ยิบอินซอย เผย Data Privacy มิติการบริหารข้อมูลส่วนบุคคล
นายวรเทพ ว่องธนาการผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย จำกัด กล่าวว่าข้อมูลคือขุมทรัพย์มูลค่ามหาศาล โดยเฉพาะข้อมูลส่วนบุคคลที่สามารถสร้างมูลค่าทางธุรกิจให้กับผู้ผลิตสินค้าและบริการการได้มาซึ่งข้อมูลส่วนบุคคลทั่วไปในการระบุตัวตน เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์และข้อมูลที่มีความอ่อนไหวสูง เช่นข้อมูลที่บ่งบอกพฤติกรรมการใช้ชีวิตและการบริโภค รสนิยม ข้อมูลสุขภาพซึ่งทำให้องค์กรสามารถนำข้อมูลเหล่านั้นมาวิเคราะห์เพื่อนำเสนอสินค้าและบริการใหม่ๆ ให้กับลูกค้า
ทั้งนี้มีหน่วยงานที่ดูแลความปลอดภัยด้านไอทีมีบทบาทสำคัญโดยตรงต่อการลดความเสี่ยงและสร้างความเชื่อมั่นด้านความปลอดภัย(DigitalTrust) ต่อข้อมูลความเป็นส่วนตัว โดยต้องทำให้ลูกค้าไว้วางใจได้ว่าหนึ่งการใช้ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับแอปพลิเคชันหรือบริการอื่นใดทั้งในองค์กรนอกองค์กร หรือเชื่อมโยงข้ามพรมแดน จะถูกเก็บรวบรวม เข้าถึง ประมวลผลและเคลื่อนย้ายถ่ายโอนอย่างเหมาะสม ปลอดภัย สอง สามารถสร้างประโยชน์แบบเฉพาะเจาะจง(Hyper-Personalization) ตรงตามสัญญาที่ให้ไว้กับเจ้าของข้อมูลและเป็นไปตามธรรมาภิบาลด้านข้อมูล (Data Governance) บนความโปร่งใสเป็นธรรม และ สามต้องได้รับการปฏิบัติและคุ้มครองตามกฎหมายหรือระเบียบข้อบังคับที่เกี่ยวข้องทั้งในและต่างประเทศเช่น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทยกฎหมายคุ้มครองข้อมูลส่วนบุคคลเขตสหภาพยุโรป (GDPR) กฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย(CCPA) สหรัฐอเมริกา เป็นต้น อย่างไรก็ตามการบริหารการจัดการด้าน Data Privacy ไม่ได้เป็นเรื่องของการจัดการเฉพาะข้อมูลเท่านั้นแต่ยังรวมถึงการจัดตั้งบุคคล (People) หรือกลุ่มบุคคลที่เข้ามารับผิดชอบการบริหารจัดการความเป็นส่วนตัวของข้อมูล ได้แก่ คณะกรรมการกำกับดูแลข้อมูล(Data Governance Committee) คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล(Personal Data Protection Committee) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO) คณะกรรมการบริหารนิติบุคคลที่เกี่ยวข้องกับบทปรับ บทลงโทษ และความเสียหายที่เกิดขึ้นจากกรณีที่มีการร้องเรียนเนื่องจากการนำข้อมูลไปใช้ไม่เป็นไปตามความยินยอมของเจ้าของข้อมูลหรือกฎระเบียบต่างๆ
การกำกับดูแลทุกกระบวนการ (Process)ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลไม่ว่าจะเป็นการทำหน้าที่ของผู้เก็บและควบคุมข้อมูล (Data Controller) เช่น องค์กรธุรกิจผู้เป็นเจ้าของฐานข้อมูลลูกค้าผู้นำข้อมูลของลูกค้าไปประมวลผล (Data Processor) เพื่อนำเสนอแอปพลิเคชันหรือบริการทางธุรกิจต่างๆ หรือ การเข้าถึงโดยเจ้าของข้อมูลส่วนบุคคลเอง (Data Subject) เพื่อให้ครอบคลุมครบถ้วนทั้ง การได้มาซึ่งข้อมูล การจัดเก็บและนำข้อมูลไปใช้ตามความยินยอม(Consent) ของเจ้าของข้อมูล การระบุแหล่งที่มาการจัดกลุ่มและแสดงความเชื่อมโยงของข้อมูลการระบุความเสี่ยงเพื่อกำหนดแนวทางบริหารด้านความปลอดภัยของข้อมูลตลอดจนกำกับการเข้าถึง แก้ไข ลบ ระงับใช้ โอนย้าย อนุญาตหรือคัดค้านการนำข้อมูลไปประมวลผลเป็นต้น
สำหรับในอนาคตข้อมูลส่วนบุคคลที่องค์กรจัดเก็บจะไม่จบแค่ข้อมูลพื้นฐานที่มีการเปลี่ยนแปลงน้อย (StaticData) เช่น ชื่อ-นามสกุล ที่อยู่ หรือ เลขบัตรประชาชนอีกต่อไปแต่ต้องเพิ่มการจัดเก็บข้อมูลที่อ่อนไหวสูงซึ่งเคลื่อนไหวเปลี่ยนแปลงตลอดเวลา (DynamicData) เช่น ข้อมูลใช้จ่ายผ่าน e-payment พฤติกรรมการใช้ชีวิตส่วนบุคคลซึ่งการจัดเก็บและบริหารข้อมูลจำนวนมหาศาลย่อมมาพร้อมกับความ ท้าทายที่องค์กรทุกแห่งต้องเผชิญทั้งต้องปรับเปลี่ยนให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลทั้งของไทยและต่างประเทศรวมถึงการกำกับดูแลข้อมูลบนหลักธรรมาภิบาล (Data Governance) ของแต่ละองค์กร
ดังนั้นสิ่งจำเป็นที่ต้องเปลี่ยนอย่างเร่งด่วนเพื่อปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้ถูกต้องนั้นคือ การกำหนดปริมาณข้อมูลที่จัดเก็บการจัดการแหล่งที่มาของข้อมูล และการเชื่อมโยงของข้อมูลตามความยินยอม (Consent)จากเจ้าของข้อมูล ซึ่งในแต่ละส่วนมีการจัดการหลายขั้นตอนต้องอาศัยเครื่องมือหลากหลายประเภทเพื่อเสริมประสิทธิภาพในการตอบสนองต่อการเติบโตและการเปลี่ยนแปลงของข้อมูลตลอดเวลาโดยเฉพาะเครื่องมือจัดเก็บและวิเคราะห์ข้อมูลให้สามารถรับมือกับการทะลักเข้ามาของข้อมูลรวมถึงช่วยแจ้งเตือนเรื่องความเสี่ยงและความเสียหายที่อาจเกิดขึ้นกับองค์กรจากความผิดพลาดในการบริหารจัดการข้อมูล ตลอดจนมีความยืดหยุ่นเพื่อรองรับการเปลี่ยนแปลงไปตามกฎข้อบังคับต่าง ๆที่มีในปัจจุบัน และที่จะเกิดขึ้นตามมาในอนาคต