PDPA กับ Data Governance เกี่ยวข้องกันอย่างไร
- Supatsorn Sirithanon
- 6 นาทีที่ผ่านมา
- ยาว 1 นาที
PDPA เป็นคำย่อของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่ทุกองค์กรที่มีการเก็บข้อมูลส่วนบุคคลต้องนำไปปฏิบัติ โดยมีโทษทั้งทางอาญา แพ่ง และปกครอง หากมีข้อมูลรั่วไหล หรือมีการกระทำผิดต่อข้อกฎหมาย
Data Governance คือ การกำกับดูแลข้อมูล โดยการร่างนโยบาย กระบวนการ และมาตรฐาน เพื่อให้ข้อมูลมีความพร้อมใช้ ซึ่งในพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 ได้มีการระบุให้มีธรรมาภิบาลข้อมูลภาครัฐ เพื่อใช้เป็นกรอบในการบริหารจัดการข้อมูลของหน่วยงานรัฐ แต่มิได้มีการระบุโทษหากหน่วยงานต่าง ๆ ไม่ได้มีการดำเนินการด้าน Data Governance
ข้อมูลส่วนบุคคล คือ เป็นหนึ่งในข้อมูลขององค์กร ดังนั้น Data Governance จึงต้องให้ความสำคัญกับข้อมูลชุดนี้ด้วยเช่นกัน ตั้งแต่การสร้าง จัดเก็บ ใช้ เผยแพร่ และทำลาย
ตัวอย่างเช่น การจัดชั้นความลับ หรือ Data Classification จะมีการนำปัจจัยเรื่องข้อมูลส่วนบุคคลมาเป็นส่วนหนึ่งในการจัดชั้นความลับ การกำหนดสิทธิ์ในการเข้าถึงในชุดข้อมูลที่มีข้อมูลส่วนบุคคล ก็จะคำนึงถึงวัตถุประสงค์ในการเข้าถึงให้เป็นไปตาม Consent และการส่งต่อข้อมูลจะต้องมีการพิจารณานิรนามข้อมูล เพื่อรักษาความเป็นส่วนบุคคลของข้อมูล
PDPA กับ Data Governance จึงเกี่ยวข้องกัน ในมิติที่ว่า PDPA ให้ความสำคัญกับข้อมูลส่วนบุคคล ในขณะที่ Data Governance ให้ความสำคัญกับทุกๆ ข้อมูลในองค์กร รวมไปถึงข้อมูลส่วนบุคคลด้วยนั่นเอง
อย่างไรก็ตาม Data Governance เป็นการกำหนดนโยบาย มาตรฐาน และกระบวนการ เพื่อกำกับดูแลข้อมูลทั้งหมด ไม่ใช่แค่ข้อมูลส่วนบุคคล โดยมีกรอบการกำกับในหลายมิติ เช่น คุณภาพข้อมูล การเข้าถึง การจัดจำแนกข้อมูล เป็นต้น ในขณะที่ PDPA เป็นการดำเนินโครงการเพื่อให้การจัดการเกี่ยวกับข้อมูลส่วนบุคคล เป็นไปตามกฎหมาย โดยมีหัวข้อต่าง ๆ เช่น Consent Management การกำหนดสิทธิ์ของผู้เกี่ยวข้องตามข้อกฎหมาย แนวทางในการใช้ข้อมูล การป้องกัน Data Leak เป็นต้น
ตัวอย่างเช่น ตามมาตรฐาน Data Governance ขององค์กร ข้อมูลพนักงานจะถูกจัดเก็บเอาไว้ในระยะเวลา 2 ปี ก่อนจะมีการทำลาย แต่ถ้ามีกรณีที่พนักงานลาออก และต้องการให้องค์กรลบข้อมูลส่วนบุคคลออกจากระบบ ก็จะสามารถพึงกระทำได้ ตาม PDPA
เพราะฉะนั้น ในการดำเนินโครงการ Data Governance และ PDPA จะมีรายละเอียดปลีกย่อยที่ไม่เหมือนกัน ซึ่งโดยปกติแล้ว Data Protection Officer หรือ DPO จะเป็นผู้รับผิดชอบในโครงการ PDPA และ Data Steward จะรับผิดชอบโครงการ Data Governance ซึ่ง Data Steward จะต้องผ่านการอบรมด้าน Data Privacy ซึ่งเกี่ยวข้องกับ PDPA แต่อาจจะไม่ใช่คนที่เชี่ยวชาญด้าน PDPA เท่า DPO ที่รับผิดชอบ PDPA โดยตรง
Comments