PDPA คือ
PDPA คือ กฎหมายที่พูดถึงข้อมูลส่วนบุคคล ย่อมาจาก Personal Data Protection Act ที่กำลังจะมีผลบังคับใช้เต็มรูปแบบวันที่ 27 พ.ค. 2563 และหน้าที่ของ IT Admin มีอะไรบ้าง ตอนนี้เลือกออกไปไม่มีกำหนดที่ชัดเจนนะครับ
ถ้าเราทำผิด กฎหมาย PDPA จะโดนอะไรบ้าง
- โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท
- โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
- โทษทางปกครองปรับไม่เกิน 5 ล้านบาท
โทษแรงมากนะครับสำหรับกฎหมายเรื่องนี้ ที่นี่มาดูต่อกันว่าใครบ้างที่ต้องทำตาม กฎหมาย PDPA บ้าง
- องค์กรของคุณมีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล
- องค์กรคุณเป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใดๆ ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล
- องค์กรของคุณอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย
Fusion Service
- ระบบป้องกันข้อมูลหลุดโดยใช้ การ Encrypt File ใน Office 365 ถึงแม้ว่าตัว File ข้อมูลจะหลุดออกไปภายนอกแล้วก็ตาม
- ระบบควบคุมการเข้าถึงข้อมูล สามารถ กำหนด อุปกรณ์ที่จะเข้าถึง รวมถึง ช่วงเวลา และ สถานที่
- ระบบตรวจสอบการนำเอกสารออกจาก Office 365 โดยจะทำการแจ้งเตือนเมื่อการนำเอกสารออกตรงกับเงื่อนไขที่กำหนด
โดยรูปแบบของข้อมูลที่หน่วยงานมีการจัดเก็บ คือ ข้อมูลส่วนบุคคลไม่ว่าทางตรงหรืออ้อม ต้องบอกว่า เนื้อหากว้างมาก อะไรก็คิดได้หมด เช่น
- ชื่อ นามสกุล
- หมายเลขโทรศัพท์
- ที่อยู่
- อีเมล
- หมายเลขบัตรประจำตัวประชาชน
- รูปถ่าย
- ประวัติการทำงาน
- อายุ ( หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง )
ป้องกันเอกสาร ให้มั่นใจ ด้วยระบบ Power Apps
นอกจากนั้นก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น
- เชื้อชาติ
- ชาติพันธุ์
- ความคิดเห็นทางการเมือง ( ตย. เช่น social media monitoring tools ที่จับประเด็นการเมือง)
- ความเชื่อทางศาสนา หรือ ปรัชญา ( ตย.เช่น บันทึกการลาบวช ของพนักงาน )
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- สุขภาพ ความพิการ
- สหภาพแรงงาน
- พันธุกรรม
- ชีวภาพ
- ข้อมูลสุขภาพ ( ตย. เช่น ใบรับรองแพทย์ )
- หรือ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด
ใจความของตัวพรบ. คือ การให้สิทธิเหล่านี้แก่ของเจ้าของข้อมูล
- สิทธิที่จะได้รับแจ้ง
- สิทธิในการแก้ไข
- สิทธิในการได้รับและโอนถ่ายข้อมูล
- สิทธิในการเข้าถึง
- สิทธิคัดค้าน
- สิทธิในการลบ (ถูกลืม)
- สิทธิในการจำกัด
- สิทธิในการเพิกถอนคำยินยอม
ป้องกันฐานข้อมูลให้มั่นใจ ไม่ให้ถูกขโมย
โดยเฉพาะหัวข้อนี้มีผลทำให้การพัฒนา Application มีผลกับการเปลี่ยนแปลงระบบจำนวนมาก คือ ต้องทำหน้าจอสำหรับรับเรื่องพวกนี้โดยเฉพาะ และระบบ Admin ต้องมีการเปลี่ยนแปลงหน้า Config เพื่อสะดวกในการบริการจัดการข้อมูลส่วนบุคคล
Microsoft กับ PDPA
ตอบโจทย์ข้อกฎหมาย ด้วย Microsoft 365 โซลูชั่น
PDPA มีผลบังคับใช้กับองค์กรทุกองค์กรที่เก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลในราชอาณาจักรไทย เพื่อขายสินค้าหรือบริการให้กับเจ้าของข้อมูล (ตามมาตรา 5 ในกฎหมาย) ดังนั้นองค์กรจึงต้องเริ่มวางแผน ทั้งในด้านบุคลากร เช่น แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ตามมาตรา 41 และ 42 รวมไปถึงจัดทำกระบวนการต่างๆ เช่น จัดทำขั้นตอนในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (consent management process) และเครื่องมือหรือเทคโนโลยีด้านการรักษาความปลอดภัยของข้อมูลมาใช้ เพื่อการันตีเรื่อง compliance ก่อนกฎหมายจะมีผลบังคับใช้ในอีกเพียง 2 เดือนข้างหน้านี้เท่านั้น
และเมื่อองค์กรได้ทำการเก็บข้อมูลส่วนบุคคล Microsoft 365 โซลูชัน ก็มีเทคโนโลยีที่องค์กรสามารถนำไปใช้ในการดูแล รักษาความปลอดภัยของข้อมูลส่วนบุคคล รวมไปถึงเครื่องมือที่จะช่วยรองรับกระบวนการการร้องขอข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อปฏิบัติตามกฎหมาย PDPA อีกด้วย
จากผลสำรวจของทางไมโครซอฟท์ได้ระบุว่า การเปลี่ยนมาใช้งาน Microsoft 365 จะช่วยให้องค์กรปฏิบัติตามกฎหมาย PDPA ไปแล้วถึงประมาณ 70% โดยที่โซลูชัน Microsoft 365 จะเข้ามาช่วยเหลือใน 7 ขั้นตอนหลักที่องค์กรจำเป็นต้องคำนึงถึง เพื่อปฏิบัติตามกฏหมาย PDPA
1. การค้นหาข้อมูลส่วนบุคคลที่ถูกจัดเก็บในไฟล์เอกสารต่างๆ ไม่ว่าจะอยู่ใน on-premise, Office 365 หรือ Cloud อื่นๆ
ด้วยเครื่องมือที่หลากหลายบนโซลูชัน Microsoft 365 ไม่ว่าจะเป็น Azure Information Protection, Office 365 Advanced eDiscovery ที่ช่วยให้องค์กรสามารถค้นหาไฟล์เอกสารที่มีข้อมูลส่วนบุคคลได้ในทันที ไม่ว่าไฟล์เอกสารนั้นๆ จะถูกจัดเก็บไว้ที่ on-premise server, Office 365 หรือ Cloud Services อื่นๆ รวมถึงสามารถรู้ถึงรายละเอียดของประเภทข้อมูลส่วนบุคคลที่มีอยู่ในไฟล์เอกสารนั้นๆ ด้วย
2. การปกป้องข้อมูลส่วนบุคคลบนไฟล์เอกสารต่างๆ เมื่อผู้ใช้เข้าถึงไฟล์จากอุปกรณ์ หรือสถานที่ต่างๆ
ในปัจจุบัน หลายๆ องค์กรเริ่มให้ความสำคัญกับนโยบายการทำงานนอกสถานที่ (remote work) หรือการทำงานจากที่บ้าน (work from home) ทำให้หลายๆ องค์กรมีความจำเป็นต้องเพิ่มมาตรการรักษาความปลอดภัยในการเข้าถึงไฟล์เอกสารต่างๆ รวมถึงการป้องกันการรั่วไหลของไฟล์เอกสารที่มีข้อมูลส่วนบุคคล
ด้วยเครืองมือ Azure Active Directory Premium สามารถช่วยให้องค์กรกำหนดเงื่อนไขที่จะอนุญาตให้ผู้ใช้เข้าถึงไฟล์เอกสาร (Conditional Access) เพื่อรองรับสภาวะแวดล้อมที่หลากหลายได้ อาทิเช่น
- ผู้ใช้ที่ต้องการเข้าถึงไฟล์เอกสาร โดยเป็นการทำงานนอกสถานที่ จำเป็นต้องให้ผู้ใช้งานยืนยันตัวตนเพิ่มเติม โดยส่งสัญญาณไปที่โทรศัพท์เคลื่อนที่เพื่อให้ยืนยันตัวตน หรืออาจจะโทรเข้าไปให้กด PIN (multi-factor authentication)
- ผู้ใช้ที่ใช้อุปกรณ์สื่อสารส่วนบุคคล (personal mobile phone/tablet) เพื่อเข้าถึงไฟล์เอกสาร จำเป็นต้องให้ผู้ใช้งานยืนยันตัวตนเพิ่มเติมผ่าน multi-factor authentication และยอมรับใน “Terms of use” ในการใช้ไฟล์เอกสารนั้นๆ
3. การกำหนดสิทธิในการเข้าถึงไฟล์เอกสารที่มีข้อมูลส่วนบุคคล
