Gadget

เปลี่ยนผ่านสู่ดิจิทัลด้วยคลาวด์: ความท้าทายนโยบาย Cloud First Policy กับ PDPA

By ดร.กำพล อดิเรกสมบัติ | Athentic Consulting CEO22 ส.ค. 2025 เวลา 7:35 น.
เปลี่ยนผ่านสู่ดิจิทัลด้วยคลาวด์: ความท้าทายนโยบาย Cloud First Policy กับ PDPA

ในยุคที่ทุกภาคส่วนกำลังพูดถึง AI transformation โดยมีข้อมูล (ที่มีลักษณะ 5 V: Volume ปริมาณ, Variety รูปแบบ, Velocity ความเร็ว, Veracity ความแม่นยำ, Value คุณค่า) เป็นทรัพยากรที่สำคัญในการขับเคลื่อน

KEY

POINTS

  • ดร.กำพล อดิเรกสมบัติ CEO Athentic Consulting ย้อนที่มานโยบาย "Cloud First Policy" และความท้าทายในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)
  •  เนื่องจากมีความเสี่ยงด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูลจำนวนมหาศาลที่ถูกย้ายไปจัดเก็บบนคลาวด์
  • กรณีศึกษา UniSuper ออสเตรเลีย สะท้อนถึงความเปราะบางของระบบคลาวด์กับผู้ให้บริการคลาวด์รายใหญ่ระดับโลกอย่าง Google Cloud

ในยุคที่ทุกภาคส่วนกำลังพูดถึง AI transformation โดยมีข้อมูล (ที่มีลักษณะ 5 V: Volume ปริมาณ, Variety รูปแบบ, Velocity ความเร็ว, Veracity ความแม่นยำ, Value คุณค่า) เป็นทรัพยากรที่สำคัญในการขับเคลื่อน

กระทั่งมีคำเปรียบเทียบที่ว่าการค้นพบข้อมูลเหมือนกับเจอน้ำมัน (ซึ่งในมุมมองของ Athentic Consulting ข้อมูลที่เราเจอคือข้อมูลดิบ เหมือนกับน้ำมันที่เจอก็คือน้ำมันดิบซึ่งยังต้องมีการจัดการเพิ่มเติม)

ทั้งนี้ การจัดเก็บ เข้าถึง และประมวลผลข้อมูล สามารถเกิดขึ้นได้อย่างรวดเร็วด้วยเทคโนโลยีที่พัฒนาอย่างก้าวกระโดด ข้อมูลจึงกลายเป็นหัวใจสำคัญในการขับเคลื่อนหน่วยงานทั้งภาครัฐและภาคเอกชน

ซึ่งหนึ่งในนโยบายสำคัญที่จะมาตอบรับกับความเปลี่ยนแปลงนี้ก็คือ “นโยบายใช้คลาวด์เป็นหลัก” หรือ “Cloud First Policy” ซึ่งจะเข้ามาผลักดันการทำงานของหน่วยงานให้คล่องตัว รวดเร็วและพร้อมตอบสนองต่อความต้องการของลูกค้าและประชาชนได้อย่างมีประสิทธิภาพ 

แต่ในขณะเดียวกัน การที่จะโยกย้ายข้อมูลจำนวนมหาศาลขึ้นไปสู่คลาวด์นั้นย่อมมาพร้อมกับความเสี่ยงเรื่องความปลอดภัยและความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะเมื่อพิจารณาตามหลักเกณฑ์ในพระราชบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

ในประเด็นนี้ Team Legal Technology ของ Athentic Consulting โดยคุณปัญญ์สุรี กาญจนพงศ์, ปิลันชลี แซ่ฟุง, และปฏิพล ประกอบกิจ ได้มีการเขียนสรุปไว้เป็นประเด็นที่น่าสนใจ ดังนี้ครับ  

ที่มาของ Cloud First Policy ในประเทศไทย

คณะรัฐมนตรีมีนโยบาย Cloud First Policy เพื่อขับเคลื่อนหน่วยงานภาครัฐให้เปลี่ยนผ่านสู่ระบบดิจิทัลอย่างเต็มรูปแบบ เป้าหมายคือการทำให้บริการภาครัฐสะดวก รวดเร็ว โปร่งใส และเข้าถึงง่ายมากขึ้นสำหรับประชาชน

ไม่ว่าจะเป็นการยื่นเอกสารราชการ การเข้าถึงข้อมูล หรือการใช้งานระบบออนไลน์ต่าง ๆ ทั้งหมดจะอยู่บนระบบคลาวด์ที่มีความปลอดภัยและทันสมัย

นโยบายนี้เริ่มต้นขึ้นจากการแถลงนโยบาย “Go Cloud First” ต่อรัฐสภาในเดือนกันยายน 2566 โดยคณะรัฐมนตรีประกาศความมุ่งมั่นที่จะผลักดันให้เทคโนโลยีคลาวด์กลายเป็นเครื่องมือหลักในการยกระดับการบริหารงานของรัฐให้ทันสมัย โปร่งใส และมีประสิทธิภาพ

หลังจากนั้นในเดือนพฤศจิกายน 2566 คณะรัฐมนตรีจึงได้มีมติรับรองและสนับสนุนให้หน่วยงานที่เกี่ยวข้องเร่งดำเนินการตามนโยบายดังกล่าว ซึ่งแสดงถึงความจริงจังในการเดินหน้าเข้าสู่ยุคดิจิทัลอย่างเต็มรูปแบบ

อย่างไรก็ตาม เพื่อไม่ให้เกิดความซ้ำซ้อนของการลงทุนและเพื่อป้องกันการใช้ทรัพยากรอย่างไม่คุ้มค่า คณะรัฐมนตรีได้ตัดสินใจชะลอโครงการที่เกี่ยวข้องกับการจัดซื้อจัดจ้างหรือเช่าบริการคลาวด์ของหน่วยงานรัฐในช่วงต้นปี พ.ศ. 2567

โดยให้เหตุผลว่าควรรอแผนแม่บทโครงสร้างพื้นฐานดิจิทัลระดับชาติ หรือ “National Cloud” ให้มีความชัดเจนก่อน ซึ่งแผนดังกล่าวจะเป็นแนวทางกลางที่ทุกหน่วยงานสามารถยึดถือได้ตรงกัน และสามารถใช้เป็นเกณฑ์ในการเลือกใช้บริการคลาวด์อย่างเหมาะสม ทั้งในแง่ความปลอดภัย มาตรฐาน และต้นทุน

เนื้อหาที่เกี่ยวข้อง

เมื่อถึงเดือนมิถุนายน 2567 คณะรัฐมนตรีจึงได้แต่งตั้งคณะกรรมการเฉพาะกิจขึ้นมาโดยตรง เพื่อวางแนวทาง กำหนดกรอบการดำเนินงาน และผลักดันนโยบาย Cloud First Policy ให้เกิดขึ้นอย่างเป็นรูปธรรมมากที่สุด ซึ่งนับเป็นก้าวสำคัญในการผลักดันให้การใช้คลาวด์ในภาครัฐเกิดขึ้นได้จริงและมีทิศทางเดียวกันทั่วประเทศ

เปลี่ยนผ่านสู่ดิจิทัลด้วยคลาวด์: ความท้าทายนโยบาย Cloud First Policy กับ PDPA

Cloud First Policy คืออะไร?

หัวใจสำคัญของ Cloud First Policy คือการคัดเลือกผู้ให้บริการคลาวด์ที่มีมาตรฐาน ปลอดภัย และเชื่อถือได้ เพื่อให้ข้อมูลของภาครัฐสามารถเชื่อมโยงถึงกันอย่างมีประสิทธิภาพ ลดการทำงานซ้ำซ้อนของหน่วยงานต่าง ๆ

และทำให้ประชาชนได้รับบริการที่รวดเร็วและตรงความต้องการมากขึ้น ถือเป็นการยกระดับการบริการภาครัฐให้เทียบเท่าภาคเอกชน และก้าวทันกับความเปลี่ยนแปลงของโลกดิจิทัล

“Cloud First Policy” ไม่ได้ต้องการให้ละทิ้งระบบหรือเซิร์ฟเวอร์แบบเดิมทั้งหมด แต่ผลักดันการให้ความสำคัญกับการเลือกใช้บริการ “Cloud Computing” ในการจัดเก็บข้อมูลเป็นตัวเลือกแรก ก่อนที่จะลงทุนกับการพัฒนาโครงสร้างพื้นฐานด้านไอทีต่างๆ

และจะต้องเลือกใช้ระบบคลาวด์ให้เหมาะสมกับลักษณะของงานแต่ละประเภท ไม่ว่าจะเป็น:

