July 20, 2022
Data Collection และ Mapping Data ถือเป็นขั้นตอนสำคัญอย่างยิ่งสำหรับองค์กรในการปรับตัวเข้ากับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เนื่องจากกระบวนการดังกล่าวจะช่วยให้การเก็บข้อมูลภายในองค์กรสอดคล้องกับหลักกฎหมายได้อย่างครบถ้วน อย่างไรก็ตาม เนื่องจากการปรับองค์กรให้สอดคล้องกับ PDPA ยังคงเป็นเรื่องใหม่ในสังคม คนส่วนใหญ่จึงอาจยังไม่รู้จักถึงความสำคัญและขั้นตอนการทำกระบวนการทั้งสองเท่าที่ควร
เพื่อสร้างความเข้าใจที่ดียิ่งขึ้น PDPA Core จึงจะพาทุกคนไปทำความรู้จักกับ Data Collection และ Mapping Data ในหลากหลายแง่มุม นับตั้งแต่นิยามความหมายของ Data Collection และ Mapping Data ว่าคืออะไร มีขั้นตอนการจัดทำอย่างไรบ้าง และที่สำคัญ คือทำไมกระบวนการเหล่านี้จึงสำคัญต่อ PDPA
Data Collection คือ การจัดเก็บข้อมูล แน่นอนว่าองค์กรต่าง ๆ คงมีการเก็บรวบรวมข้อมูลของลูกค้าและบุคคลอื่น ๆ อยู่แล้ว แต่ในทาง PDPA นั้น จะหมายถึงปรับกระบวนการจัดเก็บข้อมูลของลูกค้าหรือบุคคลให้เป็นระบบและเหมาะสมตามหลักของ PDPA โดยจะต้องมีระบบการเข้าถึงข้อมูล มีการรักษาความปลอดภัยที่ดี และมีการกำหนดเจ้าหน้าที่ครอบครองข้อมูลส่วนบุคคลและเจ้าหน้าที่ที่สามารถนำข้อมูลของลูกค้าไปใช้ได้ในจำนวนที่จำกัด
ในกระบวนการ Data Collection มีขั้นตอนที่สำคัญและองค์กรต่าง ๆ ควรนำไปปรับใช้ในการเก็บข้อมูล เพื่อให้กระบวนการ Data Collection ขององค์กรเป็นไปอย่างมีระบบถูกต้องและมีประสิทธิภาพดังนี้
Data Classification คือการจำแนกประเภทข้อมูลส่วนบุคคลแต่ละประเภทที่จะทำการจัดเก็บ โดยอ้างอิงจากมาตรา 26 ที่แบ่งข้อมูลส่วนบุคคลเป็น 2 ประเภทหลักคือ
ข้อมูลส่วนบุคคลพื้นฐาน (Personal Data) ได้แก่ ข้อมูลพื้นฐานที่ใช้ระบุตัวตนของเจ้าของข้อมูลได้ ไม่ว่าจะเป็น ชื่อ นามสกุล อายุ รูปถ่าย หมายเลขโทรศัพท์ ที่อยู่ อีเมล และหมายเลขบัตรประชาชน รวมถึงประวัติการทำงานด้วย
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ได้แก่ ข้อมูลเกี่ยวกับความเชื่อ ทัศนคติ และประวัติด้านอาชญากรรม สุขภาพ และ อื่น ๆ เช่น เชื้อชาติ ชาติพันธุ์ ความเห็นทางการเมือง ความเชื่อและความเห็นด้านศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ความพิการ ไปจนถึง ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลสุขภาพ อย่างเช่น ใบรับรองแพทย์เป็นต้น
นอกจากนี้ ยังมีการจำแนกประเภทข้อมูลตามที่ระบุในกฎหมายด้วย ซึ่งอาจจำแนกเป็น ข้อมูลที่ห้ามเก็บรวบรวม หรือ ข้อมูลที่ได้รับการยกเว้นไม่ต้องขอคำยินยอมจากเจ้าของข้อมูล
การจำแนกประเภทข้อมูล จะทำให้องค์กรได้รู้ว่ามีข้อมูลใดบ้างที่สามารถเก็บได้ หรือไม่ได้ ข้อมูลใดที่เก็บได้โดยไม่ต้องขอคำยินยอม และข้อมูลใดที่หากต้องการเก็บ จะต้องดำเนินการขอคำยินยอมเสียก่อน เพื่อที่จะได้เก็บข้อมูลได้อย่างถูกต้องตามหลัก PDPA
ตัวอย่างการจัดทำ Data Inventory Mapping หรือ Mapping Data ของแผนกทรัพยากรบุคคล (HR)
