News

| Thursday, 07 November 2024 |
Written by 

PDPA กับความสัมพันธ์ระหว่างองค์กรและพนักงาน

 

PDPA กับความสัมพันธ์ระหว่างองค์กรและพนักงาน

ความรับผิดชอบของพนักงานตาม PDPA ในการจัดการข้อมูลส่วนบุคคลและความเสี่ยงที่อาจเกิดขึ้น

PDPA (Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่มีบทบาทสำคัญในการปกป้องข้อมูลส่วนบุคคลของบุคคลทั่วไป ซึ่งมีผลกระทบโดยตรงต่อการดำเนินงานขององค์กรและพนักงาน ทุกฝ่ายในองค์กรต้องปฏิบัติตามข้อกำหนดในกฎหมายนี้อย่างเคร่งครัด โดยพนักงานมีบทบาทสำคัญในการช่วยให้องค์กรปฏิบัติตามข้อกำหนดเหล่านี้ในทุกขั้นตอนของ Personal Data Life Cycle (วงจรชีวิตของข้อมูลส่วนบุคคล) ตั้งแต่การเก็บรวบรวมข้อมูลไปจนถึงการลบหรือทำลายข้อมูล

วงจรชีวิตของข้อมูลส่วนบุคคล (Personal Data Life Cycle) และความรับผิดชอบของพนักงาน

1. การเก็บรวบรวมข้อมูล (Collection)

พนักงานต้องมีความรับผิดชอบในการเก็บข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย โดยพนักงานต้องตรวจสอบว่ามีการขอความยินยอมจากเจ้าของข้อมูลอย่างชัดเจนก่อนที่จะดำเนินการเก็บข้อมูล และควรเก็บเฉพาะข้อมูลที่จำเป็นสำหรับการดำเนินงานตามวัตถุประสงค์ที่ได้ระบุไว้ หากเก็บข้อมูลมากเกินไปหรือไม่ได้รับความยินยอมอย่างชัดเจนอาจนำไปสู่การละเมิด PDPA ซึ่งเป็นความเสี่ยงทางกฎหมายที่สำคัญ

2. การใช้ข้อมูล (Usage)

ข้อมูลส่วนบุคคลที่เก็บรวบรวมจะต้องถูกใช้อย่างถูกต้องตามวัตถุประสงค์ที่ได้รับความยินยอมจากเจ้าของข้อมูล พนักงานต้องระมัดระวังในการใช้ข้อมูลเพื่อไม่ให้เกินขอบเขตที่กำหนด และไม่ควรนำข้อมูลไปใช้เพื่อประโยชน์ส่วนตัว การใช้ข้อมูลในทางที่ผิดอาจทำให้องค์กรเสี่ยงต่อการถูกฟ้องร้องและเสียหายทางชื่อเสียง

3. การจัดเก็บรักษาข้อมูล (Storage)

เมื่อข้อมูลถูกเก็บแล้ว พนักงานต้องมีความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลนั้น การจัดเก็บข้อมูลในระบบที่มีการเข้ารหัสและการจำกัดการเข้าถึงถือเป็นมาตรการที่จำเป็น หากพนักงานไม่จัดเก็บข้อมูลอย่างปลอดภัย เช่น การเก็บข้อมูลในอุปกรณ์ที่ไม่มีมาตรการป้องกัน หรือการเก็บในที่ที่ไม่ปลอดภัย อาจเกิดความเสี่ยงที่ข้อมูลจะรั่วไหลและนำไปสู่การละเมิดกฎหมาย

4. การแบ่งปันหรือเปิดเผยข้อมูล (Sharing/Disclosure)

พนักงานต้องตรวจสอบให้แน่ใจว่าการแบ่งปันหรือเปิดเผยข้อมูลส่วนบุคคลกับบุคคลภายนอกเป็นไปตามกฎหมาย โดยต้องมีการขอความยินยอมอย่างชัดเจนจากเจ้าของข้อมูล การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตหรือมากเกินความจำเป็นถือเป็นการละเมิด PDPA ซึ่งอาจนำมาซึ่งความเสี่ยงทางกฎหมายและชื่อเสียงต่อองค์กร

5. การจัดการและอัพเดตข้อมูล (Data Maintenance and Updating)

ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมต้องมีความถูกต้องและเป็นปัจจุบัน พนักงานมีความรับผิดชอบในการอัพเดตและแก้ไขข้อมูลส่วนบุคคลตามคำขอของเจ้าของข้อมูล การไม่อัพเดตข้อมูลอาจทำให้ข้อมูลมีความผิดพลาดและส่งผลต่อการดำเนินงาน ซึ่งอาจทำให้องค์กรเผชิญความเสี่ยงต่อการฟ้องร้อง

6. การลบหรือทำลายข้อมูล (Deletion/Destruction)

ข้อมูลส่วนบุคคลที่หมดอายุการใช้งานต้องถูกลบหรือทำลายอย่างปลอดภัย พนักงานมีความรับผิดชอบในการทำตามนโยบายการลบข้อมูลขององค์กร การไม่ลบข้อมูลตามระยะเวลาที่กำหนดหรือการทำลายข้อมูลอย่างไม่ปลอดภัย อาจทำให้ข้อมูลถูกกู้คืนและนำไปสู่ความเสียหายทั้งทางกฎหมายและชื่อเสียงขององค์กร

 

ความเสี่ยงที่อาจเกิดขึ้นจากการจัดการข้อมูลส่วนบุคคล

การไม่ปฏิบัติตาม PDPA และวงจรชีวิตของข้อมูลส่วนบุคคลอย่างถูกต้องมีความเสี่ยงหลายด้าน

1.ความเสี่ยงทางกฎหมาย องค์กรอาจถูกฟ้องร้องและต้องชำระค่าปรับที่สูง หากไม่ปฏิบัติตามข้อกำหนดทางกฎหมาย เช่น การเก็บข้อมูลโดยไม่ได้รับความยินยอม การใช้ข้อมูลในทางที่ผิด หรือการไม่ลบข้อมูลตามระยะเวลาที่กำหนด

2.ความเสี่ยงด้านชื่อเสียง การรั่วไหลของข้อมูลส่วนบุคคลอาจนำมาซึ่งความเสียหายต่อชื่อเสียงขององค์กร ทำให้ลูกค้าหรือพนักงานขาดความเชื่อมั่นในองค์กร

3.ความเสี่ยงทางการเงิน องค์กรอาจต้องเสียค่าใช้จ่ายในการฟ้องร้อง การปรับปรุงระบบความปลอดภัย หรือการชดเชยค่าเสียหายให้กับผู้ที่ได้รับผลกระทบจากการละเมิดข้อมูลส่วนบุคคล

4.ความเสี่ยงด้านไซเบอร์ ข้อมูลส่วนบุคคลที่ถูกเก็บในระบบดิจิทัลต้องได้รับการป้องกันจากการโจมตีทางไซเบอร์ การขาดมาตรการรักษาความปลอดภัยเพียงพออาจนำไปสู่การรั่วไหลของข้อมูล

5.การจัดการความเสี่ยงในวงจรชีวิตข้อมูล องค์กรควรมีการจัดการความเสี่ยงที่เกิดจากการจัดการข้อมูลส่วนบุคคลของพนักงานและลูกค้าอย่างมีประสิทธิภาพ โดยการจัดอบรมพนักงานให้เข้าใจถึงวงจรชีวิตของข้อมูลส่วนบุคคลและวิธีปฏิบัติตาม PDPA อย่างถูกต้อง รวมถึงมีมาตรการการรักษาความปลอดภัยข้อมูลที่เข้มงวด

 

เช่น การควบคุมการเข้าถึงข้อมูล การประเมินผลกระทบการคุ้มครองข้อมูล (Data Protection Impact Assessment - DPIA) และการตรวจสอบการปฏิบัติงานอย่างสม่ำเสมอ

 

“พนักงานมีบทบาทสำคัญในการจัดการข้อมูลส่วนบุคคลอย่างถูกต้องตามวงจรชีวิตของข้อมูล ทั้งการเก็บรวบรวม การใช้ การจัดเก็บ การเปิดเผย การอัพเดต และการลบข้อมูล หากพนักงานไม่ปฏิบัติตามข้อกำหนด PDPA อาจทำให้องค์กรต้องเผชิญความเสี่ยงทั้งทางกฎหมาย การเงิน และชื่อเสียง”

 

เรียบเรียงบทความโดย คุณ เอกรัตน์ บุณยรัตนกลิน

ผู้จัดการฝ่ายตรวจสอบเทคโนโลยีสารสนเทศ

บริษัท ตรวจสอบภายในธรรมนิติ จำกัด

Last modified on Tuesday, 10 December 2024