5 ขั้นตอน จำแนก-จัดการความเสี่ยง ข้อมูลส่วนบุคคล

#PDPAKnowledge | ปกป้องข้อมูลด้วยการจัดทำ Personal Data Classification จำแนกข้อมูลส่วนบุคคล รองรับ PDPA

หลัง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) มีผลบังคับใช้ตามกฎหมาย เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา หลายองค์กร ทั้งภาครัฐภาคเอกชน ต่างตื่นตัวกับการจัดการข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย PDPA หนึ่งในนั้นคือ การกำหนด จำแนกข้อมูลส่วนบุคคล และจัดการความเสี่ยง (Personal Data Classification) โดยมีขั้นตอนดังนี้

  1. Data Policy – การกำหนดนโยบาย และนิยามความหมายของข้อมูลส่วนบุคคล โดยมุ่งเน้นไปที่ 3 ด้านหลักที่องค์กรต้องจัดทำ คือ
    นิยาม / คำจำกัดความ
    ขอบเขต
    บุคคลที่เกี่ยวข้อง
  2. Data Discovery –  การกำหนดขั้นตอนการตรวจสอบข้อมูลส่วนบุคคลที่องค์กรเป็นฝ่ายเก็บเอาไว้ เช่น
    เตรียมพร้อมการตรวจสอบ รู้ และรับทราบสถานะข้อมูลที่เก็บไว้ว่า อยู่ที่ไหนบ้าง
    Schedule มองหาวันที่ทำการตรวจสอบข้อมูลบุคคลที่เกี่ยวข้อง
    วิธีการตรวจสอบ ใช้เครื่องมืออะไรบ้าง
  3.  Data Proliferation – การระบุความเชื่อมโยงและเส้นทางการส่งข้อมูลส่วนบุคคลที่จะเกิดขึ้นในองค์กร รวมถึงระบุแหล่งที่จะได้มาซึ่งข้อมูลส่วนบุคคล เช่น
    ระบุตัวบุคคลที่เกี่ยวข้องกับกระบวนการ
    ระบุความสัมพันธ์ระหว่างบุคคลที่เกี่ยวข้อง
  4. Data Risk Level – การกำหนดความเสี่ยง และความร้ายแรงของผลกระทบ (Impact Levels) ให้กับองค์กร โดยมีระดับ ดังนี้
    ระดับต่ำ (Low)
    ระดับกลาง (Moderate)
    ระดับสูง (High)
  5. Data Protection – ผู้ประกอบการต้องมีกระบวนการขั้นตอนรองรับการคุ้มครองข้อมูลส่วนบุคคลให้เหมาะสมกับความเสี่ยง และความร้ายแรงของผลกระทบ
    ในเชิงกายภาพ เช่น การกำหนดพื้นที่เพื่อความปลอดภัย (secure areas)
    ในเชิง Software เช่น การแฝงข้อมูล (pseudonymization) หรือ การเข้ารหัสข้อมูล (encryption) และการปลดระวางข้อมูล

ที่มา : Thailand Data Protection Guidelines 3.0 แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย