกิดขึ้นจากการดำเนินคดีตามกฎหมายเท่านั้น แต่ยังเป็นการเสริมสร้างความมั่นใจและไว้วางใจในตัวองค์กรเองอีกด้วย”
ปัจจัยสำคัญในการปฏิบัติตาม พ.ร.บ. นี้ คือการทำความเข้าใจบทบาทขององค์กรในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคล ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล ที่เป็นผู้ดำเนินการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าวตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ขณะเดียวกันบุคคลผู้เป็นเจ้าของข้อมูลส่วนบุคคลก็ต้องมีสิทธิในการยินยอมหรือคัดค้านการเข้าถึงหรือกระทำการใดๆ กับข้อมูลของตนเอง รวมถึงการขอเข้าถึง รับสำเนา ลบ หรือทำลายข้อมูลของตนที่อยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล
นอกจากนี้ ทั้งผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคลยังต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในองค์กร ในกรณีที่ผู้ควบคุมหรือประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของภาครัฐ หรือมีข้อมูลส่วนบุคคลเป็นจำนวนมาก และจำเป็นต้องทำการตรวจสอบข้อมูลหรือระบบสมํ่าเสมอ หรือหากผู้ควบคุมหรือประมวลผลข้อมูลมีกิจกรรมหลักเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพ แรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นๆ ที่ใกล้เคียงกัน
ส่วนนายยงสิทธิ์ โรจน์ศรีกุล หัวหน้าคณะผู้บริหารกลุ่มลูกค้าองค์กร บริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือ เอไอเอส กล่าวว่า
เอไอเอส ได้จัดตั้งศูนย์ปฏิบัติการไซเบอร์ (Cyber Security Operations Center -CSOC) ขึ้นมา เพื่อดูแลปกป้องข้อมูลลูกค้า 42 ล้านรายและ ป้องกันความปลอดภัยระบบ พ.ร.บ.การรักษาความปลอดภัยมั่นคงไซเบอร์ พ.ศ. 2562 และพ.ร.บ.ข้อมูลส่วนบุคคล พ.ศ. 2562 ในวันที่ 27 พฤษภาคม 2563 นี้ขณะเดียวกันยังเปิดให้บริการระบบรักษาความปลอดภัยไซเบอร์ในรูปแบบ CSOC as a service กับองค์กรธุรกิจที่จำเป็นต้องตื่นตัวในเรื่องดังกล่าว
หน้า 2 ฐานเศรษฐกิจ ฉบับที่ 3,570 วันที่ 30 เมษายน - 2 พฤษภาคม พ.ศ. 2563