PDPC จับมือ สวทช. จัดสัมมนาออนไลน์ "Decoding PDPA" ยกระดับมาตรฐานความปลอดภัยข้อมูลส่วนบุคคลในองค์กร ในบริบทงานวิจัยและเทคโนโลยี

ดร.จุฬารัตน์ ตันประเสริฐ รองผู้อำนวยการสายงานกลยุทธ์องค์กร สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) กล่าวว่า สวทช. และ สคส. หรือ PDPC เป็นสองหน่วยงานที่ร่วมผลักดันด้านการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA กันมาอย่างต่อเนื่อง จากการลงนามความร่วมมือในแง่ต่าง ๆ อาทิ สนับสนุนความเชี่ยวชาญบุคลากร เพื่อเสริมสร้างความเข้าใจและยกระดับการรักษาความมั่นคงปลอดภัยทางสารสนเทศ รวมถึงสนับสนุนด้านทรัพยากร ในการศึกษาและวิจัยเพื่อช่วยเหลือกันด้านมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามข้อมูลส่วนบุคคลที่เพิ่มขึ้น

อีกทั้งยังได้ร่วมกันจัดงานสัมมนาให้ความรู้ออนไลน์ ในหัวข้อ "Decoding PDPA : Journey through Research, Tech, and Real Life" ในโครงการ "GOING FORWARD 2023" ที่เน้นบริบทด้านงานวิจัยและเทคโนโลยี เพื่อยกระดับมาตรฐานความปลอดภัยข้อมูลส่วนบุคคลในองค์กรต่าง ๆ อย่างเป็นรูปธรรม

โดย ดร.สุนทรีย์ ส่งเสริม ผู้ทรงคุณวุฒิ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ให้ข้อมูลว่า PDPA เป็นกฎหมายที่ถูกออกแบบมาเพื่อให้เกิดการแลกเปลี่ยนข้อมูลระหว่างองค์กรอย่างปลอดภัยและรักษาสิทธิความเป็นส่วนตัว ซึ่งพื้นฐานจะเป็นเรื่องกระบวนการในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย ร่วมกับการรักษาความปลอดภัยของข้อมูล โดยการพัฒนาระบบบริการดิจิทัลควรคำนึงถึงหลักความเป็นส่วนตัวตลอดกระบวนการตั้งแต่ต้นจนจบ เพื่อสร้างความเชื่อมั่นให้เกิดกับผู้ใช้บริการ ตามหลักการออกแบบ Privacy by Design ทั้ง 7 หัวข้อ ได้แก่

• ควรใช้กระบวนการเชิงรุก ไม่ใช่เพียงการตั้งรับ (Proactive, not reactive)
• กำหนด privacy ให้เป็นค่ามาตรฐาน (Privacy as the default)
• คำนึงถึง privacy ตั้งแต่ต้นกระบวนการ (Privacy embedded design)
• ออกแบบให้ทำงานเต็มรูปแบบ (Full functionally)
• ต้องปลอดภัยตลอดกระบวนการ (End-to-end security)
• ชัดเจนและโปร่งใส (Visibility and transparency)
• เคารพความเป็นส่วนตัวของผู้ใช้งาน (Respect user privacy)

"หลักการสำคัญของ PDPA คือการเก็บข้อมูลเท่าที่จำเป็นและใช้งานตามวัตถุประสงค์ ดังนั้นองค์กรจึงจำเป็นต้องมีการกำหนดนโยบายให้บุคลากรสามารถนำไปเป็นแนวทางการปฏิบัติได้จริง รวมถึงกำหนดการควบคุมต่าง ๆ ตามกระบวนการออกแบบ PbD (Privacy by Design) ในการออกแบบโปรแกรมหรือแพลตฟอร์ม ไม่ว่าจะเป็น การทบทวนโค้ดในโปรแกรม ตรวจพฤติกรรมการทำงานของโปรแกรมหลังถูกใช้งาน และทำตามขั้นตอนการออกแบบซอฟต์แวร์ รวมไปถึงการมีผู้เชี่ยวชาญเฉพาะด้าน ที่เข้าใจกระบวนการธุรกิจและเชี่ยวชาญในกฎหมายประกอบกัน เพื่อให้ออกแบบแผนงานที่สอดคล้องกับกฎหมาย และป้องกันการละเมิดข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพไปพร้อมกัน"

