]

t-reg PDPA Platform

3 step pdpa

3 ขั้นตอนทำ PDPA ครบวงจร พร้อมคำแนะนำสำหรับองค์กร

เนื้อหาในบทความ

     ข้อมูลส่วนบุคคล ถือว่าเป็นข้อมูลที่องค์กรนั้นควรให้ความสำคัญ เพื่อไม่ให้เกิดการนำข้อมูลไปใช้โดยผิดวัตถุประสงค์ที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ (Personal Data Protection) PDPA ซึ่งองค์กรมีหน้าที่รับผิดชอบดูแลข้อมูลส่วนบุคคล เพื่อสร้างความไว้วางใจและภาพลักษณ์ที่ดี ไม่ว่าจะเป็นคู่ค้า หรือ ลูกค้าก็ตาม 

สิ่งที่ต้องทำตาม PDPA แบ่งออกได้เป็น 3 ส่วนตามภาพนี้

1. PEOPLE (คณะทำงาน และพนักงาน)

คนในองค์กร คือ ทรัพยากรที่สำคัญในการปฏิบัติตาม PDPA เพราะพวกเขาสามารถเข้าถึงข้อมูลส่วนบุคคลและมีโอกาสเกิดความผิดพลาดในการจัดการข้อมูลส่วนบุคคลมากที่สุด ไม่ว่าจะเป็นแผนก HR(Human Resource), Marketing, หรือ Sales ดังนั้นองค์กรควรให้ความสำคัญของการตระหนักรู้เกี่ยวกับความปลอดภัยและการจัดการกับข้อมูลส่วนบุคคลเพื่อลดข้อผิดพลาดจากคนหรือทรัพยากรมนุษย์ให้ได้มากที่สุด

ซึ่งผมมีคำแนะนำ 3 ขั้นตอน คือ

  • การฝึกอบรมพนักงาน หรือ การสร้างความตระหนักรู้ในการจัดการข้อมูลส่วนบุคคล (PDPA Awareness Training)

    เช่น การจัดอบรมความรู้ PDPA รวมถึงด้านการรักษาความปลอดภัยของข้อมูล ให้กับคณะทำงานและพนักงานในองค์กร เพื่อสร้างความเข้าใจในการจัดการข้อมูลส่วนบุคคลตามนโยบาย และแนวทางการป้องกันข้อมูลรั่วไหลจากการโดนโจมตีทางไซเบอร์ 

  • การทดสอบวัดระดับความรู้พนักงาน

    เช่น หลังจากที่เราได้ทำการอบรมพนักงานหรือคณะทำงานของเราไปแล้ว ใช่ว่าทุกคนจะเข้าใจ ดังนั้น องค์กรควรปิดช่องโหว่นี้ โดย ทำการทดสอบเพื่อวัดความรู้, ความเข้าใจจากสิ่งที่ได้เรียนไป

  • รายงานผลความเสี่ยง 

    เช่น จากการทำเราทดสอบความรู้พนักงาน อาจจะทำให้เรารู้ว่า พนักงานในองค์กรยังขาดความรู้บางส่วนหรือยังไม่เข้าใจ เราควรทำรายงานติดตามผลว่า ตอนนี้พนักงานส่วนใหญ่นั้นขาดความรู้ด้านอะไร  เพราะมันทำให้เราเห็นว่า ช่องโหว่ความรู้อยู่ที่ไหนบ้าง

2. PROCESS (การจัดการกระบวนการทำงาน)

เนื่องจากแนวทางปฏิบัติของ พ.ร.บ. PDPA นั้นถูกประกาศออกมาภายหลัง แน่นอนว่ามันย่อมส่งผลให้ธุรกิจที่ดำเนินการอยู่ในปัจจุบันได้รับผลกระทบในด้านกระบวนการดำเนินกิจการหรือกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ที่ก่อนหน้านี้ไม่เคยมีข้อบังคับ องค์กรจะเริ่มต้นทำได้จากจุดไหน? เพื่อไม่ให้เกิดช่องโหว่ในการเก็บหรือใช้ข้อมูลส่วนบุคคล ที่จะเป็นปัญหาตามมาภายหลังได้ ซึ่งส่วนนี้จะมีขั้นตอนที่เยอะที่สุด เพราะ เป็นส่วนของการ implement โครงการ PDPA นั่นเอง

เริ่มต้นด้วย…

  • บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ Record of Processing Acitivities (ROPA)