คลาวด์สาธารณะ (Public Cloud) คือ คลาวด์ที่เปิดให้บุคคลทั่วไปหรือองค์กรต่าง ๆ ใช้งานได้ผ่านอินเทอร์เน็ต ผู้ใช้งานไม่ต้องดูแลโครงสร้างพื้นฐานเอง แต่ใช้ทรัพยากรร่วมกับผู้ใช้อื่นในระบบ โดยทรัพยากรทั้งหมดอยู่ภายใต้การควบคุมของผู้ให้บริการคลาวด์ ซึ่งช่วยให้ประหยัดค่าใช้จ่ายและสามารถเริ่มต้นใช้งานได้รวดเร็ว

เหมาะกับการใช้งานทั่วไป เช่น การจัดเก็บไฟล์ การแชร์เอกสาร และการใช้งานระบบอีเมลออนไลน์ ตัวอย่างผู้ให้บริการคลาวด์สาธารณะ เช่น Google Drive, Gmail, OneDrive, Outlook, Dropbox, Zoom, Google Meet เป็นต้น

คลาวด์ส่วนตัว (Private Cloud) คือ คลาวด์ที่ออกแบบมาเฉพาะสำหรับองค์กรใดองค์กรหนึ่ง โดยมีการจำกัดสิทธิ์การเข้าถึงและควบคุมระบบอย่างเข้มงวด

โดยทรัพยากรทั้งหมดอยู่ภายใต้การควบคุมของผู้ใช้บริการ เหมาะกับหน่วยงานที่ต้องการความปลอดภัยสูง เช่น หน่วยงานภาครัฐ สถาบันการเงิน หรือโรงพยาบาล ตัวอย่างผู้ให้บริการคลาวด์ส่วนตัว เช่น ระบบ HR ของบุคลากรภาครัฐ หรือระบบเวชระเบียบในโรงพยาบาล เป็นต้น

คลาวด์แบบผสม (Hybrid Cloud) คือ คลาวด์ที่ผสมผสานการใช้ระหว่างคลาวด์สาธารณะและคลาวด์ส่วนตัว เพื่อให้ได้ทั้งความปลอดภัยและความยืดหยุ่นในการใช้งาน

โดยองค์กรอาจเก็บข้อมูลสำคัญไว้ในคลาวด์ส่วนตัว และในขณะเดียวกันก็ใช้คลาวด์สาธารณะสำหรับงานทั่วไป เช่น เก็บข้อมูลลูกค้าในระบบคลาวน์ขององค์กร แต่ใช้ Google Meet ในการประชุม หรือเก็บคะแนนสอบของโรงเรียนในระบบปิด แต่ใช้ Google Classroom สำหรับการเรียน เป็นต้น

เปลี่ยนผ่านสู่ดิจิทัลด้วยคลาวด์: ความท้าทายนโยบาย Cloud First Policy กับ PDPA

กรณีศึกษาการใช้เทคโนโลยีคลาวด์

 แม้ว่านโยบาย Cloud First Policy จะมีบทบาทสำคัญในการผลักดันหน่วยงานภาครัฐให้ก้าวสู่ระบบการทำงานที่ทันสมัย ยืดหยุ่น และมีประสิทธิภาพยิ่งขึ้น

แต่สิ่งที่ไม่ควรมองข้ามคือความปลอดภัยของข้อมูลส่วนบุคคล ซึ่งเป็นหนึ่งในหลักการของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และถือเป็นหัวใจสำคัญในการประมวลผลและบริหารจัดการข้อมูลของประชาชน

ภายใต้กฎหมาย PDPA หน่วยงานที่จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคลจำเป็นต้องมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่ครอบคลุมทั้งในด้านองค์กร เทคนิค และกายภาพ เพื่อรับมือกับเหตุการละเมิดข้อมูลส่วนบุคคล อาทิ การรั่วไหลหรือสูญหายของข้อมูล หรือการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

ซึ่งสิ่งเหล่านี้ยิ่งต้องระมัดระวังเป็นพิเศษ เมื่อหน่วยงานใช้บริการคลาวด์จากผู้ให้บริการภายนอก โดยเฉพาะกรณีที่คลาวด์มีการจัดเก็บข้อมูลไว้ในต่างประเทศ เนื่องจากหากไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ความเสี่ยงในการละเมิดข้อมูลส่วนบุคคลย่อมเพิ่มขึ้นอย่างมีนัยสำคัญ

