แน่นอนว่ากฎหมาย pdpa หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นเรื่องใหม่มากสำหรับทุกองค์กรที่มีการเก็บข้อมูลส่วนบุคคลของคนไทย เพราะที่ผ่านมาการเก็บข้อมูลไม่จำเป็นต้องขออนุญาตจากเจ้าของข้อมูลหรือระบบการจัดการข้อมูลส่วนบุคคลที่ได้มาตรฐาน ซึ่งเมื่อมีการทางการกฎหมายอย่างเต็มรูปแบบโดยไม่มีข้อยกเว้นในวันที่ 31 พฤษภาคม 2564 แล้ว ทุก ๆ องค์กรไม่ว่าหน่วยงานของรัฐหรือเอกชนจำเป็นต้องปฏิบัติอย่างเคร่งครัดเพื่อหลีกเลี่ยงการถูกดำเนินคดีตามกฎหมาย แต่อย่างไรก็ตามถึงวันนี้ก็เชื่อว่ามีหลายองค์กรที่ยังไม่เข้าใจว่ากฎหมายฉบับนี้และการทำ Data Governance คืออะไรและเกี่ยวข้องกันอย่างไร ดังนั้นเพื่อให้ทุกคนเข้าใจมากขึ้น วันนี้เรามีข้อมูลดี ๆ เกี่ยวกับกฎหมาย pdpa และ Data Governance มาฝาก แต่จะมีอะไรบ้างนั้น มาดูกันเลย

 

• Data Governance และ กฎหมาย pdpa คือ อะไร

สำหรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่หลายคนเรียกติดปากว่า PDPA นั้น โดยสรุปแล้วเป็นกฎหมายที่เกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคล อย่างชื่อ นามสกุล เบอร์โทรศัพท์ ที่อยู่ อีเมล อายุ หมายเลขบัตรประชาชน รูปภาพ ประวัติการทำงานที่สามารถระบุตัวตนของเจ้าของข้อมูลได้ นอกจากนั้นยังรวมไปถึงข้อมูล Personal Data Sensitive หรือข้อมูลอ่อนไหว อย่าง ข้อมูลด้านเชื้อชาติ ชาติพันธุ์ พฤติกรรมทางเพศ ความคิดเห็นทางการเมือง ข้อมูลสุขภาพ ความเชื่อ ประวัติอาชกรรม หรือข้อมูลทางชีวภาพ โดยหลังจากที่มีการประกาศใช้กฎหมายอย่างเป็นทางการแล้ว ทุกครั้งที่การเก็บข้อมูลส่วนบุคคลต้องมีการขออนุญาตจากเจ้าของข้อมูลโดยตรง พร้อมทั้งแจ้งนโยบายและสิทธิต่าง ๆ อย่างครบถ้วน ในขณะเดียวกันก็ต้องมีการวางแผนจัดการข้อมูล ระบบการยกเลิกได้แบบ Real Time และระบบรักษาความปลอดภัยข้อมูล ด้วยเหตุนี้จึงทำให้ ‘Data Governance’ หรือ ‘การธรรมาภิบาลข้อมูล’ จึงถูกนำมาใช้ในการเตรียมองค์กรให้พร้อมรับมือกับกฎหมายฉบับนี้ เนื่องจากเป็นขั้นตอนการจัดระเบียบข้อมูล จัดการ และดูแลข้อมูลให้มีความปลอดภัย ซึ่งนอกจากจะช่วยให้การดำเนินงานด้านข้อมูลจำนวนมากภายในองค์กรสะดวกขึ้นแล้ว ยังมั่นใจได้ว่าข้อมูลมีความปลอดภัย และเป็นไปตามที่กฎหมายกำหนด

 

• องค์ประกอบสำคัญของการทำ Data Governance ที่เกี่ยวข้องกับ PDPA

- Lineage หมายถึง การระบุแหล่งที่มาของข้อมูลส่วนบุคคลที่อยู่ใน Data Lake ภายในองค์กร ทั้งนี้เนื่องจากในความเป็นจริงข้อมูลส่วนบุคคลที่แต่ละองค์กรเก็บรวบรวมไว้มีหลากหลายประเภท การระบุแหล่งที่มาที่ไปของข้อมูลหรือการ tracking จึงเป็นประโยชน์ต่อการจัดเก็บ คัดแยก และการใช้ประโยชน์จากข้อมูลส่วนบุคคล 

