เริ่มต้นให้ไว...แล้วไปพร้อมกัน! 10 ขั้นตอน PDPA สำหรับผู้ประกอบการ

   

ข้อมูลส่วนบุคคลเป็นส่ิงที่ผู้ประกอบการต้องให้ความสำคัญ เพื่อไม่ให้เกิดการละเมิด และนำข้อมูลไปใช้ในทางที่ไม่ถูกต้อง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA: Personal Data Protection Act) มีบทบาทในการจัดการข้อมูลส่วนบุคคล โดยผู้ประกอบการจะต้องมีวิธีจัดการข้อมูลของลูกค้าอย่างเหมาะสม เพื่อสร้างความไว้วางใจ และความน่าเชื่อถือที่มีต่อองค์กร

สิ่งที่ผู้ประกอบการควรเตรียมให้พร้อมรับ PDPA

1. Data Inventory Mapping - ตรวจสอบว่าองค์กรมีข้อมูลส่วนบุคคลอะไรบ้าง

การจัดทำ Data Inventory Mapping เป็นการจัดทำบันทึกรายการข้อมูลส่วนบุคคล เพื่อแยกแยะว่าข้อมูลใดเป็นข้อมูลส่วนบุคคลบ้าง และข้อมูลดังกล่าวถูกเก็บไว้ที่ใดบ้าง Data Inventory Mapping ที่ดีมีประโยชน์ในการช่วยติดตาม และระบุตำแหน่งของข้อมูลส่วนบุคคลที่ถูกจัดเก็บ ช่วยให้องค์กรสามารถนำข้อมูลไปใช้งานได้ง่ายขึ้น เช่น การทำ Data Flow Diagram (DFD) และการทำ Record of Processing (ROP)

2. DPO Appointment - แต่งตั้ง DPO ให้คำแนะนำเกี่ยวกับ PDPA

องค์กรมีหน้าที่แต่งตั้งเจ้าหน้าที่ดูแลความปลอดภัยของข้อมูล (DPO) ซึ่งเป็นเสมือนตัวแทนขององค์กร โดยมีหน้าที่ในการให้คำแนะนำ และตรวจสอบการดำเนินงานให้เป็นไปตาม พ.ร.บ. พร้อมทั้งประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหา

3. Training / Awareness - จัดอบรมพนักงานภายในองค์กรให้เข้าใจ PDPA

องค์กรต้องจัดการอบรมให้ความรู้กับพนักงานภายในองค์กรเกี่ยวกับข้อกฎหมาย ความสำคัญของ PDPA และความเสี่ยงที่อาจจะเกิดขึ้น เพื่อให้เกิดความร่วมมือจากพนักงาน และสร้างความเข้าใจ จนสามารถนำไปประยุกต์ใช้งานได้อย่างถูกต้อง

4. Data Impact Assessment - การประเมินความเสี่ยงเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

การนำข้อมูลส่วนบุคคลมาใช้งาน ไม่ว่าจุดประสงค์ในการใช้งานนั้นคืออะไรก็ตาม องค์กรต้องมีการประเมินเสี่ยงในการนำข้อมูลมาใช้งาน โดยพิจารณาว่าความเสี่ยงนั้นมีมากน้อยเพียงใด และกระทบกับการทำธุรกิจมากขนาดไหน

5. Privacy Notice - จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy)

การจัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) เป็นการจัดทำเอกสารเพื่อใช้ในการอธิบายเกี่ยวกับรายละเอียดต่าง ๆ ในการจัดเก็บข้อมูลส่วนบุคคล โดยมีเนื้อหาสำคัญที่เจ้าของข้อมูลต้องรับทราบ และมาตราการในการปกป้องข้อมูลส่วนบุคคลของเจ้าของข้อมูล

6. Consent Management - จัดให้มีกระบวนการบริหารความยินยอม

องค์กรต้องมีการเตรียมการสำหรับขอรับความยินยอม (Consent) จากเจ้าของข้อมูล ด้วยการจัดเตรียมเอกสาร แบบฟอร์มต่าง ๆ หรือระบบที่รองรับการขอรับความยินยอม โดยระบุว่าต้องการจัดเก็บข้อมูลอะไร และมีวัตถุประสงค์ในการจัดเก็บข้อมูลอย่างไร

7. Security Measure - จัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล

การจัดการรักษาความปลอดภัยของข้อมูลส่วนบุคคลนั้น เป็นการสร้างมาตรฐานในการรักษาความปลอดภัยของข้อมูล ไม่ว่าจะเป็นด้านการบริหารจัดการ (Administrative Safegurad) ด้านเทคนิค (Technical Safegaurd) และทางกายภาพ (Physical) รวมถึงการเข้าถึงหรือควบคุมการใช้งาน (access control) การกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคล รวมถึงอุปกรณ์ที่ใช้ในการจัดเก็บข้อมูล ซึ่งสอดคล้องกับแนวทางในการป้องกันการรั่วไหลของข้อมูล

8. Data Subject Rights Management - การบริหารคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้ให้สิทธิต่าง ๆ กับเจ้าของข้อมูล ดังนั้น องค์กรจึงต้องจัดเตรียมช่องทางในการขอใช้สิทธิของเจ้าของข้อมูล เพื่อให้เจ้าของข้อมูลสามารถขอใช้สิทธิในการขอลบ แก้ไข โอน และจัดการข้อมูลให้เป็นปัจจุบันได้อย่างสะดวก

9. Data Processing Agreement

การจัดทำข้อสัญญาการประมวลผลข้อมูลส่วนบุคคล (DPA) เป็นการระบุขอบเขตความรับผิดชอบระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคล อีกทั้งยังเป็นการกำหนดข้อตกลงและเงื่อนไขต่าง ๆ ของผู้ให้บริการและผู้รับบริการให้เป็นไปตามข้อกำหนด เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับองค์กร

10. Data Breach Management Plan - การแจ้งเตือนและมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคล

องค์รต้องมีแนวทางในการจัดเก็บข้อมูลให้มีความปลอดภัย ไม่ให้เกิดการรั่วไหลของข้อมูลไปยังบุคคลอื่น ต้องมีกระบวนการการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือให้เจ้าของข้อมูลทราบเมื่อเกิดการรั่วไหล อีกทั้งต้องมีมาตราการในการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562นี้ ได้มุ่งเน้นไปที่ผู้ประกอบการ ในการสร้างแนวทางการเก็บข้อมูลอย่างเหมาะสม เพื่อหลีกเลี่ยงความเสียหายที่อาจจะเกิดขึ้น และสามารถนำข้อมูลที่สำคัญของลูกค้ามาใช้ได้ตรงตามจุดประสงค์ตามที่ได้ขอรับความยินยอม หรือที่ได้รับยกเว้นตามกฎหมายไว้ หากผู้ประกอบการไม่มีความรู้ ย่อมทำให้เกิดความเสียหาย และมีความเสี่ยงที่จะทำผิดกฎหมายได้

ปรับจูนองค์กรของคุณให้สอดคล้องกับกฎหมายด้วยการสร้าง Privacy Policy https://pdpa.pro ได้แล้ววันนี้!