เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้และกำหนดให้องค์กรที่มีกิจกรรมเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคนไทย ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Data Security) ซึ่งก็คือการ ทำ PDPA Awareness สำหรับพนักงานในองค์กร
การสร้างความตระหนักรู้ด้านกฎหมาย PDPA เป็นเรื่องสำคัญที่องค์กรจำเป็นต้องทำ และมุ่งเน้นสื่อสารให้พนักงานทราบถึง บทบาทหน้าที่ด้านความปลอดภัยที่องค์กรต้องปฏิบัติตามกฎหมาย รวมไปถึงความเสี่ยงและผลกระทบที่อาจ เกิดขึ้นกับข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมไว้
อ่านข้อกฎหมายที่เกี่ยวข้องกับการสร้างความตระหนักรู้ทางด้านข้อมูลส่วนบุคคลในองค์กรเพิ่มเติมที่ ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓
องค์กรต้องเริ่ม ทำ PDPA Awareness จากจุดไหนให้มีประสิทธิภาพมากที่สุด
Step 1 : กำหนดพนักงานกลุ่มเป้าหมาย และจัดเตรียมข้อมูลที่ใช้สื่อสาร
คุณต้องกำหนดกลุ่มเป้าหมายพนักงานที่ต้องการสื่อสาร โดยเฉพาะกลุ่มพนักงานที่มีการเก็บ ใช้ข้อมูลส่วนบุคคล เช่น กลุ่มพนักงานทำการตลาด หรือกลุ่มพนักงานบริการลูกค้า เป็นต้น จากนั้นเตรียมเนื้อหาที่จำเป็นต้องสื่อสารให้พนักงานเข้าใจว่าทำไมองค์กรต้องปฏิบัติตาม PDPA เพื่อให้พนักงาน เห็นถึงความสำคัญของข้อมูลส่วนบุคคล และเริ่มสร้างความปลอดภัยต่อข้อมูลส่วนบุคคลที่องค์กรจัดเก็บ
สาระสำคัญที่พนักงานควรรู้ของการ ทำ PDPA Awareness
คุณต้องอธิบายความสำคัญ และบทบาทของกฎหมาย PDPA ที่มีผลต่อองค์กรให้พนักงานเข้าใจบทบาท หน้าที่ขององค์กร และหน้าที่ที่ตนเองต้องปฏิบัติเพื่อปกป้องข้อมูลส่วนบุคคล ที่องค์กรเก็บรวบรวมมาให้ ปลอดภัย ซึ่งสาระสำคัญของ PDPA ที่คุณต้องสื่อสารให้พนักงานทราบ มีดังนี้
กฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลคือกฎหมายอะไร
นิยามข้อมูลส่วนบุคคล (Personal data) กับข้อมูลอ่อนไหว (Sensitive data) แตกต่างกันอย่างไร
องค์กรต้องปฏิบัติตาม PDPA อย่างไรบ้าง เช่น จัดทำมาตรการรักษาความปลอดภัยข้อมูลส่วน บุคคล (Data Security), จัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ให้คำปรึกษาเกี่ยวกับ การปฏิบัติตาม PDPA, แจ้งเหตุการละเมิด ข้อมูลส่วนบุคคลต่อสำนักงานคณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคลทราบ เป็นต้น
การขอความยินยอม (Consent) สำคัญอย่างไร แล้วลักษณะการขอความยินยอม ต้องเป็นอย่างไร
พนักงานต้องแจ้งข้อมูลอะไรให้เจ้าของข้อมูลทราบบ้าง เช่น วัตถุประสงค์เก็บข้อมูลไปใช้ทำอะไร ระยะจัดเก็บนานเท่าไหร่ เจ้าของข้อมูลมีสิทธิ์ และใช้สิทธิ์ต่อข้อมูลส่วนบุคคลได้อย่างไร ติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลขององค์กรได้ผ่านช่องไหนบ้าง เป็นต้น
แนวทางปฏิบัติต่อข้อมูลส่วนบุคคล เช่น เก็บรักษาข้อมูลส่วนบุคคลลูกค้าเป็นความลับ ไม่ทำสำเนา ไม่นำไปใช้เรื่องส่วนตัว ไม่ขาย ส่งต่อ หรือเปิดเผยต่อสาธารณะโดยเด็ดขาด เป็นต้น
เมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล พนักงานต้องปฏิบัติตนอย่างไร ต้องแจ้งบุคคล หรือหน่วยงานใด
โทษของ PDPA ที่พนักงาน และองค์กรต้องรับผิดชอบ หากละเลยความปลอดภัยต่อข้อมูลส่วนบุคคล ไม่ปฏิบัติตามข้อกำหนดของกฎหมาย หรือไม่ปฏิบัติตามคำร้องขอการใช้สิทธิ์ของเจ้าของข้อมูล
ซึ่งข้อมูลเกี่ยวกับพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล สามารถศึกษาเบื้องต้นเพิ่มเติมได้ที่ PDPA คืออะไร ?
