ความมั่นคงทางไซเบอร์ และการปกป้องข้อมูลส่วนบุคคล
เป้าหมายและผลการดำเนินงาน
เป้าหมาย
ผลการดำเนินงาน
ความมุ่งมั่น ความท้าทาย และโอกาส
บริษัท ศุภาลัย จำกัด (มหาชน) และบริษัทย่อย (“บริษัท”) มุ่งดำเนินธุรกิจอย่างโปร่งใสและรับผิดชอบ ภายใต้กรอบธรรมาภิบาลและ ESG โดยถือว่าความเป็นส่วนตัวของลูกค้า พนักงาน และคู่ค้า เป็นสิทธิพื้นฐาน และความมั่นคงทางไซเบอร์เป็นเสาหลักของความเชื่อมั่นทางดิจิทัล บริษัทฯ จึงประกาศและบังคับใช้ “นโยบายคุ้มครองข้อมูลส่วนบุคคล” คู่กับ “มาตรการความปลอดภัยทางไซเบอร์” เพื่อให้การเก็บ ใช้ เปิดเผย และโอนข้อมูลเป็นไปตามข้อกำหนด ชอบด้วยกฎหมาย โปร่งใส และปลอดภัยตลอดวงจรชีวิตข้อมูล
การบริหารจัดการและกลยุทธ์
บริษัทฯ ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า คู่ค้า พนักงาน และผู้มีส่วนได้เสียทุกกลุ่ม และถือเป็นหนึ่งในหลักการดำเนินธุรกิจอย่างมีธรรมาภิบาล เพื่อสร้างความเชื่อมั่นและรักษาความสัมพันธ์กับผู้มีส่วนได้เสียในระยะยาว การดำเนินงานอยู่ภายใต้กรอบของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงมาตรฐานสากลที่เกี่ยวข้อง โดยมีแนวทางปฏิบัติอย่างชัดเจน ดังนี้
การกำหนดนโยบายและกรอบการดำเนินงาน
- จัดทำและประกาศใช้ นโยบายการคุ้มครองข้อมูลส่วนบุคคล ครอบคลุมหลักการเก็บรวบรวม การใช้ การเปิดเผย และการทำลายข้อมูล
- กำหนดขอบเขตการดำเนินงานให้สอดคล้องกับข้อกำหนดทางกฎหมายและมาตรฐานสากล พร้อมทบทวนและปรับปรุงเป็นประจำ
การบริหารจัดการและกำกับดูแล
- แต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เพื่อให้คำแนะนำ ตรวจสอบการปฏิบัติงาน และประสานงานกับหน่วยงานกำกับดูแล
- จัดตั้งโครงสร้างการกำกับดูแลภายในที่ชัดเจน กำหนดบทบาทและความรับผิดชอบของหน่วยงานที่เกี่ยวข้อง
มาตรการป้องกันและความปลอดภัยของข้อมูล
- ใช้มาตรการรักษาความปลอดภัยทั้งในด้าน การบริหารจัดการ (Administrative), ด้านเทคนิค (Technical) และ ด้านกายภาพ (Physical)
- จัดการสิทธิการเข้าถึงข้อมูลตามความจำเป็นของหน้าที่งาน (Role-based Access Control)
- มีระบบติดตามและตรวจสอบการใช้งานข้อมูลเพื่อลดความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาต
การสร้างความตระหนักและฝึกอบรมพนักงาน
- จัดฝึกอบรมพนักงานทุกระดับเกี่ยวกับข้อกำหนดและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลทั้งในขั้นตอนรับเข้าทำงาน และการอบรมทบทวนประจำปี
