1. ควบคุมการใช้งานสื่อสังคมออนไลน์ในการทำงาน (LINE, Email ส่วนตัว)
▶ กำหนดนโยบายห้ามใช้: กำหนดนโยบายอย่างชัดเจนให้ ห้ามส่งต่อไฟล์ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (เช่น ข้อมูลระบุตัวตน หรือข้อมูลสุขภาพ) ผ่านแอปพลิเคชันสื่อสารสาธารณะ (LINE, WhatsApp) โดยเด็ดขาด
▶ บังคับใช้การเข้ารหัส: หากมีความจำเป็นเร่งด่วนต้องส่งไฟล์ข้อมูลส่วนบุคคล ควรบังคับใช้มาตรการเชิงเทคนิค เช่น การ เข้ารหัสไฟล์ (Password Protected) หรือใช้ช่องทางที่เป็นทางการขององค์กรที่มีการรักษาความปลอดภัยสูงเท่านั้น
2. จัดทำมาตรการความมั่นคงปลอดภัยที่เป็นลายลักษณ์อักษร (ม. 37(1))
▶ สร้างมาตรฐานปฏิบัติงาน (SOP): จัดทำนโยบายและแนวทางการทำงานที่ชัดเจน (เช่น การส่งไฟล์, การใช้ Cloud) ให้เป็นลายลักษณ์อักษร เพื่อให้พนักงานปฏิบัติได้ง่ายและเป็นมาตรฐานเดียวกัน”
▶ ทบทวนความเพียงพอ: ทำการประเมินความเสี่ยงและช่องโหว่ในกระบวนการทำงานอยู่เสมอ เพื่อให้มั่นใจว่ามาตรการทางเทคนิคที่ใช้ในปัจจุบันนั้น เหมาะสมและเพียงพอ ต่อความอ่อนไหวของข้อมูลที่องค์กรเก็บรักษาอยู่
3. เตรียมพร้อมแผนตอบสนองเหตุการณ์ฉุกเฉิน (Incident Response – IRP)
▶ ฝึกซ้อมการแจ้งเหตุ 72 ชั่วโมง: ต้องมีการฝึกซ้อมตามแผน IRP เพื่อให้แน่ใจว่า เมื่อเกิดเหตุรั่วไหล ทีมงานสามารถ สืบสวน, ประเมินความเสียหาย, และรวบรวมข้อมูลที่จำเป็นได้ภายในเวลาอันรวดเร็ว
▶ กำหนดผู้รับผิดชอบชัดเจน: กำหนดผู้รับผิดชอบในการแจ้งเหตุต่อ สคส. ให้ชัดเจน เพื่อให้การแจ้งเหตุเป็นไปอย่างเป็นทางการและถูกต้องตามขั้นตอน ภายใน 72 ชั่วโมง เสมอ.
4. การจำกัดสิทธิ์และการเข้าถึงข้อมูล (Need-to-Know Basis)
▶ จำกัดสิทธิ์: กำหนดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลเฉพาะเท่าที่ จำเป็นต่อการปฏิบัติงาน ของพนักงานแต่ละคนเท่านั้น (Need-to-Know Basis)
▶ ตรวจสอบสิทธิ์: ผู้บริหารและ DPO ต้องกำกับดูแลและตรวจสอบสิทธิ์การเข้าถึงข้อมูลเป็นระยะ เพื่อป้องกันการเข้าถึงข้อมูลเกินความจำเป็น
5. สร้างความตระหนักและกำชับผู้บริหาร
▶ อบรมเฉพาะจุดเสี่ยง: จัดอบรมให้ความรู้แก่พนักงานเกี่ยวกับ PDPA โดยเน้นย้ำถึง ความเสี่ยงจากการใช้งานแอปพลิเคชันส่วนตัวในการทำงาน และความสำคัญของการเข้ารหัสไฟล์
▶ กำชับและรายงานผล: ผู้บริหารต้องกำชับให้เจ้าหน้าที่ปฏิบัติตามนโยบายอย่างเคร่งครัด และควรมีกลไกในการ รายงานผลการปฏิบัติต่อคณะกรรมการ หรือผู้บริหารระดับสูงเป็นระยะ เพื่อแสดงถึงความรับผิดชอบในการกำกับดูแล
องค์กรต้องรู้! เข้าใจและพร้อมรับมือกับ Data Breach จัดการเหตุละเมิดข้อมูลส่วนบุคคล เพื่อรับมืออย่างเป็นระบบตาม PDPA