การตรวจสอบความสอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA Audit)

ภายหลังจากที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลได้มีผลบังคับใช้แล้วเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมาแต่ละองค์กรต่างเร่งดำเนินการพัฒนากระบวนการปฏิบัติงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

ทั้งนี้ ในหลายองค์กรยังมีความกังวลถึงกระบวนการปฏิบัติงานภายในที่ได้กำหนดไว้ ว่าเป็นไปตามกฎหมายอย่างครบถ้วนหรือไม่

ซึ่งการตรวจสอบความสอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA Audit) จึงได้มีบทบาทสำคัญเพื่อมาช่วยสร้างความเชื่อมั่นกับองค์กรได้มากยิ่งขึ้น

ทั้งนี้ การทำ PDPA Audit นั้น นอกจากองค์กรจะต้องให้ความสำคัญในส่วนของการตรวจสอบการกำหนดกระบวนการปฏิบัติงานภายในต่าง ๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้เป็นตามกฎหมาย เช่น

การกำหนด Privacy policy

การจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) การใช้สิทธิของเจ้าของข้อมูล

การขอความยินยอม

ขั้นตอนการปฏิบัติเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล เป็นต้น แล้วนั้น

การตรวจสอบในด้านของการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล ก็เป็นสิ่งสำคัญที่องค์กรต้องดำเนินการตรวจสอบด้วยเช่นกัน

โดยปัจจุบันได้มีการประกาศใช้กฎหมายลำดับรองภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 เมื่อวันที่ 20 มิถุนายน 2565

ซึ่งได้กำหนดให้องค์กรผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล โดยครอบคลุมถึง 3 ด้าน ได้แก่ การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ซึ่งต้องมีการดำเนินการ อาทิเช่น

มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลที่ครอบคุมทั้งที่อยู่ในรูปแบบเอกสาร อิเล็กทรอนิกส์ หรือรูปแบบอื่น

มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล ที่ครอบคลุมถึง 3 ส่วน ได้แก่ ด้านการบริหารจัดการองค์กร ด้านเทคนิค และ ด้านกายภาพ

มีการประเมินความเสี่ยงของทรัพย์สินสารสนเทศ เพื่อสามารถกำหนดมาตรการป้องกันความเสี่ยง ตรวจสอบ เฝ้าระวังและรับมือกับความเหตุการณ์ละเมิดที่อาจเกิดขึ้นได้

มีมาตรการรักษาความมั่นคงปลอดภัยที่ครอบคลุมส่วนประกอบต่าง ๆ ของระบบสารสนเทศที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เช่น ระบบงาน ระบบเครือข่าย server เครื่องคอมพิวเตอร์ client เป็นต้น

มีมาตรการรักษาความมั่นคงปลอดภัยด้านการเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น มีการพิสูจน์และยืนยันตัวตน การบริหารจัดการการเข้าถึงของผู้ใช้งาน การให้สิทธิเท่าที่จำเป็น การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลัง (Audit trails) เป็นต้น

มีการสร้างเสริมความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย (privacy and security awareness) และสื่อสารนโยบาย หรือมาตรการต่างๆ ให้กับบุคลากรในองค์กรและผู้ที่เกี่ยวข้องได้รับทราบและปฏิบัติตาม

มีการทบทวนมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลอย่างเหมาะสมและเป็นปัจจุบัน

จัดทำข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อกำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลอย่างเหมาะสม

ทั้งนี้ การตรวจสอบเพื่อประเมินความเพียงพอเหมาะสมของมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลตามที่ได้กล่าวข้างต้น จะต้องพิจารณาถึงระดับความเสี่ยงที่ประเมิน ทรัพยากร และความเป็นไปได้ในการดำเนินการประกอบกันด้วย

ดังนั้น หน่วยงานที่รับผิดชอบในการตรวจสอบ PDPA ควรมีทักษะความรู้ทั้งทางด้านกฎหมายและด้าน IT ควบคู่กัน เพื่อให้การตรวจสอบดำเนินการได้อย่างมีประสิทธิภาพและครบถ้วนตามที่กฎหมายกำหนด

#Privacynote#alphasec#pdpa#audit

ALPHASEC ให้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยตามกฎหมาย PDPA โดยที่ปรึกษามืออาชีพ

Line : https://lin.ee/NHIYt0k

091-003-4852