หลายคนคงคุ้นหูกับคำว่า PDPA มาบ้าง ว่าเป็นกฎหมายที่เกี่ยวกับการคุ้มครองส่วนบุคคล สำหรับผู้ประกอบการหรือองค์กรที่มีการจัดเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคล เพื่อใช้ดำเนินงานในองค์กรหรือเพื่อการประกอบธุรกิจ ก็จำเป็นต้องปฏิบัติตามกฎหมาย PDPA ทั้งสิ้น เพื่อไม่ให้เกิดการละเมิด หรือนำข้อมูลส่วนบุคคลของลูกค้าหรือพนักงานในองค์กรไปใช้ในทางที่ไม่ถูกต้อง ซึ่งจะมีโทษทางกฎหมายตามมา รวมถึงความน่าเชื่อถือขององค์กรที่เสียไปอีกด้วย
สิ่งที่ธุรกิจต้องเตรียมความพร้อมก่อนที่กฎหมาย PDPA จะบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 ไม่ได้มีเพียงเรื่องการขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากเจ้าของข้อมูลเท่านั้น (Consent) แต่การจัดทำ Consent Management เพียงอย่างเดียว ยังไม่ถือว่าครอบคลุม ยังมีการจัดการข้อมูลส่วนบุคคล (Personal Data) ซึ่งรวมถึงการเตรียมความพร้อมด้านระบบที่รองรับและเอกสารทางกฎหมาย การรักษาความปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐาน รวมทั้งการสร้าง Awareness ด้าน PDPA ให้กับพนักงานในองค์กร มาดูกันว่านอกจากการทำระบบขอ Consent ตาม PDPA แล้ว องค์กรยังมีอะไรต้องเตรียมอะไรอีกบ้าง
1. Data Inventory Mapping
สิ่งแรกที่องค์กรควรดำเนินการ คือ การจัดทำ Data Inventory Mapping ซึ่งเป็นการตรวจสอบการบริหารและจัดการข้อมูลส่วนบุคคลที่มีอยู่ในปัจจุบันขององค์กร เพื่อแยกแยะว่าข้อมูลใดเป็นข้อมูลส่วนบุคคลบ้าง ข้อมูลดังกล่าวถูกเก็บไว้ที่ใดบ้าง ข้อมูลส่วนบุคคลนั้นมีความละเอียดอ่อนและความเสี่ยงมากเพียงใด ทำให้ทราบถึงตำแหน่งที่จัดเก็บข้อมูลส่วนบุคคล รวมถึงการหาวิธีจัดการกับความเสี่ยงดังกล่าว และช่วยให้องค์กรสามารถนำข้อมูลไปใช้งานได้ง่ายขึ้น เช่น การทำ Data Flow Diagram (DFD) และการทำเอกสารเพื่อบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing: ROP)
2. DPO Appointment
กฎหมาย PDPA กำหนดให้องค์กรต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้เชี่ยวชาญกฎหมาย PDPA มีหน้าที่ให้คำปรึกษากับองค์กร และตรวจสอบว่าองค์กรได้ปฏิบัติให้เป็นไปตามที่ PDPA พร้อมทั้งประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหา
3. Training / Awareness
การสอน Awareness ให้ความรู้ด้าน PDPA กับพนักงาน จะทำให้พนักงานเข้าใจภาพรวมของกฎหมาย PDPA ที่เกี่ยวข้อง ได้รู้ปัญหาและแนวปฏิบัติจากผู้เชี่ยวชาญ และทำให้รู้หน้าที่ของตนเองต่อกฎหมาย PDPA โดยเฉพาะด้านความปลอดภัยทางไซเบอร์เพื่อลดข้อผิดพลาดจากการทำงาน ซึ่งองค์กรสามารถใช้การอบรม สัมมนา หรืออบรมรูปแบบ e-Learning เพื่อให้รู้ถึงความสำคัญของความปลอดภัยของข้อมูลส่วนบุคคล รวมถึงปฏิบัติตาม PDPA ได้อย่างถูกต้อง
4. Data Impact Assessment
การประเมินความเสี่ยงเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล เป็นมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล ที่องค์กรต้องประเมินความเสี่ยงในการนำข้อมูลส่วนบุคคลมาใช้งาน โดยพิจารณาว่าความเสี่ยงนั้นมีมากน้อยเพียงใด และกระทบกับการทำธุรกิจมากขนาดไหน
5. Privacy Notice
การจัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) เป็นการจัดทำเอกสารเพื่อใช้ในการอธิบายเกี่ยวกับรายละเอียดต่างๆ ในการจัดเก็บข้อมูลส่วนบุคคล โดยมีเนื้อหาสำคัญที่เจ้าของข้อมูลส่วนบุคคลต้องรับทราบ มาตรการในการปกป้องข้อมูลส่วนบุคคลของเจ้าของข้อมูล นอกจากนี้ หากมีการเปลี่ยนแปลงการจัดเก็บข้อมูลส่วนบุคคล องค์กรก็สามารถแจ้งผ่าน Privacy Notice ได้