แนวทางการรักษาข้อมูลให้ปลอดภัยทุกขั้นตอน (Data Life Cycle)
เหตุการณ์ข้อมูลรั่วไหลมักเกิดจากความประมาท รู้ไม่เท่าทันการณ์ในการปฏิบัติงานของพนักงาน จนเกิด ความเสียหาย พนักงานต้องรู้และเข้าใจถึงความเสี่ยงที่อาจเกิดขึ้น พร้อมกับวิธีการดูแลรักษาข้อมูลให้ ปลอดภัยในทุกกระบวนการประมวลผลข้อมูลส่วนบุคคล ตั้งแต่กระบวนการจัดเก็บ (Store) การใช้ (Use) การเผยแพร่ (Public) การจัดเก็บถาวร (Archive) การทำลาย (Destroy)
ยกตัวอย่างเช่น ขั้นตอนการทำลาย เอกสารเป็นข้อมูลความลับ การนำกลับมาใช้ซ้ำ อาจทำให้ข้อมูลรั่วไหล โดยเฉพาะเอกสารที่มีข้อมูลส่วน บุคคล หรือเอกสารสำเนาบัตรประชาชน (ซึ่งเราพบเห็นเอกสารประเภทนี้ กลายเป็นถุงกล้วยแขกบ่อย ๆ)
คุณต้องอธิบายให้พนักงานเข้าใจว่าเอกสารที่มีข้อมูลส่วนบุคคล ต้องฉีก หรือนำเข้าเครื่องทำลายเอกสาร ไม่เช่นนั้น เอกสารอาจถูกใครสักคนนำกลับมาใช้ซ้ำ หรือนำไปใช้สร้างความเสียหาย จนกลายเป็นหายนะ ครั้งใหญ่ขององค์กรกับความผิดโทษฐานละเมิดข้อมูลส่วนบุคคล
ความเสี่ยงและวิธีการปกป้องข้อมูลบนโลกออนไลน์ (Cyber Security)
องค์กรเสี่ยง สูญเสียข้อมูลความลับบนโลกไซเบอร์แทบทุกวัน จากการตกเป็นเหยื่อกลลวงบนโลกออนไลน์ หรือแม้แต่การปฏิบัติงานที่ประมาทของพนักงานเอง เช่น ส่งข้อมูลสำคัญผ่านไลน์ สำรองข้อมูลความลับ บนคลาวด์ส่วนตัว เข้าประชุมออนไลน์ในที่ที่มีคนพลุกพล่าน เป็นต้น
คุณต้องชี้ให้พนักงานเห็นถึงปัญหาความเสี่ยง ผลกระทบที่อาจตามมา และวิธีการปฏิบัติงานบนโลกไซเบอร์ ที่ถูกต้อง เหมาะสม และปลอดภัย เช่น การสำรองข้อมูลบนคลาวด์ส่วนตัว หรือคลาวด์ที่ตั้งค่าเป็น สาธารณะ เสี่ยงถูกผู้อื่นเข้ามาล้วงข้อมูลสำคัญได้จากการแฮกบัญชี ควรตั้งค่าคลาวด์เป็น Private ตั้งรหัสผ่านบัญชีให้ รัดกุม และพิจารณาข้อมูลที่สำรองบนคลาวด์ ไม่ควรเป็นข้อมูลส่วนบุคคลตนเอง หรือข้อมูลความลับทุกประเภทขององค์กร เป็นต้น
รู้ให้ทัน หมั่นอัปเดตภัยไซเบอร์ (Cyber Threat)
หนึ่งข้อมูลสำคัญที่องค์กรต้องเตรียมและอัปเดตอยู่ตลอดเวลา คือ รูปแบบและวิธีการโจมตีของภัยคุกคาม ทางไซเบอร์ องค์กรต้องรู้ว่า ณ เวลานั้น ภัยรูปแบบใดกำลังแพร่ระบาดโจมตี มีวิธีการโจมตีเป็นอย่างไร เพื่อสื่อสารให้พนักงานในองค์กรเข้าใจวิธีการหลอกลวง เป้าหมายในการโจมตี วิธีการสังเกต วิธีการป้องกัน ตัวเบื้องต้นไม่ให้ตกเป็นเหยื่อของภัยคุกคามทางไซเบอร์ รวมไปถึงช่องทางแจ้งเหตุภัยคุกคามที่เกิดขึ้น ภายในองค์กร
