PDPA compliance solutions

การเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่รองรับ PDPA
แบบครบวงจร กับผู้เชี่ยวชาญด้าน PDPA ตัวจริง

PDPA คืออะไร? ธุรกิจต้องเตรียมตัวและต้องทำอะไรบ้าง? สรุปจบในที่เดียว!

     หลายๆ ท่านคงทราบกันดีถึงความสำคัญของข้อมูลในปัจจุบัน ข้อมูลทำให้มนุษย์ทราบถึงเรื่องต่างๆ รวมถึงสามารถนำข้อมูลไปใช้ประโยชน์ได้อย่างหลากหลาย โดยเฉพาะอย่างยิ่งในภาคธุรกิจ การรู้ข้อมูลที่สำคัญอาจสร้างผลประโยชน์มูลค่ามหาศาลได้ เช่น ข้อมูลส่วนบุคคลของลูกค้า จะสามารถพัฒนาต่อยอดเป็นสินค้า บริการหรือสามารถสื่อสารกับลูกค้าได้อย่างตรงจุด และด้วยความสำคัญของข้อมูลที่มากขึ้น การละเมิดสิทธิข้อมูลส่วนบุคคลก็มีมากขึ้นเช่นกัน เช่น เกิดอาชญากรรมของข้อมูล ขโมยหรือสวมรอยข้อมูล เป็นต้น ด้วยเหตุดังกล่าวจึงมีความจำเป็นที่รัฐจะต้องเข้ามามีบทบาทในการจำกัดสิทธิและเสรีภาพของบุคคลให้ปฎิบัติตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล หรือ
PDPA ซึ่งย่อมาจาก Personal data protection act. เพื่อคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพและให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิ
image

PDPA คืออะไร? ย่อมาจากอะไร?

     PDPA ย่อมาจาก Personal data protection act. ซึ่งก็คือ พระราชบัญญัติ (พรบ.) คุ้มครองข้อมูลส่วนบุคคล นั่นเอง เป็นกฎหมายระเบียบข้อบังคับเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยเจ้าของข้อมูล (Data subject) ไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม เว้นแต่บทบัญญัติแห่งพระราชบัญญัติหรือกฎหมายอื่นบัญญัติให้ทำได้ (มาตรา19) รวมถึงต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลซึ่งผู้ควบคุมข้อมูลจะไม่สามารถกระทำการเก็บ ใช้ หรือเปิดเผยนอกเหนือจากวัตถุประสงค์ที่แจ้งได้ (มาตรา21)

PDPA และ GDPR แตกต่างกันอย่างไร?

     GDPR ย่อมาจาก General data protection regulation เป็นระเบียบข้อบังคับของกฎหมายในสหภาพยุโรปที่ว่าด้วยการคุ้มครองข้อมูลความเป็นส่วนตัวของประชาชนในกลุ่มประเทศสหภาพยุโรป (EU) และป้องกันการนำข้อมูลไปใช้โดยผิดกฎหมาย ซึ่งวันที่มีผลบังคับใช้ คือ วันที่ 25 พฤษภาคม 2561 รวมถึงมีการระบุถึงข้อบังคับในการถ่ายโอนข้อมูลส่วนบุคคลนอกเขต EU และ EEA ด้วย GDPR จึงสามารถใช้บังคับกับประเทศไทยได้เมื่อมีการ ติดต่อ แลกเปลี่ยน รับส่งข้อมูลระหว่างประเทศไทยกับประเทศในสหภาพยุโรป
 
      PDPA ย่อมาจาก Personal data protection act. เป็นพระราชบัญญัติที่กำหนดไว้ใช้คุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ซึ่งได้มี GDPR เป็นกฎหมายต้นแบบในการเขียน โดยที่ PDPA จะมีข้อกำหนดที่น้อยกว่าและมีการมุ่งเน้นในการมอบภาระหน้าที่ให้กับผู้ควบคุมข้อมูลในการดำเนินการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลตามมาตราการเพื่อรักษาสิทธิความเป็นส่วนตัวของข้อมูล ในขณะที่ GDPR จะมุ่งเน้นไปที่การปกป้องการประมวลผลของข้อมูลเป็นหลัก (Data processing)
image

การประกาศใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เริ่มเมื่อไหร่?

     พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคลได้มีประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และได้ถูกเลื่อนการบังคับใช้เพื่อให้ภาคประชาชนและภาคธุรกิจได้เตรียมความพร้อมกับกฎหมายฉบับนี้ จนมาถึงปัจจุบันวันที่มีผลบังคับใช้เต็มรูปแบบ คือ วันที่ 1 มิถุนายน 2565 และจะมีการออกกฎหมายลูกของพรบ. คุ้มครองข้อมูลเพื่อคุ้มครองข้อมูลส่วนบุคคลเพิ่มเติมในอนาคต

ข้อมูลส่วนบุคคล คืออะไร? อะไรเป็นข้อมูลส่วนบุคคลและอะไรที่ไม่ใช่?

     ตามมาตราที่ 6 ใน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ระบุไว้ว่า ข้อมูลส่วนบุคคล คือ ข้อมูลที่เกี่ยวข้องกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมก็ตาม ตัวอย่างของข้อมูลส่วนบุคคล เช่น ชื่อ นามสกุล เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ ประวัติการทำงาน ข้อมูลการศึกษา ข้อมูลด้านการเงิน ข้อมูลสุขภาพ ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน วันเดือนปีเกิด เชื้อชาติ น้ำหนักส่วนสูง รูปถ่าย ข้อมูลบนอินเทอร์เน็ตที่ระบุตัวตนได้ เช่น Username - password,  Cookies IP address,  GPS Location
     สำหรับข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของบุคคลได้ เช่น ข้อมูลของบริษัท อีเมลบริษัท ข้อมูลนิรนาม ข้อมูลผู้ตาย เลขทะเบียนบริษัท เบอร์โทรศัพท์บริษัท ที่อยู่สำนักงาน จะไม่ถือว่าเป็นข้อมูลส่วนบุคคล
image
ชื่อ - นามสกุล
image
ที่อยู่
image
เบอร์โทรศัพท์
image
อีเมล
     นอกจากนี้ยังมี ข้อมูลที่มีความละเอียดอ่อนเป็นพิเศษ (Sensitive personal data) ที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องระมัดระวังในการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบที่ร้ายแรงต่อเจ้าของข้อมูลได้มากกว่าข้อมูลส่วนบุคคลแบบปกติ ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ ซึ่งเมื่อกระทำผิดจะทำให้มีบทลงโทษที่รุนแรงขึ้นด้วย ตัวอย่างเช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ เป็นต้น
image
ความเห็นทางการเมือง
image
ประวัติอาชญากรรม
image
ข้อมูลสุขภาพ
image
ข้อมูลชีวภาพ

ใครบ้างที่มีส่วนเกี่ยวข้องกับ PDPA?

image
เจ้าของข้อมูลส่วนบุคคล (Data subject) คือ บุคคลที่ข้อมูลส่วนบุคคลนั้นๆ สามารถชี้ระบุถึงได้ หรือก็คือ ตัวเรา ซึ่งภายใต้พรบ. คุ้มครองข้อมูลส่วนบุคคลได้ให้การปกป้องคุ้มครองสิทธิบุคคลในกลุ่มนี้เป็นหลัก
image
ผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือก็คือ บริษัทหรือองค์กรต่างๆ ซึ่งภายใต้พรบ. คุ้มครองข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่หลักในการปฏิบัติตามและรับผิดชอบต่อข้อมูลส่วนบุคคล
image
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล หรือก็คือ ผู้ที่เก็บใช้ เปิดเผยข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลนั่นเอง
image
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล คือ คณะกรรมการจากภาครัฐที่ได้รับการแต่งตั้งขึ้น โดยมีหน้าที่ในการกำกับดูแล ออกหลักเกณฑ์ รับเรื่องร้องเรียนและตรวจสอบ รวมถึงส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

การขอและถอนความยินยอมข้อมูลส่วนบุคคลจากเจ้าของข้อมูล ต้องทำอย่างไร?

     การขอความยินยอมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลสามารถทำได้ทั้งการเขียนเป็นลายลักษณ์อักษรทางหนังสือหรือกระทำผ่านทางระบบอิเล็กทรอนิกซ์ก็ได้ แต่ต้องมีรายละเอียดที่แจ้งไว้ เช่น ต้องแสดงการขอความยินยอมอย่างชัดแจ้ง ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องแยกการขอความยินยอมจากข้อความอื่นอย่างชัดเจน ข้อความต้องเข้าใจง่ายอ่านง่ายไม่หลอกลวงและต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูล

     การถอนความยินยอมของข้อมูลส่วนบุคคล ผู้ที่เป็นเจ้าของข้อมูลสามารถถอนความยินยอมเมื่อใดก็ได้และต้องถอนความยินยอมนั้นๆ ได้โดยง่ายเหมือนตอนที่ให้ความยินยอม และผู้ควบคุมข้อมูลจะต้องแจ้งให้เจ้าของข้อมูลทราบล่วงหน้าถึงผลกระทบเมื่อเจ้าของข้อมูลถอนความยินยอม

การเก็บรวบรวมข้อมูลส่วนบุคคล ต้องทำอะไรบ้าง?

     ตามมาตรา 22 ที่ได้ระบุใน  พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ผู้ควบคุมข้อมูลจะต้องจัดเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้ระบุไว้เท่านั้น รวมถึงต้องแจ้งให้เจ้าของข้อมูลทราบถึง วัตถุประสงค์ของการจัดเก็บ ข้อมูลที่จัดเก็บ ระยะเวลาในการจัดเก็บ ผลกระทบเมื่อจ้าของข้อมูลไม่ยินยอม หน่วยงานที่ข้อมูลอาจถูกเปิดเผยและข้อมูลที่เกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
         
     ในการจัดเก็บข้อมูล ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถเก็บข้อมูลจากที่อื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงได้ ยกเว้นว่าผู้ควบคุมข้อมูลได้แจ้งให้เจ้าของบุคคลทราบภายใน 30 วัน รวมถึงไม่สามารถเก็บรวบรวมข้อมูลที่มีความละเอียดอ่อน เช่น เชื้อชาติ พฤติกรรมทางเพศ ประวัติอาชญากรรม ได้หากไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าข้องข้อมูลส่วนบุคคล

การใช้หรือเปิดเผยข้อมูลส่วนบุคคล ต้องทำอย่างไร?

     พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีระเบียบข้อบังคับระบุห้ามไม่ให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล รวมถึงห้ามใช้หรือเปิดเผยข้อมูลนั้นๆเมื่ออยู่นอกเหนือวัตถุประสงค์ที่แจ้งไว้ สำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์กรที่รับข้อมูลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพออีกด้วย

ตัวอย่างสิทธิของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคล (Data subject) มีสิทธิกับข้อมูลของตนเอง ตามมาตรา 30- 35 ใน พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ดังนี้
  1. สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) – ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล พร้อมระบุรายละเอียดการขอข้อมูล เช่น เก็บข้อมูลอะไร วัตถุประสงค์ การนำไปใช้ ระยะเวลาในการเก็บ เป็นต้น
  2. สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) – เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล ที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มา ซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
  3. สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) - เป็นสิทธิที่เจ้าของข้อมูลสามารถนำเอาข้อมูลที่ให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกรายหนึ่งได้
  4. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object) - เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้
  5. สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure)
  6. สิทธิขอให้ระงับการใช้ข้อมูล - เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ ข้อมูลส่วนบุคคลได้
  7. สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล – ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

บทลงโทษเมื่อผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตาม PDPA

     เมื่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามระเบียบข้อบังคับของพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ซึ่งก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะโดยจงใจหรือประมาทเลินเล่อก็ตาม จะมีโทษตามกฎหมายดังนี้

image
ความรับผิดทางแพ่ง – อัตราโทษชดใช้ค่าสินไหมทดแทนสูงสุด 2 เท่าของความเสียหายจริง อายุความ 3 ปีนับตั้งแต่รู้เรื่อง และ 10 ปีนับตั้งแต่เกิดการละเมิด
image
ความรับผิดทางอาญา – อัตราโทษจำคุกสูงสุด 1 ปี ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ ซึ่งความผิดนี้เป็นความผิดที่สามารถยอมความได้
image
ความรับผิดทางปกครอง -  อัตราโทษปรับสูงสุด ไม่เกิน 5 ล้านบาท

ผู้ประกอบการต้องทำอะไรบ้าง ในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

