รู้ก่อนสาย Data Protection ทำไมจึงสำคัญ? เอาไปทำอะไร? ทำไมเราต้องปกป้อง?

รู้ก่อนสาย Data Protection ทำไมจึงสำคัญ? เอาไปทำอะไร? ทำไมเราต้องปกป้อง?

งานวิจัยหลายแห่งทำให้เราทราบว่า ในหลายองค์กรทั่วโลกไม่ทราบภาระหน้าที่ในการปกป้องข้อมูลส่วนบุคคล

Data กลายเป็น Asset ที่สำคัญที่เปรียบได้กับบ่อน้ำมันในโลกยุคใหม่ สินทรัพย์ดั่งทองคำที่ต่อยอดมูลค่าทางธุรกิจได้มหาศาล วัตถุดิบที่ทำให้ Google Facebook และ Amazon กินรวบ Market Share ของอุตสาหกรรมดิจิทัลไปเกินกว่า 70% ของโลก

ดังนั้นหลายคนมอง Data as an Asset จึงไม่ใช่เรื่องแปลก เพราะสามารถนำมาใช้ประโยชน์ได้อย่างมีประสิทธิภาพ จนกระทั่ง Data Protection เริ่มทำให้คนทั้งโลกเริ่มเกิดความตื่นตัวขึ้น ในกรณีศึกษาหลายๆ กรณี ที่เห็นได้ชัดเช่น กรณีของ Facebook ที่ทำข้อมูลของ Users รั่วไหล ตั้งแต่ปี 2015 การคุ้มครองข้อมูลส่วนบุคคลในระดับนานาจึงไม่ใช่เรื่องใหม่ โดยเฉพาะใน EU ที่ออกกฎหมายการคุ้มครอง ‘สิทธิของข้อมูลส่วนบุคคล’ ขึ้นมาเป็นครั้งแรกของโลกและกลายเป็นต้นแบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลยุคใหม่ โดยขยายครอบคุมมากกว่าแค่เรื่องข้อมูลส่วนบุคคล แต่เป็นเรื่องของ ‘สิทธิของข้อมูลส่วนบุคคล’ ที่มีชื่อว่า General Data Protection Regulation (GDPR) และมันส่งผลกระทบโดยตรงไม่ว่าจะเป็นภาครัฐ ภาคเอกชน หรือ ภาคธุรกิจ ที่มีการดำเนินการเกี่ยวกับการเก็บข้อมูลส่วนบุคคล ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Processor) ของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ซึ่งสิทธิของข้อมูลส่วนบุคคลจึงเป็นของเจ้าของข้อมูลส่วนบุคคล แม้เจ้าตัวจะไม่ได้สร้างเอง แต่ Controller และ Processor จะเป็นคนสร้าง หากว่ามันเป็นข้อมูลที่ระบุได้ว่าเป็นใคร คนๆ ก็มีสิทธิในข้อมูลส่วนบุคคล

GDPR จึงมีการนิยามของเจ้าของข้อมูลส่วนบุคคลเป็น Data Subject มากกว่า Personal Data

ความสำคัญของ Data Protection

การปกป้องข้อมูลส่วนบุคคลในโลกที่ขับเคลื่อนด้วยข้อมูลจึงเป็นงานที่เพิ่มเข้ามาสำหรับทุกองค์กรทั้งรัฐบาล เอกชน และธุรกิจ ยิ่งในประเทศไทยที่มีการประกาศใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 เมื่อวันที่ 27 พ.ค. 62 เพื่อคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ เยียวยาเจ้าของข้อมูลหากถูกละเมิดสิทธิ โดยมีต้นแบบกฎหมายคือ GDPR ของ EU ทำให้บริษัทเอกชน รัฐ ที่มีการเข้าข่ายของผู้ควบคุมข้อมูลส่วนบุคคล (Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Processor) ของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ไม่ปฏิบัติตามหรือละเมิดจะถูกดำเนินคดีได้

เอาไปทำอะไร?