เช่น มัลแวร์เรียกค่าไถ่ (Ransomware) องค์กรต้องสื่อสารให้พนักงานเข้าใจได้ว่ามัลแวร์ประเภทนี้จะเข้า รหัสล็อกไฟล์ข้อมูลทั้งหมดบนอุปกรณ์ ข่มขู่ให้องค์กร หรือเจ้าของอุปกรณ์จ่ายเงิน ไม่เช่นนั้นจะเปิดเผย ข้อมูลต่อสาธารณะ โดยมัลแวร์ประเภทนี้ สามารถแพร่กระจายตัวเองไปยังอุปกรณ์อื่นผ่านเครือข่ายได้
อุปกรณ์จะติดมัลแวร์ประเภทนี้ได้จากการดาวน์โหลดโปรแกรมเถื่อน การดาวน์โหลดไฟล์เอกสารจากอีเมล ที่ไม่รู้จัก การคลิกป็อปอัพโฆษณาชวนเชื่อต่าง ๆ วิธีการป้องกันคือ หมั่นอัปเดตโปรแกรมแอนตี้ไวรัส เมื่อต้องการติดตั้งโปรแกรมให้แจ้งฝ่ายไอทีขององค์กรให้ดำเนินการให้ หรือเมื่อรู้ตัวว่าติดมัลแวร์ประเภทนี้ ให้รีบถอดการเชื่อมต่อเครือข่าย ถอดสาย LAN ออกทันที
Step 2 : ทำสไลด์ให้เข้าใจง่าย เน้นรูป ไม่เน้น Text
เมื่อคุณเตรียมข้อมูลที่มั่นใจว่าครบถ้วน ครอบคลุมทุกเรื่องที่จำเป็นต้องสื่อสารแล้ว ลำดับต่อมา คุณต้องทำสื่อที่ใช้ในการอธิบายเนื้อหายาก ๆ เหล่านี้ให้เป็นเรื่องง่ายที่สุด
สไลด์ของคุณต้องเข้าใจง่าย ฟ้อนต์ตัวอักษรอ่านไม่ยาก เน้นรูปภาพเป็นหลักและมี text เท่าที่จำเป็นเท่านั้น และควรมี Case Study ตัวอย่างที่เกิดขึ้นจริง หรือตัวเลขสถิติผลสำรวจต่าง ๆ มาอ้างอิงเนื้อหา เพื่อเพิ่มน้ำหนักความสำคัญ และความจำเป็นที่พนักงานต้องรู้
หากคุณไม่ชำนาญการทำสไลด์ คุณสามารถใช้แพลตฟอร์มทำสไลด์ฟรีที่มีให้บริการบนอินเทอร์เน็ต มาเป็นตัวช่วยคุณได้ เช่น Canva.com, Prezi.com, Slidesgo.com เป็นต้น เว็บเหล่านี้จะมี catogory แบบฟอร์มสไลด์, ฟ้อนต์, ภาพประกอบมากมายให้คุณเลือกใช้งานอย่างมืออาชีพ
Step 3 : จำลองสถานการณ์จริง ต้องพูด ต้องตอบคำถามอะไรบ้าง
คุณต้องมีความแม่นยำในเนื้อหาและใช้สไลด์เป็นเพียงตัวช่วยในการอธิบายเท่านั้น การวางแผนว่าสไลด์ หนึ่งหน้าจะพูดอะไรบ้าง จะช่วยให้คุณจัดเรียงเนื้อหา ความสำคัญที่ควรพูดถึง ทำให้พนักงานเข้าใจไปใน ทิศทางเดียวกันตั้งแต่เหตุผลความจำเป็น ความเสี่ยง ผลกระทบ วิธีป้องกัน
