9 ขั้นตอน ทำ PDPA ยังไงให้ผ่านเกณฑ์
ตกลงต้องทำอย่างไรกันแน่ ! กฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน หรือที่เราเรียกกันติดปากว่ากฎหมาย PDPA (Personal Data Protection Act: PDPA) คือกฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน โดยกฎหมายนี้ได้มีผลบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 ที่ผ่านมา โดยกฎหมายนี้จะให้ความคุ้มครองข้อมูลส่วนบุคคล ที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล เป็นต้น อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้
PDPA สำคัญอย่างไรกับเรา ?
ความสำคัญของ PDPA คือการทำให้สิทธิแก่เจ้าของข้อมูลในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูลฯ ดังนั้นเมื่อเจ้าของข้อมูลมีสิทธิที่เพิ่มขึ้น อาจทำให้องค์กรและบริษัทต่าง ๆ จำเป็นต้องปรับเปลี่ยนกระบวนการเก็บรวบรวม และนำข้อมูลฯของเจ้าของข้อมูลที่เกี่ยวข้องให้เป็นตามหลักปฏิบัติของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
โดยหากคุณเป็นบุคคลที่ที่ดำเนินการเรื่อง PDPA วันนี้ PDPA Thailand จะเสนอแนวทางการดำเนินงานเพื่อให้องค์กรของคุณผ่านเกณฑ์ PDPA แบบง่ายๆ กันครับ
9 ขั้นตอน ทำ PDPA ยังไงให้ผ่านเกณฑ์ (ฉบับง่ายๆ)
1. การจัดตั้งคณะทำงาน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer เป็นตำแหน่งงานใหม่ที่เกิดขึ้นมาพร้อมกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเป็น “ผู้รับผิดชอบ” ให้แน่ใจว่าการประมวลผลข้อมูลขององค์กรดำเนินการอย่างสอดคล้องกับกฎหมายและราบรื่นมากที่สุด และมีหน้าที่ (ตาม PDPA มาตรา 42 และเอกสารประกอบอื่น) อ่านบทความเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO เพิ่มเติม ได้ที่ Click !
2.Privacy Policy หรือ นโยบายการคุ้มครองข้อมูลส่วนบุคคล
Privacy Policy คือการกำหนดข้อตกลง หรือคำแถลงการเกี่ยวกับแนวทางการจัดเก็บรวบรวม ใช้ หรือเผยแพร่งานข้อมูลส่วนบุคคลคนภายในองค์กร หรือหน่วยงาน
3.Privacy Notice หรือ การสร้างประกาศชี้แจงการใช้ข้อมูลส่วนบุคคล
Privacy Notice คือคำประกาศถึงเจ้าของข้อมูลที่องค์กรจำมีการดำเนินการการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล ซึ่งเราจะเห็นกันคุ้นตาในชื่อ นโยบายความเป็นส่วนตัว หรือ นโยบายการประมวลผลข้อมูลส่วนบุคคล >> หากยังไม่รู้ว่าเขียนอย่างไรให้ถูกหลัก PDPA สามารถอ่าน วิธีการเขียน Privacy Notice และ Privacy Policy ได้ที่นี่ Click !
4.ข้อตกลงการประมวลข้อมูล หรือ Data Processing Agreement (DPA)
โดยปกติแล้ว DPA จะมีการกำหนดขอบเขต และวัตถุประสงค์ของข้อตกลงการประมวลผลข้อมูลส่วนบุคคล รายละเอียดของข้อมูลที่จะนำไปประมวลผล วิธีป้องกันการเสียหายของข้อมูล และกระบวนการระหว่างผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล โดยมีการกำหนดดังนี้
- ผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุข้อมูลที่แลกเปลี่ยนอย่างชัดเจน ว่ามีการส่งต่อข้อมูลส่วนบุคคลอะไรบ้างให้กับองค์กรภายนอก และระบุฝ่ายที่รับผิดชอบในการตรวจสอบว่าข้อมูลเป็นไปตามแนวปฏิบัติของกฎหมาย PDPA หรือไม่
- วัตถุประสงค์และขอบเขตในการประมวลผลข้อมูล
- กำหนดการของระยะเวลาที่ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ทำสัญญาว่าจะมีการเก็บรักษาข้อมูลเพื่อทำการตลาด ระยะเวลา 3 ปี หากเกินระยะเวลากำหนด ผู้ควบคุ้มข้อมูลจะต้องลบและทำลายข้อมูลทิ้ง
- ข้อตกลงเรื่องการกำหนดมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กฎหมายกําหนด
- ผู้ประมวลผลข้อมูลฯจะไม่นําข้อมูลที่ได้รับจากบริษัทไปใช้ในวัตถุประสงค์อื่นนอกเหนือจากที่ระบุในข้อตกลงฉบับนี้