     ด้วยพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีบทบาทหลักในการบังคับให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) ปฏิบัติตามบทบัญญัติเพื่อให้คุ้มครองและไม่ละเมิดต่อสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data subject) ผู้ประกอบการจึงต้องมีการปรับเปลี่ยนองค์กรทั้งพนักงาน กระบวนการและเทคโนโลยีเพื่อให้รองรับต่อ PDPA โดยผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ปฏิบัติดังต่อไปนี้
  1. ต้องขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผย จากเจ้าของข้อมูลส่วนบุคคล (Consent Management)
  2. ต้องมีการประเมินความเสี่ยงของข้อมูลส่วนบุคคล (Personal Data Risk Assessment)
  3. จัดทำนโยบายการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล (Privacy Policies) - ผู้ควบคุมข้อมูลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล และต้องทบทวน มาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป
  4. ต้องป้องกันไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบ - ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันไม่ให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
  5. จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล – ลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือข้อมูลไม่เกี่ยวข้องตามวัตถุประสงค์ หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือตามที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม
  6. แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล - แจ้งเหตุแก่สำนักงานภายใน 72 ชั่วโมง นับแต่ทราบเหตุ ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยา
  7. จัดทำบันทึกรายการ - ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ ซึ่งสามารถบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ เช่น ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ระยะเวลาการเก็บรักษา สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล การใช้หรือเปิดเผย การปฏิเสธคำขอหรือการคัดค้าน คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
  8. แต่งตั้งตัวแทนภายในราชอาณาจักร - ต้องแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใด ๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data protection officer: DPO ) มีหน้าที่ต่อไปนี้
    • ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ลูกจ้าง และบุคคลอื่นๆที่เกี่ยวข้องกับพรบ. นี้
    • ตรวจสอบการดำเนินงานเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
    • ประสานงานและให้ความร่วมมือกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกรณีเกิดปัญหา
    • รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาจากการปฏิบัติหน้าที่ตามกฎหมายนี้

สรุปขั้นตอนในการเตรียมความพร้อมให้องค์กรรองรับต่อ PDPA ต้องทำอะไรบ้าง?

  1. ตั้งคณะทำงานภายในองค์กร – จัดตั้งคณะกรรมการในองค์กรเบื้องต้น ได้แก่ ฝ่ายกำหนดนโยบายองค์กร ฝ่ายกฎหมาย ฝ่ายเทคโนโลยีสารสนเทศและฝ่ายบุคคล เพื่อร่วมกันกำหนดและศึกษาทำความเข้าใจบริบทของกฎหมาย เตรียมความพร้อมปรับเปลี่ยนให้องค์กรรองรับต่อ พรบ. คุ้มครองข้อมูลส่วนบุคคล
  2. จับคู่ข้อมูล (Data map) – ตรวจสอบกระบวนการที่ใช้เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีในองค์กร ตามกระบวนการไหลของข้อมูล (Data flow) เพื่อให้ทราบถึงแหล่งและประเภทข้อมูล
  3. แต่งตั้งเจ้าหน้าที่ คุ้มครองข้อมูล (DPO) - เพื่อดำเนินการให้คำแนะนำ ตรวจสอบ ประสานงานให้ความร่วมมือพร้อมรักษาความลับของข้อมูลส่วนบุคคล
  4. ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data protection Impact) – บอกถึงขอบเขตวัตถุประสงค์ ความจำเป็น ของข้อมูลส่วนบุคคล เพื่อนำมาจัดการความเสี่ยงและกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคล
  5. ระบุ บันทึกแหล่งที่มาของข้อมูลส่วนบุคคลที่หน่วยงานจัดเก็บ
  6. กำหนดและแยกแยะข้อมูลส่วนบุคคลตามความเสี่ยงและความร้ายแรงที่อาจกระทบต่อสิทธิและเสรีภาพของบุคคล
  7. ระบุ กำหนดฐานการประมวลผลของข้อมูลส่วนบุคคลแบบทั่วไป และแบบละเอียดอ่อน
  8. กำหนดหลักเกณฑ์และวิธีการขอความยินยอมสอดคล้องกับสิทธิของเจ้าของข้อมูล – รวมถึงการใช้สิทธิถอนความยินยอม ขอการเข้าถึงและสิทธิในการปรับปรุงข้อมูลให้เป็นปัจจุบัน
  9. จัดทำนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลขององค์กร - กำหนดหลักการต่างๆ เช่น การรวบรวม การใช้หรือการรักษาข้อมูลส่วนบุคคล เป็นต้น
  10. กำหนดให้มีมาตรการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ - ต้องสอดคล้องกับมาตรฐานสากล เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ แปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย
  11. กำกับ ดูแล ตรวจสอบและประเมินความเสี่ยง
  12. ทบทวน ปรับปรุงกระบวนการและมาตรการการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  13. สร้างความตระหนักรู้ และฝึกอบรม – ฝึกอบรมให้ความรู้กับผู้ที่เกี่ยวข้องเป็นประจำ
  14. กำหนดมาตรการที่เหมาะสมด้านการรั่วไหลของข้อมูล (Data Breaches)
  15. การออกแบบและพัฒนาระบบโดยคำนึงถึงความมั่นคงปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคล (Security and Privacy by Design) – ออกแบบและพัฒนาระบบเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น การใช้นามแฝง หรือ การเข้ารหัสข้อมูล (Encoding)
  16. กำหนดให้มีการรักษาความมั่นคงปลอดภัยข้อมูลทางด้านกายภาพ (Physical Security)
  17. กำหนดหน้าที่และความรับผิดชอบที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน
  18. กำหนดมาตรการหรือแนวปฏิบัติที่เกี่ยวข้องกับการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศที่เพียงพอ (Cross-Border Data Transfer)

