Board logo

ชื่อกระทู้: หลักปฏิบัติในการจัดการข้อมูลที่ผู้ประกอบการต้องรู้หลัง กฎหมาย pdpa บังคับใช้ [สั่งพิมพ์]

ผู้โพสต์: unyana    เวลา: 9/1/2021 14:44     ชื่อกระทู้: หลักปฏิบัติในการจัดการข้อมูลที่ผู้ประกอบการต้องรู้หลัง กฎหมาย pdpa บังคับใช้

pdpa คือ กฎหมายคุ้มครองข้อมูลที่สามารถระบุตัวตนของบุคคลทั้งทางตรงและทางอ้อม รวมถึงการกำหนดสิทธิเข้าถึงข้อมูลที่เจ้าของจะต้องยืนยันอย่างชัดเจนเป็นลายลักษณ์อักษร ถึงแม้ประเทศไทยเลื่อนการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ pdpa ออกไปก่อน เนื่องจากความไม่พร้อมของหลาย ๆ ฝ่าย แต่โลกทุกวันนี้มีการแลกเปลี่ยนข้อมูลง่ายและรวดเร็วในโลกไซเบอร์ เมื่อเร็ว ๆ นี้การแพร่ระบาดของไวรัสโควิด-19 เป็นแรงผลักดันสำคัญส่งผลให้ธุรกิจอีคอมเมิร์ซเติบโตแบบก้าวกระโดด ดังนั้น ทุกองค์กรและภาคธุรกิจยิ่งต้องเร่งศึกษาเนื้อหาของ กฎหมาย pdpa และกำหนดแนวทางปฏิบัติในการจัดการข้อมูลส่วนบุคคลอย่างถูกต้องเพื่อรักษาความปลอดภัยและป้องกันไม่ให้เกิดการละเมิดกฎหมายเกิดขึ้นในอนาคต ในเบื้องต้นมีหลักปฏิบัติ 5 ข้อที่ควรรู้มาแนะนำดังนี้

        1.เรียนรู้ข้อมูลในมือ ก่อนอื่นต้องวิเคราะห์ว่าในองค์กรเก็บรวบรวมข้อมูลอะไรไว้บ้าง โดยใช้เครื่องมือค้นหา เช่น Advanced Data Governance และ Cloud App Security วิเคราะห์ความสำคัญของข้อมูลเหล่านั้นว่ามีความจำเป็นมากแค่ไหน เพื่อลดปริมาณข้อมูลที่เก็บไว้ ช่วยลดภาระด้านการรักษาความปลอดภัย

        2.ตรวจสอบว่ามีการจัดเก็บข้อมูลลักษณะใดบ้าง เพื่อแจ้งรายละเอียดกับทางเจ้าของข้อมูลว่ามีการเก็บรวบรวมอะไร เก็บไว้อย่างไร เพราะแหล่งจัดเก็บมีทั้งในระบบซอฟต์แวร์ขององค์กร และบุคคลที่สามเช่นระบบคลาวด์, ลูกค้า, คู่ค้า, ซัพพลายเออร์ และอื่น ๆ หากมีการเปิดเผยข้อมูลจะต้องแจ้งให้รู้ถึงปลายทางที่ส่งต่อไปอย่างชัดเจน

        3.การเข้ารหัสข้อมูลส่วนบุคคลทั้งหมดที่เก็บไว้ในซอฟต์แวร์คอมพิวเตอร์ ระบบคลาวด์ รวมถึงอุปกรณ์โมบายทั้งหมด ดังนั้น การปกป้องข้อมูลจะไม่ใช่หน้าที่ของฝ่ายไอทีฝ่ายเดียว แต่ยังรวมถึงความร่วมมือของบุคลากรทุกฝ่ายเพื่อป้องกันการรั่วไหลของข้อมูล ในกรณีที่ข้อมูลเสียหายหรือรั่วไหลจะต้องแจ้งเจ้าของข้อมูลให้ทราบได้

        4.กฎหมาย pdpa กำหนดสิทธิการเข้าถึงข้อมูลและแชร์ออกไป โดยใช้การล็อกอินหลายวิธี ตั้งแต่การใช้ Username และ Password, รหัส PIN, รหัส OTP (One Time Password) รวมถึงการใช้เครื่องมืออย่างระบบ Multi-Factor Authentication หรือ Intune เพื่อตรวจสอบและยืนยันความถูกต้องของผู้มีสิทธิเข้าถึงข้อมูล เพื่อช่วยยกระดับความปลอดภัยสูงขึ้น

        5.กำหนดกลยุทธ์ป้องกันข้อมูล ไม่ว่าจะเป็นไฟล์ข้อมูลในระบบองค์กรหรือในระบบคลาวด์ซึ่งมีความเสี่ยงที่จะถูกเจาะระบบทางไซเบอร์เพื่อขโมยข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลอ่อนไหวอย่างเช่น ข้อมูลทางการเงิน ข้อมูลสุขภาพ ความคิดเห็นทางการเมือง หรือประวัติอาชญากรรม ถือเป็นข้อมูลอ่อนไหวที่ควรใช้เครื่องมืออย่าง Advanced Threat Protection, Azure Information Protection, Cloud App Security, Multi-Factor Authentication ในการรักษาความปลอดภัยและจับตาพฤติกรรมต้องสงสัย จะช่วยป้องกันความเสียหายหรือเสี่ยงอันตรายต่อร่างกายหรือชีวิต

        กฎหมาย pdpa ให้สิทธิเจ้าของข้อมูลรับรู้ว่าองค์กรใด ๆ เก็บรวบรวมข้อมูลส่วนบุคคลเพื่อใช้งานหรือเผยแพร่ต่อไป ต้องบอกวัตถุประสงค์ของการใช้งาน ระยะเวลาที่เก็บข้อมูล และจะเผยแพร่ข้อมูลให้ใคร ควรจะมีฝ่ายแจ้งเตือนและขอความยินยอมเป็นลายลักษณ์อักษรก่อน หลังจากนั้นต้องมีทีมทำงานด้านควบคุมและติดตามการใช้งานข้อมูล เพราะ pdpa คือ กฎหมายที่มีการบังคับใช้ นอกจากนั้นต้องมีฝ่ายจัดการกับคำร้องขอของเจ้าของข้อมูลที่มีสิทธิขอเข้าถึงข้อมูล ขอให้โอน ลบ หรือทำลายข้อมูล รวมถึงสามารถยกเลิกสิทธิการเก็บ ใช้ หรือเปิดเผยข้อมูลในภายหลังด้วย

ที่มา: www.techtalkthai.com/7-security- ... with-microsoft-365/




ยินดีต้อนรับสู่ HondaCityClub (http://hondacityclub.com/board/) Powered by Discuz! 7.2