เพื่อช่วยปกป้องไฟล์เอกสารที่มีข้อมูลส่วนบุคคลที่จำเป็นต้องปกป้อง และกำหนดสิทธิการเข้าถึง Azure Information Protection เป็นเครื่องมือบนโซลูชัน Microsoft 365 ที่จะ จะช่วยแบ่งแยกประเภทของไฟล์เอกสาร (classify) พร้อมติดป้าย (label) ให้ว่าเป็นเอกสารทั่วไป เอกสารความลับเฉพาะ หรือข้อมูลอ่อนไหวของลูกค้า (sensitive data) องค์กรสามารถกำหนดนโยบายรักษาความปลอดภัย (policy) ของไฟล์ในแต่ละประเภท label ว่าสามารถเปิดหรือแชร์ไฟล์ที่ไหนได้บ้าง พร้อมทั้งเข้ารหัสข้อมูล (encryption) โดย policy และ label เหล่านี้จะติดกับเอกสารไปทุกที่ไม่ว่าจะถูกส่งหรือนำไปเปิดที่ไหน
4. ความสามารถในการตรวจสอบว่าไฟล์เอกสารได้ถูกจัดเก็บไว้ที่ใด และสามารถเรียกคืนสิทธิการเข้าถึงได้ในทุกเวลาที่ต้องการ
ไฟล์เอกสารที่ได้ถูกแบ่งประเภท (classify) และติดป้าย (label) ไว้แล้ว หากมีการแชร์ออกไปให้กับผู้ใช้งานอื่นๆ เราสามารถใช้ Azure Information Protection ในการ Monitor ดูว่า เอกสารถูกแชร์ไปให้ผู้ใช้งานคนไหน หรือ location ของไฟล์ที่ถูกแชร์ออกไปนอกองค์กร นอกจากนี้ยังสามารถที่จะเรียกคืนสิทธิ์ของการใช้งานไฟล์นั้นได้อีกด้วย
5. ตอบสนองได้อย่างทันท่วงที ต่อเหตุการณ์ข้อมูลรั่วไหล รวมไปถึงมีระบบการป้องกันความเสี่ยงด้าน Cybersecurity
เพื่อช่วยในการตรวจสอบไฟล์ที่สำคัญว่ามีการรั่วไหลออกไปจากระบบหรือไม่ ไม่ว่าจะเป็นทาง email, พื้นที่ storage ส่วนตัว และพื้นที่ส่วนกลาง เทคโนโลยี Data Loss Prevention บน Microsoft 365 จะเป็นเครื่องมือที่ช่วยในการกำหนดนโยบายในเรื่องปลอดภัย หรือจัดทำข้อแนะนำเวลาที่ไฟล์สำคัญเหล่านี้จะถูกแชร์ หรือส่งออกไป โดยเครื่องมือจะช่วยทำการตรวจไฟล์ที่สำคัญเหล่านี้ว่ามีการส่งออกไปนอกระบบขององค์กรหรือไม่ หากมีการส่งไฟล์ออกไประบบจะทำการแจ้งเตือนผู้ดูแลให้ทราบ
ในเรื่องของการป้องกันภัยคุกคามทางไซเบอร์เป็นสิ่งที่ทุกๆ องค์กรควรมีเครื่องมือในการดูแลป้องกันและตรวจสอบความผิดปกติในระบบได้ Microsoft 365 Advanced Threat Protection จึงเป็นเครื่องมือที่จะตรวจสอบภัยคุกคามที่เข้ามาในรูปแบบต่างๆ เช่น Microsoft Defender Advanced Threat Protection จะช่วยตรวจสอบความผิดปกติของอุปกรณ์ PC, Notebook ที่ผู้ใช้งานทำงานอยู่
6. การตรวจสอบอย่างต่อเนื่องเพื่อให้องค์กรสามารถปฏิบัติตามกฎหมาย PDPA
หนึ่งในพระเอกของ Microsoft 365 ซึ่งได้แก่ เครื่องมือ Compliance Manager ที่จะช่วยให้องค์กรสามารถตรวจสอบว่าตัวเองทำตามกฎระเบียบ (compliance) มากน้อยแค่ไหน มีส่วนไหนบ้างที่ต้องปรับปรุง โดยจะแสดงผลออกมาเป็นคะแนน พร้อมมีคำแนะนำและขั้นตอนต่าง ๆ ในส่วนที่ต้องปรับปรุงให้ด้วย เฟรมเวิร์คที่มีให้ก็ค่อนข้างครอบคลุมการใช้งานในไทย อาทิ เช่น GDPR เป็นต้น
7. ตอบสนองกับการเรียกคืนข้อมูลส่วนบุคคลของลูกค้า (Data Subject Requests)
จาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อกำหนดหนึ่งที่สำคัญคือเจ้าของข้อมูลส่วนบุคคลมีสิทธ์ที่จะขอดูข้อมูลของตนได้ ดังนั้นบริษัทจะต้องมีกระบวนการ และมีเครื่องมือที่รองรับความต้องการนี้ได้ Microsoft 365 มีฟังก์ชั่น Data Subject Request ที่จะเป็นหนึ่งในเครื่องมือให้องค์กรค้นหาไฟล์ที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลนั้นๆ
อ่านรายละเอียดเพิ่มเติมได้ที่ https://www.microsoft.com/th-th/trust-center/privacy/gdpr-overview
Implement Microsoft Security Click