ปัจจัยสู่ความสำเร็จในการปฏิบัติตาม PDPA (Key success factor)

      องค์กรต่างๆ จะประสบความสำเร็จในการปฏิบัติตามพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้ก็ต่อเมื่อ องค์กรนั้นๆ ประสบความสำเร็จในการบริหารจัดการกับปัจจัยทั้ง 3 ปัจจัย ซึ่งประกอบไปด้วย
  • ปัจจัยด้านบุคคล (People) – องค์กรต้องดูแลและควบคุมบุคคลให้ปฏิบัติตาม PDPA โดยอาจทำได้หลายวิธี เช่น การให้ความรู้ การอบรม การให้คำแนะนำ รวมถึงการใช้หนังสือหรือเอกสารทางอิเล็กทรอนิกส์เพื่อขอความยินยอมของบุคคลนั้นๆ
  • ปัจจัยด้านกระบวนการจัดการ (Process) – องค์กรต้องตรวจสอบการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในปัจจุบันเพื่อระบุถึงที่มาของข้อมูล ประเภทของข้อมูล จัดกลุ่มข้อมูล ระบุถึงความเสี่ยงของข้อมูล และปรับเปลี่ยนวิธีการเมื่อพบว่าวิธีการนั้นมีความเสี่ยงต่อการละเมิดสิทธิข้อมูลส่วนบุคคล
  • ปัจจัยด้านเทคโนโลยี (Technology) - องค์กรต้องใช้เครื่องมือที่ทันสมัยเพื่อมารองรับในการดำเนินงาน ให้การจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามพรบ. คุ้มครองข้อมูลส่วนบุคคล เช่น ระบบป้องกันข้อมูลรั่วไหล (Data loss prevention) ระบบแจ้งเตือน หรือระบบการเก็บข้อมูล เป็นต้น
     เมื่อพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เริ่มประกาศใช้ องค์กรหลายๆ องค์กรต่างมองหาเทคโนโลยีที่ช่วยให้องค์กรของตนมีเอกสารที่รองรับต่อ PDPA เพื่อไม่ให้ผิดกฎหมาย แต่ในทางปฏิบัติแล้วองค์กรจะต้องเริ่มปรับเปลี่ยนจากกระบวนการจัดการ (Process) ข้อมูลส่วนบุคคลก่อน เพื่อให้กระบวนการนั้นคัดแยกข้อมูล จัดเก็บ ระบุกลุ่ม ทราบแหล่งที่มา ได้อย่างถูกต้อง และสามารถตามข้อมูลได้อย่างแม่นยำเมื่อเกิดปัญหารั่วไหล หลังจากเมื่อกระบวนการจัดการข้อมูลส่วนบุคคลได้ถูกสร้างสำเร็จแล้ว จึงค่อยนำเทคโนโลยีมาช่วยดูแลกระบวนการนั้นให้ทำงานได้ง่ายขึ้น รวดเร็วขึ้น และแม่นยำขึ้น
image