- หากการกระทําใดของผู้ประมวลผลข้อมูลทําให้เกิดข้อพิพาท หรือความเสียหายแก่บริษัท ผู้ประมวลผลข้อมูลต้อง รับผิดชอบความเสียหายที่เกิดขึ้นทั้งหมด
5. จดหมายแจ้งการละเมิดข้อมูลส่วนบุคคล
เป็นฟอร์มที่องค์กรณ์ต้องเตรียมไว้เผื่อมีกรณีการละเมิดข้อมูลส่วนบุคคลขึ้น โดยต้องมีรายละเอียดดังนี้
- รายละเอียดของเหตุ ละเมิดข้อมูลส่วนบุคคล
- วันเวลาที่ทราบเหตุ
- ผู้ที่รายงานเหตุให้ทราบ (หากมี)
- รายการข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
- รูปแบบผลกระทบ ที่เกิดขึ้นกับข้อมูลส่วนบุคคล
- จำนวนเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
- มาตรการตอบสนองเพื่อหยุดยั้งเหตุละเมิดข้อมูล
- การแจ้งเหตุต่อเจ้าของข้อมูลส่วนบุคคล
- ติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
6.บันทึกการประมวลผลข้อมูลส่วนบุคคล (RoPA)
RoPA เป็นการจดบันทึกที่บอกว่าแผนกไหนในองค์กรทำอะไรบ้าง ทำด้วยวัตถุประสงค์อะไร และอยู่บนฐานกฎหมายข้อไหนที่อนุญาตให้ทำ จุดประสงค์หลักในการจดบันทึกคือ หากเกิดการละเมิดข้อมูลส่วนบุคคลขึ้นองค์กรจะสามารถตรวจสอบกระบวนการจัดการได้อย่างรวดเร็วตามกฎหมาย PDPA นอกจากนี้การบันทึก RoPA เราสามารถใช้ RoPA เป็นเสมือน Checklist ไว้ให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)” ได้เขียน และทบทวนกิจกรรมที่ทำอยู่นั้นมีการใช้ข้อมูลส่วนบุคคลหรือไม่ ที่มาขอข้อมูลถูกกฎหมายหรือไม่ สามารถวิเคราะห์ได้ฐานอะไร และใครเป็น Data Controller หรือ Data Processor ของกิจกรรมนี้ ดังนั้นหากมีการจดบันทึกข้อมูล RoPA อย่างละเอียด จะยิ่งลดความผิดพลาดในการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล >> RoPA (Record of Processing Activities) คืออะไร ใครต้องทำ? Click !
7.Cookies Consent
เป็นเอกสารขอความยินยอมในการเก็บข้อมูลของผู้เข้าใช้งาน ตามข้อกำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ซึ่งในส่วนของแพลตฟอร์มเว็บไซต์ที่มีการเก็บข้อมูลโดยคุกกี้จึงต้องปฏิบัติตามกฎหมาย
>> อ่านบทความ เว็บไซต์ประเภทไหนต้องขอ Cookie Consent ตามกฎหมาย PDPA Click !
8.การทำสิทธิ์ของเจ้าของข้อมูล
กฎหมาย PDPA บังคับใช้เพื่อเป็นการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคล ได้มีการให้สิทธิ และการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยองค์กรจะต้องมีช่องทางที่ลูกค้าสามารถเข้าถึง หรือรับทราบสิทธิของตัวเองได้ง่าย ซึ่งแน่นอนอยู่แล้วว่าทุก ๆ องค์กรจะต้องปฏิบัติตามสิทธิของเจ้าของข้อมูลส่วนบุคคล ดังต่อไปนี้ click !
9.Consent Management
สิ่งสำคัญที่สุดในการเก็บข้อมูล คือ การที่เราให้ลูกค้าตัดสินใจด้วยตัวเองในการอนุญาตการเก็บข้อมูลต่างๆ โดยไม่ฝ่าฝืนเก็บข้อมูลหากลูกค้าไม่ยินยอมให้เก็บ และเมื่อเก็บข้อมูลมาแล้ว ก็ต้องใช้ข้อมูลเหล่านั้นเพื่อประโยชน์ของลูกค้าเท่านั้น
ทั้งนี้ จาก ขั้นตอนทั้ง 9 ข้อที่เรานำมาแนะนำนี้ แม้จะเป็นเพียงแนวทางกว้างๆ ให้เป็นพื้นฐานสำหรับองค์กรที่ใช้ประโยชน์จาก Big Data สามารถนำไปต่อยอดหรือปรับรูปแบบให้เข้ากับกิจกรรมของธุรกิจ แต่ยังมีรายละเอียดอีกหลายด้านที่องค์กรธุรกิจที่ได้มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องปรับรูปแบบและกระบวนการต่างๆ ให้สอดคล้องกับกฎหมาย ด้วยเหตุนี้ ผู้ประกอบการจึงต้องศึกษาหรือสรรหาบุคลากรที่มีความรู้ ความเข้าใจในกฎหมาย PDPA มาช่วยให้การดำเนินการต่างๆ ได้ถูกต้องด้วย PDPA Starter Kit สินค้าและบริการที่คัดสรรรวบรวมมาเพื่อคุณ ให้สามารถดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA ได้อย่างสะดวก รวดเร็ว ครบถ้วน และถูกต้อง Click ที่นี่ เพื่อเข้าสู่หน้าบริการของเรา