    ซึ่งเป็นการทำรายการกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลขององค์กร ว่า อยู่ที่ไหน, ใครเป็นผู้ดูแล, มีกิจกรรมการใช้ข้อมูลอะไรบ้าง, และ มีการส่งข้อมูลขององค์กรไปยังบุคคลภายนอก (Data Processor) ที่เป็น Third Party หรือไม่

  • การขอความยินยอมจากเจ้าของข้อมูล

    เช่น ช่องทางการเก็บข้อมูลส่วนบุคคล (Consent form), การจัดการวัตถุประสงค์ของการจัดเก็บ, การกำหนดระยะเวลาการจัดเก็บข้อมูล

  • การส่งต่อข้อมูลส่วนบุคคลไปยังบุคคลภายนอกหรือต่างประเทศ

    เช่น การกำหนดว่าใครเป็น Third party ที่ใช้ข้อมูลส่วนบุคคลกับองค์ของเรา หลังจากนั้น เราต้องร่างสัญญาการประมวลผลข้อมูลส่วนบุคคลกับองค์กรที่เราส่งข้อมูลไปให้

  • นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

    เมื่อใดที่พนักงานได้ข้อมูลส่วนบุคคลมา บริษัทควรมีนโยบายในการประกาศให้พนักงานทราบ เกี่ยวกับ การเก็บรวบรวม, ใช้ข้อมูล, ผู้รับผิดชอบเป็นใคร, และอาจจะมีบทลงโทษสำหรับคนที่ไม่ปฏิบัติตามนโยบาย

  • ประกาศความเป็นส่วนตัว (Privacy Notice)

    เป็นการประกาศให้สาธารณะชนได้รู้ว่า เรามีนโยบายในการคุ้มครองข้อมูลส่วนบุคคลแล้ว ไม่ว่าจะเป็นพนักงานในองค์กร หรือ คนนอกองค์กร เช่น ลูกค้า หรือ ผู้ใช้บริการ ซึ่งจะทำให้เจ้าของข้อมูลได้รู้ว่า ข้อมูลส่วนบุคคลของเขานั้นถูกบริหารจัดการอย่างไร, มีข้อมูลอะไรบ้างที่เก็บ, วัตถุประสงค์ในการจัดเก็บ, การส่งต่อและการเปิดเผยข้อมูล, ระยะเวลาที่จัดเก็บ

  • ช่องทางสิทธิของเจ้าของข้อมูลส่วนบุคคล

    องค์กรจะต้องมีแบบฟอร์มการขอใช้สิทธิของเจ้าของข้อมูล เพื่อเป็นช่องทางการติดต่อกับ ลูกค้า หรือ ผู้ใช้บริการ เพราะกฎหมายได้กำหนดว่า เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการ แก้ไข, เปลี่ยนแปลง, หรือ ลบ ข้อมูลได้ทุกเมื่อ

  • รายงานเหตุการณ์ข้อมูลรั่วไหล

     เมื่อไหร่ที่เกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลจากองค์กร ผู้ที่ดำรงตำแหน่ง DPO หรือ ตัวแทนที่ดูแลโครงการ PDPA จะต้องมีจดหมายแจ้งไปยัง สำนังานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง

3. TECHNOLOGY (ตัวช่วยในการตรวจสอบข้อมูล)

1) การจัดการสิทธิการเข้าถึงข้อมูลส่วนบุคคล ตามที่กฎหมายได้มีประกาศเพิ่มเติม “ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) โดยอย่างน้อยต้องประกอบด้วยการดำเนินการ” ดังต่อไปนี้

  • การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูล
  • การอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
  • การบริหารจัดการ การเข้าถึงของผู้ใช้งาน (user access management)
  • การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities)
  • การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบหรือถ่ายโอนข้อมูล

เพื่อที่องค์กรจะสามารถระบุตัวตนผู้เข้าถึงข้อมูลได้ จึงต้องมีการเก็บ log เพื่อเป็นการบันทึกกิจกรรมการเข้าถึงข้อมูล เพื่อในวนที่ข้อมูลรั่วไหล องค์กรจะสามารถตอบได้ว่าใครในองค์กรที่ทำข้อมูลรั่วไหลนั่นเอง ซึ่งเป็นเหตุผลว่าทำไม องค์กรถึงต้องมี log analytic platform

2) การตรวจสอบการปกป้องข้อมูลส่วนบุคคล อีกเรื่องนึงที่อยากแนะนำคือ การทำ Data Security กับระบบที่เก็บข้อมูลส่วนบุคคล เพื่อไม่ให้ข้อมูลรั่วไหล เนื่องจากมีช่องโหว่ของระบบที่เก็บรักษาข้อมูลนั่นเอง เช่น ปกป้องข้อมูลไม่ให้ถูกส่งออกไปยังภายนอกองค์กร (Data Loss Prevention)

FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

RELATED POST
Case Study

WARNING! ถูกละเมิดความเป็นส่วนตัว ถูกองค์กรประมวลผลข้อมูลส่วนบุคคลโดยที่เราไม่ยินยอม ทำอะไรได้บ้าง?

กฎหมาย PDPA บังคับใช้อย่างเป็นทางการ พร้อมกับกฎหมายลำดับรองที่ประกาศออกมาแล้ว หากเกิดข้อพิพาท หรือเกิดการละเมิดข้อมูลส่วนบุคคล เจ้าของข้อมูลต้องทำอย่างไร? t-reg

อ่านต่อ »
pdpa-dpia
t-reg news

ทำความรู้จัก DPIA (Data Protection Impact Assessment) สำคัญต่อองค์กรอย่างไร? ควรริเริ่มและดำเนินการอย่างไรให้สำเร็จ

ปฏิเสธไม่ได้ว่าปัจจุบัน จำนวนของข้อมูลในองค์กร ยิ่งมากยิ่งเป็นสิ่งที่ดีต่อการโฆษณา ดีต่อการพัฒนาผลิตภัณฑ์ แต่ขณะเดียวกันยิ่งมีข้อมูลมาก ก็ยิ่งมีความเสี่ยงต่อการรั่วไหล เสี่ยงต่อการจารกรรมข้อมูล ดังนั้นการหยิบยืมข้อมูลจากเจ้าของข้อมูลส่วนบุคคล

อ่านต่อ »
5 ข้อดีของ PDPA
t-reg knowledge

5 ข้อดีของ PDPA ที่ทำให้คุณเข้าใจว่าทำไมควรทำ

PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไม่ได้เป็นกฎหมายให้ภาครัฐหรือเอกชนทำตามเพียงอย่างเดียว แต่ทำไมควรทำลองมาดู 5 ข้อดีกัน

อ่านต่อ »
important PDPA
t-reg knowledge

สรุปสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล!

ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อมูลส่วนตัวรวมทั้งข้อมูลการใช้งานของ User ถ้าหากเก็บรวบรวมดีๆ จะมีมูลค่ามหาศาล แต่นั่นเป็นดาบสองคมที่อาจทำให้มีผู้ไม่ประสงค์ดีขโมยข้อมูลไปใช้

อ่านต่อ »
ถอดคำแถลงการณ์ข้อมูลรั่วไหล บริษัทมือถือชื่อดัง
t-reg news

ถอดคำแถลงการณ์ Service Provider ยักษ์ใหญ่ บอกอะไรกับเราบ้างนะ ?!

     เรียกได้ว่าช่วงสุดสัปดาห์ที่ผ่านมาหลายท่านคงได้ยินข่าวที่ผู้ให้บริการยักษ์ใหญ่แห่งหนึ่งออกมาประกาศเกี่ยวกับข้อมูลผู้ใช้ที่หลุดรั่วออกไปพร้อมกับวิธีการแก้ไขกับสิ่งที่เกิดขึ้น แม้ในปัจจุบัน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะยังไม่บังคับใช้ แต่การที่

อ่านต่อ »
pdpa ประกันภัย
t-reg knowledge

10 เรื่องที่บริษัทประกันควรรู้เกี่ยวกับ PDPA X ธุรกิจประกันภัย เข้าใจกฎหมาย ธุรกิจไปได้ไกลกว่า

PDPA ประกันภัย สำคัญอย่างไรในยุคที่กฎหมายคุ้มครองข้อมูลของลูกค้า? ธุรกิจประกันภัย เป็นหนึ่งในธุรกิจที่ใช้ข้อมูลส่วนบุคคลประกอบการดำเนินธุรกรรม  อาทิ การนำข้อมูลส่วนบุคคลมาใช้สนับสนุนการรับพิจารณาประกัน การปฏิบัติตามสัญญา การให้บริการลูกค้า

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่