เช็คลิสต์ 7 เรื่องต้องพร้อม ปรับองค์กรตอบรับ"กฏหมาย PDPA"
กฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้ 1 มิ.ย.65 ถือเป็นกฎหมายที่ทุกคนควรทราบและตระหนักรู้ถึงสิทธิในข้อมูลส่วนบุคคล ทุกองค์กรต้องปรับตัวให้ทัน เพราะหากมีการละเมิดข้อมูลส่วนบุคคล ทั้งที่ตั้งใจหรือไม่ตั้งใจจะมีความผิดตามกฎหมายได้
กระแสความเปลี่ยนแปลงของสังคมและเศรษฐกิจที่เกิดขึ้นอย่างต่อเนื่อง ทำให้หลายองค์กรต้องเตรียมความพร้อมและวางแผนรับมือทุกสถานการณ์ทั้งแผนหลักแผนสำรอง เพื่อผลักดันธุรกิจให้เดินหน้าต่ออย่างไม่สะดุด ทั้งนี้ในแผนเหล่านั้น พลาดไม่ได้ที่จะต้องมีเรื่องของการเตรียมความพร้อมเพื่อตอบรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) ที่มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา
และ ณ วันนี้ องค์กรควรต้องเช็คลิสดูว่า องค์กรคุณยังขาด ต้องปรับแก้ไข หรือต้องเตรียมการด้านข้อมูล บุคลากร และการปกป้องข้อมูลอย่างไรบ้าง เพื่อให้ธุรกิจดำเนินต่ออย่างถูกกฎหมาย ไม่สร้างความเสียหายทั้งต่อเจ้าของข้อมูลที่อาจเป็นลูกค้าคนสำคัญ หุ้นส่วนรายใหญ่ รวมถึงชื่อเสียงและทรัพย์สินขององค์กรในอนาคต
7 เรื่องต้องพร้อม ก่อนปรับองค์กรให้ตอบรับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)
1. ศึกษาข้อมูลเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ (PDPA)
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ให้ความคุ้มครองอย่างครอบคลุมไม่ว่าจะเป็น ชื่อ-นามสกุล หมายเลขบัตรประชาชน อายุ ที่อยู่ อีเมล เบอร์โทรศัพท์ รูปถ่าย รวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว ได้แก่ เชื้อชาติ ความเชื่อ ศาสนา ความเห็นทางการเมือง ข้อมูลด้านสุขภาพ และอื่นๆ ที่สื่อถึงตัวบุคคล
ดังนั้นองค์กรที่มีการเก็บข้อมูลของลูกค้า คู่ค้า ผู้มาติดต่อ ผู้บริหาร พนักงาน และลูกจ้าง ทั้งในรูปแบบของไฟล์หรือเอกสาร ควรจัดให้ผู้ที่เกี่ยวข้องกับข้อมูลนั้นๆ ได้ทำความเข้าใจและศึกษาข้อมูลเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล อย่างถ่องแท้ รวมทั้งสร้างการรับรู้และเข้าใจที่ตรงกันให้กับพนักงานทุกคน เพื่อปฏิบัติตามกฎหมายและรักษาข้อมูลส่วนบุคคลได้อย่างถูกต้อง ป้องกันการกระทำความผิดโดยรู้เท่าไม่ถึงการ
2. กำหนดบทบาทหน้าที่สำหรับผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างชัดเจน
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ได้กำหนดบทบาทหน้าที่ของผู้ที่มีส่วนเกี่ยวข้องและรับผิดชอบต่อข้อมูลไว้อย่างชัดเจน ดังนี้
- ผู้ควบคุมข้อมูลส่วนบุคคล บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล เป็นบุคคลหรือนิติบุคคลที่รับหน้าที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามที่ผู้ควบคุมข้อมูลส่วนบุคคลสั่งการ
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้ที่ได้รับการแต่งตั้งจากผู้ควบคุมข้อมูลส่วนบุคคล ที่มีความรู้ด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ดังนั้นเพื่อให้องค์กรสามารถวางแผนการปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคลอย่างถูกต้อง ควรจัดให้มีผู้ที่ทำหน้าที่ในด้านต่างๆ ตามรายละเอียดข้างต้นอย่างครบถ้วน เพื่อให้มีผู้ที่คอยดูแลรับผิดชอบและเก็บรักษาข้อมูลส่วนบุคคลได้อย่างถูกวิธีและปลอดภัยมากที่สุด
3. สำรวจข้อมูลต่างๆ ที่ใช้ในการดำเนินธุรกิจอย่างรอบด้าน
ข้อมูลด้านต่างๆ ที่ได้จากการสำรวจ จะทำให้เห็นภาพรวมว่าแท้จริงแล้วธุรกิจที่ทำอยู่นั้นมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลมากน้อยเพียงใด องค์กรได้เก็บข้อมูลอะไรไว้บ้าง หรือเข้าข่ายที่จะต้องเร่งดำเนินการให้ถูกต้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือไม่ เพื่อลดช่องโหว่การหลงลืมข้อมูลส่วนบุคคลบางส่วนที่อาจถูกเก็บไว้หรือมีการใช้งานอยู่
