t-reg PDPA Platform

PDPA Process

กระบวนการทำ PDPA ให้ผ่านเกณฑ์ที่กำหนด

หลาย ๆ คนอาจหลงทาง ไม่รู้ว่าตกลงเราต้องทำอะไรบ้าง อะไรควรทำก่อนหรือหลัง วันนี้มาลงให้ลึกขึ้นถึงกระบวนการทำแบบชัด ๆกันดีกว่า

อย่างที่รู้กันดีว่า กฎหมาย พ... คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีความยาวถึง 44 หน้า

อันนี้แค่ในหมวดยังไม่รวมถึง พ... ไซเบอร์ที่เราจะต้องทำด้วย เรามาเริ่มไล่ดูกันดีกว่าว่า เราต้องทำอะไรต่อถ้ารู้ตัวแล้วว่าเราถือข้อมูลส่วนตัวของลูกค้าเอาไว้ 

แต่เพราะไม่ใช่ว่าใครจะเข้ามาทำงานนี้ได้ เริ่มแรกจึงต้องเริ่มต้นด้วย

1. การจัดตั้งคณะทำงาน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO

เพื่อให้สอดคล้องตาม PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 ของพระราชบัญญัติ

คณะทำงานอย่างเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พวกเราเรียกกันว่า DPO

ที่บริษัท Ragnar ของเราตอนนี้มี DPO เช่นกัน พี่ ๆ เขาจะทำหน้าที่ตามชื่อเขาเลย เขามีหน้าที่จัดการ ดูแล คุ้มครองทุกปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

2. Privacy Notice หรือ การสร้างประกาศชี้แจงการใช้ข้อมูลส่วนบุคคล

อันนี้เพื่อให้สอดคล้องตาม พ... PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42

เพื่อแจ้งข้อมูลให้แก่ผู้ใช้บริการที่เกี่ยวกับสิทธิและหน้าที่ หรือเงื่อนไขอื่น ๆ ในการเก็บ / รวมรวบ / ใช้ และเปิดเผยข้อมูลส่วนบุคคล 

ที่ทำแบบนี้ก็เพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ หรือผู้ให้ข้อมูล ส่วนบุคคลกับองค์กร ตรงนี้คือเพิ่มความน่าเชื่อถือให้กับองค์กรได้ด้วย

ตามมาด้วยอีกกระบวนการที่คล้ายกัน

3. Privacy Policy หรือ นโยบายการคุ้มครองข้อมูลส่วนบุคคล

เพื่อให้สอดคล้องตามพ... PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 

สองอย่างนี้คล้าย ๆ กัน ต่างกันแค่บุคคลที่เขียนถึง ถ้าเป็น Privacy Notice จะเขียนเพื่อตกลงร่วมกับเจ้าของข้อมูลส่วนบุคคล / ส่วนใน Privacy Policy จะเขียนเป็นนโยบายในองค์กร

4. Data Processing Agreement หรือข้อตกลงการประมวลข้อมูล

ตามชื่อเลย สิ่งนี้เป็นสัญญาที่เอาไว้ใช้ร่วมกันกับ Data Processor หรือผู้ประมวลผลข้อมูลนั่นเอง ตั้งแต่การกำหนดว่าผู้ประมวลผลข้อมูลมีขอบเขตถึงตรงไหนและเอาข้อมูลส่วนบุคคลไปทำอะไร ตรงนี้จะเกี่ยวข้องระหว่าง Data Processor กับ Data Controller

5. Data Breach Letter หรือจดหมายแจ้งการละเมิดข้อมูลส่วนบุคคล

สิ่งนี้จะต้องมีตาม พ... PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 ของพระราชบัญญัติ

แต่ใช้ในกรณีที่ข้อมูลส่วนบุคคลรั่วไหลไปแล้ว ต้องแจ้งภายใน 72 ชั่วโมง เราขอยกตัวอย่างเป็นข่าวบริษัทในไทยที่ทำข้อมูลส่วนบุคคลของพนักงานรั่วไหลเพราะ Hacker มา Hack ตามไปอ่านได้ที่ Link นี้เช่นกัน 

6. Record Of Processing (RoP) หรือบันทึกการประมวลผลข้อมูลส่วนบุคคล

อันนี้ต้องทำเพื่อเก็บบันทึกประวัติการประมวลผลข้อมูล รวมถึงวัตถุประสงค์ของการประมวลผล ซึ่งตรงนี้เจ้าหน้าที่ที่รับผิดชอบ / จะต้องสามารถขอตรวจสอบได้

7. Cookies หรือ Text Files ที่อยู่ประจำในคอมพิวเตอร์

มีหน้าที่จัดเก็บรายละเอียดข้อมูล log การใช้งาน internet ของท่าน หรือ พฤติกรรมการเยี่ยมชม website ของท่าน ถือเป็นส่วนหนึ่งในข้อมูลในข้อมูลส่วนบุคคลจึงจำเป็นจะต้องมีการขออนุญาตก่อนการใช้งาน

8. Data Subject Rights หรือ การทำสิทธิ์ของเจ้าของข้อมูล

เพื่อให้ตอบสนองกับความต้องการและสนับสนุน เมื่อเจ้าของข้อมูล ผู้ประมวลผลจะต้องจัดการตามคำร้องของเจ้าของ

9. Consent Management หรือ การจัดการฐานความยินยอม

เพื่อให้ตอบโจทย์มาตรา 19 ที่ว่าผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้

ทั้งหมดนี้ก็คือกระบวนการทำทั้งหมดที่เราย่อมาให้จากตัวกฎหมาย พ..ให้ออกมาเป็นขั้นตอนการทำให้ง่ายขึ้นกว่าการต้องลงมือทำเอง

Leave a Comment

Your email address will not be published. Required fields are marked *