]

t-reg PDPA Platform

กระบวนการ PDPA ผ่านเกณฑ์

กระบวนการทำ PDPA ให้ผ่านเกณฑ์ที่กำหนด

เนื้อหาในบทความ

กระบวนการทำ PDPA ให้ผ่านเกณฑ์ที่กำหนด

          หลาย ๆ คนอาจหลงทาง ไม่รู้ว่าตกลงเราต้องทำอะไรบ้าง อะไรควรทำก่อนหรือหลัง วันนี้มาลงให้ลึกขึ้นถึงกระบวนการทำแบบชัด ๆกันดีกว่าอย่างที่รู้กันดีว่า กฎหมาย พ... คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีความยาวถึง 44 หน้า

          นี่เป็นแค่ในหมวดหมู่เดียวเท่านั้น ยังไม่รวมถึง พ... ไซเบอร์ที่เราจะต้องทำด้วย เรามาเริ่มไล่ดูกันดีกว่าว่า เราต้องทำอะไรต่อถ้ารู้ตัวแล้วว่าเราถือข้อมูลส่วนตัวของลูกค้าเอาไว้ แต่เพราะไม่ใช่ว่าใครจะเข้ามาทำงานนี้ได้ เริ่มแรกจึงต้องเริ่มต้นด้วย

กระบวนการ Comply PDPA

1. การจัดตั้งคณะทำงาน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

          เพื่อให้สอดคล้องตาม PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 ของพระราชบัญญัติ
          คณะทำงานอย่างเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พวกเราเรียกกันว่า DPO มีหน้าที่จัดการ ดูแล คุ้มครองทุกปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

DPO

2. Privacy Notice หรือ การสร้างประกาศชี้แจงการใช้ข้อมูลส่วนบุคคล

          อันนี้เพื่อให้สอดคล้องตาม พ.ร.บ. PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 เพื่อแจ้งข้อมูลให้แก่ผู้ใช้บริการที่เกี่ยวกับสิทธิและหน้าที่ หรือเงื่อนไขอื่น ๆ ในการเก็บ / รวมรวบ / ใช้ และเปิดเผยข้อมูลส่วนบุคคล เพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ หรือผู้ให้ข้อมูล ส่วนบุคคลกับองค์กร ตรงนี้คือเพิ่มความน่าเชื่อถือให้กับองค์กรได้ด้วย

3. Privacy Policy หรือ นโยบายการคุ้มครองข้อมูลส่วนบุคคล

          เพื่อให้สอดคล้องตามพ... PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 
สองอย่างนี้คล้าย ๆ กัน ต่างกันแค่บุคคลที่เขียนถึง ถ้าเป็น Privacy Notice จะเขียนเพื่อตกลงร่วมกับเจ้าของข้อมูลส่วนบุคคล / ส่วนใน Privacy Policy จะเขียนเป็นนโยบายในองค์กร

Privacy Notice and Privacy Policy

4. Data Processing Agreement หรือข้อตกลงการประมวลข้อมูล

          สิ่งนี้เป็นสัญญาที่เอาไว้ใช้ร่วมกันกับ Data Processor หรือผู้ประมวลผลข้อมูลนั่นเอง ตั้งแต่การกำหนดว่าผู้ประมวลผลข้อมูลมีขอบเขตถึงตรงไหนและเอาข้อมูลส่วนบุคคลไปทำอะไร ตรงนี้จะเกี่ยวข้องระหว่าง Data Processor กับ Data Controller

Data Processing Agreement

5. Data Breach Letter หรือจดหมายแจ้งการละเมิดข้อมูลส่วนบุคคล

          สิ่งนี้จะต้องมีตาม พ... PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 ของพระราชบัญญัติ แต่ใช้ในกรณีที่ข้อมูลส่วนบุคคลรั่วไหลไปแล้ว ต้องแจ้งภายใน 72 ชั่วโมง เราขอยกตัวอย่างเป็นข่าวบริษัทในไทยที่ทำข้อมูลส่วนบุคคลของพนักงานรั่วไหลเพราะ Hacker มา Hack ตามไปอ่านได้ที่ Link นี้เช่นกัน 