4. ระบุขั้นตอนและการจัดเก็บข้อมูลส่วนบุคคลอย่างเป็นระบบและมีมาตรฐาน
นอกจากการแบ่งหน้าที่บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในการรับผิดชอบดูแลข้อมูลส่วนต่างๆ แล้ว องค์กรควรมีมาตรฐานการจัดเก็บและดูแลข้อมูลอย่างเป็นระบบ มีมาตรฐาน ไม่ว่าจะเป็นรูปแบบของเอกสาร หรือไฟล์ โดยอาจกำหนดให้พื้นที่จัดเก็บข้อมูลนั้นมีการเข้ารหัส หรือมีระบบความปลอดภัยป้องกันการเข้าถึงจากบุคคลไม่หวังดี
แต่ขณะเดียวกันก็ต้องมีความโปร่งใสในการจัดเก็บและนำข้อมูลไปใช้ โดยต้องแจ้งให้เจ้าของข้อมูลทราบ และได้รับความยินยอมหรืออนุญาตให้นำข้อมูลไปใช้
นอกจากนี้ยังควรมีมาตรการแก้ไขปัญหา แนวทางการประเมินความเสียหาย และวิธีการรับผิดชอบต่อเจ้าของข้อมูล กรณีที่ข้อมูลที่ถูกจัดเก็บนั้นถูกโจรกรรมหรือมีการรั่วไหลเกิดขึ้น
5. วางแผนการจัดการและอัปเดตข้อมูล
การเก็บข้อมูลเป็นเวลานานๆ แน่นอนว่าต้องมีปัญหาของพื้นที่จัดเก็บไม่เพียงพอ ดังนั้นองค์กรที่ต้องเก็บข้อมูลส่วนบุคคลจำนวนมากๆ ควรมีการวางแผนการ หรือกำหนดระยะเวลาการจัดเก็บ หากไม่ถูกนำมาใช้เป็นเวลานานแค่ไหนจึงควรจัดการออกจากระบบอย่างถูกวิธีและปลอดภัย
นอกจากนี้ควรมีการอัปเดตข้อมูลให้เป็นปัจจุบันทั้งการเปลี่ยนแปลง แก้ไข หรือลบออกจากฐานข้อมูล โดยทุกความเปลี่ยนแปลงเกี่ยวกับข้อมูลนั้นต้องได้รับความยินยอมจากเจ้าของข้อมูลทุกครั้ง
6. จัดเตรียมเอกสารและแบบฟอร์มต่างๆ ที่ใช้เกี่ยวกับข้อมูล
เอกสารที่ควรจัดเตรียมไว้คือเอกสารหรือแบบฟอร์มเกี่ยวกับการใช้แจ้งวัตถุประสงค์การใช้ข้อมูล การขอความยินยอมจากเจ้าของข้อมูลกรณีที่จะมีการดำเนินการเปลี่ยนแปลง แก้ไข หรือลบข้อมูล รวมถึงแนวทางดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล โดยแบ่งเป็นรายละเอียดต่างๆ ดังนี้
- เอกสารเกี่ยวกับการกระทำต่างๆ กับข้อมูลส่วนบุคคล ที่มีรายละเอียดทั้งการจัดเก็บ การประมวลผล วัตถุประสงค์การนำข้อมูลไปใช้ และระบุบุคคลที่เกี่ยวข้องกับข้อมูลนั้นๆ
- แบบฟอร์มการขอสิทธิ์ใช้ข้อมูลส่วนบุคคล
- แบบฟอร์มสำหรับการแจ้งเตือนเจ้าของข้อมูล ในกรณีที่มีปัญหาการรั่วไหลของข้อมูล
- ข้อความแจ้งนโยบายความเป็นส่วนตัว หรือ Privacy Policy ที่ระบุรายละเอียดและเงื่อนไขต่างๆ อย่างครบถ้วนชัดเจน
- ข้อความขอความยินยอมเพื่อใช้คุกกี้
7. มองหาผู้ให้ บริการรับทำนโยบาย PDPA ที่มีความเชี่ยวชาญ
บริการรับทำนโยบาย PDPA จะเป็นเหมือนผู้ช่วยในการตรวจสอบการดำเนินการและตรวจทานเอกสารที่ใช้เกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พร้อมกับนำข้อมูลต่างๆ มาใช้ในการวิเคราะห์ ประเมินผลการดำเนินงาน วิเคราะห์ความเสี่ยง และการปรับปรุงแก้ไขให้สอดคล้องตามที่กฎหมายกำหนด ซึ่งสามารถช่วยแบ่งเบาและลดความเสี่ยงให้กับองค์กร และช่วยให้ปฏิบัติได้อย่างถูกต้องตามกฎหมาย
โดยควรเลือกผู้ให้บริการรับทำนโยบาย PDPA ที่มีความเชี่ยวชาญ และประสบการณ์ทางกฎหมาย ซึ่งจะช่วยให้คุณอุ่นใจและมั่นใจได้ว่าการดำเนินธุรกิจที่เกี่ยวข้องกับข้อมูลส่วนบุคคนั้น จะไม่ผิดกฎหมายอย่างแน่นอน
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ถือเป็นประเด็นสำคัญและข้อบังคับที่ทุกองค์กรที่ดำเนินธุรกิจเกี่ยวกับข้อมูลต้องเตรียมพร้อมและดำเนินการตามอย่างเคร่งครัด เพื่อจบปัญหาที่จะก่อให้เกิดความเสียหายทั้งกับลูกค้า คู่ค้า ผู้มาติดต่อ ลูกจ้าง หรือข้อมูลของบุคคลอื่นๆ รวมถึงองค์กรเองที่จะเสียหายทั้งชื่อเสียงและทรัพย์สินตามไปด้วย
ที่สำคัญการเตรียมพร้อมตั้งแต่วันนี้ยังช่วยให้เจ้าของธุรกิจมีเวลาในการศึกษารายละเอียด และจัดการข้อมูลได้อย่างครบถ้วน รวมทั้งยังมีเวลาที่จะวิเคราะห์ข้อมูลต่างๆ ที่อาจเป็นประโยชน์ต่อการพัฒนาต่อยอดธุรกิจในอนาคตได้อีกด้วย
อ้างอิงที่มา : www.dharmniti.co.th