]

t-reg PDPA Platform

กระบวนการ PDPA ผ่านเกณฑ์

กระบวนการทำ PDPA ให้ผ่านเกณฑ์ที่กำหนด

เนื้อหาในบทความ

กระบวนการทำ PDPA ให้ผ่านเกณฑ์ที่กำหนด

          หลาย ๆ คนอาจหลงทาง ไม่รู้ว่าตกลงเราต้องทำอะไรบ้าง อะไรควรทำก่อนหรือหลัง วันนี้มาลงให้ลึกขึ้นถึงกระบวนการทำแบบชัด ๆกันดีกว่าอย่างที่รู้กันดีว่า กฎหมาย พ... คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีความยาวถึง 44 หน้า

          นี่เป็นแค่ในหมวดหมู่เดียวเท่านั้น ยังไม่รวมถึง พ... ไซเบอร์ที่เราจะต้องทำด้วย เรามาเริ่มไล่ดูกันดีกว่าว่า เราต้องทำอะไรต่อถ้ารู้ตัวแล้วว่าเราถือข้อมูลส่วนตัวของลูกค้าเอาไว้ แต่เพราะไม่ใช่ว่าใครจะเข้ามาทำงานนี้ได้ เริ่มแรกจึงต้องเริ่มต้นด้วย

กระบวนการ Comply PDPA

1. การจัดตั้งคณะทำงาน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

          เพื่อให้สอดคล้องตาม PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 ของพระราชบัญญัติ
          คณะทำงานอย่างเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พวกเราเรียกกันว่า DPO มีหน้าที่จัดการ ดูแล คุ้มครองทุกปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

DPO

2. Privacy Notice หรือ การสร้างประกาศชี้แจงการใช้ข้อมูลส่วนบุคคล

          อันนี้เพื่อให้สอดคล้องตาม พ.ร.บ. PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 เพื่อแจ้งข้อมูลให้แก่ผู้ใช้บริการที่เกี่ยวกับสิทธิและหน้าที่ หรือเงื่อนไขอื่น ๆ ในการเก็บ / รวมรวบ / ใช้ และเปิดเผยข้อมูลส่วนบุคคล เพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ หรือผู้ให้ข้อมูล ส่วนบุคคลกับองค์กร ตรงนี้คือเพิ่มความน่าเชื่อถือให้กับองค์กรได้ด้วย

3. Privacy Policy หรือ นโยบายการคุ้มครองข้อมูลส่วนบุคคล

          เพื่อให้สอดคล้องตามพ... PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 
สองอย่างนี้คล้าย ๆ กัน ต่างกันแค่บุคคลที่เขียนถึง ถ้าเป็น Privacy Notice จะเขียนเพื่อตกลงร่วมกับเจ้าของข้อมูลส่วนบุคคล / ส่วนใน Privacy Policy จะเขียนเป็นนโยบายในองค์กร

Privacy Notice and Privacy Policy

4. Data Processing Agreement หรือข้อตกลงการประมวลข้อมูล

          สิ่งนี้เป็นสัญญาที่เอาไว้ใช้ร่วมกันกับ Data Processor หรือผู้ประมวลผลข้อมูลนั่นเอง ตั้งแต่การกำหนดว่าผู้ประมวลผลข้อมูลมีขอบเขตถึงตรงไหนและเอาข้อมูลส่วนบุคคลไปทำอะไร ตรงนี้จะเกี่ยวข้องระหว่าง Data Processor กับ Data Controller

Data Processing Agreement

5. Data Breach Letter หรือจดหมายแจ้งการละเมิดข้อมูลส่วนบุคคล

          สิ่งนี้จะต้องมีตาม พ... PDPA เกี่ยวกับการจัดการข้อมูลส่วนบุคคล ตามมาตรา 41 และมาตรา 42 ของพระราชบัญญัติ แต่ใช้ในกรณีที่ข้อมูลส่วนบุคคลรั่วไหลไปแล้ว ต้องแจ้งภายใน 72 ชั่วโมง เราขอยกตัวอย่างเป็นข่าวบริษัทในไทยที่ทำข้อมูลส่วนบุคคลของพนักงานรั่วไหลเพราะ Hacker มา Hack ตามไปอ่านได้ที่ Link นี้เช่นกัน 

Data Breach Letter

6. Record Of Processing (RoP) หรือบันทึกการประมวลผลข้อมูลส่วนบุคคล

          RoP เปรียบเสมือนสิ่งหลักที่จำเป็นต้องทำเพื่อเก็บบันทึกประวัติการประมวลผลข้อมูล รวมถึงวัตถุประสงค์ของการประมวลผล ซึ่งตรงนี้เจ้าหน้าที่ที่รับผิดชอบจะต้องสามารถขอตรวจสอบได้ ตั้งแต่การระบุข้อมูลที่จัดเก็บ วัตถุประสงค์ แหล่ง และวันเวลาที่จัดเก็บ

RoP Record of Processing

7. Cookies หรือ Text Files ที่อยู่ประจำในคอมพิวเตอร์

          Cookies ที่เรามักพบตามหน้าเว็บไซต์ต่างๆ นั้น แม้ทางกฎหมายยังไม่ได้บังคับใช้เต็มรูปแบบ แต่การแจ้งผู้ใช้งานก็ช่วยให้ผู้เข้าใช้งานรู้สึกเป็นส่วนตัวมากขึ้น สำหรับ Cookies นั้นมีหน้าที่จัดเก็บรายละเอียดข้อมูล log การใช้งาน internet ของท่าน หรือ พฤติกรรมการเยี่ยมชม website ของท่าน ถือเป็นส่วนหนึ่งในข้อมูลในข้อมูลส่วนบุคคลจึงจำเป็นจะต้องมีการขออนุญาตก่อนการใช้งาน

Cookie Consent

8. Data Subject Rights หรือ การทำสิทธิ์ของเจ้าของข้อมูล

          เพื่อให้ตอบสนองกับความต้องการและสนับสนุน เมื่อเจ้าของข้อมูล ผู้ประมวลผลจะต้องจัดการตามคำร้องของเจ้าของ

Data Subject Right

9. Consent Management หรือ การจัดการฐานความยินยอม

          เพื่อให้ตอบโจทย์มาตรา 19 ที่ว่าผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้

Consent Management

          เพราะเรารู้ว่าทุกนาทีสำคัญกับการทำงานของคุณ ทั้งหมดนี้ก็คือกระบวนการทำทั้งหมดที่เราย่อมาให้จากตัวกฎหมาย พ..ให้ออกมาเป็นขั้นตอนการทำให้ง่ายขึ้นกว่าการต้องลงมือทำ อ่าน และทำความเข้าใจ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วยตัวคุณเอง

FREE EVENT

ร่วมฟังแนวทางเปลี่ยนความท้าทาย ให้กลายเป็นโอกาส ด้วยไกด์ไลน์การทำโครงการ PDPA ควบคู่กับ Digital Transformation โดย ผู้เชี่ยวชาญด้านเทคโนโลยี และกฎหมาย PDPA จาก t-reg พบกับผู้เชี่ยวชาญของ t-reg PDPA Platform ที่ให้คำปรึกษาพร้อมเทคโนโลยี ในการพาองค์กรชั้นนำของประเทศไทยมามากกว่า 50 องค์กร สำเร็จโครงการ PDPA แบบยั่งยืน

ร่วมฟังแนวทางที่ท่านจะได้รับทราบข้อมูลอัพเดทเกี่ยวกับตัวกฎหมาย และแนวทางการตรวจสอบในเชิง Audit ว่าองค์กรของท่านนั้นยังคงรักษามาตรการการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดีหรือไม่ กฎหมายที่ออกเพิ่มเติมมาส่งผลต่อท่านอย่างไร และกระบวนการ Audit ที่เข้มข้น

RELATED POST
ข้อมูลส่วนบุคคล ลูกเสือ
t-reg news

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

จงเตรียมพร้อม ไม่ได้ใช้เพื่อปฏิญาณในฐานะลูกเสือแค่นั้น แต่ CyberSecurity ก็ใช้ด้วย เพราะล่าสุด ข้อมูลส่วนบุคคล รั่วไหลเกิดกับเหล่า Scout แล้ว

อ่านต่อ »
Consent คือ
Case Study

Lesson Learn จาก Google Consent สำคัญแค่ไหน? ทำไมบริษัทใหญ่ๆ มักตกหลุมพราง Consent

Consent คือ พื้นฐานของกฎหมาย GDPR กฎหมาย PDPA และกฎหมายคุ้มครองข้อมูลอื่น ๆ  ซึ่งดูเป็นเรื่องที่ไม่ซับซ้อนเท่ากับขั้นตอนอื่น

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่