PDPA กับองค์กรในปัจจุบัน

   

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือเรียกสั้น ๆ ว่า PDPA จะมีผลกับทุกองค์กรทั่วโลกที่เก็บข้อมูลของคนไทย จึงทำให้หลายองค์กรควรเตรียมรับมือก่อนวันที่ 27 พ.ค. 2563 ที่จะถูกบังคับใช้อย่างเต็มรูปแบบ ซึ่งหมายความว่าไม่ว่าจะองค์กรไหนก็ตาม ไม่สามารละเลยกับเรื่องนี้ไปได้

หากสงสัยว่าพรบ.นี้ปรับใช้กับองค์กรของคุณหรือไม่ ให้ใช้ 3 ข้อนี้เป็นบรรทัดฐาน

✔ ใช่ หากองค์กรของคุณมีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล

✔ ใช่ หากองค์กรคุณเป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใดๆ ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล

✔ ใช่ หากองค์กรของคุณอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย

ผู้รับผิดชอบหรือ ผู้ดูแลข้อมูล

– ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เป็นบุคคลหรือนิติบุคคลซึ่งมีอำนาจการตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือ เปิดเผย และมีมาตรการดูแลความปลอดภัยของข้อมูลที่เหมาะสม

– ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) มีหน้าที่คนละแบบ และรับผิดชอบโดยคนละคนกับผู้ควบคุมข้อมูลส่วนบุคคล บทบาทเป็นบุคคลหรือนิติบุคลซึ่งเก็บ ใช้ หรือเปิดเผยตามคำสั่งของผู้ควบคุมอีกที

– เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เจ้าหน้าที่ตำแหน่งนี้จัดตั้งขึ้นเพื่อดูและข้อมูลประมวลผลจำนวนมาก หรือข้อมูลที่อ่อนไหว ประสานงาน ตรวจสอบ ให้คำแนะนำ และ ดูแลด้านความมั่นคงปลอดภัยของข้อมูลโดยเฉพาะ และที่สำคัญบุคคลเหล่านี้ไม่สามารถเป็นบุคลากรในองค์กรได้ อย่างไรก็ตาม เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลยังไม่มีข้อกำหนดว่าต้องมีใบรับรอง หรือคุณสมบัตรเฉพาะที่แน่ชัด

แต่ละแผนกในองค์กรควรมีการเตรียมการรับมืออย่างไรล่ะ?

• IT Department: ควรมีมาตรการรักษาความมั่นคงปลอดภัยของฐานข้อมูล (Database Security) การดูแลจัดการรักษาข้อมูลให้ถูกต้องสมบูรณ์พร้อมสำหรับผู้ที่มีสิทธิในการใช้ข้อมูล ป้องกันผู้ไม่มีสิทธิเข้าใช้หรือแก้ไขข้อมูล ทั้งนี้ต้องทบทวนมาตรการเมื่อมีความจำเป็นหรือเมื่อ เทคโนโลยีมีการเปลี่ยนแปลง

• Sales Department: หากมีการเก็บข้อมูลความเป็นส่วนตัวของลูกค้า หรือข้อมูลใด ๆ ที่สำคัญ ควรจัดให้มีระเบียบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล ไม่ว่าจะเป็นเอกสารสำคัญหรือสัญญาต่าง ๆเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้อง

• Marketing Department: ในยุคที่ Marketing อิงจากฐานข้อมูลลูกค้าหรือ Database Marketing และ Direct Marketing โดยนำฐานข้อมูลของลูกค้ามานำใช้เพื่อส่งเสริมกิจกรรมทางการตลาด จึงเป็นแผนกที่มองข้ามไม่ได้เลย

• Operation Department: หากทางองค์กรได้มีการจัดเก็บหน้าบัตรประชาชน หรือเลขบัตรข้อมูลสำคัญต่าง ๆ ของผู้มาเยือนก่อนขึ้นอาคาร หรือการติดตั้งกล้องถ่ายภาพถ่ายวีดีโอทั้งคนในและคนนอก ถือว่าเป็นการเข้าข่ายแต่อาจมีการผ่อนผันละเว้นได้ถ้าเหตุผลเป็นไปตามข้อยกเว้นการจัดเก็บข้อมูล โดยไม่ต้องรับความยินยอม

• Human Resource Department: เมื่อพูดถึงแผนกฝ่ายบุคคล คงเป็นไปไม่ได้เลยถ้าจะไม่นึกถึงข้อมูลพนักงาน หรือ การผู้สมัครงาน อาทิเช่น Resume, CV หรือ ประวัติสุขภาพ เป็นต้น ดังนั้นจึงต้องมีการจับเก็บข้อมูลตามมาตรฐานที่กำหนด

ทั้งหมดนี้จะเกี่ยวข้องโดยตรงกับการปฏิบัติตามขั้นตอนทางกฎหมาย หรือ Legal Compliance เพราะด้วยเรื่องการเขียนสัญญา, ข้อตกลง และนโยบายต่าง ๆ compliance จะกำหนดขอบเขตการทำงาน กลยุทธ์ และทำให้มั่นใจว่า องกรจะปฏิบัติตามกฎเกณฑ์ และคาดว่าภายในอีกไม่กี่ปีข้างหน้า อาจมีกฎหมายลูกที่ระบุแน่ชัดออกมารองรับเพื่อขจัดข้อสงสัยหรือความคลุมเครือในรายละเอียดต่างๆของข้อกฎหมายเพื่อปิดช่องโหว่ ในยุคที่เทคโนโลยีถูกนำมาใช้ในชีวิตประจำวันมากจนเป็นเรื่องปกติเช่นนี้ จึงอยากแนะนำให้องค์กรไม่ว่าจะขนาดเล็กหรือใหญ่ ควรเริ่มเตรียมการและปฏิบัติตามมาตรการสะเสียตอนนี้ เหมือนอย่างที่ชาร์ลส์ ดาร์วินกล่าวไว้ว่า “ไม่ใช่ผู้ที่แข็งแรงหรือฉลาดที่สุดจะอยู่รอดแต่เป็นผู้ที่รู้จักปรับตัวตามความเปลี่ยนแปลงต่างหากที่จะยืนหยัดอยู่ได้”ค่ะ

ปรับจูนองค์กรของคุณให้สอดคล้องกับกฎหมายด้วยการสร้าง Privacy Policy https://pdpa.pro ได้แล้ววันนี้!