ข้อมูลส่วนบุคคลเป็นส่ิงที่ผู้ประกอบการต้องให้ความสำคัญ เพื่อไม่ให้เกิดการละเมิด และนำข้อมูลไปใช้ในทางที่ไม่ถูกต้อง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA: Personal Data Protection Act) มีบทบาทในการจัดการข้อมูลส่วนบุคคล โดยผู้ประกอบการจะต้องมีวิธีจัดการข้อมูลของลูกค้าอย่างเหมาะสม เพื่อสร้างความไว้วางใจ และความน่าเชื่อถือที่มีต่อองค์กร
สิ่งที่ผู้ประกอบการควรเตรียมให้พร้อมรับ PDPA
การจัดทำ Data Inventory Mapping เป็นการจัดทำบันทึกรายการข้อมูลส่วนบุคคล เพื่อแยกแยะว่าข้อมูลใดเป็นข้อมูลส่วนบุคคลบ้าง และข้อมูลดังกล่าวถูกเก็บไว้ที่ใดบ้าง Data Inventory Mapping ที่ดีมีประโยชน์ในการช่วยติดตาม และระบุตำแหน่งของข้อมูลส่วนบุคคลที่ถูกจัดเก็บ ช่วยให้องค์กรสามารถนำข้อมูลไปใช้งานได้ง่ายขึ้น เช่น การทำ Data Flow Diagram (DFD) และการทำ Record of Processing (ROP)
องค์กรมีหน้าที่แต่งตั้งเจ้าหน้าที่ดูแลความปลอดภัยของข้อมูล (DPO) ซึ่งเป็นเสมือนตัวแทนขององค์กร โดยมีหน้าที่ในการให้คำแนะนำ และตรวจสอบการดำเนินงานให้เป็นไปตาม พ.ร.บ. พร้อมทั้งประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหา
องค์กรต้องจัดการอบรมให้ความรู้กับพนักงานภายในองค์กรเกี่ยวกับข้อกฎหมาย ความสำคัญของ PDPA และความเสี่ยงที่อาจจะเกิดขึ้น เพื่อให้เกิดความร่วมมือจากพนักงาน และสร้างความเข้าใจ จนสามารถนำไปประยุกต์ใช้งานได้อย่างถูกต้อง
การนำข้อมูลส่วนบุคคลมาใช้งาน ไม่ว่าจุดประสงค์ในการใช้งานนั้นคืออะไรก็ตาม องค์กรต้องมีการประเมินเสี่ยงในการนำข้อมูลมาใช้งาน โดยพิจารณาว่าความเสี่ยงนั้นมีมากน้อยเพียงใด และกระทบกับการทำธุรกิจมากขนาดไหน
การจัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) เป็นการจัดทำเอกสารเพื่อใช้ในการอธิบายเกี่ยวกับรายละเอียดต่าง ๆ ในการจัดเก็บข้อมูลส่วนบุคคล โดยมีเนื้อหาสำคัญที่เจ้าของข้อมูลต้องรับทราบ และมาตราการในการปกป้องข้อมูลส่วนบุคคลของเจ้าของข้อมูล
องค์กรต้องมีการเตรียมการสำหรับขอรับความยินยอม (Consent) จากเจ้าของข้อมูล ด้วยการจัดเตรียมเอกสาร แบบฟอร์มต่าง ๆ หรือระบบที่รองรับการขอรับความยินยอม โดยระบุว่าต้องการจัดเก็บข้อมูลอะไร และมีวัตถุประสงค์ในการจัดเก็บข้อมูลอย่างไร
การจัดการรักษาความปลอดภัยของข้อมูลส่วนบุคคลนั้น เป็นการสร้างมาตรฐานในการรักษาความปลอดภัยของข้อมูล ไม่ว่าจะเป็นด้านการบริหารจัดการ (Administrative Safegurad) ด้านเทคนิค (Technical Safegaurd) และทางกายภาพ (Physical) รวมถึงการเข้าถึงหรือควบคุมการใช้งาน (access control) การกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคล รวมถึงอุปกรณ์ที่ใช้ในการจัดเก็บข้อมูล ซึ่งสอดคล้องกับแนวทางในการป้องกันการรั่วไหลของข้อมูล
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้ให้สิทธิต่าง ๆ กับเจ้าของข้อมูล ดังนั้น องค์กรจึงต้องจัดเตรียมช่องทางในการขอใช้สิทธิของเจ้าของข้อมูล เพื่อให้เจ้าของข้อมูลสามารถขอใช้สิทธิในการขอลบ แก้ไข โอน และจัดการข้อมูลให้เป็นปัจจุบันได้อย่างสะดวก
การจัดทำข้อสัญญาการประมวลผลข้อมูลส่วนบุคคล (DPA) เป็นการระบุขอบเขตความรับผิดชอบระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคล อีกทั้งยังเป็นการกำหนดข้อตกลงและเงื่อนไขต่าง ๆ ของผู้ให้บริการและผู้รับบริการให้เป็นไปตามข้อกำหนด เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับองค์กร
องค์รต้องมีแนวทางในการจัดเก็บข้อมูลให้มีความปลอดภัย ไม่ให้เกิดการรั่วไหลของข้อมูลไปยังบุคคลอื่น ต้องมีกระบวนการการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือให้เจ้าของข้อมูลทราบเมื่อเกิดการรั่วไหล อีกทั้งต้องมีมาตราการในการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562นี้ ได้มุ่งเน้นไปที่ผู้ประกอบการ ในการสร้างแนวทางการเก็บข้อมูลอย่างเหมาะสม เพื่อหลีกเลี่ยงความเสียหายที่อาจจะเกิดขึ้น และสามารถนำข้อมูลที่สำคัญของลูกค้ามาใช้ได้ตรงตามจุดประสงค์ตามที่ได้ขอรับความยินยอม หรือที่ได้รับยกเว้นตามกฎหมายไว้ หากผู้ประกอบการไม่มีความรู้ ย่อมทำให้เกิดความเสียหาย และมีความเสี่ยงที่จะทำผิดกฎหมายได้
ปรับจูนองค์กรของคุณให้สอดคล้องกับกฎหมายด้วยการสร้าง Privacy Policy https://pdpa.pro ได้แล้ววันนี้!
บริษัท เอ็นเดต้าธอธ จำกัด
1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย
โทร: 02-024-5560
sales@ndatathoth.com