- จัดทำสื่อประชาสัมพันธ์ภายในและคู่มือการปฏิบัติ เพื่อสร้างความเข้าใจและการปฏิบัติที่ถูกต้อง
การบริหารสิทธิของเจ้าของข้อมูล
- จัดให้มีกระบวนการรองรับการใช้สิทธิของเจ้าของข้อมูล ได้แก่ สิทธิในการเข้าถึง แก้ไข ลบ โอน และคัดค้านการใช้ข้อมูล
- กำหนด SLA ในการตอบสนองคำร้องขอใช้สิทธิไม่เกิน 30 วันนับจากวันที่ได้รับคำร้อง
การจัดการเหตุละเมิดข้อมูล
- จัดทำแผนรับมือเหตุการณ์ละเมิดข้อมูล พร้อมทีมปฏิบัติการที่สามารถตอบสนองได้อย่างทันท่วงที
- แจ้งหน่วยงานกำกับดูแลและเจ้าของข้อมูลภายในระยะเวลาที่กฎหมายกำหนด พร้อมดำเนินมาตรการแก้ไขและป้องกันการเกิดซ้ำ
การจัดการข้อมูลส่วนบุคคลกับบุคคลภายนอก
- จัดทำสัญญาหรือข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement: DPA) กับผู้ให้บริการภายนอกที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
- ประเมินความพร้อมและความสอดคล้องของผู้ประมวลผลข้อมูลภายนอกเป็นประจำ
การเก็บรักษาและทำลายข้อมูล
- เก็บรักษาข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์และระยะเวลาที่กฎหมายหรือข้อกำหนด
- ทำลายหรือลบข้อมูลเมื่อสิ้นสุดความจำเป็นโดยใช้วิธีที่ปลอดภัยและตรวจสอบได้
การติดตามและประเมินผล
- ตรวจสอบและประเมินการปฏิบัติงานด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ ทั้งจากหน่วยงานภายในและภายนอก
- ใช้ผลการประเมินเพื่อปรับปรุงและพัฒนามาตรการให้ทันสมัยและมีประสิทธิภาพอย่างต่อเนื่อง
แนวทางการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ สะท้อนถึงความมุ่งมั่นในการดำเนินธุรกิจอย่างมีธรรมาภิบาล โปร่งใส และรับผิดชอบต่อผู้มีส่วนได้เสียทุกกลุ่ม โดยบริษัทฯ ไม่เพียงปฏิบัติตามข้อกำหนดทางกฎหมายเท่านั้น แต่ยังยกระดับมาตรฐานด้านการคุ้มครองข้อมูลให้สอดคล้องกับแนวทางสากล เพื่อสร้างความเชื่อมั่น ความปลอดภัย และความไว้วางใจในระยะยาว ทั้งนี้ การดำเนินงานดังกล่าวยังมีส่วนสำคัญต่อการสนับสนุนเป้าหมายการพัฒนาอย่างยั่งยืน (SDGs) ในด้านการสร้างสถาบันที่เข้มแข็ง โปร่งใส และมีความรับผิดชอบ พร้อมทั้งเป็นพื้นฐานสำคัญในการขับเคลื่อนการเติบโตอย่างยั่งยืนขององค์กรในอนาคต
ผู้มีส่วนได้เสียที่เกี่ยวข้อง
ลูกค้า
ผลกระทบเชิงบวก
- ข้อมูลถูกเก็บ-ใช้-เปิดเผยตามกฎหมาย โปร่งใส และเท่าที่จำเป็น
- ได้สิทธิ PDPA ครบถ้วน (เข้าถึง-แก้ไข-ลบ-ถอนยินยอม ฯลฯ) พร้อมช่องทาง DSAR ชัดเจน
- ความเสี่ยงรั่วไหล/ฉ้อโกงลดลงจากการใช้มาตรการความมั่นคงปลอดภัย
ผลกระทบเชิงความคาดหวัง / ความเสี่ยง