Data Breach Letter

6. Record Of Processing (RoP) หรือบันทึกการประมวลผลข้อมูลส่วนบุคคล

          RoP เปรียบเสมือนสิ่งหลักที่จำเป็นต้องทำเพื่อเก็บบันทึกประวัติการประมวลผลข้อมูล รวมถึงวัตถุประสงค์ของการประมวลผล ซึ่งตรงนี้เจ้าหน้าที่ที่รับผิดชอบจะต้องสามารถขอตรวจสอบได้ ตั้งแต่การระบุข้อมูลที่จัดเก็บ วัตถุประสงค์ แหล่ง และวันเวลาที่จัดเก็บ

RoP Record of Processing

7. Cookies หรือ Text Files ที่อยู่ประจำในคอมพิวเตอร์

          Cookies ที่เรามักพบตามหน้าเว็บไซต์ต่างๆ นั้น แม้ทางกฎหมายยังไม่ได้บังคับใช้เต็มรูปแบบ แต่การแจ้งผู้ใช้งานก็ช่วยให้ผู้เข้าใช้งานรู้สึกเป็นส่วนตัวมากขึ้น สำหรับ Cookies นั้นมีหน้าที่จัดเก็บรายละเอียดข้อมูล log การใช้งาน internet ของท่าน หรือ พฤติกรรมการเยี่ยมชม website ของท่าน ถือเป็นส่วนหนึ่งในข้อมูลในข้อมูลส่วนบุคคลจึงจำเป็นจะต้องมีการขออนุญาตก่อนการใช้งาน

Cookie Consent

8. Data Subject Rights หรือ การทำสิทธิ์ของเจ้าของข้อมูล

          เพื่อให้ตอบสนองกับความต้องการและสนับสนุน เมื่อเจ้าของข้อมูล ผู้ประมวลผลจะต้องจัดการตามคำร้องของเจ้าของ

Data Subject Right

9. Consent Management หรือ การจัดการฐานความยินยอม

          เพื่อให้ตอบโจทย์มาตรา 19 ที่ว่าผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้

Consent Management

          เพราะเรารู้ว่าทุกนาทีสำคัญกับการทำงานของคุณ ทั้งหมดนี้ก็คือกระบวนการทำทั้งหมดที่เราย่อมาให้จากตัวกฎหมาย พ..ให้ออกมาเป็นขั้นตอนการทำให้ง่ายขึ้นกว่าการต้องลงมือทำ อ่าน และทำความเข้าใจ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วยตัวคุณเอง

FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

RELATED POST
digital transformation roadmap
t-reg knowledge

Digital Transformation Roadmap แผนสำคัญที่องค์กรต้องรู้ก่อนทำ Digital Transformation

จากบทความก่อนหน้าที่พูดถึงเทรนด์ PDPA Thailand พร้อมความเคลื่อนไหวที่เกิดขึ้นในแวดวงธุรกิจ และทำความเข้าใจเรื่อง Digital Transformation ในเบื้องต้น

อ่านต่อ »
understand PDPA in 5 Min
t-reg knowledge

เข้าใจ PDPA ใน 5 นาที : สรุปทุกอย่างที่องค์กรจำเป็นต้องรู้

PDPA : Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บังคับใช้อย่างจริงจังในวันที่ 1 มิถุนายน พ.ศ. 2564 ที่จะถึงนี้ เราขอสรุปแบบเข้าได้ง่ายๆ ใน 5 นาที

อ่านต่อ »
PDPA ต้องเก็บ Log
t-reg knowledge

PDPA ต้องเก็บ Log Fle ด้วยหรอ?

หลาย ๆ ท่านอาจจะบอกว่าที่ต้องเก็บ Log นั่นมัน พ.ร.บ. คอมพิวเตอร์ต่างหาก ไม่ใช่ PDPA ซะหน่อย ?
นั่นก็ถูกครึ่งนึงครับที่ว่ากฎหมายที่กำหนดให้เราเก็บ Log จริง ๆ นั่นคือ

อ่านต่อ »
audit
t-reg knowledge

เริ่ม Audit อย่างมีประสิทธิภาพ เข้มข้น ครอบคลุมทุกส่วนงาน สำเร็จการ Audit ใน 26 วันกับ t-reg

การทำ Audit ในองค์กรเป็นกิจกรรมที่ไม่ได้เกิดขึ้นบ่อยครั้ง ทว่าทุกครั้งที่มีการตรวจสอบการดำเนินการในองค์กร มักชี้ให้เห็นถึงจุดบอด จุดอ่อน และความผิดพลาดของกระบวนการบางขั้นตอนในองค์กรได้เป็นอย่างดี ขณะเดียวกันการละเลยการตรวจสอบเป็นเวลานาน

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่