องค์กรไทยไม่พร้อมรับมือ 'พ.ร.บ.ข้อมูล'

“ไมโครซอฟท์” เผยโค้งสุดท้ายก่อน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลบังคับใช้ องค์กรธุรกิจไทยยังปรับตัวไม่ทัน ชี้มาตรฐานความปลอดภัยหัวใจสำคัญในการปกป้องข้อมูล "เอซิส" แนะลงมือยกระดับมาตรฐานการทำงาน ทำความเข้าใจบทบาท ประสานการทำงานไปกับทุกภาคส่วน

นายโอม ศิวะดิตถ์ ผู้บริหารด้านนโยบายภาครัฐ บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด กล่าวว่า โค้งสุดท้ายก่อนที่จะมีการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลในเดือนพ.ค.ปีนี้ ยังมีองค์กรไทยอีกจำนวนไม่น้อยที่ยังไม่สามารถปรับเปลี่ยนระบบงานได้อย่างทั่วถึงและสมบูรณ์

ขณะเดียวกัน ความต้องการในด้านการค้นหา จัดเก็บ และประมวลผลข้อมูลยังคงเพิ่มขึ้นอย่างรวดเร็ว และอาจขยายตัวไปถึงข้อมูลในรูปแบบใหม่ๆ จึงทำให้การปรับตัวให้รองรับมาตรฐานใหม่เป็นภารกิจที่ซับซ้อน

ปัจจุบัน ความจำเป็นที่จะต้องปรับตัวนี้กำลังทวีความสำคัญยิ่งขึ้น เมื่อพนักงานจำนวนมากในหลากหลายองค์กรจำเป็นต้องทำงานจากนอกสถานที่ หรือบางกรณีเลือกใช้อุปกรณ์ส่วนตัวในการเข้าถึงเอกสารและระบบงานต่างๆ ขององค์กร ซึ่งทำให้การควบคุมการใช้งานข้อมูลให้ถูกต้องตามหลักการทางกฎหมายยิ่งมีความซับซ้อนมากขึ้น ด้วยเหตุนี้การเลือกใช้ผลิตภัณฑ์จำต้องมีคุณสมบัติ 3 ด้านที่สำคัญ ได้แก่ การบริหารจัดการตัวตนผู้ใช้และการเข้าถึงข้อมูล การปกป้องข้อมูลให้ปลอดภัย และการรับมือกับการจู่โจม

นายนิพนธ์ นาชิน ประธานเจ้าหน้าที่บริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด เสริมว่า ทุกองค์กรต้องลงมือยกระดับมาตรฐานการทำงานให้เท่าทันมาตรฐานใหม่ของพ.ร.บ. เนื่องจากไม่เพียงช่วยลดผลกระทบที่อาจเกิดขึ้นจากการดำเนินคดีตามกฎหมาย แต่ยังเป็นการเสริมสร้างความมั่นใจและไว้วางใจในตัวองค์กร

ขณะนี้องค์กรไทยระดับเอ็นเตอร์ไพร์เตรียมความพร้อมไปได้กว่า 70% แล้ว ส่วนขนาดกลางและเล็กเพิ่งเริ่มและพิจารณาว่ามีอะไรที่ต้องทำบ้าง โดยหนึ่งในปัญหาหลักคือการควบคุมด้านระบบซิเคียวริตี้

นอกจากนี้ หนึ่งในปัจจัยที่สำคัญที่สุดในการปฏิบัติตามพ.ร.บ.นี้ คือการทำความเข้าใจในบทบาทขององค์กรในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูล และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ที่เป็นผู้ดำเนินการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าวตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

ขณะเดียวกัน บุคคลผู้เป็นเจ้าของข้อมูลก็ต้องมีสิทธิในการยินยอมหรือคัดค้านการเข้าถึงหรือกระทำการใดๆ กับข้อมูลของตนเอง รวมถึงการขอเข้าถึง รับสำเนา ลบ หรือทำลายข้อมูลที่อยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล

“องค์กรจะต้องจำแนกประเภทของข้อมูลส่วนบุคคลที่มีในระบบให้ชัดเจนก่อนจะจัดทำแผนผังที่ระบุกระบวนการการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล พร้อมกำหนดกลยุทธ์ กรอบแนวทางการกำกับดูแล โครงสร้างการกำกับดูแล กรอบการดำเนินงาน และผู้รับผิดชอบในทุกขั้นตอน รวมถึงการประสานงานกับเจ้าของข้อมูลและบุคคลหรือหน่วยงานที่เกี่ยวข้องภายนอกองค์กรด้วย ทั้งหมดนี้จะสำเร็จไปไม่ได้ หากองค์กรยังคงขาดมาตรการรักษาความมั่นคงปลอดภัยที่ได้มาตรฐาน ทั้งด้านบุคลากร กระบวนการ และเทคโนโลยี"