1. Proactive not Reactive; Preventative not Remedial
Privacy by Design (PbD) หรือการคุ้มครองข้อมูลส่วนบุคคลตั้งแต่กระบวนการออกแบบ เป็น วิธีการเชิงรุกไม่ใช่เชิงรับหรือ เน้นเชิงป้องกัน ไม่ปล่อยให้เกิดปัญหาแล้วค่อยแก้ไข หรือวัวหายแล้วค่อยล้อมคอก เพื่อป้องกันไม่ให้เกิดเหตุการหรือความเสี่ยงที่จะเกิดละเมิดข้อมูลส่วนบุคคลขึ้นได้ (before-the-fact, not after) เช่น Google Chrome จะมีข้อความแจ้งเตือนเสมอเมื่อเรากำลังจะเข้าเว็บไซต์ที่มีความเสี่ยงสูง การตัดสินใจว่าเข้าไม่เข้าเว็บไซต์ดังกล่าวเป็นของเราเอง
2. Privacy as the Default Setting
Privacy by Design (PbD) เป็นแนวทางในการออกแบบ ให้กระบวนการทางธุรกิจ แอพพลิเคชั่น หรือผลิตภัณฑ์ มีความสามารถในการคุ้มครองข้อมูลส่วนบุคคลอย่างอัตโนมัติ หากเจ้าของข้อมูลใช้บริการหรือใช้ผลิตภัณฑ์ ข้อมูลส่วนบุคคลจะต้องได้รับความคุ้มครอง โดยที่ไม่ต้องออกแรง ตั้งค่าใดๆ เลย เช่น เวลาที่สมัครเป็นสมาชิกเว็บไซต์ เว็บไซต์จะมีช่องให้เลือกว่าจะยินยอมทำตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของหรือไม่ และยินยอมให้นำข้อมูลไปประมวลผลหรือไม่ ซึ่งช่องเหล่านั้นต้องไม่ถูกเลือกหรือติ๊กไว้ก่อนล่วงหน้า หากไม่ติ๊ก ก็หมายถึงว่าไม่ยิมยอมโดยอัตโนมัติ
3. Privacy Embedded into Design
Privacy by Design (PbD) เป็นการนำหลักการคุ้มครองข้อมูลส่วนบุคคลผสมผสานเข้ากับการออกแบบ ผลิตภัณฑ์ สถาปัตยกรรมของระบบเทคโนโลยีดิจิทัลและกระบวนการทางธุรกิจ ไม่ใช่การเพิ่มเติมในภายหลัง ซึ่งจะทำให้การคุ้มครองข้อมูลส่วนบุคคลกลายเป็นองค์ประกอบพื้นฐานที่สำคัญของทุกการออกแบบ เพื่อให้บริการหรือผลิตภัณฑ์สามารถคุ้มครองข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ เช่นการนำเอาหลัก การจัดเก็บเฉพาะข้อมูลที่จำเป็น (Data Minimization) มาใช้
4. Full Functionality – Positive-Sum, not Zero-Sum
เจ้าของข้อมูลสามารถที่จะปฏิเสธการให้ข้อมูลกับผู้ให้บริการได้ แต่ยังสามารถใช้งานบริการได้เหมือนเดิม ห้ามบังคับให้เจ้าของข้อมูลให้ข้อมูลกับผู้ให้บริการ โดยใช้คุณสมบัติบางประการของบริการเป็นตัวประกัน เช่น หาก เจ้าของข้อมูลปฏิเสธการให้ตำแหน่งปัจจุบันในโทรศัพท์มือถือ Google Map ก็ยังให้บริการแผนที่ได้เหมือนเดิม เพียงแค่ผู้ใช้ต้องพิมพ์ระบุตำแหน่งปัจจุบันเองเท่านั้น
5. End-to-End Security – Full Lifecycle Protection
ต้องเอาใจใส่ในการดูแลข้อมูลส่วนบุคคลตั้งแต่ขั้นตอน รวบรวม จัดเก็บ ประมวลผลหรือส่งต่อ จนกระทั่งทำลาย ซึ่งโดยทั่วไปอาจจะใช้การเข้ารหัสข้อมูล และการพิสูจน์ตัวตนก่อนเข้าถึงข้อมูลร่วมในทุกขั้นตอน และรวมถึงการรวบรวมข้อมูล จะต้องมีระบุฐานทางกฎหมายที่ถูกต้อง และเมื่อหลังจากนำมาประมวลผลแล้ว ควรมีการทำลายตามที่ได้กำหนดไว้ในนโนบายการจัดเก็บข้อมูลหรือตามกฎหมายด้วย
6. Visibility and Transparency – Keep it Open
ความโปร่งใส เป็นสิ่งสำคัญที่นำพาไปสู่ความเชื่อมั่นต่อบริการหรือผลิตภัณฑ์ ซึ่งเจ้าของข้อมูลส่วนบุคคลควรจะได้รับรู้รับทราบว่า องค์กรมีการจัดการกับการคุ้มครองข้อมูลส่วนบุคคลของเขาอย่างไร และองค์กรจะต้องเปิดเผยและสื่อสาร ให้เจ้าของข้อมูลได้รับรู้ ผ่านนโยบายคุ้มครองข้อมูลส่วนบุคคล
7. Respect for User Privacy – Keep it User-Centric
การออกแบบไม่ว่าจะเป็นบริการหรือผลิตภัณฑ์หรือกระบวนการทางธุรกิจ จะต้องยึดถือให้ผู้ใช้เป็นศูนย์กลาง โดยให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลเป็นสำคัญอันดับแรก เช่น ต้องคุ้มครองข้อมูลส่วนบุคคลอย่างอัตโนมัติ หรือมีการแจ้งเตือนที่เหมาะสม และออกแบบให้ผู้ใช้งานใช้บริการหรือผลิตภัณฑ์ง่ายที่สุด
ที่มา : https://iapp.org/.../pbd_implement_7found_principles.pdf
AlphaSec ให้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยตามกฎหมาย PDPA โดยที่ปรึกษามืออาชีพ
📟 Line : https://lin.ee/NHIYt0k
☎️ 081-714-6016