8 ขั้นตอนการทำ PDPA สิ่งสำคัญที่ไม่ควรมองข้าม

เมื่อ พ.ร.บ. กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act เริ่มการบังคับใช้อย่างเต็มรูปแบบในปี 2565 สิ่งที่องค์กรบริษัทต่าง ๆ ต้องให้ความสำคัญมากยิ่งขึ้นก็คือการนำข้อมูลส่วนบุคคลต่าง ๆ ไปใช้งานอย่างไร ซึ่ง PDPA จะเข้ามามีบทบาทในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล โดยคำนึงถึงสิทธิส่วนบุคคลและความต้องการในการใช้งาน เพื่อให้ตรงกับวัตถุประสงค์และกับสถานการณ์ต่าง ๆ ทำให้การมองหาแนวทางการรับมือ PDPA เพื่อให้สามารถใช้งานข้อมูลได้อย่างมีประสิทธิภาพมากที่สุด

สำหรับแนวทางการรับมือ PDPA คือการสร้างการจัดการเกี่ยวกับการดูแลข้อมูลส่วนบุคคล เพื่อสามารถนำข้อมูลไปใช้ได้อย่างสูงสุด ซึ่งองค์กรต่าง ๆ ควรที่จะต้องทำความเข้าใจว่า PDPA นั้นจะมีขั้นตอนและแนวทางการทำงานอย่างไร เพื่อเตรียมตัวในการรับมือการเปลี่ยนแปลงที่จะเกิดขึ้น วันนี้เรารวบรวมเอาไว้ให้กับคุณ

8 แนวทางการรับมือ PDPA

1. หากสงสัยว่า PDPA นั้นอยู่ใน Scope การทำงานคุณหรือไม่ ถ้าให้ตอบสั้น ๆ ก็คือมันอาจจะไม่ได้เกี่ยวข้องกับบริษัทโดยตรง แต่ธุรกิจใดก็ตามที่มีฐานข้อมูลคนไทยเพียงคนเดียว ไม่ว่าพวกเขาจะอาศัยอยู่ที่ไหนก็ตามในฐานข้อมูลนั้น ๆ ถือว่ามีความสอดคล้องและต้องปฏิบัติตาม
2. ตรวจสอบกระบวนการทำงานเพื่อดูว่าสามารถติดตามตำแหน่งที่ตั้งของข้อมูลส่วนบุคคลทั้งหมดที่รวบรวมได้ไหม เช่น เราได้รวบรวมข้อมูลผู้ใช้ประเภทใดบ้าง จัดเก็บข้อมูลอย่างไร คุณสามารถดึงเอาข้อมูล หรือ ลบ ตามคำขอได้อย่างง่ายดายหรือไม่? คุณมีการขอความยินยอมจากการใช้ข้อมูลหรือเปล่า? คุณเก็บบันทึกการยินยอมนั้นหรือไม่? การที่เราปฏิบัติตามขั้นตอนที่กล่าวมาข้างต้นและอื่น ๆ จะช่วยให้องค์กรของเรามีความสอดคล้องกับพ.ร.บ.ฉบับนี้มากขึ้น
3. วางตำแหน่งบริษัทของคุณโดยคำนึงถึงความเป็นส่วนตัวเป็นหลัก แม้ว่าจะใช้วิธี ’Wait-and-See’ ที่รอคอยและดูท่าทีของการบังคับใช้ PDPA แต่ที่จริงแล้วการพยายามปฏิบัติตามเลยนั้นจะดีกับธุรกิจเสียมากกว่า
4. ถ้าหากคุณไม่มั่นใจว่าจะสามารถปรับการทำงานให้สอดคล้องกับ PDPA และต้องทำอะไรบ้าง การว่าจ้าง DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูล ถึงบทบาทนี้ที่จะค่อนข้างใหม่ แต่ขณะเดียวกันบุคลากรที่ได้รับมอบหมายงานนี้ต้องเจอกับภาระหน้าที่ที่หินพอสมควร เพราะพวกเขาเหล่านั้นต้องคอยหมั่นตรวจตราเพื่อให้แน่ใจว่าทุกอย่างในองค์กรเป็นไปตามมาตรฐานและข้อกำหนด
5. คอยติดตาม Partner ธุรกิจของคุณ เพราะภายใต้ข้อกำหนด PDPA นั้นเราต้องรับผิดชอบต่อการถูกละเมิดของบุคคลที่สาม จึงต้องระวังประวัติคู่ค้าของเราด้วยไม่ว่าจะเป็นข้อมูลและความเป็นส่วนตัวของพวกเขา
6. ลงทุนกับเครื่องมือหรือสิ่งที่สามารถช่วยเราปฏิบัติตามกฎระเบียบ เครื่องมือที่ช่วยให้องค์กรปฏิบัติตาม PDPA เพื่อช่วยให้ขั้นตอนสอดคล้องเข้ากับข้อกำหนดได้ถูกผลิตขึ้นและเผยแพร่ทุกวัน เช่น ครื่องมือที่ช่วยในการบรรจุข้อมูลส่วนบุคคลเพื่อตอบสนองต่อคำขอของผู้ใช้ และเครื่องมือที่ช่วยในการเก็บบันทึก เป็นต้น
7. ได้รับการรับรอง อย่างที่ได้กล่าวไปในบทความ ความสัมพันธ์ระหว่าง PDPA กับ ISO27001 ว่าองค์กรใด ๆ ที่ได้ดำเนินการแล้ว หรืออยู่ในกระบวนการดำเนินการตาม ISO/IEC 27001 ถือว่าอยู่ในตำแหน่งที่มั่นคง และมีความสอดคล้องกับข้อกำหนดใหม่อย่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การรับรองจึงเป็นส่วนหนึ่งของการสร้างความน่าเชื่อถือให้กับองค์กรนั้น ๆ นั่นเอง
8. Don’t Panic อย่าพึ่งตกใจไป เพราะนี่ถือเป็นสถานการณ์ที่สามารถเข้าใจได้หากผู้คนยังมีความสับสนมากมายเกี่ยวกับวิธีการใช้และบังคับใช้กฎ ซึ่งคณะรัฐมนตรีอ้างว่าเป็นเหตุผลหลัก ๆ ที่ทำให้กฎหมายนี้ถูกเลื่อนออกไป แต่ละกระบวนการยังต้องใช้กำลังคนและเวลา

นี่คือ 8 ขั้นตอนในการเตรียมตัวหาแนวทางการรับมือ PDPA ให้ได้อย่างมีประสิทธิภาพมากที่สุด แต่ทั้งนี้ทั้งนั้นก็ขอแนะนำว่าให้พยายามอย่างดีที่สุดเพื่อแสดงว่าคุณกำลังพยายามปฏิบัติตามกฎหมายในข้อนี้

สร้างแบบบฟอร์มที่จะช่วยให้บริษัทของคุณรับคำขอสิทธิต่างๆ จากเจ้าของข้อมูลอย่างง่ายดาย ที่ PDPA Form และสร้างแบนเบอร์คุกกี้ยินยอมง่ายๆ บนหน้าเว็บของคุณ เพียงคลิ๊ก! Cookie Wow