PDPA & Data Governance
Data Governance มีส่วนใด Overlap กับ PDPA บ้างนะ?

เมื่อใด ที่มีการทำ Data Governance ขององค์กรขึ้น, เมื่อนั้น PDPA จะได้รับอานิสงค์อะไรบ้าง

Data Governance

หรือ ที่ถูกเรียกในชื่อภาษาไทย ว่า "ธรรมาภิบาลข้อมูล" นั้น หมายถึง การ กำหนดสิทธิ หน้าที่ และความรับผิดชอบในการบริหารจัดการข้อมูล มีรากศัพท์มาจากคำ 3 ส่วนด้วยกัน ก็คือ

"ธรรม" แปลว่า ความปกติ

"อภิ" แปลว่า อย่างยิ่ง

(ใช้เสริมความหมายคำที่ต่อท้ายตัวมันเอง)

"บาล" แปลว่า การดูแล การรักษา

(รูปศัพท์บาลี จะเป็น "ปาละ" เช่น โคบาละ = ผู้รักษาโค (คนเลี้ยงวัว) นครบาล = ผู้รักษาเมือง (ตำรวจ)  พยาบาล = ผู้เยียวยาโรค (พยาธิ + บาล) เป็นต้น)

ธรรม + อภิบาล สนธิเป็น ธรรมาภิบาล

แปลตรงตัว ก็จะเป็น "การรักษาอย่างเข้มงวดให้เป็นปกติ

เมื่อประกอบกับคำว่า "ข้อมูล" ที่จะทำให้เป็นกรรมของศัพท์นี้ โดยเรียกว่า "ธรรมาภิบาลข้อมูล"

ทำให้คำแปล กลายเป็น "การดูแลจัดการข้อมูลให้เป็นระบบ และทำให้เป็นเรื่องปกติ"

ธรรมาภิบาลข้อมูล กับ PDPA 

เกี่ยวข้องกันอย่างไร?

ธรรมาภิบาลข้อมูล จะกล่าวถึง การบริหารจัดการข้อมูลทั้งหมด ในองค์กร ไม่ว่าจะเป็น แผนการตลาด แผนการจัดการองค์กร ข้อมูลทางการเงิน และทรัพย์สินทางปัญญา ทั้งหมดขององค์กร ซึ่งรวมไปถึงข้อมูลส่วนบุคคล ประเภทต่างๆ 

PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 นั้น จะเป็นเพียง Section หนึ่ง ของ ธรรมาภิบาลข้อมูล เท่านั้น อันได้แก่ ส่วนที่เป็นข้อมูลส่วนบุคคล 

ซึ่ง ธรรมาภิบาลข้อมูล จะเน้นย้ำเรื่องความร่วมมือกันของ คน กระบวนการ และเทคโนโลยี ที่มาสนับสนุน โดยจะขาดปัจจัยใดปัจจัยหนึ่งไปไม่ได้ อย่างเด็ดขาด เช่น กระบวนการรัดกุม เทคโนโลยีที่มาสนับสนุน ก็พร้อมสรรพ แต่คนปฏิบัติงาน ไม่ได้มีความเข้าใจในกระบวนการเลย การประยุกต์ใช้ธรรมาภิบาลข้อมูล ก็เป็นได้โดยยาก.

โดย ธรรมาภิบาลข้อมูล จะกล่าวถึง

Data Privacy : ความเป็นส่วนตัวของข้อมูล

Data Stewardship : ผู้กำหนดนโยบายการดูแลข้อมูล

Data Quality : คุณภาพของข้อมูล

Metadata Management : รายละเอียดคำอธิบายชุดข้อมูล

Master & Reference Data Management : ข้อมูลหลักและข้อมูลอ้างอิง

Data Security Management : การบริหารจัดการความมั่นคงปลอดภัยของข้อมูล

Information Life Cycle Governance : การจัดการวงจรชีวิตของข้อมูล

PDPA สามารถใช้ข้อมูลอะไรจากการทำ Data Governance ได้?

ตามมาตรา 39 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ระบุไว้ว่า

โดยส่วนที่สามารถนำระบุบน Record of Processing Activity ก็คือ

Data Privacy : ความเป็นส่วนตัวของข้อมูล

การจำกัดการเข้าถึง และเงื่อนไขการเข้าถึงข้อมูลส่วนบุคคล

Data Stewardship : ผู้กำหนดนโยบายการดูแลข้อมูล

Business Unit / แผนก / ส่วนงานที่รับผิดชอบข้อมูล (Data Owner, Process Owner)

Data Quality : คุณภาพของข้อมูล

ข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวม ใช้ และเปิดเผย เท่าที่จำเป็น และเพียงพอ เพื่อทำให้บรรลุวัตถุประสงค์

Metadata Management : รายละเอียดคำอธิบายชุดข้อมูล

ส่วนนี้ PDPA จะโฟกัสเพียง Data Catalog ส่วนที่เป็นข้อมูลส่วนบุคคลประเภททั่วไป (PII) และ อ่อนไหว(SPII)

Master & Reference Data Management : ข้อมูลหลักและข้อมูลอ้างอิง

Workflow การเดินทางของข้อมูล ที่เชื่อมโยงระหว่าง หน่วยงานที่เก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลโดยตรง และหน่วยงานที่ได้รับข้อมูลส่วนบุคคลต่อจากหน่วยงานดังกล่าว เพื่อไปประมวลผล และเปิดเผย ตามวัตถุประสงค์

Data Security Management : การบริหารจัดการความมั่นคงปลอดภัยของข้อมูล

การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล ทั้งในเชิงองค์กร เชิงกายภาพ และเชิงเทคโนโลยี

Information Life Cycle Governance : การจัดการวงจรชีวิตของข้อมูล

นโยบายการเก็บรวมรวม ประมวลผล จนไปถึงการทำลายข้อมูล โดยภาพรวมจะเป็น Data Flow Diagram ที่โฟกัสถึงวงจรชีวิตของข้อมูลส่วนบุคคล

มีกระบวนการและคน พร้อมแล้ว 

แต่การจะทำองค์กรปรับตัวเข้ากับ PDPA

ดูเหมือนจะสร้าง "ภาระ" ให้คนทำงาน? 

หากไม่มีเทคโนโลยีที่เหมาะสมมาสนับสนุน

จะทำอย่างไรดี เมื่อ RoPA ระบุให้เก็บรวบรวม ใช้ และเปิดเผยข้อมูลเท่าที่จำเป็นเท่านั้น 
แต่ว่าการส่งข้อมูลให้ไปทีเดียว ดันง่ายกว่า? 

PDPA ถูกบัญญัติขึ้นมาเพื่อตีกรอบให้เห็นชัดเจนยิ่งขึ้นว่า อะไรพึงกระทำ อะไรพึงละเว้น เนื่องจากความเคยชิน กับการส่งข้อมูลในองค์กร โดยไม่มีการ Filter ก่อนนั้น จะเปิดโอกาส ให้ผู้ที่ได้รับข้อมูลไปนั้น ปฏิบัติอย่างไม่ถูกต้องกับวัตถุประสงค์เดิมได้ และนำมาซึ่ง Side Effect มากมาย

การได้รับมาซึ่งความปลอดภัย อาจต้อง Trade-off ด้วยความละเอียดมากยิ่งขึ้น 

แต่การลงทุนกับความปลอดภัย และให้ความสนใจกับความเป็นส่วนตัวของบุคคล (Privacy Principle) ก็เป็นปัจจัยหนึ่ง ที่จะสร้างความเชื่อมั่นให้กับลูกค้าเช่นเดียวกัน

"ใดๆ ก็ตามในโลก ถ้าสามารถ Loop ได้ ก็เขียนโปรแกรมขึ้นมาทำแทนได้ทั้งนั้น" 

หากเบื่อกับการทำงานแบบ Routine การที่มีส่วนงานหนึ่งอับเดตแล้ว ต้องตามไปอับเดตอีก 3-4 ที่ ให้ข้อมูลเป้นปัจจุบัน ซึ่งหลายครั้งมักจะทำให้เกิด Human Error หรือปัจจัยอื่นๆ ที่ทำให้ข้อมูลไม่ตรงตามความเป็นจริง

การนำเทคโนโลยีมาสนับสนุนการบริหารจัดการ ก็เป็นทางเลือกหนึ่งที่น่าสนใจ เพราะนอกจากจะลดงานที่ซ้ำซ้อน ยังสามารถรักษาข้อมูลให้เป็นปัจจุบันได้ โดยอ้างอิงถึง ISO/IEC 27001 ส่วน CIA กล่าวคือ Confidentiality การที่ให้คนที่ได้รับสิทธิ์เท่านั้น ที่สามารถเห็นและใช้งานข้อมูลได้ Integrity การที่ให้คนที่ได้รับสิทธิ์เท่านั้น ที่จะสามารถแก้ไขข้อมูลได้ เพื่อรักษาไว้ซึ้งความแม่นยำของข้อมูล และ Availability ไม่ว่าเมื่อใด ที่ข้อมูลถูกเรียกใช้ จะต้องพร้อมใช้งานเสมอ

Odoo ERP Solution

Odoo ถือเป็นระบบ ERP ตัวหนึ่งที่จะเข้ามาช่วย ในการบริหารจัดการธุรกิจของเราได้ ซึ่ง Odoo ขึ้นชื่อในเรื่องที่ตัวเค้าเป็น Open-source ERP อันดับต้นๆ 

สามารถ Centralize ข้อมูลที่เกิดขั้นในบริบทธุรกิจ ได้ ไม่ว่าจะเป็นการ ซื้อ ขาย จ่าย รับ คลัง ขนส่ง ผลิต คุณภาพ ทรัพยากรมนุษย์ และอื่นๆ

กล่าวคือ ตาม Workflow วงจรชีวิตของลูกค้า กับ องค์กร, วงจรชีวิตของพนักงาน กับ องค์กร, หรือแม้กระทั่งองค์กร ต่อ องค์กร เช่น 
การขายสินค้า การจัดการข้อมูลลูกค้า จนถึงปิดการขาย
การรับพนักงาน จัดการข้อมูลพนักงาน ทำ Payroll / Timesheet จนถึงสิ้นสุดสถานะพนักงาน
การจัดซื้อ การคัดเลือก Suplier / Vendor จนไปถึง Partner รวมไปถึงกระบวนการออกรายงาน และอื่นๆอีกมากมาย

ซึ่งทุกกระบวนการ มีข้อมูลส่วนบุคคล 

แทรกแซงอยู่ทั้งนั้น

องค์กรใดสนใจ ใช้บริการเตรียมความพร้อม และสร้างความตระหนักรู้ ต่อกฏหมาย PDPA รวมถึงประยุกต์กระบวนการขององค์กร และปรับปรุงเทคโนโลยี ช่วยจัดการข้อมูลส่วนบุคคล ให้มีประสิทธิภาพ มากขึ้นสามารถติดต่อ Cybernetics Plus หรือ

เลือกดูบริการทางด้าน PDPA และ ERP Solution ของเราได้ที่ https://www.cybernetics.plus/services/pdpa 
https://www.cybernetics.plus/services/odoo-erp


PDPA & Data Governance
Wirot Neamhom
9 ภาษีที่ควรต้องรู้
9 Taxes to Know