สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. : PDPC) ร่วมกับ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) จัดงานสัมมนาให้ความรู้ออนไลน์ ในหัวข้อ “Decoding PDPA : Journey through Research, Tech, and Real Life” ในโครงการ “GOING FORWARD 2023” เน้นบริบทด้านงานวิจัยและเทคโนโลยีในหลากหลายหัวข้อ ประกอบด้วย กฎหมาย PDPA ส่วนการประมวลข้อมูลที่เกี่ยวกับงานวิจัย, การแปลงข้อมูลส่วนบุคคลเป็นข้อมูลนิรนาม หรือ Anonymization และการดำเนินการด้าน PDPA ใน สวทช. เพื่อยกระดับมาตรฐานความปลอดภัยข้อมูลส่วนบุคคลในองค์กรต่าง ๆ อย่างเป็นรูปธรรม
ดร.จุฬารัตน์ ตันประเสริฐ รองผู้อำนวยการสายงานกลยุทธ์องค์กร สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) กล่าวว่า สวทช. และ สคส. หรือ PDPC เป็นสองหน่วยงานที่ร่วมผลักดันด้านการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA กันมาอย่างต่อเนื่อง จากการลงนามความร่วมมือในแง่ต่าง ๆ อาทิ สนับสนุนความเชี่ยวชาญบุคลากร เพื่อเสริมสร้างความเข้าใจและยกระดับการรักษาความมั่นคงปลอดภัยทางสารสนเทศ รวมถึงสนับสนุนด้านทรัพยากร ในการศึกษาและวิจัยเพื่อช่วยเหลือกันด้านมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามข้อมูลส่วนบุคคลที่เพิ่มขึ้น
อีกทั้งยังได้ร่วมกันจัดงานสัมมนาให้ความรู้ออนไลน์ ในหัวข้อ “Decoding PDPA : Journey through Research, Tech, and Real Life” ในโครงการ “GOING FORWARD 2023” ที่เน้นบริบทด้านงานวิจัยและเทคโนโลยี เพื่อยกระดับมาตรฐานความปลอดภัยข้อมูลส่วนบุคคลในองค์กรต่าง ๆ อย่างเป็นรูปธรรม
โดย ดร.สุนทรีย์ ส่งเสริม ผู้ทรงคุณวุฒิ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ให้ข้อมูลว่า PDPA เป็นกฎหมายที่ถูกออกแบบมาเพื่อให้เกิดการแลกเปลี่ยนข้อมูลระหว่างองค์กรอย่างปลอดภัยและรักษาสิทธิความเป็นส่วนตัว ซึ่งพื้นฐานจะเป็นเรื่องกระบวนการในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย ร่วมกับการรักษาความปลอดภัยของข้อมูล โดยการพัฒนาระบบบริการดิจิทัลควรคำนึงถึงหลักความเป็นส่วนตัวตลอดกระบวนการตั้งแต่ต้นจนจบ เพื่อสร้างความเชื่อมั่นให้เกิดกับผู้ใช้บริการ ตามหลักการออกแบบ Privacy by Design ทั้ง 7 หัวข้อ ได้แก่
· ควรใช้กระบวนการเชิงรุก ไม่ใช่เพียงการตั้งรับ (Proactive, not reactive)
· กำหนด privacy ให้เป็นค่ามาตรฐาน (Privacy as the default)
· คำนึงถึง privacy ตั้งแต่ต้นกระบวนการ (Privacy embedded design)
· ออกแบบให้ทำงานเต็มรูปแบบ (Full functionally)
· ต้องปลอดภัยตลอดกระบวนการ (End-to-end security)
· ชัดเจนและโปร่งใส (Visibility and transparency)
· เคารพความเป็นส่วนตัวของผู้ใช้งาน (Respect user privacy)
“หลักการสำคัญของ PDPA คือการเก็บข้อมูลเท่าที่จำเป็นและใช้งานตามวัตถุประสงค์ ดังนั้นองค์กรจึงจำเป็นต้องมีการกำหนดนโยบายให้บุคลากรสามารถนำไปเป็นแนวทางการปฏิบัติได้จริง รวมถึงกำหนดการควบคุมต่าง ๆ ตามกระบวนการออกแบบ PbD (Privacy by Design) ในการออกแบบโปรแกรมหรือแพลตฟอร์ม ไม่ว่าจะเป็น การทบทวนโค้ดในโปรแกรม ตรวจพฤติกรรมการทำงานของโปรแกรมหลังถูกใช้งาน และทำตามขั้นตอนการออกแบบซอฟต์แวร์ รวมไปถึงการมีผู้เชี่ยวชาญเฉพาะด้าน ที่เข้าใจกระบวนการธุรกิจและเชี่ยวชาญในกฎหมายประกอบกัน เพื่อให้ออกแบบแผนงานที่สอดคล้องกับกฎหมาย และป้องกันการละเมิดข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพไปพร้อมกัน”
ด้าน ดร.ชาลี วรกุลพิพัฒน์ นักวิจัยอาวุโส ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ ให้ข้อมูลเสริมถึงประโยชน์ของการทำข้อมูลนิรนาม (Anonymization) ว่า เพื่อให้องค์กรสามารถนำข้อมูลส่วนบุคคลไปใช้ในวัตถุประสงค์อื่นที่สามารถกระทำได้บนพื้นฐานเพื่อให้เกิดการพัฒนา เช่น การส่งต่อเพื่อทำวิจัย จึงจำเป็นต้องดำเนินการทำข้อมูลนิรนาม เพื่อให้เกิดผลลัพธ์สองด้านคือการปกป้องข้อมูล (Privacy) และการนำข้อมูลไปใช้ (Utility) โดยทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ทั้งทางตรงและทางอ้อม
“ความท้าทายในการทำข้อมูลนิรนาม คือจะทำอย่างไรให้ข้อมูลนั้นอยู่ในรูปแบบนิรนาม แต่ยังนำไปใช้งานต่อได้ โดยองค์กรจะต้องเริ่มขั้นตอนตั้งแต่ในดีไซน์แรก คือพิจารณาว่าข้อมูลไหนเป็นข้อมูลส่วนบุคคลบ้าง จากนั้นจึงเป็นการเลือกใช้เทคนิคเครื่องมือต่าง ๆ โดยพิจารณาว่าข้อมูลนั้นจะถูกนำไปใช้ในด้านใด เช่นการทำ Pseudonymization หรือการแทนที่ข้อมูลจริงด้วยข้อมูลหลอก เพื่อไม่ให้คาดเดาตัวตนเจ้าของข้อมูลได้ หรือการทำ Synthetic Data โดยใช้ AI ในการวิเคราะห์ และสร้างข้อมูลใหม่โดยไม่เชื่อมโยงกับข้อมูลจริง”
ด้าน นายบุญเลิศ อรุณพิบูลย์ ผู้อำนวยการฝ่าย ฝ่ายบริการความรู้ทางวิทยาศาสตร์และเทคโนโลยี สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) เปิดเผยว่า สวทช. มีการดำเนินการเพื่อรับมือกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งในด้านการศึกษารายละเอียดจากกฎหมาย PDPA เป็นหลัก พร้อมทั้งเดินหน้ารวบรวมข้อมูลและกระบวนการภายในที่เกี่ยวข้องเพื่อให้บุคลากรเข้าถึงเนื้อหาได้อย่างสะดวก ผ่านทั้งการจัดทำเว็บไซต์หรือทำสื่อออกเผยแพร่ในช่องทางต่าง ๆ ของหน่วยงาน อีกทั้งยังมีการตั้งคณะทำงานเพื่อการประสานกับหน่วยงานภายในส่วนต่าง ๆ เพื่อให้การออกแบบขั้นตอนการทำงานมีความสอดคล้องกับกฎหมาย PDPA เช่น การป้องกันไม่ให้มีการเผยแพร่ข้อมูลอ่อนไหวหรือนำข้อมูลไปใช้ในเชิงการตลาด และมีการจัดทำ Privacy Notice & Consent โดยในปัจจุบันได้มีการนำต้นแบบ Privacy Notice เหล่านี้ไปประยุกต์ใช้งานในหลายหน่วยงาน
“สวทช. ได้ร่วมมือกับ PDPC ในการใช้งานระบบ GPPC (Government Platform for PDPA Compliance) ซึ่งได้มีทีมที่เกี่ยวข้องเข้าไปศึกษา ทดลองกรอกข้อมูล และทดสอบระบบร่วมกับทีมพัฒนา พร้อมทั้งรายงานผลการทดสอบอย่างต่อเนื่อง ตั้งแต่ส่วนของการกรอกบันทึกรายการ (ROPA), การนำ Cookie Consent ของระบบมาประยุกต์ใช้, การให้บริการจัดการสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมไปถึงการจัดเตรียมระบบรับเรื่องร้องเรียนผ่าน GPPC ซึ่งนับว่าโครงการดังกล่าวช่วยลดภาระในการปฏิบัติตามกฎหมายให้กับทั้งองค์กรภาครัฐ เอกชน และประชาชน ได้อย่างมีประสิทธิภาพ”
|