6. Consent Management
องค์กรต้องเตรียมการเพื่อขอรับความยินยอม (Consent) จากเจ้าของข้อมูล โดยจัดให้มีกระบวนการบริหารความยินยอมด้วยการเตรียมเอกสาร แบบฟอร์มต่างๆ ช่องทางหรือระบบที่รองรับเพื่อให้เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม โดยระบุว่าต้องการจัดเก็บข้อมูลอะไร และมีวัตถุประสงค์ในการจัดเก็บข้อมูลอย่างไร
7. Security Measure
มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลนั้น ถือเป็นสิ่งที่องค์กรต้องมีเพื่อคุ้มครองข้อมูลส่วนบุคคลให้ปลอดภัย โดยจะต้องมีการรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) เป็นมาตรฐานขั้นต่ำ โดยกำหนดแนวทางด้านมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่รัดกุม ตรงตามมาตรฐานสากล ไม่ว่าจะเป็นด้านการบริหารจัดการ (Administrative Safeguard) ด้านเทคนิค (Technical Safeguard) และทางกายภาพ (Physical) รวมถึงการเข้าถึงหรือควบคุมการใช้งาน (access control) การกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคล รวมถึงอุปกรณ์ที่ใช้ในการจัดเก็บข้อมูล ซึ่งสอดคล้องกับแนวทางในการป้องกันการรั่วไหลของข้อมูล
8. Data Subject Rights Management
การบริหารคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เป็นสิ่งที่องค์กรต้องจัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิตามกฎหมาย PDPA และจัดการข้อมูลให้เป็นปัจจุบันโดยสามารถเรียกใช้ได้อย่างสะดวก เช่น การขอลบ แก้ไข โอน ขอสำเนา ถอนความยินยอม เป็นต้น ซึ่งตามกฎหมาย PDPA ได้กำหนดระยะให้องค์กรทำตามคำร้องขอของเจ้าของข้อมูลให้แล้วเสร็จภายใน 30 วัน
9. Data Processing Agreement
Data Processing Agreement (DPA) หรือสัญญาเกี่ยวกับการใช้หรือประมวลผลข้อมูลส่วนบุคคล เป็นเอกสารที่มีผลผูกพันทางกฎหมายซึ่งต้องทำขึ้นระหว่างบริษัทผู้ว่าจ้าง กับผู้ให้บริการภายนอกหรือบุคคลอื่น โดยอาจเป็นผู้ให้บริการด้านบัญชี การตลาด ที่ปรึกษากฎหมาย หรือผู้ดูแลระบบ IT ที่ดำเนินการเพื่อวัตถุประสงค์ทางธุรกิจของบริษัทผู้ว่าจ้าง โดยกำหนดขอบเขตและวัตถุประสงค์ของการประมวลผล และความสัมพันธ์ของคู่สัญญา DPA จึงมีความจำเป็นต่อบริษัทผู้ว่าจ้างและบริษัทภายนอกซึ่งเป็นบุคคลที่มีหน้าที่ตามกฎหมาย PDPA เนื่องจาก บริษัททั้งคู่ต้องมีการประมวลผลหรือแลกเปลี่ยนข้อมูลส่วนบุคคลระหว่างกัน ดังนั้น การจัดทำ Data Processing Agreement (DPA) ซึ่งเป็นเอกสารที่มีผลผูกพันทางกฎหมาย จะช่วยให้ทั้งสองฝ่ายเข้าใจหน้าที่ ความรับผิดชอบและความรับผิด และยังเป็นการป้องกันการที่คู่สัญญาจะนำข้อมูลส่วนบุคคลไปใช้ในทางที่ไม่ถูกต้องหรือเกินอำนาจได้
10. Data Breach Management Plan
Data Breach Management Plan คือการแจ้งเตือนและมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคล องค์กรต้องมีแนวทางในการจัดเก็บข้อมูลให้มีความปลอดภัย ไม่ให้เกิดการรั่วไหลของข้อมูลไปยังบุคคลอื่น โดยต้องมีกระบวนการการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และแจ้งให้เจ้าของข้อมูลทราบเมื่อเกิดการรั่วไหล อีกทั้งต้องมีมาตรการในการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย
—————————————————————————————————————————————————–
ที่มา : PDPACore / วันที่เผยแพร่ 22 มี.ค.65
Link : https://pdpacore.com/th/blogs/ready-for-pdpa-10-things-company-shall-be-prepared
