PDPA & Cybersecurity กับการตรวจสอบภายใน
โดย
 |
| |
PDPA & Cybersecurity กับการตรวจสอบภายใน
|
เตรียมตัวพร้อมหรือยัง สำหรับการบังคับใช้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act) ที่จะประกาศและมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ จะว่าไปแล้ว กฎหมาย PDPA ไม่ใช่เรื่องไกลตัว เพราะข้อมูลส่วนตัวบุคคลที่สามารถระบุตัวตนได้ ไม่ว่าจากทั้งทางตรงและทางอ้อมในรูปแบบใดก็ตาม ครอบคลุมตั้งแต่ชื่อ นามสกุล เลขบัตรประชาชน เบอร์โทรศัพท์ ที่อยู่ อีเมล จนถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลทางพันธุกรรม ล้วนเป็นสิ่งสำคัญ
ทันทีที่กฎหมายฉบับนี้ประกาศใช้ องค์กร รวมถึงบริษัท ต้องจัดเตรียมความพร้อมในเรื่องการทำ Privacy Policy และบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ที่ต้องมีมาตรการรักษาความมั่นคงปลอดภัยอย่างเหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ
คุณเอกรัตน์ บุณยรัตนกลิน กรรมการบริหารและประธานสำนักตรวจสอบพิเศษ บริษัท ตรวจสอบภายในธรรมนิติ จำกัด ผู้อยู่เบื้องหลังความสำเร็จในงานตรวจสอบ และเป็นผู้เชี่ยวชาญทางด้านกฎหมาย PDPA รวมถึงการวางระบบป้องกันภัย Cybersecurity มีทีมงานกว่า 24 ท่าน ทั้งนักกฎหมาย ฝ่ายไอที นักบัญชี ที่จะมาคอยเสริมทัพความแข็งแกร่งอย่างครบครัน
สำหรับกฎหมาย PDPA มีความสำคัญอย่างไรต่อองค์กร ตอบเลยว่าค่อนข้างมาก เพราะเกี่ยวข้องกับเรื่องการปกป้องข้อมูลส่วนบุคคลทั้งหมด ไม่ว่าจะเป็นลูกค้า พนักงาน คู่ค้า ซึ่งในเดือนมิถุนายนนี้ เบื้องต้นทุกองค์กรที่อยู่ภายใต้กฎหมายต้องประเมินเรื่องการใช้ข้อมูลส่วนบุคคล ทุกหน่วยงานในองค์กรมีความสำคัญและเกี่ยวข้องทั้งหมด แต่ขึ้นอยู่กับบริบท บทบาทหน้าที่ของแต่ละหน่วยงาน โดยอาจจะมีประมาณ 3 ช่วงกระบวนการทำงานที่มีนัยสำคัญมาก
ช่วงที่ 1. หน่วยงานต้นทางข้อมูล เป็นผู้จัดเก็บหรือควบคุมการจัดเก็บข้อมูลจากเจ้าของข้อมูลโดยตรง
ช่วงที่ 2. หน่วยงานที่รับข้อมูลต่อจากช่วงที่ 1 อาจนำข้อมูลมาประมวลผลภายใต้หน้าที่ของตนเองที่ได้รับมอบหมายองค์กร ซึ่งก็ทำภายใต้บทบาทผู้ควบคุมข้อมูล
และช่วงที่ 3. หน่วยงานที่เป็นผู้ควบคุมและออกแบบมาตรการป้องกันการป้องกันข้อมูลรั่วไหล หรือการละเมิดเข้าถึงข้อมูลโดยไม่มีสิทธิ โดยเฉพาะฝ่ายทรัพยากรบุคคล หรือ HR เนื่องจากเป็นฝ่ายรวบรวม จัดเก็บข้อมูลของพนักงานเป็นส่วนมาก ทั้งข้อมูลส่วนตัวทั่วไป รวมถึงข้อมูลอ่อนไหว ถือเป็นต้นทางของการได้รับมาซึ่งข้อมูลส่วนบุคคล เป็นต้น
|
บางส่วนจากบทความ : “PDPA & Cybersecurity กับการตรวจสอบภายใน"
โดย : กองบรรณาธิการ / Section : - / Column : Cover Story
อ่านบทความฉบับเต็มได้ที่...วารสาร HR Society Magazine ปีที่ 20 ฉบับที่ 232 เดือนเมษายน 2565
|
|
| |
|
|
 |
