]

t-reg PDPA Platform

กฎหมายเป็นเรื่องของ IT

กฎหมาย PDPA เป็นแค่เรื่องของ IT จริงหรอ?

เนื้อหาในบทความ

ในตัวกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่จะมีผลบังคับใช้ในปีหน้า และบังคับใช้กับทุกองค์กรที่เก็บข้อมูลลูกค้า ไม่ใช่เพียงแค่เรื่องไอทีเท่านั้นนะครับดังนั้นจึงเป็นสิ่งสำคัญที่ทุกภาคส่วนในองค์กรต้องปฏิบัติตามกฎหมาย และคำนึงถึงทุกๆ ด้านของแผนกต่าง ๆ ในองค์กรที่มีส่วนเกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วย

“ทำไม PDPA จึงเป็นมากกว่าเรื่องของ IT”

ในระดับองค์กร พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะเข้าไปสัมผัสทุกแง่มุมทุกแผนกที่มีการเก็บ และใช้ข้อมูลส่วนบุคคล มันเป็นสิ่งที่สำคัญที่ต้องเริ่มปฎิบัติตาม ก่อนที่จะเริ่มบังคับใช้จริงในปีหน้านะครับสรุปแล้วองค์กร หรือบริษัทที่รวบรวม และประมวลผลข้อมูลส่วนบุคคล ใช้ข้อมูลส่วนบุคคลในการทำการตลาด ไม่ว่าจะเก็บข้อมูลไว้ใน Server หรือบนกระดาษก็ตามครับ

หมายเหตุ หากว่าองค์กรเก็บข้อมูลที่สามารถระบุตัวตนได้ ข้อมูลถือว่าเป็นทรัพย์สินที่มีค่ามาก ๆ ขององค์กร เลยครับ และมีความเสี่ยงที่จะจะทำให้บริษัทเสียหายหากว่าใช้ไม่ระวัง หรือถูกโจรกรรมข้อมูลส่วนบุคคล ‍

แผนกไหนบ้างที่ได้รับผลกระทบจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

1.ทรัพยากรมนุษย์ (Human resources)

“ข้อมูลพนักงานก็ถือว่าเป็นข้อมูลส่วนบุคคล”

แผนก HR ควรจัดการเข้ามาทำงานใหม่ และการลาออกของพนักงานให้กับองค์กรเพื่อให้มั่นใจว่ามีการจัดการข้อมูลเริ่มต้นใหม่อย่างถูกต้องสัญญาว่าจ้าง จัดอบรมให้พนักงานเกี่ยวกับการตระหนักรู้ถึงความรับผิดชอบในการจัดการข้อมูลเป็นสินทรัพย์ HR อาจต้องได้รับความยินยอมจากพนักงานในการขออนุญาตให้ประมวลผลข้อมูลสำหรับการจ่ายเงินเดือน ซึ่งตรงนี้จะต้องทำให้พวกเขามั่นใจว่าจะไม่ถูกนำไปใช้ในทางที่ผิด

2. ฝ่ายการฝึกอบรม (Training Department)

ข้อมูลที่เกี่ยวกับการฝึกอบรมที่มีข้อมูลพนักงานก็ถือเป็นข้อมูลส่วนบุคคลเช่นเดียวครับ

การศึกษาอย่างต่อเนื่อง และการฝึกอบรมพนักงานเพื่อให้แน่ใจว่าพวกเขาเข้าใจว่าข้อมูลสามารถ และไม่สามารถจัดการได้ สิ่งนี้ต้องรวมข้อมูลเกี่ยวกับสิ่งที่ต้องเกี่ยวกับการใช้งาน และการจัดการกับข้อมูลส่วนบุคคล ซึ่งในแผนกนี้ข้อมูลของพนักงานภายในที่ฝึกอบรม หรือเรียนรู้ Core Knowledge ในองค์กรจะต้องถูกเก็บไว้อย่างถูกต้อง และปลอดภัยเช่นเดียวกัน

3. การจัดซื้อจัดจ้าง (Procurement)

ชื่อบุคคลที่อยู่ในสัญญาจัดซื้อจัดจ้างเป็นข้อมูลส่วนบุคคล

ฝ่ายจัดซื้อจัดจ้างควรตรวจสอบให้แน่ใจว่าบุคคลที่สาม (Third Party) ที่นำข้อมูลส่วนบุคคลมาใช้ในการประมวลผลข้อมูลเป็นไปตามสัญญาว่าข้อมูลได้รับการคุ้มครองไม่แบ่งปันกับผู้อื่น และมีการส่งผ่านเฉพาะข้อมูลที่จำเป็นเท่านั้น หากสูญเสียข้อมูลที่ได้รับการโจมตีจาก ransomware หรือสงสัยว่าระบบของพวกเขาถูกบุกรุกระบบเกิดขึ้น เราจะสื่อสารฐานะ Data Controller ได้อย่างไร? และถ้าหากจ้าง IT จากภายนอกผู้ให้บริการจะมีกระบวนการและระบบที่ถูกต้องเพื่อจัดการข้อมูลของคุณอย่างปลอดภัยหรือไม่?

4. ฝ่ายปฏิบัติการ (Operation)

เป็นฟันเฟืองที่สำคัญที่จะทำให้ Comply พรบ. คุ้มครองข้อมูลส่วนบุคคลง่ายขึ้น

ในส่วนของฝ่ายปฎิบัติการ (Operation) จะเป็นกลไลที่สำคัญ และเกี่ยวกับกับทุกแผนกที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลไม่ว่าจะเป็นข้อมูลภายในหรือว่าภายนอก ดังนั้นการทำ Compliance Checklist จะช่วยทำให้ติดตามแผนกอื่น ๆ ว่าทำตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ถึงไหนแล้ว อีกทั้งยังต้องมีการออกแบบแผนผังการไหลของข้อมูล (Data Mapping) ที่ง่ายต่อการให้แผนกอื่น ๆ เข้ามาอัพเดทข้อมูล และเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

5. การตลาด และการขาย (Marketing & Sales)

สื่อสาร และสร้างความเชื่อมั่นให้แก่ลูกค้าว่าข้อมูลส่วนบุคคลที่เก็บไว้จะปลอดภัย และ Comply PDPA”

ในส่วนพนักงานที่ทำงานเกี่ยวกับการตลาดจะเป็นส่วนหน้าด่านแรกในการขอความยินยอมเก็บข้อมูลส่วนบุคคลลูกค้า ไม่ว่าจะเป็นช่องทางไหน และสร้างความมั่นใจว่าข้อมูลส่วนตัวที่องค์กรเก็บไว้ ปฎิบัติตาม PDPA

นอกจากนี้ การทำลายข้อมูลส่วนบุคคลก็เป็นสิ่งที่สำคัญเช่นเดียวกัน ต้องทำแน่ใจว่าข้อมูลที่ถูกทำลายเป็นอย่างถูกต้อง

พออ่านมีถึงตรงนี้จะรู้ว่าจริง ๆ แล้วกฎหมาย พรบ. ข้อมูลส่วนบุคคลไม่ใช่เรื่องของคน IT เท่านั้นนะครับมันเป็นสิ่งที่เกี่ยวข้องทุก ๆ คนในองค์กรที่เก็บ และใช้ข้อมูลส่วนบุคคล ซึ่งถ้าคนใดคนนึงเก็บ หรือใช้ข้อมูลส่วนบุคคลไม่ถูกต้อง ถึงแม้ว่าจะ Comply PDPA แต่สามารถทำให้เกิดความเสียหายเป็นจำนวนมหาศาลได้หากว่าเกิดเหตุการณ์ข้อมูลรั่วไหลขึ้นมานะครับ

Referencehttps://www.itgovernance.co.uk/data-protection-dpa-and-eu-data-protection-regulation

FREE EVENT

ร่วมฟังแนวทางเปลี่ยนความท้าทาย ให้กลายเป็นโอกาส ด้วยไกด์ไลน์การทำโครงการ PDPA ควบคู่กับ Digital Transformation โดย ผู้เชี่ยวชาญด้านเทคโนโลยี และกฎหมาย PDPA จาก t-reg พบกับผู้เชี่ยวชาญของ t-reg PDPA Platform ที่ให้คำปรึกษาพร้อมเทคโนโลยี ในการพาองค์กรชั้นนำของประเทศไทยมามากกว่า 50 องค์กร สำเร็จโครงการ PDPA แบบยั่งยืน

ร่วมฟังแนวทางที่ท่านจะได้รับทราบข้อมูลอัพเดทเกี่ยวกับตัวกฎหมาย และแนวทางการตรวจสอบในเชิง Audit ว่าองค์กรของท่านนั้นยังคงรักษามาตรการการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดีหรือไม่ กฎหมายที่ออกเพิ่มเติมมาส่งผลต่อท่านอย่างไร และกระบวนการ Audit ที่เข้มข้น

RELATED POST
PDPA คืออะไร
t-reg knowledge

PDPA คืออะไร ?

PDPA ย่อมาจาก Personal Data Protection Act พ.ร.บ. นี้เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

อ่านต่อ »
Digital Transformation และ กฎหมาย PDPA
t-reg knowledge

Digital Transformation & PDPA เรื่องไม่ใหม่ที่องค์กรไทยต้องใส่ใจ

Digital Transformation (DX) เป็นคำที่หลากหลายองค์กร และธุรกิจทุกภาคส่วนเริ่มได้ยิน และรู้สึกได้ถึงการเปลี่ยนแปลงที่จะเกิดขึ้นภายในองค์กร และการทำธุรกิจ ซึ่งจะเกี่ยวข้องกับกฎหมาย

อ่านต่อ »
dpo
t-reg knowledge

DPO คือใคร?, 6 คำถามยอดฮิตที่พบบ่อยในองค์กร

แท้จริงแล้ว DPO หรือ Data Protection Officer คือใคร มีหน้าที่อะไร คุณสมบัติแบบไหนที่เหมาะกับการทำหน้าที่นี้ องค์กรแบบไหนควรมี DPO แล้วสามารถจ้าง Outsource ได้หรือไม่

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่