เราขอแนะนำให้คุณลองคิดเผื่อด้วยว่าพนักงานอาจเกิดข้อสงสัยอะไรเกี่ยวกับเนื้อหาบ้าง เพื่อที่คุณจะได้เตรียมคำตอบเอาไว้ก่อน ดีกว่าไปยืนงง ปล่อย Dead Air ขอเวลาหาข้อมูลเพิ่มหน้างาน แบบนั้นจะทำให้คุณดูไม่มีความน่าเชื่อถือทันที
Step 4 : นัดหมายพนักงาน
ในการจัดอบรม (Training) คุณควรมีกิจกรรมตอบคำถามร่วมสนุกระหว่างการอบรม เพื่อให้พนักงานได้มี ส่วนร่วม ออกความคิดเห็น หรือคิดวิเคราะห์ไปพร้อม ๆ กัน เป็นการช่วยให้พนักงานจดจำข้อมูลได้เร็วขึ้น ส่วนคุณเองก็ได้ทบทวนว่าข้อมูลที่สื่อสารออกไป พนักงานมีความเข้าใจดี หรือต้องวนกลับไปอธิบายใหม่
การจัดอบรม (Training) ควรจัดอย่างน้อยปีละ 1 – 2 ครั้งเพื่ออัปเดตข้อมูลใหม่ ๆ และทบทวนข้อมูล ด้านความปลอดภัยให้พนักงานเป็นประจำ แต่ความยากของการจัดฝึกอบรม (Training) คือพนักงานทุกคน อาจเข้าร่วมพร้อมกันทั้งองค์กรไม่ได้ในเวลาเดียวกันด้วยภาระหน้าที่งานของแต่ละส่วนงาน
ดังนั้น การทำ PDPA Awareness ที่อาจตอบโจทย์การทำงานในองค์กรของคุณ นอกจากการการฝึกอบรม องค์กรคุณอาจเพิ่มการใช้สื่อมีเดียต่าง ๆ หรือปรับเปลี่ยนการอบรมให้เป็นรูปแบบ e-Leaning แทน เพื่อให้พนักงานจัดสรรเวลาเรียนด้วยตัวเอง
การทำ PDPA Awareness มีเนื้อหาที่พนักงานจำเป็นต้องรู้ค่อนข้างเยอะ จึงจำเป็นต้องมีการสื่อสารอย่าง สม่ำเสมอ และอาจต้องใช้เวลาในการ Awareness นานเพื่อให้พนักงานเกิดความเข้าใจด้านการรักษา ความปลอดภัยต่อข้อมูลความลับ และข้อมูลส่วนบุคคลภายในองค์กร จนเกิดการปรับเปลี่ยนพฤติกรรม ไปในทิศทางที่ปลอดภัยตามเป้าหมายขององค์กร
แต่การจัดฝึกอบรม (Training) คุณไม่สามารถนัดหมายพนักงานทั้งองค์กรมานั่งเรียนพร้อมกันได้ตลอด ด้วยภาระงานของแต่ละส่วนงานในองค์กร การทำ PDPA Awareness ในเวลาที่เร่งรีบกับการบังคับใช้ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คุณอาจต้องเพิ่มการสื่อสารผ่านระบบ e-Leaning เพื่อให้พนักงานจัดสรรเวลาเรียนด้วยตนเองและเรียนที่ไหนก็ได้เมื่อพวกเขาสะดวก
ขั้นตอนการทำ PDPA Awareness ผ่านการจัดฝึกอบรม (Training) และการสร้างสื่อ e-Leaning องค์กรของคุณสามารถจัดทำขึ้นด้วยตัวเอง แต่หากคุณไม่มีความเชี่ยวชาญด้านกฎหมาย และรอบรู้ด้าน Cyber Security Awareness ที่มากพอ คุณอาจต้องลองพิจารณาว่าควรจัดทำการสร้างความตระหนักรู้ทางด้านข้อมูลส่วนบุคคลด้วยตัวเอง หรือจ้าง Outsource เข้ามาช่วยดูแลเรื่องนี้แทน
