Checklist 5 สิ่งที่องค์กรไทย “ต้องทำ” ตามข้อกำหนดของกฎหมาย PDPA
Checklist 5 สิ่งที่องค์กรไทย “ต้องทำ” ตามข้อกำหนดของกฎหมาย PDPA
Business
3 นาที
04 ต.ค. 2023
เรื่องนี้กลายเป็นประเด็นที่หลายองค์กรต้องเตรียมแผนการทำงานให้สอดคล้องกับกฎหมายเนื่องจากกฎหมายตัวนี้มีบทลงโทษทางปกครองปรับสูงสุด 5 ล้านบาท ทางอาญาปรับสูงสุด 1 ล้านบาท หรือจำคุกสูงสุด 1 ปี หรือทั้งจำทั้งปรับ และโทษทางแพ่งที่ต้องชดใช้ค่าเสียหายให้กับเจ้าของข้อมูลส่วนบุคคล และศาลอาจสั่งสินไหมลงโทษเพิ่มได้อีกเป็น 2 เท่า ซึ่งเป็นโทษที่สร้างความเสียหายต่อองค์กร
วันนี้เรามาทบทวน Checklist 5 สิ่งที่องค์กรไทย “ต้องทำ” ตามข้อกำหนดของกฎหมาย PDPA กันให้แน่ใจอีกรอบ ไปดูกันเลย
✅ 1. ต้อง “ตั้งแต่ง”
องค์กรต้องจัดตั้งและมอบหมายหน้าที่ให้บุคลากรหรือหน่วยงานเข้ามาทำหน้าที่ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO)” อย่างชัดเจน เพื่อช่วยอำนวยความสะดวกให้การจัดการข้อมูล การปรับเปลี่ยนกระบวนการ ตลอดจนเอกสารและระบบต่าง ๆ ให้เป็นไปอย่างราบรื่นและถูกหลักกฎหมาย PDPAโดยตัวอย่างหน้าที่ของ DPO ได้แก่
- จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ที่ระบุถึงวัตถุประสงค์ในการจัดเก็บข้อมูล การนำไปใช้ และการส่งต่อข้อมูลให้กับหน่วยงานอื่น ๆ
- จัดทำ Record of Processing Activities (ROPA) ซึ่งเป็นบันทึกการใช้และประมวลผลข้อมูลทั้งหมดขององค์กรที่สามารถตรวจสอบย้อนหลังได้
- จัดทำเอกสารขอความยินยอมในกรณีที่มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคล (Consent Form) จากเจ้าของข้อมูล
- จัดทำข้อตกลงการประมวลผล (Data Processing Agreement) ต้องมีการร่างสัญญาเกี่ยวกับหน้าที่ของผู้ประมวลผลข้อมูล และการดำเนินการเกี่ยวกับการจัดเก็บ ใช้ เปิดเผย ระงับ ลบ ทำลายข้อมูลส่วนบุคคลแบบเป็นลายลักษณ์อักษร
Image freepik.com
✅ 2. ต้อง “ประเมิน”
การประเมินความเสี่ยงในการประมวลผลและนำข้อมูลส่วนบุคคลมาใช้งาน เป็นมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลเพื่อพิจารณาความเสี่ยงและผลกระทบกับการทำธุรกิจโดยองค์กรต้องพิจารณากระบวนการ ดังต่อไปนี้
- องค์กรมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอะไรอยู่บ้าง
- ประเภทของข้อมูลส่วนบุคคลที่มี วัตถุประสงค์ในการประมวลผล วิธีการประมวลผล สถานที่จัดเก็บข้อมูลที่ใช้งานอยู่
- มีมาตรการทางเทคนิค มาตรการทางกายภาพ และมาตรการทางการบริหารจัดการอะไรบ้าง
✅ 3. ต้อง “จัดทำนโยบาย”
องค์กรต้องมี นโยบายคุ้มครองข้อมูลส่วนบุคคล เป็นเอกสารที่แสดงถึงเจตนาขององค์กรในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูล โดยนโยบายควรครอบคลุมถึงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล มาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล เป็นต้น
Image freepik.com
✅ 4. ต้อง “จัดกลุ่มข้อมูล”
องค์กรต้องค้นหาและจัดกลุ่มข้อมูลส่วนบุคคลอย่างเป็นระบบว่ามีข้อมูลส่วนบุคคลใดบ้างที่เคลื่อนไหวอยู่ และถูกจัดเก็บอยู่ภายใน หรือภายนอกองค์กร เพื่อจัดการข้อมูลทั้งหมดอย่างเป็นระบบ จำแนกข้อมูลส่วนบุคคลระหว่างข้อมูลส่วนบุคคลทั่วไป (Personal Data) และข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ออกมาให้ชัดเจน
✅ 5. ต้อง “ทำระบบป้องกัน”
ระบบป้องกันการรั่วไหลของข้อมูล เป็นการดูแลปกป้องข้อมูลในเชิงรุก โดยการวางแผนบริหารจัดการและป้องกันที่รัดกุม โดยหาวิธีป้องกันการถูกนำข้อมูลออกจากองค์กร และครอบคลุมถึงข้อมูลที่มีการจัดส่งผ่านสื่อต่าง ๆ โดยควรจะทำงานรวมกันกับทีมที่มีความรู้ทางด้านเทคโนโลยีอย่าง Cybersecurity เพื่อหาแนวทางการนำเทคโนโลยีมาใช้เพิ่มประสิทธิภาพการปกป้องข้อมูล
Source : techtalkthai, accrevo,
🔎 เมื่อสำรวจจาก Checklist ดูแล้ว หากข้อไหนยังตกหล่นไปองค์กรควรดำเนินการตรวจสอบและปฏิบัติตามกฎหมาย PDPA โดยเร็วที่สุด เพื่อสร้างความเชื่อมั่นให้กับเจ้าของข้อมูลส่วนบุคคล และลดความเสี่ยงในการถูกลงโทษจากหน่วยงานกำกับดูแล
และไม่ว่าจะเป็นเจ้าของ ผู้บริหาร หรือพนักงานก็ควรจะต้องมีความรู้ความเข้าใจเกี่ยวกับกฎหมาย PDPA เพื่อจะได้นำไปปฎิบัติใช้จริงอย่างถูกวิธี สำหรับคอร์สเรียน 📚 PDPA Compliance Workshop For Data Protection Officer (DPO) หลักสูตรฝึกอบรมกฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้สามารถนำไปปฏิบัติงานได้จริงในองค์กร พร้อมกับเวิร์คชอปที่ได้ฝึกปฏิบัติจริงกับ DPO มืออาชีพ 1 Day Workshop วันเสาร์ ที่ 11 พฤศจิกายน 2566 ที่ True Digital Academy
สามารถดูรายละเอียดเพิ่มเติมและสมัครเรียนได้ที่นี่:: https://bit.ly/3S2bpkL
———————————————-
สามารถติดตามความรู้และคอร์สเรียนที่น่าสนใจจาก True Digital Academy ได้ทุกช่องทาง
Website – https://bit.ly/3e9QZPw
Facebook – https://bit.ly/391XSkF
LinkedIn – https://bit.ly/3p7x08V
Instagram – https://bit.ly/2LwX5Ra
TikTok – https://bit.ly/3v8e0wV
YouTube – https://bit.ly/3is5lCx
