กระบวนการทำ PDPA ให้ผ่านเกณฑ์ที่กำหนด
หลาย ๆ คนอาจหลงทาง ไม่รู้ว่าตกลงเราต้องทำอะไรบ้าง อะไรควรทำก่อนหรือหลัง วันนี้มาลงให้ลึกขึ้นถึงกระบวนการทำแบบ “ชัด ๆ” กันดีกว่าอย่างที่รู้กันดีว่า กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีความยาวถึง 44 หน้า!
นี่เป็นแค่ในหมวดหมู่เดียวเท่านั้น ยังไม่รวมถึง พ.ร.บ. ไซเบอร์ที่เราจะต้องทำด้วย เรามาเริ่มไล่ดูกันดีกว่าว่า เราต้องทำอะไรต่อถ้ารู้ตัวแล้วว่าเราถือข้อมูลส่วนตัวของลูกค้าเอาไว้ แต่เพราะไม่ใช่ว่าใครจะเข้ามาทำงานนี้ได้ เริ่มแรกจึงต้องเริ่มต้นด้วย…
กระบวนการ Comply PDPA
1. การจัดตั้งคณะทำงาน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
เพื่อให้สอดคล้องตาม PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 ของพระราชบัญญัติ
คณะทำงานอย่างเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พวกเราเรียกกันว่า DPO มีหน้าที่จัดการ ดูแล คุ้มครองทุกปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
2. Privacy Notice หรือ การสร้างประกาศชี้แจงการใช้ข้อมูลส่วนบุคคล
อันนี้เพื่อให้สอดคล้องตาม พ.ร.บ. PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 เพื่อแจ้งข้อมูลให้แก่ผู้ใช้บริการที่เกี่ยวกับสิทธิและหน้าที่ หรือเงื่อนไขอื่น ๆ ในการเก็บ / รวมรวบ / ใช้ และเปิดเผยข้อมูลส่วนบุคคล เพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ หรือผู้ให้ข้อมูล ส่วนบุคคลกับองค์กร ตรงนี้คือเพิ่มความน่าเชื่อถือให้กับองค์กรได้ด้วย
3. Privacy Policy หรือ นโยบายการคุ้มครองข้อมูลส่วนบุคคล
เพื่อให้สอดคล้องตามพ.ร.บ. PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42
สองอย่างนี้คล้าย ๆ กัน ต่างกันแค่บุคคลที่เขียนถึง ถ้าเป็น Privacy Notice จะเขียนเพื่อตกลงร่วมกับเจ้าของข้อมูลส่วนบุคคล / ส่วนใน Privacy Policy จะเขียนเป็นนโยบายในองค์กร
4. Data Processing Agreement หรือข้อตกลงการประมวลข้อมูล
สิ่งนี้เป็นสัญญาที่เอาไว้ใช้ร่วมกันกับ Data Processor หรือผู้ประมวลผลข้อมูลนั่นเอง ตั้งแต่การกำหนดว่าผู้ประมวลผลข้อมูลมีขอบเขตถึงตรงไหนและเอาข้อมูลส่วนบุคคลไปทำอะไร ตรงนี้จะเกี่ยวข้องระหว่าง Data Processor กับ Data Controller
5. Data Breach Letter หรือจดหมายแจ้งการละเมิดข้อมูลส่วนบุคคล
สิ่งนี้จะต้องมีตาม พ.ร.บ. PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 ของพระราชบัญญัติ แต่ใช้ในกรณีที่ข้อมูลส่วนบุคคลรั่วไหลไปแล้ว ต้องแจ้งภายใน 72 ชั่วโมง เราขอยกตัวอย่างเป็นข่าวบริษัทในไทยที่ทำข้อมูลส่วนบุคคลของพนักงานรั่วไหลเพราะ Hacker มา Hack ตามไปอ่านได้ที่ Link นี้เช่นกัน
6. Record Of Processing (RoP) หรือบันทึกการประมวลผลข้อมูลส่วนบุคคล
RoP เปรียบเสมือนสิ่งหลักที่จำเป็นต้องทำเพื่อเก็บบันทึกประวัติการประมวลผลข้อมูล รวมถึงวัตถุประสงค์ของการประมวลผล ซึ่งตรงนี้เจ้าหน้าที่ที่รับผิดชอบจะต้องสามารถขอตรวจสอบได้ ตั้งแต่การระบุข้อมูลที่จัดเก็บ วัตถุประสงค์ แหล่ง และวันเวลาที่จัดเก็บ
7. Cookies หรือ Text Files ที่อยู่ประจำในคอมพิวเตอร์
Cookies ที่เรามักพบตามหน้าเว็บไซต์ต่างๆ นั้น แม้ทางกฎหมายยังไม่ได้บังคับใช้เต็มรูปแบบ แต่การแจ้งผู้ใช้งานก็ช่วยให้ผู้เข้าใช้งานรู้สึกเป็นส่วนตัวมากขึ้น สำหรับ Cookies นั้นมีหน้าที่จัดเก็บรายละเอียดข้อมูล log การใช้งาน internet ของท่าน หรือ พฤติกรรมการเยี่ยมชม website ของท่าน ถือเป็นส่วนหนึ่งในข้อมูลในข้อมูลส่วนบุคคลจึงจำเป็นจะต้องมีการขออนุญาตก่อนการใช้งาน
8. Data Subject Rights หรือ การทำสิทธิ์ของเจ้าของข้อมูล
เพื่อให้ตอบสนองกับความต้องการและสนับสนุน เมื่อเจ้าของข้อมูล ผู้ประมวลผลจะต้องจัดการตามคำร้องของเจ้าของ
9. Consent Management หรือ การจัดการฐานความยินยอม
เพื่อให้ตอบโจทย์มาตรา 19 ที่ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้”
เพราะเรารู้ว่าทุกนาทีสำคัญกับการทำงานของคุณ ทั้งหมดนี้ก็คือกระบวนการทำทั้งหมดที่เราย่อมาให้จากตัวกฎหมาย พ.ร.บ. ให้ออกมาเป็นขั้นตอนการทำให้ง่ายขึ้นกว่าการต้องลงมือทำ อ่าน และทำความเข้าใจ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วยตัวคุณเอง
