เช็คลิสต์ 7 เรื่องต้องพร้อม ปรับองค์กรตอบรับ"กฏหมาย PDPA"

กระแสความเปลี่ยนแปลงของสังคมและเศรษฐกิจที่เกิดขึ้นอย่างต่อเนื่อง ทำให้หลายองค์กรต้องเตรียมความพร้อมและวางแผนรับมือทุกสถานการณ์ทั้งแผนหลักแผนสำรอง เพื่อผลักดันธุรกิจให้เดินหน้าต่ออย่างไม่สะดุด ทั้งนี้ในแผนเหล่านั้น พลาดไม่ได้ที่จะต้องมีเรื่องของการเตรียมความพร้อมเพื่อตอบรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) ที่มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา

 

และ ณ วันนี้ องค์กรควรต้องเช็คลิสดูว่า องค์กรคุณยังขาด ต้องปรับแก้ไข หรือต้องเตรียมการด้านข้อมูล บุคลากร และการปกป้องข้อมูลอย่างไรบ้าง เพื่อให้ธุรกิจดำเนินต่ออย่างถูกกฎหมาย ไม่สร้างความเสียหายทั้งต่อเจ้าของข้อมูลที่อาจเป็นลูกค้าคนสำคัญ หุ้นส่วนรายใหญ่ รวมถึงชื่อเสียงและทรัพย์สินขององค์กรในอนาคต

 

7 เรื่องต้องพร้อม ก่อนปรับองค์กรให้ตอบรับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)

 

1. ศึกษาข้อมูลเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ (PDPA)

 

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ให้ความคุ้มครองอย่างครอบคลุมไม่ว่าจะเป็น ชื่อ-นามสกุล หมายเลขบัตรประชาชน อายุ ที่อยู่ อีเมล เบอร์โทรศัพท์ รูปถ่าย รวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว ได้แก่ เชื้อชาติ ความเชื่อ ศาสนา ความเห็นทางการเมือง ข้อมูลด้านสุขภาพ และอื่นๆ ที่สื่อถึงตัวบุคคล

 

ดังนั้นองค์กรที่มีการเก็บข้อมูลของลูกค้า คู่ค้า ผู้มาติดต่อ ผู้บริหาร พนักงาน และลูกจ้าง ทั้งในรูปแบบของไฟล์หรือเอกสาร ควรจัดให้ผู้ที่เกี่ยวข้องกับข้อมูลนั้นๆ ได้ทำความเข้าใจและศึกษาข้อมูลเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล อย่างถ่องแท้ รวมทั้งสร้างการรับรู้และเข้าใจที่ตรงกันให้กับพนักงานทุกคน เพื่อปฏิบัติตามกฎหมายและรักษาข้อมูลส่วนบุคคลได้อย่างถูกต้อง ป้องกันการกระทำความผิดโดยรู้เท่าไม่ถึงการ
 

2. กำหนดบทบาทหน้าที่สำหรับผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างชัดเจน

 

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ได้กำหนดบทบาทหน้าที่ของผู้ที่มีส่วนเกี่ยวข้องและรับผิดชอบต่อข้อมูลไว้อย่างชัดเจน ดังนี้

 

• ผู้ควบคุมข้อมูลส่วนบุคคล บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

• ผู้ประมวลผลข้อมูลส่วนบุคคล เป็นบุคคลหรือนิติบุคคลที่รับหน้าที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามที่ผู้ควบคุมข้อมูลส่วนบุคคลสั่งการ

• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้ที่ได้รับการแต่งตั้งจากผู้ควบคุมข้อมูลส่วนบุคคล ที่มีความรู้ด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล

 

ดังนั้นเพื่อให้องค์กรสามารถวางแผนการปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคลอย่างถูกต้อง ควรจัดให้มีผู้ที่ทำหน้าที่ในด้านต่างๆ ตามรายละเอียดข้างต้นอย่างครบถ้วน เพื่อให้มีผู้ที่คอยดูแลรับผิดชอบและเก็บรักษาข้อมูลส่วนบุคคลได้อย่างถูกวิธีและปลอดภัยมากที่สุด

 

3. สำรวจข้อมูลต่างๆ ที่ใช้ในการดำเนินธุรกิจอย่างรอบด้าน

 

ข้อมูลด้านต่างๆ ที่ได้จากการสำรวจ จะทำให้เห็นภาพรวมว่าแท้จริงแล้วธุรกิจที่ทำอยู่นั้นมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลมากน้อยเพียงใด องค์กรได้เก็บข้อมูลอะไรไว้บ้าง หรือเข้าข่ายที่จะต้องเร่งดำเนินการให้ถูกต้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือไม่ เพื่อลดช่องโหว่การหลงลืมข้อมูลส่วนบุคคลบางส่วนที่อาจถูกเก็บไว้หรือมีการใช้งานอยู่

 

4. ระบุขั้นตอนและการจัดเก็บข้อมูลส่วนบุคคลอย่างเป็นระบบและมีมาตรฐาน

 

นอกจากการแบ่งหน้าที่บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในการรับผิดชอบดูแลข้อมูลส่วนต่างๆ แล้ว องค์กรควรมีมาตรฐานการจัดเก็บและดูแลข้อมูลอย่างเป็นระบบ มีมาตรฐาน ไม่ว่าจะเป็นรูปแบบของเอกสาร หรือไฟล์ โดยอาจกำหนดให้พื้นที่จัดเก็บข้อมูลนั้นมีการเข้ารหัส หรือมีระบบความปลอดภัยป้องกันการเข้าถึงจากบุคคลไม่หวังดี