ในยุคของ Digital Transformation เกิดสิ่งที่เรียกว่า ข้อมูลปริมาณมหาศาล (Big Data) ทั้งจากการรวบรวมมาแบบอัตโนมัติจากระบบหรืออุปกรณ์ต่างๆ หรือจาการอัปโหลด สร้างขึ้นจากผู้ใช้งาน ลูกค้า และประชาชน ทำให้ผู้ประกอบการ ธุรกิจ ภาครัฐ เอกชน นำข้อมูลเหล่านี้ไปประมวลผลสร้างสินค้า บริการ ทำการตลาด เพื่อคาดการณ์การตัดสินใจหรือกำหนดเทรนด์ได้แม่นยำกว่าข้อมูลเชิงประชากรแบบเดิม

Data จึงกลายเป็นเรื่องที่หลายคนลงทุนในการสร้างมากกว่า ลงทุนด้านการรักษาความปลอดภัย หรือการวางระบบแบบละเลยให้พนักงานภายในองค์กรที่มีสิทธิ์ในการเข้าถึงข้อมูลได้อย่างถูกต้องทุกอย่าง นำข้อมูลส่วนตัวของลูกค้าออกไปใช้ทำอย่างอื่นที่นอกเหนือจากหน้าที่จนหลุดรั่วออก

ทำไมต้องปกป้อง?

เพราะการบังคับใช้กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 62 เกิดขึ้นโดยตรงกับหน่วยงานภาคเอกชนและภาครัฐ ที่มีการจัดเก็บข้อมูลส่วนบุคคลของประชาชนเอาไว้ และสิ่งผู้ประกอบการอาจจะต้องกังวลกันมากในระยะหลังจากที่กฎหมายฉบับนี้ออกมาแล้วนั้น คือการจะต้องรีบจัดสรรงบประมาณจำนวนหนึ่งเพื่อที่จะมาสร้างระบบความมั่นคงปลอดภัยเพื่อไม่ให้ระบบข้อมูลผู้ใช้รั่วไหลออกไป และต้องมีมาตรฐานตามที่จะมีการกำหนดขึ้น ซึ่งหากพบว่ามีข้อมูลรั่วไหลจากทางใดทางหนึ่งก็จะถือว่าระบบไม่มีมาตรฐาน และมีความผิด เนื่องจากกฎหมายนี้มีบทลงโทษ ทั้งทางอาญาและทางปกครอง

I am Title

รู้จักเรามากขึ้น

ใบรับรองคุณวุฒิ Data Protection Certificate โดย ICDL Thailand by DBC จากมูลนิธิ ECDL Foundation คือ โมดูลรับรองทักษะการปกป้องข้อมูลส่วนบุคคลที่ภาคธุรกิจต้องมี ตามข้อกำหนดความรู้ที่จำเป็นเกี่ยวกับแนวคิดและหลักการปกป้องข้อมูล ในเป็นไปตามนโยบายและมาตรการป้องกันข้อมูล โดยเฉพาะเพื่อตอบสนองความต้องการของคนทำงานในองค์กรขนาดเล็กและขนาดใหญ่ที่ต้องจัดการกับข้อมูลส่วนบุคคล ช่วยให้องค์กรมั่นใจได้ว่าพนักงงานมีทักษะที่เหมาะสมเข้าใจถึงสิทธิ์ของตนเองเกี่ยวกับข้อมูลส่วนบุคคล

ในหลายสิบปีที่ผ่านมาเราเก็บข้อมูลลูกค้าหรือรายชื่อผู้รับจดหมายมามหาศาล โดยไม่ได้ใส่ใจกับเรื่องความรับผิดชอบต่อข้อมูลของลูกค้าตามกฎหมายในฐานะ ‘data controller’ และ ‘data processor’ โดยในเฉพาะในองค์กรขนาดเล็กที่ความเชี่ยวชาญในการปกป้องข้อมูลมีน้อยมาก
มูลนิธิ ECDL จึงได้พัฒนาทักษะโมดูลใหม่เกี่ยวกับการปกป้องข้อมูลครอบคลุมทักษะที่สำคัญรวมถึงหลักการของการปกป้องข้อมูลส่วนบุคคลและการปฏิบัติตามการปกป้องข้อมูล ภาพรวมของ GDPR ซึ่งเป็นกฎหมายต้น แบบพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ดีที่สุดฉบับหนึ่งของโลก และประเทศไทยก็นำมาใช้เป็นต้นแบบในการทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
ถึงเวลาแล้วที่จะต้องย้อนกลับไปและถามว่าคุณพร้อมหรือยัง

X