เพื่อให้เห็นภาพที่เข้าใจได้ง่ายขึ้น ขอยกตัวอย่างกรณีศึกษาที่สะท้อนถึงความเปราะบางของระบบคลาวด์ ซึ่งเกิดขึ้นกับผู้ให้บริการคลาวด์รายใหญ่ระดับโลกอย่าง Google Cloud กรณีศึกษาของบริษัท UniSuper ในประเทศออสเตรเลีย

UniSuper เป็นบริษัทกองทุนบำเหน็จบำนาญที่ให้บริการแก่พนักงานในภาคการศึกษาและวิจัยของประเทศออสเตรเลีย โดยดูแลทรัพย์สินของสมาชิกมูลค่ากว่า 125 พันล้านดอลลาร์

แต่ในเดือนพฤษภาคม 2567 ระบบคลาวด์ของ UniSuper ซึ่งโฮสต์อยู่บน Google Cloud ได้ถูกลบไปโดยไม่ตั้งใจ เนื่องจากความผิดพลาดของการตั้งค่าระบบเริ่มต้นของ Google Cloud ส่งผลให้ข้อมูลของสมาชิกกองทุนบำเหน็จบำนาญกว่า 600,000 ราย หายไปชั่วคราว และระบบทั้งหมดต้องหยุดชะงักการให้บริการ

แม้ Google Cloud จะสามารถกู้คืนข้อมูลจากระบบสำรองภายนอกได้ในภายหลัง แต่เหตุการณ์ดังกล่าวได้สะท้อนถึงความเสี่ยงที่สามารถเกิดขึ้นได้ แม้กับผู้ให้บริการคลาวด์ที่มีชื่อเสียงระดับโลก และยังได้สร้างข้อกังวลเกี่ยวกับความน่าเชื่อถือด้านการรักษาความปลอดภัยของข้อมูลของ Google Cloud อีกด้วย

เหตุการณ์นี้จึงเป็นเครื่องเตือนใจที่สำคัญว่า การก้าวสู่ระบบคลาวด์ภายใต้นโยบาย Cloud First Policy ต้องดำเนินควบคู่ไปพร้อมกับหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัดภายใต้กรอบกฎหมายและมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสมและเพียงพอ

เปลี่ยนผ่านสู่ดิจิทัลด้วยคลาวด์: ความท้าทายนโยบาย Cloud First Policy กับ PDPA

ใช้คลาวด์อย่างไรให้สอดคล้องกับกฎหมาย PDPA?

 ในมุมมองของ Athentic Consulting ประเด็นสำคัญที่หน่วยงานภาครัฐและเอกชนต้องปฏิบัติเมื่อใช้เทคโนโลยีคลาวด์ มีดังต่อไปนี้

1.ต้องมีข้อตกลงการประมวลผลข้อมูลส่วนบุคคล หรือ Data Processing Agreement (DPA) กับผู้ให้บริการคลาวด์

โดย DPA เป็นเอกสารทางกฎหมายที่กำหนดข้อตกลงการประมวลผลข้อมูลระหว่าง "ผู้ควบคุมข้อมูล" และ "ผู้ประมวลผลข้อมูล" เพื่อกำหนดขอบเขต วัตถุประสงค์ และความรับผิดชอบในการประมวลผลข้อมูลส่วนบุคคลของผู้ให้บริการคลาวด์ ซึ่งมีบทบาทเป็นผู้ประมวลผลข้อมูลตาม PDPA

เพื่อให้แน่ใจว่าข้อมูลจะถูกใช้ตามวัตถุประสงค์ที่จำเป็นเพื่อให้บริการคลาวด์เท่านั้น ไม่ถูกนำไปใช้นอกเหนือจากข้อตกลง และมีมาตรการรักษาความมั่นคงปลอดภัยที่เป็นไปตามมาตรฐานขั้นต่ำที่กฎหมาย PDPA กำหนด

2.ตรวจสอบการโอนข้อมูลไปยังต่างประเทศ หลายคนอาจเข้าใจว่า ถ้าข้อมูลส่วนบุคคลถูกจัดเก็บไว้ในระบบคลาวด์ที่ตั้งอยู่ต่างประเทศ ถือว่าเป็นการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศตามกฎหมาย PDPA โดยอัตโนมัติ แต่ในความเป็นจริง ไม่ใช่ทุกกรณีจะเป็นเช่นนั้นเสมอไป

โดยประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้นิยามความหมายของ “ผู้ให้บริการคลาวด์” ว่าหมายถึง ผู้ให้บริการเก็บรักษาข้อมูลหรือเก็บพักข้อมูลแก่บุคคลอื่นในรูปแบบชั่วคราวหรือถาวร

และได้นิยามความหมายของ “การส่งหรือโอนข้อมูลส่วนบุคคล” ว่าไม่รวมถึงการส่งและรับข้อมูลส่วนบุคคลในลักษณะที่เป็นเพียงสื่อกลาง (intermediary) ในการส่งผ่านข้อมูล (data transit) ระหว่างระบบคอมพิวเตอร์หรือระบบเครือข่ายหรือการเก็บพักข้อมูล (data storage) ที่ไม่มีบุคคลภายนอกเข้าถึงข้อมูลส่วนบุคคลได้ นอกจากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูลนั้น

เช่น การส่งข้อมูลผ่านระบบเครือข่ายในต่างประเทศ หรือการส่งข้อมูลผ่านระบบของผู้ให้บริการระบบคลาวด์ (cloud computing service provider) ที่ไม่มีบุคคลใด นอกจากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นผู้ส่งข้อมูล ที่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ เนื่องจากมีมาตรการทางเทคนิคหรือเงื่อนไขทางกฎหมายรองรับ

ดังนั้น การที่องค์กรจัดเก็บข้อมูลไว้ในระบบคลาวด์ที่ตั้งอยู่ต่างประเทศ โดยไม่มีบุคคลอื่นนอกจากคนในองค์กรที่สามารถเข้าถึงได้ จึงเป็นเพียงการเก็บพักข้อมูลเท่านั้น ไม่ถือว่าเป็นการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศตามกฎหมาย PDPA

แต่ในทางกลับกัน หากบุคคลภายนอกสามารถเข้าถึงหรือจัดการกับข้อมูลที่อยู่ในคลาวด์นั้นได้ เช่น มีสิทธิเปิดดู แก้ไข หรือนำไปใช้ต่อ อาจถือว่าเป็นการ “การส่งหรือโอนข้อมูลส่วนบุคคล”

และหากผู้ที่เข้าถึงข้อมูลอยู่ในต่างประเทศ องค์กรอาจจะต้องปฏิบัติตามมาตรา 28 และ 29 เช่น พิจารณาว่าประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือไม่ หรือจัดทำข้อสัญญามาตรฐานในการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น

เปลี่ยนผ่านสู่ดิจิทัลด้วยคลาวด์: ความท้าทายนโยบาย Cloud First Policy กับ PDPA

3.มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
ควรเลือกใช้คลาวด์ที่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเป็นไปตามมาตรการขั้นต่ำตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กำหนด

เช่น ต้องมีมาตรการเชิงองค์กร มาตรการเชิงเทคนิค และมาตรการทางกายภาพ อาทิ การเข้ารหัสข้อมูลทั้งขณะส่งและเก็บ (Encryption) การสำรองข้อมูล (Backup) ต้องจัดอบรมพนักงานให้รู้ถึงความสำคัญของข้อมูลส่วนบุคคล ต้องมีการควบคุมการเข้าออกพื้นที่ เป็นต้น

โดยมาตรการดังกล่าวต้องคำนึงถึงความสามารถในการธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) และในส่วนที่เกี่ยวกับการเข้าถึง ใช้เปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างน้อยต้องประกอบด้วยการดำเนินการ

ได้แก่ การควบคุมการเข้าถึงข้อมูลส่วนบุคคล (access control) การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities)

การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง แก้ไข หรือลบข้อมูลส่วนบุคคล (audit trails) เพื่อป้องกันและลดความเสี่ยงการเกิดเหตุละเมิดที่อาจเกิดขึ้น

4.มีช่องทางการให้ใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
แม้ว่าข้อมูลส่วนบุคคลจะถูกจัดเก็บหรือประมวลผลผ่านระบบคลาวด์ แต่เจ้าของข้อมูลส่วนบุคคคลยังคงมี ‘สิทธิ’ เสมอ ตามที่กฎหมาย PDPA รับรองไว้ เช่น

สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล

สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคล

สิทธิในการขอให้ลบหรือทำลายข้อมูลส่วนบุคคล

สิทธิในการเพิกถอนความยินยอม

ด้วยเหตุนี้องค์กรจึงมีหน้าที่ที่จะต้องจัดให้มีช่องทางการขอใช้สิทธิที่ชัดเจนและเข้าถึงง่าย เพื่อรองรับคำขอใช้สิทธิ ไม่ว่าจะเป็น ผ่านเว็บไซต์ แอปพลิเคชัน หรือช่องทางอิเล็กทรอนิกส์อื่น ๆ

โดยควรมีแบบฟอร์มหรือระบบที่รองรับคำขอให้สามารถส่งต่อถึงผู้ที่เกี่ยวข้องได้ทันที พร้อมระยะเวลาดำเนินการที่เหมาะสมตามกฎหมาย และที่สำคัญ องค์กรต้องมีการจัดทำประกาศความเป็นส่วนตัว เพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลอย่างชัดเจนว่า

ข้อมูลของเจ้าของข้อมูลส่วนบุคคลจะได้รับการคุ้มครองตามกฎหมาย PDPA อย่างไร และมีสิทธิอะไรเกี่ยวกับข้อมูลของตนเองบ้าง แม้ข้อมูลนั้นจะถูกเก็บไว้ในคลาวด์หรือระบบของผู้ให้บริการภายนอกก็ตาม

5.มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Impact Assessment (DPIA)
ก่อนที่องค์กรจะนำระบบคลาวด์มาใช้งาน โดยเฉพาะในกรณีที่ต้องจัดเก็บหรือประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น ข้อมูลสุขภาพ ข้อมูลเชื้อชาติ ข้อมูลประวัติอาชญากรรม

หรือข้อมูลของเจ้าของข้อมูลส่วนบุคคลที่มีความเปราะบาง เช่น ผู้เยาว์หรือผู้พิการ และมีการเก็บข้อมูลปริมาณมาก (large scale) ควรมีการจัดทำ DPIA เพื่อประเมินความเสี่ยงที่อาจเกิดขึ้นและกำหนดมาตรการเพื่อรองรับความเสี่ยงนั้นๆ
เปลี่ยนผ่านสู่ดิจิทัลด้วยคลาวด์: ความท้าทายนโยบาย Cloud First Policy กับ PDPA
DPIA เป็นเครื่องมือสำคัญที่จะช่วยให้องค์กรเห็นภาพรวมของความเสี่ยงที่จะมีผลกระทบต่อสิทธิเสรีภาพของบุคคลล และสามารถวางแผนกำหนดมาตรการป้องกันได้อย่างเหมาะสม เช่น การเลือกผู้ให้บริการคลาวด์ที่มีมาตรฐานด้านความปลอดภัยสูง การกำหนดสิทธิ์เข้าถึงข้อมูลอย่างชัดเจน หรือการตั้งค่าระบบให้รองรับการเข้ารหัสข้อมูลโดยอัตโนมัติ

นอกจากจะช่วยให้ทราบผลกระทบและมาตรการป้องกันแล้ว DPIA ยังเป็นหลักฐานสำคัญที่แสดงว่าองค์กรมีความตระหนักและดำเนินการตามหลักการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม

อีกทั้งยังช่วยให้สามารถจัดลำดับความสำคัญของความเสี่ยง วางแผนรับมือกับเหตุการณ์ที่อาจเกิดขึ้น และทำให้การใช้คลาวด์เป็นไปอย่างมีมาตรฐานและน่าเชื่อถือ

 ด้วยเหตุนี้ “Cloud First Policy” จึงไม่ใช่แค่การย้ายข้อมูลขึ้นคลาวด์ แต่เป็นการปรับเปลี่ยนแนวคิดและกระบวนการทำงานของภาครัฐและทุกภาคส่วนให้เข้าสู่โลกดิจิทัลอย่างเต็มรูปแบบ

การใช้งานคลาวด์ต้องคำนึงถึงความปลอดภัยทางข้อมูล และดำเนินการให้สอดคล้องกับกฎหมายอย่าง PDPA โดยการวางแผนและเลือกเทคโนโลยีที่เหมาะสมจะทำให้รัฐสามารถให้บริการประชาชนได้อย่างมีประสิทธิภาพ โปร่งใส และทันสมัย.