ด้าน ดร.ชาลี วรกุลพิพัฒน์ นักวิจัยอาวุโส ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ ให้ข้อมูลเสริมถึงประโยชน์ของการทำข้อมูลนิรนาม (Anonymization) ว่า เพื่อให้องค์กรสามารถนำข้อมูลส่วนบุคคลไปใช้ในวัตถุประสงค์อื่นที่สามารถกระทำได้บนพื้นฐานเพื่อให้เกิดการพัฒนา เช่น การส่งต่อเพื่อทำวิจัย จึงจำเป็นต้องดำเนินการทำข้อมูลนิรนาม เพื่อให้เกิดผลลัพธ์สองด้านคือการปกป้องข้อมูล (Privacy) และการนำข้อมูลไปใช้ (Utility) โดยทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ทั้งทางตรงและทางอ้อม

"ความท้าทายในการทำข้อมูลนิรนาม คือจะทำอย่างไรให้ข้อมูลนั้นอยู่ในรูปแบบนิรนาม แต่ยังนำไปใช้งานต่อได้ โดยองค์กรจะต้องเริ่มขั้นตอนตั้งแต่ในดีไซน์แรก คือพิจารณาว่าข้อมูลไหนเป็นข้อมูลส่วนบุคคลบ้าง จากนั้นจึงเป็นการเลือกใช้เทคนิคเครื่องมือต่าง ๆ โดยพิจารณาว่าข้อมูลนั้นจะถูกนำไปใช้ในด้านใด เช่นการทำ Pseudonymization หรือการแทนที่ข้อมูลจริงด้วยข้อมูลหลอก เพื่อไม่ให้คาดเดาตัวตนเจ้าของข้อมูลได้ หรือการทำ Synthetic Data โดยใช้ AI ในการวิเคราะห์ และสร้างข้อมูลใหม่โดยไม่เชื่อมโยงกับข้อมูลจริง"

ด้าน นายบุญเลิศ อรุณพิบูลย์ ผู้อำนวยการฝ่าย ฝ่ายบริการความรู้ทางวิทยาศาสตร์และเทคโนโลยี สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) เปิดเผยว่า สวทช. มีการดำเนินการเพื่อรับมือกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งในด้านการศึกษารายละเอียดจากกฎหมาย PDPA เป็นหลัก พร้อมทั้งเดินหน้ารวบรวมข้อมูลและกระบวนการภายในที่เกี่ยวข้องเพื่อให้บุคลากรเข้าถึงเนื้อหาได้อย่างสะดวก ผ่านทั้งการจัดทำเว็บไซต์หรือทำสื่อออกเผยแพร่ในช่องทางต่าง ๆ ของหน่วยงาน อีกทั้งยังมีการตั้งคณะทำงานเพื่อการประสานกับหน่วยงานภายในส่วนต่าง ๆ เพื่อให้การออกแบบขั้นตอนการทำงานมีความสอดคล้องกับกฎหมาย PDPA เช่น การป้องกันไม่ให้มีการเผยแพร่ข้อมูลอ่อนไหวหรือนำข้อมูลไปใช้ในเชิงการตลาด และมีการจัดทำ Privacy Notice & Consent โดยในปัจจุบันได้มีการนำต้นแบบ Privacy Notice เหล่านี้ไปประยุกต์ใช้งานในหลายหน่วยงาน

"สวทช. ได้ร่วมมือกับ PDPC ในการใช้งานระบบ GPPC (Government Platform for PDPA Compliance) ซึ่งได้มีทีมที่เกี่ยวข้องเข้าไปศึกษา ทดลองกรอกข้อมูล และทดสอบระบบร่วมกับทีมพัฒนา พร้อมทั้งรายงานผลการทดสอบอย่างต่อเนื่อง ตั้งแต่ส่วนของการกรอกบันทึกรายการ (ROPA), การนำ Cookie Consent ของระบบมาประยุกต์ใช้, การให้บริการจัดการสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมไปถึงการจัดเตรียมระบบรับเรื่องร้องเรียนผ่าน GPPC ซึ่งนับว่าโครงการดังกล่าวช่วยลดภาระในการปฏิบัติตามกฎหมายให้กับทั้งองค์กรภาครัฐ เอกชน และประชาชน ได้อย่างมีประสิทธิภาพ"

สามารถติดตามข่าวสารเกี่ยวกับการคุ้มครองและดูแลข้อมูลส่วนบุคคลได้ทาง Facebook : PDPC Thailand

ที่มา: โฟร์ฮันเดรท