 

แต่ขณะเดียวกันก็ต้องมีความโปร่งใสในการจัดเก็บและนำข้อมูลไปใช้ โดยต้องแจ้งให้เจ้าของข้อมูลทราบ และได้รับความยินยอมหรืออนุญาตให้นำข้อมูลไปใช้

 

นอกจากนี้ยังควรมีมาตรการแก้ไขปัญหา แนวทางการประเมินความเสียหาย และวิธีการรับผิดชอบต่อเจ้าของข้อมูล กรณีที่ข้อมูลที่ถูกจัดเก็บนั้นถูกโจรกรรมหรือมีการรั่วไหลเกิดขึ้น

 

5. วางแผนการจัดการและอัปเดตข้อมูล

 

การเก็บข้อมูลเป็นเวลานานๆ แน่นอนว่าต้องมีปัญหาของพื้นที่จัดเก็บไม่เพียงพอ ดังนั้นองค์กรที่ต้องเก็บข้อมูลส่วนบุคคลจำนวนมากๆ ควรมีการวางแผนการ หรือกำหนดระยะเวลาการจัดเก็บ หากไม่ถูกนำมาใช้เป็นเวลานานแค่ไหนจึงควรจัดการออกจากระบบอย่างถูกวิธีและปลอดภัย

 

นอกจากนี้ควรมีการอัปเดตข้อมูลให้เป็นปัจจุบันทั้งการเปลี่ยนแปลง แก้ไข หรือลบออกจากฐานข้อมูล โดยทุกความเปลี่ยนแปลงเกี่ยวกับข้อมูลนั้นต้องได้รับความยินยอมจากเจ้าของข้อมูลทุกครั้ง

 

6. จัดเตรียมเอกสารและแบบฟอร์มต่างๆ ที่ใช้เกี่ยวกับข้อมูล

 

เอกสารที่ควรจัดเตรียมไว้คือเอกสารหรือแบบฟอร์มเกี่ยวกับการใช้แจ้งวัตถุประสงค์การใช้ข้อมูล การขอความยินยอมจากเจ้าของข้อมูลกรณีที่จะมีการดำเนินการเปลี่ยนแปลง แก้ไข หรือลบข้อมูล รวมถึงแนวทางดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล โดยแบ่งเป็นรายละเอียดต่างๆ ดังนี้

 

• เอกสารเกี่ยวกับการกระทำต่างๆ กับข้อมูลส่วนบุคคล ที่มีรายละเอียดทั้งการจัดเก็บ การประมวลผล วัตถุประสงค์การนำข้อมูลไปใช้ และระบุบุคคลที่เกี่ยวข้องกับข้อมูลนั้นๆ

•  แบบฟอร์มการขอสิทธิ์ใช้ข้อมูลส่วนบุคคล

• แบบฟอร์มสำหรับการแจ้งเตือนเจ้าของข้อมูล ในกรณีที่มีปัญหาการรั่วไหลของข้อมูล

• ข้อความแจ้งนโยบายความเป็นส่วนตัว หรือ Privacy Policy ที่ระบุรายละเอียดและเงื่อนไขต่างๆ อย่างครบถ้วนชัดเจน

• ข้อความขอความยินยอมเพื่อใช้คุกกี้

 

7. มองหาผู้ให้ บริการรับทำนโยบาย PDPA ที่มีความเชี่ยวชาญ

 

บริการรับทำนโยบาย PDPA จะเป็นเหมือนผู้ช่วยในการตรวจสอบการดำเนินการและตรวจทานเอกสารที่ใช้เกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พร้อมกับนำข้อมูลต่างๆ มาใช้ในการวิเคราะห์ ประเมินผลการดำเนินงาน วิเคราะห์ความเสี่ยง และการปรับปรุงแก้ไขให้สอดคล้องตามที่กฎหมายกำหนด ซึ่งสามารถช่วยแบ่งเบาและลดความเสี่ยงให้กับองค์กร และช่วยให้ปฏิบัติได้อย่างถูกต้องตามกฎหมาย

 

โดยควรเลือกผู้ให้บริการรับทำนโยบาย PDPA ที่มีความเชี่ยวชาญ และประสบการณ์ทางกฎหมาย ซึ่งจะช่วยให้คุณอุ่นใจและมั่นใจได้ว่าการดำเนินธุรกิจที่เกี่ยวข้องกับข้อมูลส่วนบุคคนั้น จะไม่ผิดกฎหมายอย่างแน่นอน

 

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ถือเป็นประเด็นสำคัญและข้อบังคับที่ทุกองค์กรที่ดำเนินธุรกิจเกี่ยวกับข้อมูลต้องเตรียมพร้อมและดำเนินการตามอย่างเคร่งครัด เพื่อจบปัญหาที่จะก่อให้เกิดความเสียหายทั้งกับลูกค้า คู่ค้า ผู้มาติดต่อ ลูกจ้าง หรือข้อมูลของบุคคลอื่นๆ รวมถึงองค์กรเองที่จะเสียหายทั้งชื่อเสียงและทรัพย์สินตามไปด้วย

 

ที่สำคัญการเตรียมพร้อมตั้งแต่วันนี้ยังช่วยให้เจ้าของธุรกิจมีเวลาในการศึกษารายละเอียด และจัดการข้อมูลได้อย่างครบถ้วน รวมทั้งยังมีเวลาที่จะวิเคราะห์ข้อมูลต่างๆ ที่อาจเป็นประโยชน์ต่อการพัฒนาต่อยอดธุรกิจในอนาคตได้อีกด้วย

 

อ้างอิงที่มา :  www.dharmniti.co.th