DTCi ให้คำปรึกษาและจัดทำ PDPA แบบครบวงจร

     DTC internetworking Co.,Ltd เป็นผู้เชี่ยวชาญที่สามารถให้คำปรึกษาเรื่องการจัดทำเอกสารและออกแบบระบบโครงสร้างทางไอทีในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล พร้อมรองรับต่อพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้อย่างครบวงจรด้วยกรอบความคิด Framework “3A” ที่มีรายละเอียดดังนี้
  • Action – ทำการตรวจสอบข้อมูลส่วนบุคคล (Data governance) เพื่อบอกถึงประเภทและที่อยู่ของข้อมูล ผู้ที่สามารถเข้าถึงได้ สิทธิและหน้าที่ความรับผิดชอบที่เกิดขึ้นของข้อมูลนั้นๆ และประเมินความเสี่ยงของข้อมูลส่วนบุคคล (Risk assessment) เพื่อให้แน่ใจว่าระบบการรักษาความปลอดภัยของข้อมูล ถูกออกแบบอย่างถูกต้อง
  • Awareness – ออกแบบและจัดทำเอกสารเพื่อให้รองรับต่อข้อพรบ. คุ้มครองข้อมูลส่วนบุคคล PDPA (Policy & legal) บริหาร law compliance ให้มีประสิทธิภาพและครอบคลุม เช่น Contracts, Consent forms, Privacy policy, Privacy notices รวมถึงฝึกอบรม (Training) ให้พนักงาน เจ้าหน้าที่หรือผู้ที่เกี่ยวข้องได้ตระหนักในบทบาทและองค์ความรู้ต่างๆ ที่ควรรู้ในข้อบัญญัติ
  • Alert – ออกแบบมาตรการรับมือและตอบสนอง (Breach notification & Response) ต่อภัยคุกคามที่ส่งผลกระทบ ทำให้ข้อมูลรั่วไหล และมีการบริหารจัดการที่เหมาะสมเมื่อมีเหตุรั่วไหลเกิดขึ้น
     โดย “3A” จะถูกแบ่งออกเป็น 3 Phases ช่วงเวลาด้วยกัน ดังนี้

image
Phase I – วิเคราะห์ข้อมูลส่วนบุคคลที่องค์กรได้เก็บรวบรวม ใช้ หรือเปิดเผย โดยมีการปฏิบัติตาม “3A” Framework ซึ่งจะชี้ให้เห็นถึงช่องว่างหรือความเสี่ยงขององค์กรที่อาจมีการละเมิดข้อมูลส่วนบุคคลได้
image
Phase II – แนะนำมาตรการหรือเครื่องมือทั้งฮาร์ดแวร์และซอฟต์แวร์ รวมถึงให้คำแนะนำที่พบจาก Phase I มาปรับแก้ไขกระบวนการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อป้องกันการละเมิดและเพิ่มความแข็งแกร่งให้กับระบบรักษาความปลอดภัยขององค์กร
image
Phase III – ทบทวนมาตรการพร้อมพัฒนาแผนการดำเนินงานให้เป็นปัจจุบัน
     โดยสรุปแล้วจะเห็นได้ว่าการปฏิบัติตามพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) นั้นเป็นเรื่องที่ทำได้ค่อนข้างยากหากไม่มีผู้เชี่ยวชาญที่รู้จริงทั้งด้านกฎหมาย ด้านเอกสารและด้านไอทีมาคอยช่วยเหลือให้คำแนะนำ ซึ่ง DTCi สามารถนำพาองค์กรของท่านรองรับต่อ PDPA ได้อย่างครบวงจรอย่างมีหลักการได้ ถ้าท่านสนใจสามารถสอบถามรายละเอียดเพิ่มเติมได้ที่ด้านล่างหรือติดต่อที่ Sales@dtci.co.th หรือ 02-294-6776
 
ขอบคุณเครดิตข้อมูล:
Contact Us

พบกับผู้เชี่ยวชาญด้านความต่อเนื่องของธุรกิจที่ช่วยให้คำปรึกษาและแก้ไข
ปัญหาด้านระบบ IT พร้อมให้คำแนะนำที่สามารถนำไปใช้ได้จริง


Data-Center-Contact-Us
Powered by MakeWebEasy.com
เว็บไซต์นี้มีการใช้งานคุกกี้ เพื่อเพิ่มประสิทธิภาพและประสบการณ์ที่ดีในการใช้งานเว็บไซต์ นโยบายความเป็นส่วนตัวและคุกกี้