Check list การเตรียมความพร้อม PDPA ของหน่วยงาน

Loading

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีรายละเอียดหลายประการที่องค์กรจะต้องจัดเตรียม ทั้งในด้านของเอกสารและกระบวนการ บทความนี้ได้รวบรวมข้อสรุปเบื้องต้นในการตรวจสอบความพร้อม องค์กรสามารถนำข้อสรุปเบื้องต้นนี้ไปพิจารณาประกอบ เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลขององค์กรเป็นไปอย่างมีประสิทธิภาพ และสอดคล้องกับบทบัญญัติของกฎหมาย ผู้เขียนจำแนกเป็น 2 ส่วนคือ ข้อกำหนดตามกฎหมายที่ให้องค์ต้องจัดทำและตัวอย่างแนวปฏิบัติที่ดีภายในองค์กร ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีข้อกำหนดตามกฎหมายให้องค์กรในฐานะผู้ควบคุมข้อมูลปฏิบัติหลายหลายประการ อาทิ (1) การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในกรณีตามที่กำหนดไว้ในมาตรา 41 ซึ่งอาจแต่งตั้งจากพนักงานภายในองค์กรหรือแต่งตั้งผู้รับจ้างให้บริการตามสัญญา (2) การจัดทำประกาศความเป็นความส่วนตัว หรือที่คุ้นเคยกันในชื่อของ Privacy Notice ซึ่งเป็นการแจ้งเจ้าของข้อมูลส่วนบุคคลเพื่อให้ทราบเกี่ยวกับรายละเอียด วิธีการ การดำเนินการต่าง ๆ เกี่ยวกับข้อมูลส่วนบุคคล โดยกฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล ตามมาตรา 23 (3) การจัดทำบันทึกรายการกิจกรรมการประมวลผล (Records of Processing Activities) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดให้องค์กรมีหน้าที่ในการจัดให้มีบันทึกรายการกิจกรรมอย่างน้อยตามที่ระบุไว้ในมาตรา 39 เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานฯ สามารถตรวจสอบได้ (4) การจัดทำแบบคำขอความยินยอม (Consent Form) ในกรณีที่มีความจำเป็นต้องใช้ความยินยอมเป็นฐานทางกฎหมายในการประมวลผล หลักเกณฑ์ในการขอความยินยอมต้องเป็นไปตามมาตรา 19…