จะหยุดหลุดกี่โมง? ข้อมูลส่วนบุคคลบนถุงขนม
ภัยที่องค์กรมองข้าม เมื่อเอกสารที่มีข้อมูลส่วนบุคคลหลุดไปเป็น “ซองกล้วยแขก” “ซองขนมโตเกียว”ประเด็นนี้เกิดจากกรณีที่มีผู้ใช้ Facebook รายหนึ่งโพสต์ ระบุเจอถุงขนมโตเกียวเป็นเอกสารข้อมูลโรงพยาบาลแห่งหนึ่งในกรุงเทพมหานคร โดยบนเอกสารมีตั้งแต่ ชื่อ นามสกุล กิจกรรม เวลาเข้างานของพนักงานในโรงพยาบาล จากโพสต์ดังกล่าวมีผู้เข้ามาคอมเมนต์ส่งรูปภาพซองขนมโตเกียวที่มีข้อมูลของโรงพยาบาลแห่งหนึ่งมาแชร์ด้วยเช่นกัน
แม้เอกสารที่หลุดบนถุงขนมโตเกียวอาจดูเหมือนปัญหาเล็กๆ ในสายตาคนทั่วไป แต่กลับสะท้อนถึงความบกพร่องของการเก็บรักษาข้อมูลส่วนบุคคลขององค์กร ถึงเวลาที่จะต้องมีเครื่องมือเข้ามาบริหารจัดการข้อมูลส่วนบุคคลขององค์กรอย่างมีประสิทธิภาพ
Q&A
Q: การที่มีข้อมูลบนถุงขนมโตเกียวนี้ถือว่าผิด PDPA หรือไม่?
A: กรณีนี้ถือว่ามีความผิดตามกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อย่างชัดเจน โดยองค์กรซึ่งเป็นผู้ควบคุมข้อมูลจะเข้าข่ายผิดตามมาตรา 37 (1) ที่ไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ซึ่งอาจจะโดนโทษปรับสูงถึง 3 ล้านบาท โดย อธิบดีกรมวิทยาศาสตร์บริการ นายแพทย์ รุ่งเรือง กิจผาติ ก็ออกมาย้ำในเรื่องนี้เช่นกัน
เพื่อแก้ปัญหาการรั่วไหลของข้อมูลส่วนบุคคล Security Pitch จึงพัฒนาแพลตฟอร์ม โดยมีบริการโซลูชัน Privacy Management หรือ เครื่องมือบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลสำหรับองค์กร เข้ามาช่วยลดความเสี่ยงในการละเมิดข้อมูลส่วนบุคคล
การเก็บข้อมูลส่วนบุคคลในปัจจุบันไม่ว่าจะเป็นข้อมูลของพนักงาน ข้อมูลของลูกค้า จำเป็นอย่างยิ่งที่จะต้องเก็บอย่างเป็นระบบเพื่อป้องกันการเกิดช่องโหว่ หรือข้อผิดพลาดที่อาจทำให้เกิดการรั่วไหลของข้อมูล ไม่ว่าจะจากบุคคลภายนอกหรือบุคคลภายในก็ตาม
Privacy Management บน OneFence แก้ปัญหาให้สอดคล้องตาม PDPA
เครื่องมือ Privacy Management บน OneFence จะเข้ามาช่วยตั้งแต่จัดระเบียบการเก็บข้อมูลส่วนบุคคลขององค์กร ทั้งข้อมูลพนักงานและข้อมูลของลูกค้าทุกกระบวนการตามหลักกฎหมาย เช่น เมื่อองค์กรเก็บข้อมูลจากลูกค้าหรือพนักงานเข้ามาแล้ว เครื่องมือ Privacy Management จะมีโมดูลที่เข้ามาช่วยจัดระเบียบการเก็บข้อมูล ดังนี้
- โมดูล Cookie Consent และ Consent Management จะทำการแจ้งวัตถุประสงค์ เก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ตามมาตรา 19-20
- Policy & Notice Management โมดูลนี้จะมีการจัดทำประกาศความเป็นส่วนตัว หรือ Privacy Notice สอดคล้องตาม มาตรา 23
- DSAR Automation สร้างช่องทางในการรับคำร้องขอใช้สิทธิตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ
- ซึ่งตามกฎหมาย PDPA ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการภายใน 30 วัน นับตั้งแต่วันที่ได้รับคำขอ ตามมาตรา 30
- โมดูล Data Mapping สำหรับช่วยจัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (ROPA) สอดคล้องกับ มาตรา 39
- Data Breach Management มาตรการแจ้งเตือนเหตุละเมิดข้อมูลส่วนบุคคล ตามมาตรา 37 (4)
- Assessment Automation มาตรการประเมินความเสี่ยง ตามมาตรา 37 (1) (2) (3) และมาตรการประเมินความพร้อมในการรับมือกับ PDPA
ภาพตัวอย่างการเก็บข้อมูลส่วนบุคคลขององค์กร
โมดูลบน Privacy Management ทั้งหมดนี้จะช่วยให้การบริหารจัดการข้อมูลส่วนบุคคลเป็นระเบียบและถูกต้องตามหลักกฎหมาย PDPA ลดการรั่วไหลของข้อมูลที่อาจเกิดขึ้นได้ตลอดเวลา เพิ่มความน่าเชื่อถือให้กับองค์กรที่มีการเก็บหรือใช้งานข้อมูลส่วนบุคคลให้ถูกต้องตามหลักกฎหมาย
สนใจนัดหมายเพื่อรับชมการนำเสนอระบบ (ออนไลน์) โทร. 080-456-9333
—————
#OneFence | 𝙎𝙚𝙘𝙪𝙧𝙞𝙩𝙮 & 𝙋𝙧𝙞𝙫𝙖𝙘𝙮 𝘾𝙤𝙢𝙗𝙞𝙣𝙚𝙙
Website : www.onefence.co
Facebook Page : OneFence
Line ID : @onefence-platform (มี@นำหน้า)
Email : [email protected]
สอบถามรายละเอียดเพิ่มเติมโทร. 061-462-6414, 080-456-9333
บทความที่น่าสนใจ