- Audit หมายถึง การบันทึกเหตุการณ์หรือ Log ต่าง ๆ ที่เกิดขึ้นกับข้อมูลส่วนบุคคลที่องค์กรเก็บรักษาไว้ เช่น การเปลี่ยนแปลง การนำเข้าข้อมูล ผู้นำเข้าข้อมูล หรือการเรียกดูข้อมูล เพื่อเป็นข้อมูลในการตรวจสอบความเคลื่อนไหวได้ง่ายขึ้น 

- Security หมายถึง การรักษาความปลอดภัยข้อมูล โดยหนึ่งในข้อกำหนดของ pdpa คือ ต้องมีการวางแผนจัดการข้อมูลส่วนบุคคลอย่างรัดกุม เพราะฉะนั้นจึงควรมีระบบการเข้าถึงข้อมูลด้วยรหัส กำหนดตัวบุคคลที่สามารถเข้าถึงข้อมูล หรือการกำหนดประเภทข้อมูลที่สามารถเข้าดูหรือแก้ไขได้ เพื่อป้องกันไม่ให้ข้อมูลรั่วไหลออกสู่สาธารณะ

- Data Quality หมายถึง การจัดการข้อมูลให้มีความถูกต้องและครบถ้วนสมบูรณ์ เพราะในการนำข้อมูลส่วนบุคคลมาใช้ประโยชน์ภายในองค์กร ไม่ว่าจะเป็น วิเคราะห์การตลาด การพัฒนาผลิตภัณฑ์ หรือปรับปรุงการบริการ จำเป็นต้องอาศัยความถูกต้องของข้อมูล ทำให้ในการนำข้อมูลมาใช้ประโยชน์ควรมีการตรวจสอบและปรับปรุงข้อมูลให้ถูกต้องเรียบร้อยก่อนเสมอ

- Compliance หมายถึง การตรวจสอบความถูกต้องที่เกี่ยวข้อง โดยเฉพาะในส่วนของข้อกำหนดกฎหมาย ซึ่งในส่วนงานนี้อาจแตกต่างกันแต่ละองค์กร เพราะหากเป็นองค์กรที่มีการเก็บเฉพาะข้อมูลส่วนบุคคลของคนไทยก็ต้องตรวจสอบในส่วนของ พ.ร.บ.คุ้มครองข้อมูลฯ ของไทย แต่ถ้ามีการเก็บข้อมูลส่วนบุคคลของชาวต่างชาติด้วย แนะนำว่าให้ตรวจสอบว่าประเทศนั้น ๆ มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประชากรอย่างไรบ้าง ก่อนเริ่มการเก็บข้อมูลและนำข้อมูลมาใช้ประโยชน์

 

• Data Governance มีความจำเป็นมากแค่ไหน

สำหรับองค์กรเล็ก ๆ ที่ไม่ได้มีการเก็บข้อมูลส่วนบุคคลไม่มาก ข้อมูลส่วนใหญ่เป็นข้อมูลของพนักงานหรือลูกค้าเพียงไม่กี่ราย อาจมองว่าไม่จำเป็นต้องทำ Data Governance แต่ในความจริงแล้ว การทำ Data Governance จะช่วยให้ข้อมูลเป็นระเบียบมากขึ้น ง่ายต่อการจัดการ ทั้งในส่วนของวางแผนจัดเก็บข้อมูล การเลือกข้อมูลมาใช้ประโยชน์ การดูแลรักษาข้อมูล และที่สำคัญคือสอดคล้องกับข้อกำหนดใน พ.ร.บ.คุ้มครองข้อมูลฯ

 

จะเห็นได้ว่ากฎหมาย pdpa และการทำ Data Governance มีความสำคัญต่อการจัดการข้อมูลในปัจจุบัน ซึ่งในระหว่างที่กฎหมายยังไม่บังคับใช้อย่างเต็มรูปแบบ ทุกองค์กรควรเตรียมวางแผนองค์กรให้พร้อมแต่เนิ่น ๆ เพื่อป้องกันไม่ให้เกิดกรณีละเมิดข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ตั้งใจ 

 

ที่มาข้อมูล

- http://bigdataexperience.org/data-governance/

- http://km.prd.go.th/data-governance-คืออะไร/

- https://www.softnix.co.th/2018/09/02/data-governance-คืออะไร-ทำไมจึงสำคัญต/

- https://www.fusionsol.com/blog/pdpa- -คือ/

- https://www.scb.co.th/th/personal-banking/stories/tips-for-you/pdpa-about-us.html

- https://ilaw.or.th/node/5669