Digital Forensics:องค์กรคุณพร้อมหรือยัง ? นับถอยหลังวันเริ่มใช้ PDPA พรบ.ข้อมูลส่วนบุคคล
บทลงโทษจาก PDPA ของไทย
ถือว่ารุนแรงกว่า GDPR ของยุโรป คือ มีโทษจำคุกด้วยซึ่งกรรมการบริษัทคือผู้รับโทษนี้ ขณะที่ GDPR มีเฉพาะโทษทางเแพ่งอย่างเดียว
- โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท
- โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
- โทษทางปกครองปรับไม่เกิน 5 ล้านบาท
5 Step roadmap
1 ) องค์กรคุณถูกบังคับใช้พรบ.นี้ด้วยหรือไม่ ? ถ้าเข้าข่าย 3 แบบข้างล่าง ถือว่าใช่
- หากองค์กรของคุณมีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล ตัวอย่าง เช่น ร้านค้าที่เก็บรายชื่อลูกค้าเป็น Excel เก็บไว้, Kerry ส่งของ หรือ องค์กรใหญ่อย่าง AIS
- หากองค์กรคุณเป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใดๆ ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล
- หากองค์กรของคุณอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย เช่น Online Targeting Ads, การรับจองโรงแรมผ่านเวบไซต์
2 ) แล้วมีเก็บข้อมูลใดของผู้บริโภคอยู่บ้างที่เข้าข่าย ?
ความหมายของข้อมูลส่วนบุคคลตามพรบ.นี้ คือ ข้อมูลที่สามารถระบุตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม ที่ถูกเก็บทั้งแบบ Online และ Offline ซึ่งหมายความกว้างมาก คีย์อยู่ที่การทำให้การระบุตัวตนได้ เช่น
ชื่อ นามสกุล
- หมายเลขโทรศัพท์
- ที่อยู่
- อีเมล
- หมายเลขบัตรประจำตัวประชาชน
- รูปถ่าย
- ประวัติการทำงาน
- อายุ ( หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง )
- นอกจากนั้นก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น
- เชื้อชาติ
- ชาติพันธุ์
- ความคิดเห็นทางการเมือง ( ตย. เช่น social media monitoring tools ที่จับประเด็นการเมือง)
- ความเชื่อทางศาสนา หรือ ปรัชญา ( ตย.เช่น บันทึกการลาบวช ของพนักงาน )
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลด้านสุขภาพ ความพิการ
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ
- ข้อมูลสุขภาพ ( ตย. เช่น ใบรับรองแพทย์ )
- หรือ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด
ใจความของตัวพรบ. คือการให้สิทธิเหล่านี้แก่ของเจ้าของข้อมูล
- สิทธิที่จะได้รับแจ้ง
- สิทธิในการแก้ไข
- สิทธิในการได้รับและโอนถ่ายข้อมูล
- สิทธิในการเข้าถึง
- สิทธิคัดค้าน
- สิทธิในการลบ (ถูกลืม)
- สิทธิในการจำกัด
- สิทธิในการเพิกถอนคำยินยอม
โดยพรบ.กำหนดระยะในการทำตามคำร้องขอให้แล้วเสร็จภายใน 30 วัน
3 ) ซึ่งหมายถึงการที่องค์กรจะมีหน้าที่ตามกฎหมาย ดังนี้
1. การเก็บข้อมูล ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ
เก็บเท่าที่จำเป็น ชอบด้วยกฎหมาย และต้องลบเมื่อพ้นระยยะเวลาที่จำเป็นหรือที่ได้แจ้งไว้
การขอความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ
- ทำผ่านกระดาษ หรือ ระบบออนไลน์ก็ได้
- อ่านง่าย เข้าใจง่าย
- ไม่หลอกลวงให้เข้าใจผิด
- แยกชัดเจนจากเงื่อนไขอื่นๆ และไม่เอาเงื่อนไขอื่นมาผูกพันธ์
การถอนความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ
- ทำเมื่อไหร่ก็ได้
- ทำได้ง่ายเช่นเดียวกับการให้ความยินยอม
- แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบ
2. การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และจะต้องใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น
3. การเข้าถึงและแก้ไข ต้องมีช่องทางให้เจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขได้ เช่น เวบ CRM หรือ Call Center
4. การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองที่เพียงพอ ( เช่น การนำข้อมูลขึ้น Cloud หรือ Server อยู่ที่ต่างประเทศ )
5. มีมาตรการการรักษาความปลอดภัย ต้องจัดให้มีระบบป้องกันข้อมูลที่ได้มาตรฐาน และหากพบว่ามีการรั่วของข้อมูล จะต้องแจ้งเจ้าของข้อมูลภายใน 72 ชม.จากที่ทราบเหตุ
มีข้อยกเว้นที่ชอบด้วยกฎหมาย ที่ทำให้การเก็บข้อมูลไม่ต้องได้รับความยินยอม
- เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
- มีความจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล
- มีความจำเป็นเพื่อดำเนินการเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล หรือปฏิบัติหน้าที่ในการใช้ อำนาจรัฐที่ได้รับมอบหมายแก่ผู้คุ้มครองข้อมูลส่วนบุคคล
- มีความจำเป็นในการดำเนินการเพื่อผลประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล แต่ต้องไม่ ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล
- เป็นการปฏิบัติตามกฎหมายของผู้คุ้มครองข้อมูลส่วนบุคคล
ถ้าองค์กรเราไม่มีเข้าข้อยกเว้นเลย ก็เริ่มงานได้แล้ว
4) เริ่มจากส่วนกลางก่อนเลย
กำหนดบทบาท
- ผู้ควบคุมข้อมูล : บุคคล/นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูล
- ผู้ประมวลผล : มีบทบาท บุคคล/นิติบุคลซึ่งดำเนินการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลตามคำสั่ง หรือ ในนามของผู้ควบคุม ( ต้องเป็นคนละคนกับผู้ควบคุม )
- หากมีการเก็บข้อมูลจำนวนมาก ต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ( DPO )คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ( legal, IT, Marketing, Sales, Data controller, Data processor, CRM )ยังไม่มีกำหนดว่าจะต้องมี Certificates เหมือนของ GDPR หรือไม่ แต่สามารถเป็นคนในบริษัทก็ได้ และเป็นตำแหน่งที่ทำพร้อมกับตำแหน่งอื่นได้ เห็นหลายที่ให้คนที่ทำ VP Compliance รับไป หน้าที่หลักคือ ให้คำแนะนำ ตรวจสอบ ประสานงาน ให้บริษัททำหน้าที่ตามกฎหมายได้
5) และขอบอกเลยว่า เกี่ยวทุกแผนกนะ แยกงานเป็นแต่ละแผนกมาให้คร่าวๆแล้ว
ใครเสี่ยงมาก เสี่ยงน้อย ต้อง assess และ prioritize กันให้ดี
- Legal and Compliance น่าจะต้องเกี่ยวข้องในหลายๆส่วน โดยเฉพาะการเขียนสัญญา, ข้อตกลง และนโยบายต่างๆ เพื่อที่จะรับรองความ
- IT จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตามมาตรฐานขั้นต่ำที่คณะกรรมการกำหนด
- ป้องกันการเปิดเผยโดยปราศจากอำนาจ หรือ โดยมิชอบ และลบเมื่อถึงเวลา หรือ เกินความจำเป็น
- เวบ /แอพ/ ระบบสมาชิก ก็ต้องปรับ Consent ให้ตรงตามที่พรบ.กำหนด
- Marketing : การตลาดคือผู้ใช้และเก็บข้อมูลมากที่สุด ยิ่งมีการตลาดแบบ Personalized Marketing ก็ยิ่งต้องทำประเมินความเสี่ยงและรีบแก้ไข
- Sales : หากมีการเก็บข้อมูลใดๆของทั้งลูกค้าและข้อมูลติดต่อของ Leads (ผู้ที่แสดงความสนใจ) ก็จำต้องปรับแก้ Consent
- Operation : หากมีการเก็บข้อมูลรูปบัตรประชาชนก่อนขึ้นอาคาร มีการติดตั้งกล้องถ่ายภาพถ่ายวีดีโอทั้งคนในและคนนอก เข้าข่ายหมดนะแต่อาจเข้าข้อยกเว้นได้
- HR : ข้อมูลของพนักงาน รวมถึงใบสมัครและ CV จาก Candidates ก็นับ
ตัวกฎหมายเองยังลงรายละเอียดไม่สุด และอีกภายใน 1 ปี จะต้องมีกฎหมายลูกที่ระบุแน่ชัดออกมารองรับ เคลียร์ความเทาในหลายๆกรณี แต่ไม่เป็นการเสียหายหากองค์กรจะเริ่มทำแบบ Best Practice ไว้ก่อน เพราะกฎมีแต่แนวโน้มว่าจะเข้มงวดขึ้นเรื่อยๆ มากกว่าอ่อนลง
ที่มา: บรรยายโดย อ.สุรชาติ พงศ์สุธนะ, คอลัมนิสต์จาก Enterprise ITPro และ ผู้จัดการฝ่ายตรวจสอบภายใน-ระบบสารสนเทศ (IT Audit) จาก TU Group
PDPA & Cyber Security Law รวมถึงวิธีที่องค์กรต้องรับมือ
#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