กระบวนการทำ PDPA

หลาย ๆ คนอาจหลงทาง ไม่รู้ว่าตกลงเราต้องทำอะไรบ้าง อะไรควรทำก่อนหรือหลัง วันนี้มาลงให้ลึกขึ้นถึงกระบวนการทำแบบ “ชัด ๆ” กันดีกว่า

อย่างที่รู้กันดีว่า กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีความยาวถึง 44 หน้า! 

อันนี้แค่ในหมวดยังไม่รวมถึง พ.ร.บ. ไซเบอร์ที่เราจะต้องทำด้วย เรามาเริ่มไล่ดูกันดีกว่าว่า เราต้องทำอะไรต่อถ้ารู้ตัวแล้วว่าเราถือข้อมูลส่วนตัวของลูกค้าเอาไว้ 

แต่เพราะไม่ใช่ว่าใครจะเข้ามาทำงานนี้ได้ เริ่มแรกจึงต้องเริ่มต้นด้วย…

1. การจัดตั้งคณะทำงาน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO

เพื่อให้สอดคล้องตาม PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 ของพระราชบัญญัติ

คณะทำงานอย่างเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พวกเราเรียกกันว่า DPO

ที่บริษัท Ragnar ของเราตอนนี้มี DPO เช่นกัน พี่ ๆ เขาจะทำหน้าที่ตามชื่อเขาเลย เขามีหน้าที่จัดการ ดูแล คุ้มครองทุกปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

Data Protection Officer (DPO)
Data Protection Officer (DPO)

2. Privacy Notice หรือ การสร้างประกาศชี้แจงการใช้ข้อมูลส่วนบุคคล

อันนี้เพื่อให้สอดคล้องตาม พ.ร.บ. PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42

เพื่อแจ้งข้อมูลให้แก่ผู้ใช้บริการที่เกี่ยวกับสิทธิและหน้าที่ หรือเงื่อนไขอื่น ๆ ในการเก็บ / รวมรวบ / ใช้ และเปิดเผยข้อมูลส่วนบุคคล 

ที่ทำแบบนี้ก็เพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ หรือผู้ให้ข้อมูล ส่วนบุคคลกับองค์กร ตรงนี้คือเพิ่มความน่าเชื่อถือให้กับองค์กรได้ด้วย

ตามมาด้วยอีกกระบวนการที่คล้ายกัน…

3. Privacy Policy หรือ นโยบายการคุ้มครองข้อมูลส่วนบุคคล

เพื่อให้สอดคล้องตามพ.ร.บ. PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 

สองอย่างนี้คล้าย ๆ กัน ต่างกันแค่บุคคลที่เขียนถึง ถ้าเป็น Privacy Notice จะเขียนเพื่อตกลงร่วมกับเจ้าของข้อมูลส่วนบุคคล / ส่วนใน Privacy Policy จะเขียนเป็นนโยบายในองค์กร

Privacy Notice & Privacy Policy
Privacy Notice และ Privacy Policy สำหรับทำ PDPA

4. Data Processing Agreement หรือข้อตกลงการประมวลข้อมูล

ตามชื่อเลย สิ่งนี้เป็นสัญญาที่เอาไว้ใช้ร่วมกันกับ Data Processor หรือผู้ประมวลผลข้อมูลนั่นเอง ตั้งแต่การกำหนดว่าผู้ประมวลผลข้อมูลมีขอบเขตถึงตรงไหนและเอาข้อมูลส่วนบุคคลไปทำอะไร ตรงนี้จะเกี่ยวข้องระหว่าง Data Processor กับ Data Controller

PDPA ต้องมี Data Processing Agreement (ข้อตกลงการประมวลผลข้อมูล)
Data Processing Agreement (ข้อตกลงการประมวลผลข้อมูล)

5. Data Breach Letter หรือจดหมายแจ้งการละเมิดข้อมูลส่วนบุคคล

สิ่งนี้จะต้องมีตาม พ.ร.บ. PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 ของพระราชบัญญัติ

แต่ใช้ในกรณีที่ข้อมูลส่วนบุคคลรั่วไหลไปแล้ว ต้องแจ้งภายใน 72 ชั่วโมง เราขอยกตัวอย่างเป็นข่าวบริษัทในไทยที่ทำข้อมูลส่วนบุคคลของพนักงานรั่วไหลเพราะ Hacker มา Hack ตามไปอ่านได้ที่ Link นี้เช่นกัน 

Data Breach Letter (จดหมายแจ้งการละเมิดข้อมูลส่วนบุคคล)
Data Breach Letter (จดหมายแจ้งการละเมิดข้อมูลส่วนบุคคล)

6. Record Of Processing (RoP) หรือบันทึกการประมวลผลข้อมูลส่วนบุคคล 

อันนี้ต้องทำเพื่อเก็บบันทึกประวัติการประมวลผลข้อมูล รวมถึงวัตถุประสงค์ของการประมวลผล ซึ่งตรงนี้เจ้าหน้าที่ที่รับผิดชอบ / จะต้องสามารถขอตรวจสอบได้

Record of Processing - RoP (บันทึกการประมวลผลข้อมูลส่วนบุคคล)
Record of Processing - RoP (บันทึกการประมวลผลข้อมูลส่วนบุคคล)

7. Cookies หรือ Text Files ที่อยู่ประจำในคอมพิวเตอร์

มีหน้าที่จัดเก็บรายละเอียดข้อมูล log การใช้งาน internet ของท่าน หรือ พฤติกรรมการเยี่ยมชม website ของท่าน ถือเป็นส่วนหนึ่งในข้อมูลในข้อมูลส่วนบุคคลจึงจำเป็นจะต้องมีการขออนุญาตก่อนการใช้งาน

Cookie Consent
Cookie Consent

8. Data Subject Rights หรือ การทำสิทธิ์ของเจ้าของข้อมูล

เพื่อให้ตอบสนองกับความต้องการและสนับสนุน เมื่อเจ้าของข้อมูล ผู้ประมวลผลจะต้องจัดการตามคำร้องของเจ้าของ

Data Subject Right (การทำสิทธิ์ของเจ้าของข้อมูล)

9. Consent Management หรือ การจัดการฐานความยินยอม

เพื่อให้ตอบโจทย์มาตรา 19 ที่ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้”

ทั้งหมดนี้ก็คือกระบวนการทำทั้งหมดที่เราย่อมาให้จากตัวกฎหมาย พ.ร.บ. ให้ออกมาเป็นขั้นตอนการทำให้ง่ายขึ้นกว่าการต้องลงมือทำเอง

Consent Management (การจัดการฐานความยินยอม)
Consent Management (การจัดการฐานความยินยอม)

Recommended Posts

No comment yet, add your voice below!


Add a Comment

Your email address will not be published. Required fields are marked *