ข่าวสาร

| วันพุธ, 28 กรกฎาคม 2564 |
Written by 

6 Checklist เตรียมพร้อมปรับองค์กรให้ถูกกฎหมาย PDPA

แม้สถานการณ์โควิด-19 ที่กำลังระบาดและทวีความรุนแรงเพิ่มมากขึ้นเรื่อย ๆ จนทำให้หลายธุรกิจต้องปรับตัวเพื่อโฟกัสทางออกที่จะให้ผ่านพ้นวิกฤตินี้ไปได้ แต่อย่างไรแล้วยังมีอีกหนึ่งเรื่องที่ละเลยไม่ได้ก็คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) ที่ยังคงต้องทำและเร่งทำ เพราะกฎหมายดังกล่าวยังมีผลและจะบังคับใช้ในปี 2565 นี้แล้ว

หากองค์กรคุณยังไม่ได้เริ่มทำ PDPA อย่างจริงจัง ลองมานั่งเช็กลิสต์กันว่ามีอะไรที่องค์กรยังขาด หรือต้องปรับต้องแก้ไข เพื่อให้ถูกกฎหมายมากที่สุด หรือหากยังไม่มั่นใจว่าทำถูกต้องครบถ้วนแล้ว ลองมองหาตัวช่วยอย่าง PDPA Audit เพื่อลดภาระการจัดการ ให้คุณได้โฟกัสธุรกิจต่ออย่างหมดห่วง

 

6 Checklist เตรียมพร้อมปรับองค์กรให้ถูกกฎหมาย PDPA

 

1. สร้างความตระหนักการรับรู้และความเข้าใจเกี่ยวกับ PDPA ภายในองค์กร

 

ในองค์กรที่มีส่วนเกี่ยวข้องกับข้อมูลต่างๆ ของลูกค้า คู่ค้า ผู้มาติดต่อ ลูกจ้าง หรือข้อมูลของบุคคลอื่นๆ ทั้งในรูปแบบเอกสาร และไฟล์ที่เก็บไว้ในที่ต่างๆ ต้องมีการนำประเด็น หรือแนวทางการปฏิบัติเกี่ยวกับเรื่องกฎหมาย PDPA แจ้งให้ทุกคนภายในองค์กรได้ทราบรายละเอียด การปฏิบัติ และบทลงโทษ

เพื่อให้เป็นที่เข้าใจตรงกันและสามารถปฏิบัติตามได้อย่างถูกต้อง

 

2. ทำความเข้าใจกับบทบาทหน้าที่ผู้เกี่ยวข้องกับข้อมูลตามกฎหมาย

 

กฎหมาย PDPA มีผู้เกี่ยวข้องกับข้อมูลส่วนบุคคลดังนี้คือ เจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยบุคคลดังกล่าวมีสิทธิ และหน้าที่แตกต่างกัน ดังนี้

 

• เจ้าของข้อมูลส่วนบุคคล คือบุคคลธรรมดาที่เป็นเจ้าของข้อมูล หรือผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ หรือ ผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ โดยจะมีสิทธิกับข้อมูลส่วนบุคคล ดังนี้

            - สิทธิที่จะได้รับการแจ้งให้ทราบถึงการนำข้อมูลส่วนบุคคลไปใช้และเผยแพร่

            - สิทธิที่จะสามารถขอเข้าถึง หรือขอให้โอนข้อมูลส่วนบุคคล 

            - สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงระงับการใช้ข้อมูลส่วนบุคคลของตนเองชั่วคราว

            - สิทธิขอให้ลบ หรือทำลาย หรือให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้

            - สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้องและเป็นปัจจุบัน

            - สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคล

            - สิทธิในการขอเพิกถอนความยินยอม

            - สิทธิในการร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

• ผู้ควบคุมข้อมูลส่วนบุคคล บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยจะมีหน้าที่ต่างๆ คือ

           - ดำเนินการจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ดูแลอยู่

           - ดำเนินการเพื่อป้องกันไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต

           - ดูแลจัดการระบบตรวจสอบให้ลบหรือทำลายข้อมูลส่วนบุคคลเมื่อหมดเวลาเก็บรักษา

           - คอยตรวจสอบและแจ้งเหตุหากมีการละเมิดข้อมูลส่วนบุคคลให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง นับตั้งแต่ที่ทราบเหตุ

           - ดำเนินการแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล


• ผู้ประมวลผลข้อมูลส่วนบุคคล เป็นบุคคลหรือนิติบุคคลที่รับหน้าที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามที่ผู้ควบคุมข้อมูลส่วนบุคคลสั่งการ ซึ่งมีหน้าที่หลักๆ คือ

           - ทำตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ยกเว้นคำสั่งนั้นขัดกฎหมาย PDPA

           - จัดหามาตรการรักษาความปลอดภัยของข้อมูลที่เหมาะสม

           - จัดทำ ประมวลผล และบันทึกความเคลื่อนไหวเกี่ยวกับข้อมูลส่วนบุคคล


• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้ที่ได้รับการแต่งตั้งจากผู้ควบคุมข้อมูลส่วนบุคคล ที่มีความรู้ด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อทำหน้าที่ต่างๆ เช่น

           - ให้คำแนะนำที่ถูกต้องตามกฎหมายแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล

           - ตรวจสอบการดำเนินงานของ ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ที่เกี่ยวข้องกับข้อมูล

           - ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

           - รักษาความลับข้อมูลส่วนบุคคล


3. สำรวจข้อมูลธุรกิจทุกมิติ


การสำรวจข้อมูลของธุรกิจอย่างรอบด้านนั้นจะทำให้เห็นภาพรวมของการทำงานว่าแท้จริงแล้ว ธุรกิจที่ทำอยู่นั้นมีความเชื่อมโยงเกี่ยวข้อง หรือมีส่วนไหนที่ต้องปฏิบัติตามกฎหมายหรือไม่ เพื่อลดโอกาสการกระทำความผิดโดยไม่รู้ตัว

หากในองค์กรมีงานส่วนใดส่วนหนึ่งที่เกี่ยวข้องกับข้อมูลลูกค้า คู่ค้า บุคคลภายนอก หรือแม้กระทั่งพนักงานภายในองค์กรเอง ให้ดำเนินการพิจารณารายละเอียดข้อกำหนดต่างๆ เกี่ยวกับการใช้ข้อมูลของบุคคลเหล่านั้นให้เป็นไปตามวัตถุประสงค์และถูกต้องตามที่กฎหมายกำหนด และหากมีแนวโน้มที่จะนำข้อมูลนั้น

ไปใช้นอกเหนือจากที่มีการระบุไว้ตั้งแต่แรก จะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนนำไปใช้

 


4. จัดเตรียมพื้นที่สำหรับเก็บข้อมูลอย่างเป็นระบบและปลอดภัย


เมื่อข้อมูลส่วนบุคคลถูกปกป้องโดยกฎหมาย การจัดเก็บจึงต้องรัดกุมตามไปด้วยไม่ว่าจะเป็นรูปแบบของเอกสาร หรือไฟล์ ซึ่งองค์กรควรมีระบบจัดเก็บและจัดการที่เข้มงวดปลอดภัย รวมถึงการแสดงความโปร่งใสในการจัดเก็บและนำข้อมูลไปใช้ โดยแจ้งเจ้าของข้อมูลทราบด้วย และขณะเดียวกัน

แค่ระบบการจัดเก็บข้อมูลที่ปลอดภัยอย่างเดียวอาจไม่เพียงพอ แต่องค์กรควรมีมาตรการแก้ไขปัญหาและแนวทางการประเมินความเสียหายและรับผิดชอบต่อเจ้าของข้อมูลกรณีที่เกิดการรั่วไหลของข้อมูล


5. จัดเตรียมเอกสารและแบบฟอร์มต่างๆ เกี่ยวกับข้อมูล

องค์กรควรมีเอกสารหรือแบบฟอร์มที่จะใช้แจ้งวัตถุประสงค์ ขอความยินยอมจากเจ้าของข้อมูล และแนวทางดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล เช่น


• เอกสารเกี่ยวกับการกระทำต่างๆ กับข้อมูลซึ่งระบุทั้งการเก็บ การประมวลผล วัตถุประสงค์การนำข้อมูลไปใช้ และมีใครที่เกี่ยวข้องกับข้อมูลนั้นบ้าง

• แบบฟอร์มการขอใช้สิทธิจัดการข้อมูลส่วนบุคคล สำหรับเจ้าของข้อมูลส่วนบุคคล

• ข้อความแสดงการจัดเก็บข้อมูลการเข้าชมเว็บไซต์ หรือขอความยินยอมจัดเก็บ หรืองานใช้คุกกี้ (Cookies)

• แบบฟอร์มสำหรับการแจ้งเตือนเจ้าของข้อมูลกรณีที่มีปัญหาข้อมูลส่วนบุคคลรั่วไหล

• ข้อความแจ้งนโยบายความเป็นส่วนตัว หรือ Privacy Policy ที่ระบุรายละเอียดและเงื่อนไขต่างๆ อย่างชัดเจน


6. หาที่ปรึกษา PDPA Audit

เพื่อเป็นผู้ช่วยในการตรวจสอบการดำเนินการและตรวจทานเอกสารที่เกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อนำข้อมูลต่างๆ มาใช้ในการวิเคราะห์ และประเมินผลการดำเนินงาน ความเสี่ยง และการปรับปรุงแก้ไขให้สอดคล้องตามที่กฎหมายกำหนด

แม้การบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะถูกขยายระยะเวลาออกไปอีก 1 ปี แต่องค์กรก็ไม่ควรปล่อยเวลาให้หมุนไปโดยไม่ได้ทำอะไรเลย ตรงกันข้ามเพื่อการเตรียมพร้อมสู่การดำเนินธุรกิจอย่างถูกต้องตามกฎหมาย PDPA แล้ว ควรดำเนินการอย่างเร่งด่วนเพื่อตั้งรับปรับตัวตามกฎหมายใหม่โดยเฉพาะองค์กรที่มีการเก็บข้อมูลลูกค้า คู่ค้า ผู้มาติดต่อ ลูกจ้าง หรือข้อมูลของบุคคลอื่นๆ ที่ใช้ประกอบการวิเคราะห์เพื่อพัฒนาต่อยอดธุรกิจ

 

เรียบเรียงโดย : ฝ่ายตรวจสอบเทคโนโลยีสารสนเทศ บริษัท ตรวจสอบภายในธรรมนิติ จำกัด

 

Last modified on วันศุกร์, 24 ธันวาคม 2564