- กระบวนการยืนยันตัวตนอาจเพิ่มขั้นตอน/เวลาในการรับบริการ
- การปฏิเสธคุกกี้/การตลาดอาจทำให้ประสบการณ์ส่วนบุคคลลดลง
- หากเกิดเหตุข้อมูลรั่วไหล อาจได้รับผลกระทบทางจิตใจ/ความไม่สะดวก แม้บริษัทฯ มีแผนเยียวยา
พนักงาน
ผลกระทบเชิงบวก
- กรอบนโยบาย/มาตรฐานความมั่นคงไซเบอร์ที่ชัดเจน ลดความเสี่ยงปฏิบัติงาน
- ได้รับการอบรม PDPA/ความปลอดภัยข้อมูล และแนวปฏิบัติเมื่อเกิดเหตุ
- การกำหนดสิทธิ์เข้าถึงตามบทบาท ช่วยลดภาระและความรับผิดส่วนบุคคล
ผลกระทบเชิงความคาดหวัง / ความเสี่ยง
- ภาระงานเพิ่มจากการปฏิบัติตามนโยบาย/บันทึกหลักฐาน/ทบทวนสิทธิ์เข้าถึง
- มาตรการติดตามการใช้งานระบบ (ตามกฎหมาย) อาจถูกมองว่าเป็นข้อจำกัดความเป็นส่วนตัวในการทำงาน
คู่ค้า / ร้านค้า
ผลกระทบเชิงบวก
- เกณฑ์ด้านความปลอดภัยและสัญญา DPA ชัดเจน ช่วยลดความคลุมเครือธุรกรรมข้อมูล
- ได้รับแนวทางเชื่อมต่อระบบ/โอนย้ายข้อมูลที่ปลอดภัย เพิ่มความน่าเชื่อถือร่วมกัน
ผลกระทบเชิงความคาดหวัง / ความเสี่ยง
- ต้องลงทุนยกระดับมาตรการความมั่นคง/ผ่านการประเมินและตรวจประเมินสม่ำเสมอ
- ความรับผิดและบทลงโทษตามสัญญาหากเกิดเหตุละเมิดข้อมูล
ผู้ถือหุ้น / นักลงทุน
ผลกระทบเชิงบวก
- ความเสี่ยงด้านกฎหมาย-ชื่อเสียงลดลงจากการกำกับดูแลข้อมูลที่ดี
- ความต่อเนื่องทางธุรกิจและความยืดหยุ่นทางไซเบอร์ดีขึ้น ส่งผลเชิงบวกต่อภาพลักษณ์ ESG
ผลกระทบเชิงความคาดหวัง / ความเสี่ยง
- ค่าใช้จ่ายลงทุน/ดำเนินงานด้านไซเบอร์และ PDPA เพิ่มขึ้นระยะสั้น
- หากเกิดเหตุร้ายแรง อาจกระทบความเชื่อมั่นและมูลค่าองค์กรชั่วคราว
หน่วยงานราชการและหน่วยงานกำกับภายนอก
ผลกระทบเชิงบวก
- ความร่วมมือและการปฏิบัติตามกฎหมายชัดเจน การรายงานเหตุและการตอบสนองเป็นระบบ
- สนับสนุนการบังคับใช้ PDPA/กฎหมายไซเบอร์อย่างมีประสิทธิภาพ
ผลกระทบเชิงความคาดหวัง / ความเสี่ยง
- หากองค์กรไม่ปฏิบัติตาม อาจต้องเข้มงวดการตรวจสอบ-บังคับใช้ และใช้ทรัพยากรมากขึ้น
ชุมชน / สังคม และสื่อมวลชน
ผลกระทบเชิงบวก
- มาตรฐานความเป็นส่วนตัวสูงขึ้น เพิ่มความไว้วางใจในเศรษฐกิจดิจิทัล
- ลดโอกาสการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์/อาชญากรรมไซเบอร์
ผลกระทบเชิงความคาดหวัง / ความเสี่ยง
- เหตุละเมิดข้อมูลขนาดใหญ่ (หากเกิด) อาจกระทบความเชื่อมั่นต่ออุตสาหกรรม/ระบบดิจิทัลในวงกว้าง
- ความเข้าใจผิดเกี่ยวกับการใช้ข้อมูลอาจนำไปสู่กระแสสังคมด้านลบ หากการสื่อสารไม่โปร่งใสเพียงพอ
