บทนำ

ในยุคสมัยที่ข้อมูลได้ถูกนำมาเครื่องมือในการพัฒนาหลายสิ่งหลายอย่าง ไม่ว่าจะเป็นด้านการขายและการตลาด (Sales and Marketing), ด้านอุปกรณ์และเครื่องมือที่ทำงานแบบอัตโนมัติ (Automation) หรือแม้กระทั้งปัญญาประดิษฐ์ (A.I.) ดังนั้นจึงปฏิเสธไม่ได้เลยว่าข้อมูลจัดเป็นสินทรัพย์ที่มีค่าและส่งผลต่อการขับเคลื่อนเทคโนโลยีและเศรษฐกิจของโลกอย่างแท้จริง ดังนั้นการบริหารจัดการข้อมูลที่ดีจึงเป็นสิ่งสำคัญและจำเป็นอย่างมากที่ทุกภาคส่วนต้องนำมาพิจารณาและปฏิบัติ เมื่อข้อมูลมีความหลากหลายและซับซ้อนมากขึ้น ทั้งยังถูกนำไปใช้ในวัตถุประสงค์ที่แตกต่างกันออกไปในแต่ละส่วนงาน จึงมีความต้องการด้านการบริหารจัดการที่มีประสิทธิภาพและความปลอดภัยในด้านการจัดเก็บ รวมไปถึงการแก้ไขและรับมือกับเหตุการณ์ที่อาจเกิดขึ้นเมื่อมีการละเมิดหรือการรั่วไหลของข้อมูล ด้วยเหตุนี้ การประยุกต์ใช้เครื่องมือ/โซลูชันส์ที่สามารถตอบโจทย์ความต้องการนี้จึงเป็นแนวทางที่เหมาะสมสำหรับหน่วยงานและองค์กรต่าง ๆ

เครื่องมือ/โซลูชันส์ที่มีประสิทธิภาพสูงสุดและเป็นที่นิยมในหลากหลายธุรกิจและองค์กรชั้นนำมากกว่า 5,000 แห่ง คงจะหนีไม่พ้น OneTrust ซึ่งเป็นระบบบริหารจัดการข้อมูลและความเป็นส่วนตัวของข้อมูลที่รองรับกับกฎหมายและมาตรฐานต่าง ๆ ทั่วโลกมากกว่า 100 ฉบับและแน่นอนว่า OneTrust นี้ สามารถตอบโจทย์ความต้องการที่มาพร้อมกับการเริ่มบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) ได้อย่างครอบคลุมและมีประสิทธิภาพ โดยที่ OneTrust นี้ จะช่วยให้หน่วยงานและองค์กรต่าง ๆสามารถจัดการความเป็นส่วนตัวของข้อมูลได้แบบอัตโนมัติซึ่งช่วยให้การทำงานมีความสะดวกรวดเร็วและยังป้องกันการเกิดข้อผิดพลาดได้อย่างดีเยี่ยมอีกด้วย

โดยจะสามารถจำแนกรูปแบบการทำงานของ OneTrust ได้เป็น 3 ข้อหลัก ๆ ดังนี้

1.การวิจัยและการเตรียมความพร้อมของข้อมูล (OneTrust Research & Readiness)

รูปแบบการทำงานนี้จะประกอบไปด้วยส่วนย่อยๆอีก 2 ส่วนคือ “DataGuidanceTM Maturity & Planning” และ “Data Mapping” โดยที่จะเป็นการประเมินโครงสร้างและการเก็บข้อมูลส่วนบุคคล ยกตัวอย่างเช่น PDPA กำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ซึ่งมีหน้าที่กำกับดูแลการจัดเก็บและการนำไปใช้ของข้อมูลส่วนบุคคล โดยที่ OneTrust จะช่วยให้การทำงานของ DPO มีประสิทธิภาพมากขึ้นในด้านของการตรวจสอบ, ติดตาม และสืบค้นความเชื่อมโยงของการจัดเก็บข้อมูลและการนำไปใช้ทั้งภายในและภายนอกหน่วยงานหรือองค์กร

2.การบริหารจัดการสิทธิ์และความยินยอมของเจ้าของข้อมูล (OneTrust PDPA Data Subject Rights & Consent Management)

ด้วยรูปแบบการทำงานที่สนับสนุนในด้าน Website & Mobile App Cookie Compliance, Consent and Preference Management และ Data Subject Rights Management & Targeted Data Discovery™ หน่วยงานหรือองค์กรสามารถจัดการและกำหนดรูปแบบของ cookies เพื่อให้สอดคล้องกับ PDPA รวมไปถึงการจัดการและตรวจสอบความยินยอมต่าง ๆ ของเจ้าของข้อมูล อีกทั้งยังตอบสนองต่อคำร้องขอในทุกขั้นตอน ไม่ว่าจะเป็นการแก้ไข, ปรับปรุงเปลี่ยนแปลง หรือเพิกถอน ได้อย่างรวดเร็วและมีประสิทธิภาพ

3.การกำกับดูแลความเป็นส่วนตัวของข้อมูล (OneTrust PDPA Privacy Governance Solutions)

ในส่วนนี้จะเป็นการประเมินความเสี่ยงต่อการละเมิดข้อบังคับของ PDPA ของระบบที่มีอยู่ (Assessment Automation) อีกทั้งยังมีการแจ้งเตือนในกรณีที่เกิดการละเมิดหรือรั่วไหลของข้อมูล (Incident & Breach) และสามารถจัดการกับการเชื่อมโยงของข้อมูลไปยังบุคคลที่สามหรือคู่ค้ารายอื่น ๆ ได้อีกด้วย (Vendor Risk Management)

นอกเหนือจากที่ได้กล่าวมาข้างต้น OneTrust ยังได้ตอกย้ำความเป็นผู้นำด้านระบบบริหารจัดการข้อมูลและความเป็นส่วนตัวของข้อมูล โดยการเป็นที่หนึ่งใน Forrester WaveTM มากว่า 3 ปี ทั้งยังอยู่ในกลุ่ม Leaders ของ Gartner Magic Quadrant ด้านระบบบริหารจัดการความเสี่ยงเทคโนโลยีสารสนเทศของคู่ค้ามาตั้งแต่ปี 2019 อีกด้วย

สำหรับบริษัท ACinfotec ซึ่งก็เป็นผู้นำในด้านการให้บริการงานที่ปรึกษาเกี่ยวกับมาตรฐานด้านเทคโนโลยีสารสนเทศ GRC ในประเทศไทยด้วยประสบการณ์มากกว่า 17 ปี รับประกันด้วยผลงานความสำเร็จจากหลากหลายธุรกิจและองค์กรชั้นนำมากกว่า 200 แห่ง อีกทั้งบริษัทฯยังมีทีมงานและบุคลากรที่ไม่ได้มีเพียงแค่ความรู้ความสามารถ หากแต่ยังผ่านการรับรองด้วยประกาศนียบัตรวิชาชีพที่เกี่ยวข้องต่างๆมากมาย เพื่อให้มั่นใจได้ว่าบริษัทฯ เพียบพร้อมไปด้วยทีมงานคุณภาพที่จะให้คำปรึกษารวมไปถึงการเสนอแนะแนวทาง, ขั้นตอน และวิธีปฏิบัติ เพื่อให้บรรลุวัตถุประสงค์และสร้างความน่าเชื่อถือด้านมาตรฐาน อีกทั้งบริษัท ACinfotec ยังมีความเชี่ยวชาญในการให้คำปรึกษา (Consult) และออกแบบ (Design) เพื่อให้องค์กรสามารถนำโซลูชันส์ OneTrust ไปบริหารจัดการด้าน Privacy ได้อย่างมีประสิทธิภาพ รวมไปถึงบริการ ติดตั้ง (Implement) OneTrust ให้สอดคล้องกับกระบวนการขององค์กรได้อีกด้วย จึงมั่นใจได้ว่า ด้วยการให้บริการงานที่ปรึกษาของทางบริษัทฯ หน่วยงานและองค์กรต่างๆจะสามารถปฏิบัติตามกฎหมายและข้อบังคับของ PDPA และยังป้องกันผลกระทบที่อาจจะเกิดขึ้นตามมาได้อย่างแน่นอน

แล้ว OneTrust จะช่วยหน่วยงานและองค์กรต่างๆในการบริหารจัดการด้าน Privacy ตามหลักการที่สำคัญ 7 ข้อของ PDPA ได้อย่างไร?

1.ข้อมูลส่วนบุคคล: PDPA กำกับดูแลข้อมูลใดๆ ของบุคคลที่ยังมีชีวิตอยู่ ซึ่งสามารถระบุตัวบุคคลนั้นได้ทั้งทางตรงและทางอ้อม

>> Targeted Data Discovery: module นี้ของ OneTrust จะช่วยในการค้นหา ลบ แก้ไข ยกเลิก รวมไปถึงการเข้าถึง การลบ หรือการขอเลือกไม่รับสื่อการขาย โดยดึงข้อมูลของบุคคลที่อยู่ในระบบต่างๆที่เกี่ยวข้อง และสามารถเชื่อมต่อกับ application ต่าง ๆ ได้มากมาย

2.ผู้มีส่วนเกี่ยวข้อง: หน่วยงานใด ๆ ก็ตามที่รวบรวม, นำไปใช้, เปิดเผย และ/ หรือ ถ่ายโอนข้อมูลส่วนบุคคลจะต้องปฏิบัติตาม PDPA ในฐานะผู้ควบคุมข้อมูล และ/ หรือผู้ประมวลผลข้อมูล

>> Data Mapping & Assessment Automation: หัวใจสำคัญของ PDPA คือการเก็บ การประมวลผล และการนำข้อมูลไปใช้ ซึ่ง 2 module นี้ของ OneTrust จะช่วยในการสร้างและบริหารจัดการคลังข้อมูล (data inventory) อีกทั้งยังทำการเชื่อมโยงความสัมพันธ์ของข้อมูลในกระบวนการทางธุรกิจ ช่วยให้เห็นถึงกระแสหรือการไหลของข้อมูล (data flow) ได้อย่างมีประสิทธิภาพ รวมไปถึงสามารถทำการประเมินผลกระทบต่อข้อมูลส่วนบุคคล (DPIA) สำหรับกรณีที่มีการใช้งานข้อมูลส่วนบุคคลในลักษณะที่มีความเสี่ยงสูง (High Risk Data Processing)

3.การบังคับใช้: PDPA มีการบังคับใช้สิทธิสภาพนอกอาณาเขต ดังนั้นผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลทั้งในและนอกประเทศไทยอาจต้องอยู่ภายใต้ PDPA

>> Maturity & Planning, Program Benchmarking, Data Guidance Research: OneTrust มี module ที่ช่วยในการประเมินความพร้อมด้านการบริหารจัดการข้อมูลส่วนบุคคลขององค์กรทั่วโลก โดยครอบคลุมกฎหมายและมาตรฐานต่าง ๆ ไม่ว่าจะเป็น PDPA, GDPR, CCPA, ISO 27001 และ NIST ซึ่งสามารถเปรียบเทียบความพร้อมกับองค์กรอื่น ๆ ได้อีกด้วย อีกทั้ง OneTrust ยังมีพื้นที่เก็บข้อมูลส่วนกลางที่เกี่ยวข้องกับการวิจัย คำแนะนำด้านกฎระเบียบ แนวทางปฏิบัติ และข่าวสารต่างๆที่เกี่ยวข้องอีกด้วย ด้วย module เหล่านี้ จึงไม่ใช่เรื่องยากสำหรับองค์กรในการดำเนินการให้สอดคล้องกับ PDPA ไม่ว่าจะเป็นผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลทั้งในหรือนอกประเทศ

4.หลักเกณฑ์ทางกฎหมาย: ในการรวบรวม, การใช้, การเปิดเผย และ/ หรือการถ่ายโอนข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลต้องอ้างอิงหลักเกณฑ์ทางกฎหมายซึ่งอาจเป็นความยินยอมหรือข้อยกเว้นอื่น ๆ

>> Consent & Preferences Management, Policy and Notice Management: ด้วย OneTrust Universal Consent & Preference Management ผนวกรวมเข้ากับเทคโนโลยีด้านการตลาดและสารสนเทศที่มีอยู่ขององค์กร จะทำให้สามารถจัดการกระบวนการของการยินยอมทั้งหมดตั้งแต่การรวบรวมจนถึงการถอนความยินยอม ช่วยให้ผู้ใช้สามารถจัดการการตั้งค่าและดูแลเส้นทางการตรวจสอบความยินยอมจากส่วนกลางได้อย่างมีประสิทธิภาพ สำหรับ module ด้าน Policy and Notice Management นั้นจะช่วยให้การบริหารจัดการนโยบายและประกาศทางช่องทางอิเล็กทรอนิกส์ต่างๆทำได้โดยง่าย ทำให้การอ้างอิงหลักเกณฑ์ทางกฎหมายมีความถูกต้องและชัดเจนยิ่งขึ้น

5.บุคลากร: ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลอาจจำเป็นต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลและตัวแทนในประเทศไทยซึ่งอยู่ภายใต้กฎหมายลูกในอนาคต

>> Privacy Core E-Learning: ก่อนที่จะมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลนั้น องค์กรจะต้องจัดการฝึกอบรมเจ้าหน้าที่ให้มีความรู้เพียงพอต่อการดำเนินการเสียก่อน โดยที่ OneTrust มีการฝึกอบรมตั้งแต่หลักสูตรทั่วไปไปจนถึงหลักสูตรเฉพาะด้าน หรือหากองค์กรมีความประสงค์จะจัดจ้างการให้บริการเจ้าหน้าที่คุ้มครองข้อมูลจากภายนอก ทางบริษัท ACinfotec สามารถจัดหาบุคลากรที่มีความเชี่ยวชาญให้ได้อีกด้วย

6.สิทธิ์ของเจ้าของข้อมูล: ผู้ควบคุมข้อมูลต้องรับประกันสิทธิ์ของเจ้าของข้อมูล

>> Consumer & Subject Requests: module นี้จะช่วยในการจัดการกับ Data Subject Access Request (DSAR) โดยที่สามารถตอบสนองต่อคำร้องขอ อีกทั้งยังมีระบบงาน (workflow) ที่ช่วยให้การดำเนินงานด้านการปรับปรุง การรวบรวม การแก้ไข และการลบข้อมูลเป็นไปอย่างรวดเร็วและมีประสิทธิภา

7.บทลงโทษ: PDPA กำหนดบทลงโทษสำหรับการไม่ปฏิบัติตาม โดยมีโทษปรับทางปกครอง (ไม่เกิน 5 ล้านบาท) โทษทางอาญา (จำคุกไม่เกิน 1 ปีและ/ หรือปรับไม่เกิน 1 ล้านบาท)

>> Incident & Breach Management: ด้วย module OneTrust Incident & Breach Response นี้ องค์กรสามารถสร้างระบบงาน (workflow) อัตโนมัติซึ่งช่วยให้องค์กรตอบสนองต่อเหตุการณ์ได้อย่างรวดเร็วและเพิ่มขีดความสามารถในการตัดสินใจต่อการแจ้งเตือนการละเมิด อีกทั้งยังมีการประเมินสถานการณ์และผลกระทบที่เกิดขึ้นรวมไปถึงเส้นทางการตรวจสอบย้อนหลังตามขั้นตอนปฏิบัติ เพื่อชี้ให้เห็นถึงความสอดคล้องขององค์กรที่มีต่อ PDPA อีกด้วย


บทสรุป

ทั้งนี้ เพื่อให้สอดคล้องกับหลักการ 7 ข้อของ PDPA และ module ต่างๆของ OneTrust ดังที่กล่าวมาข้างต้น การให้บริการด้านที่ปรึกษาของบริษัท ACinfotec จะประกอบไปด้วย 3 ส่วนหลัก ๆ ดังนี้

  1. การวิเคราะห์และการฝึกอบรม (Analysis and Training): วัตถุประสงค์ในส่วนนี้คือการวิเคราะห์และประเมินด้านความเสี่ยงเกี่ยวกับข้อมูลส่วนบุคคล รวมไปถึงการสร้างความตระหนักรู้ (awareness) ให้กับผู้ที่เกี่ยวข้องผ่านการฝึกอบรม
  2. การจัดทำเอกสารและการเสนอแนะ (Document and Advisory): หลังจากการวิเคราะห์และฝึกอบรมแล้ว การจัดทำเอกสารก็นับเป็นสิ่งจำเป็นในการที่จะจดบันทึกในสิ่งต่าง ๆ ที่เป็นประเด็นสำคัญต่อข้อกฎหมายเพื่อการเสนอแนะด้านนโยบาย, ระเบียบแบบแผน และแนวทางปฏิบัติต่อไป
  3. การตรวจสอบและแนวทางปฏิบัติ (Auditing and Solutions): เมื่อมีการจัดทำเอกสารต่างๆแล้วจึงให้มีการตรวจสอบการรับรองจากผู้ได้รับอนุญาตเพื่อให้แน่ใจได้ว่ามีการนำไปใช้ปฏิบัติจริงและสอดคล้องกับมาตรฐาน, กฏหมาย หรือข้อบังคับต่าง ๆ อีกทั้งยังสามารถประยุกต์ใช้เครื่องมือ/โซลูชันส์เพื่อเพิ่มประสิทธิภาพในการดำเนินการได้อีกด้วย

โดยที่นอกเหนือจากความเชี่ยวชาญด้านการเป็นที่ปรึกษาแล้วนั้น บริษัท ACinfotec ยังสร้างความร่วมมือกับ OneTrust ในการผนวกรวมการให้คำปรึกษาและการติดตั้งประยุกต์ใช้เครื่องมือ/โซลูชันส์เข้าด้วยกัน เพื่อที่จะทำให้หน่วยงานและองค์กรต่าง ๆ มีความพร้อมต่อ PDPA ไม่เพียงแค่ในด้านนโยบาย, ระเบียบแบบแผน และแนวทางปฏิบัติ หากแต่ยังก่อให้เกิดประสิทธิภาพ, ความสะดวกรวดเร็ว และความปลอดภัยจากการนำเอาเครื่องมือ/โซลูชันส์ที่เป็นอันดับหนึ่งมาช่วยในการดำเนินการอีกด้วย

Reference Sources:

OneTrust 20200121 – Whitepaper – Thailand PDPA – PUBLIC

Gartner, Magic Quadrant for IT Vendor Risk Management, Joanne Spencer, Ed Weinstein, Aug. 24, 2020.

Forrester Wave: Privacy Management Software, Q1 2020, Forrester Research, Inc., March 30, 2020.

www.onetrust.com/products

ACinfotec’s PDPA Consulting Project Approach presentation file

สำหรับบริษัทหรือองค์กรใดที่ต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับ PDPA, Solution OneTrust หรือต้องการขอรับรองมาตรฐาน ISO/IEC 27701:2019 เอซีอินโฟเทคพร้อมเป็นที่ปรึกษาให้กับองค์กรของท่าน สอบถามเพิ่มเติม [email protected] หรือ โทร. 02 670 8980 ถึง 3 (จันทร์ – ศุกร์, 9:00 – 18:00 น.)