Data Inventory Mapping หรือที่บางครั้งถูกเรียกว่า Mapping Data คือ การวางแผนผังข้อมูล เพื่อให้รู้ว่าข้อมูลต่าง ๆ นั้นได้มาจากช่องทางใด เก็บข้อมูลจากใคร เก็บข้อมูลใดบ้าง จัดเก็บไว้ที่ใด จัดเก็บมาเมื่อไหร่ จัดเก็บมาด้วยวัตถุประสงค์ใด และใครบ้างที่มีสิทธิเข้าถึง
การ Mapping Data มีประโยชน์ในขั้นตอนการเตรียมการก่อนเก็บรวบรวมข้อมูล เพราะจะทำให้คุณเห็นองค์รวมของระบบจัดเก็บข้อมูล ว่าครบถ้วนหรือไม่ ควรเพิ่มเติม หรือปรับปรุงอะไรบ้าง และเมื่อเก็บข้อมูลมาแล้ว จะช่วยให้คุณสามารถระบุตำแหน่งของข้อมูลต่าง ๆ ได้อย่างรวดเร็ว และมีประสิทธิภาพ หากต้องทำการทำลายข้อมูลหรือจัดการกับข้อมูลเมื่อเจ้าของข้อมูลเรียกร้องสิทธิ
Data Impact Assessment คือการประเมินความเสี่ยงเกี่ยวกับการประมวลผลข้อมูล เป็นขั้นตอนที่ต้องทำเพื่อประเมินว่า ถ้าหากนำข้อมูลไปใช้งานแล้วจะส่งผลอย่างไรบ้างกับเจ้าของข้อมูลและองค์กรของคุณ เพื่อจะได้กำหนดแนวทางการป้องกัน แก้ไข และรับมือกับความเสี่ยงที่อาจเกิดขึ้นได้จากการนำข้อมูลไปใช้
การปรับกระบวนการเก็บข้อมูลให้เป็นไปตามหลัก PDPA เป็นสิ่งที่ต้องทำ เพื่อประโยชน์ขององค์กรเอง เพราะจะทำให้มั่นใจได้ว่า คุณดำเนินการจัดเก็บข้อมูลอย่างถูกต้องตามกฎหมายใหม่ เพราะเป็นขั้นตอนที่ต้องละเอียด รอบคอบ และเน้นความปลอดภัยเป็นหลัก
นอกจากนี้ ยังช่วยทำงานกับข้อมูลจำนวนมากที่จัดเก็บมานั้นง่ายขึ้น เพราะทุกสิ่งถูกจัดเก็บอย่างเป็นระบบระเบียบ หากต้องเรียกดูข้อมูลเมื่อมีเหตุการณ์ไม่คาดคิด เช่น ข้อมูลรั่วไหล หรือถูกขอให้ลบข้อมูล ก็ทำได้โดยง่าย อีกทั้งกระบวนการนี้ยังทำให้องค์กรสามารถเพิ่มความปลอดภัยให้แก่ข้อมูลของลูกค้าและบุคคลที่เกี่ยวข้องได้อีกขั้นด้วย ที่สำคัญก็คือ หากมีกระบวนการจัดเก็บข้อมูลที่ดีและถูกต้องตามหลัก PDPA จะสร้างความน่าเชื่อถือให้แก่บริษัทของคุณอย่างมากเลยทีเดียว
แม้การประกาศบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะผ่านมาสักระยะแล้ว แต่แน่นอนว่า PDPA ก็ยังคงเป็นเรื่องใหม่สำหรับสังคมไทย เนื่องจากมีข้อปฏิบัติและรายละเอียดมากมายที่องค์กรจำเป็นต้องปฏิบัติตามให้ครบถ้วน โดยเฉพาะในประเด็นเรื่องการจัดเก็บข้อมูลส่วนบุคคล
อย่างไรก็ตาม การมีทีมที่ปรึกษาทางกฎหมายที่ให้บริการด้าน PDPA อย่างครบวงจร จะช่วยให้การปรับตัวขององค์กรเป็นไปได้ง่ายขึ้น ซึ่ง PDPA Core เราพร้อมให้คำแนะนำอย่างใกล้ชิดในการจัดทำเอกสารให้สอดคล้องตามกฎหมาย พร้อมกับจัดทำมาตรการรักษาความปลอดภัยของข้อมูลตาม PDPA
นอกจากนี้ PDPA Core ยังมีเทคโนโลยี Software ให้องค์กรเลือกใช้อย่างเหมาะสม ครบวงจรด้าน PDPA ส่งผลให้ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ซึ่งจะสร้างความเชื่อมั่นต่อองค์กรให้กับผู้ใช้งานได้เป็นอย่างดี มั่นใจได้ว่าองค์กรของคุณจะปฏิบัติตาม PDPA ได้อย่างถูกต้องแน่นอน
Source: Codium
ให้คำปรึกษาและดำเนินการ
ให้ธุรกิจของคุณ สอดคล้องกับ PDPA
บริษัท เดต้า ว้าว จำกัด
1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย