]

t-reg PDPA Platform

กฎหมายเป็นเรื่องของ IT

กฎหมาย PDPA เป็นแค่เรื่องของ IT จริงหรอ?

เนื้อหาในบทความ

ในตัวกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่จะมีผลบังคับใช้ในปีหน้า และบังคับใช้กับทุกองค์กรที่เก็บข้อมูลลูกค้า ไม่ใช่เพียงแค่เรื่องไอทีเท่านั้นนะครับดังนั้นจึงเป็นสิ่งสำคัญที่ทุกภาคส่วนในองค์กรต้องปฏิบัติตามกฎหมาย และคำนึงถึงทุกๆ ด้านของแผนกต่าง ๆ ในองค์กรที่มีส่วนเกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วย

“ทำไม PDPA จึงเป็นมากกว่าเรื่องของ IT”

ในระดับองค์กร พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะเข้าไปสัมผัสทุกแง่มุมทุกแผนกที่มีการเก็บ และใช้ข้อมูลส่วนบุคคล มันเป็นสิ่งที่สำคัญที่ต้องเริ่มปฎิบัติตาม ก่อนที่จะเริ่มบังคับใช้จริงในปีหน้านะครับสรุปแล้วองค์กร หรือบริษัทที่รวบรวม และประมวลผลข้อมูลส่วนบุคคล ใช้ข้อมูลส่วนบุคคลในการทำการตลาด ไม่ว่าจะเก็บข้อมูลไว้ใน Server หรือบนกระดาษก็ตามครับ

หมายเหตุ หากว่าองค์กรเก็บข้อมูลที่สามารถระบุตัวตนได้ ข้อมูลถือว่าเป็นทรัพย์สินที่มีค่ามาก ๆ ขององค์กร เลยครับ และมีความเสี่ยงที่จะจะทำให้บริษัทเสียหายหากว่าใช้ไม่ระวัง หรือถูกโจรกรรมข้อมูลส่วนบุคคล ‍

แผนกไหนบ้างที่ได้รับผลกระทบจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

1.ทรัพยากรมนุษย์ (Human resources)

“ข้อมูลพนักงานก็ถือว่าเป็นข้อมูลส่วนบุคคล”

แผนก HR ควรจัดการเข้ามาทำงานใหม่ และการลาออกของพนักงานให้กับองค์กรเพื่อให้มั่นใจว่ามีการจัดการข้อมูลเริ่มต้นใหม่อย่างถูกต้องสัญญาว่าจ้าง จัดอบรมให้พนักงานเกี่ยวกับการตระหนักรู้ถึงความรับผิดชอบในการจัดการข้อมูลเป็นสินทรัพย์ HR อาจต้องได้รับความยินยอมจากพนักงานในการขออนุญาตให้ประมวลผลข้อมูลสำหรับการจ่ายเงินเดือน ซึ่งตรงนี้จะต้องทำให้พวกเขามั่นใจว่าจะไม่ถูกนำไปใช้ในทางที่ผิด

2. ฝ่ายการฝึกอบรม (Training Department)

ข้อมูลที่เกี่ยวกับการฝึกอบรมที่มีข้อมูลพนักงานก็ถือเป็นข้อมูลส่วนบุคคลเช่นเดียวครับ

การศึกษาอย่างต่อเนื่อง และการฝึกอบรมพนักงานเพื่อให้แน่ใจว่าพวกเขาเข้าใจว่าข้อมูลสามารถ และไม่สามารถจัดการได้ สิ่งนี้ต้องรวมข้อมูลเกี่ยวกับสิ่งที่ต้องเกี่ยวกับการใช้งาน และการจัดการกับข้อมูลส่วนบุคคล ซึ่งในแผนกนี้ข้อมูลของพนักงานภายในที่ฝึกอบรม หรือเรียนรู้ Core Knowledge ในองค์กรจะต้องถูกเก็บไว้อย่างถูกต้อง และปลอดภัยเช่นเดียวกัน

3. การจัดซื้อจัดจ้าง (Procurement)

ชื่อบุคคลที่อยู่ในสัญญาจัดซื้อจัดจ้างเป็นข้อมูลส่วนบุคคล

ฝ่ายจัดซื้อจัดจ้างควรตรวจสอบให้แน่ใจว่าบุคคลที่สาม (Third Party) ที่นำข้อมูลส่วนบุคคลมาใช้ในการประมวลผลข้อมูลเป็นไปตามสัญญาว่าข้อมูลได้รับการคุ้มครองไม่แบ่งปันกับผู้อื่น และมีการส่งผ่านเฉพาะข้อมูลที่จำเป็นเท่านั้น หากสูญเสียข้อมูลที่ได้รับการโจมตีจาก ransomware หรือสงสัยว่าระบบของพวกเขาถูกบุกรุกระบบเกิดขึ้น เราจะสื่อสารฐานะ Data Controller ได้อย่างไร? และถ้าหากจ้าง IT จากภายนอกผู้ให้บริการจะมีกระบวนการและระบบที่ถูกต้องเพื่อจัดการข้อมูลของคุณอย่างปลอดภัยหรือไม่?

4. ฝ่ายปฏิบัติการ (Operation)

เป็นฟันเฟืองที่สำคัญที่จะทำให้ Comply พรบ. คุ้มครองข้อมูลส่วนบุคคลง่ายขึ้น

ในส่วนของฝ่ายปฎิบัติการ (Operation) จะเป็นกลไลที่สำคัญ และเกี่ยวกับกับทุกแผนกที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลไม่ว่าจะเป็นข้อมูลภายในหรือว่าภายนอก ดังนั้นการทำ Compliance Checklist จะช่วยทำให้ติดตามแผนกอื่น ๆ ว่าทำตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ถึงไหนแล้ว อีกทั้งยังต้องมีการออกแบบแผนผังการไหลของข้อมูล (Data Mapping) ที่ง่ายต่อการให้แผนกอื่น ๆ เข้ามาอัพเดทข้อมูล และเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

5. การตลาด และการขาย (Marketing & Sales)

สื่อสาร และสร้างความเชื่อมั่นให้แก่ลูกค้าว่าข้อมูลส่วนบุคคลที่เก็บไว้จะปลอดภัย และ Comply PDPA”

ในส่วนพนักงานที่ทำงานเกี่ยวกับการตลาดจะเป็นส่วนหน้าด่านแรกในการขอความยินยอมเก็บข้อมูลส่วนบุคคลลูกค้า ไม่ว่าจะเป็นช่องทางไหน และสร้างความมั่นใจว่าข้อมูลส่วนตัวที่องค์กรเก็บไว้ ปฎิบัติตาม PDPA

นอกจากนี้ การทำลายข้อมูลส่วนบุคคลก็เป็นสิ่งที่สำคัญเช่นเดียวกัน ต้องทำแน่ใจว่าข้อมูลที่ถูกทำลายเป็นอย่างถูกต้อง

พออ่านมีถึงตรงนี้จะรู้ว่าจริง ๆ แล้วกฎหมาย พรบ. ข้อมูลส่วนบุคคลไม่ใช่เรื่องของคน IT เท่านั้นนะครับมันเป็นสิ่งที่เกี่ยวข้องทุก ๆ คนในองค์กรที่เก็บ และใช้ข้อมูลส่วนบุคคล ซึ่งถ้าคนใดคนนึงเก็บ หรือใช้ข้อมูลส่วนบุคคลไม่ถูกต้อง ถึงแม้ว่าจะ Comply PDPA แต่สามารถทำให้เกิดความเสียหายเป็นจำนวนมหาศาลได้หากว่าเกิดเหตุการณ์ข้อมูลรั่วไหลขึ้นมานะครับ

Referencehttps://www.itgovernance.co.uk/data-protection-dpa-and-eu-data-protection-regulation

FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

RELATED POST
Case Study

WARNING! ถูกละเมิดความเป็นส่วนตัว ถูกองค์กรประมวลผลข้อมูลส่วนบุคคลโดยที่เราไม่ยินยอม ทำอะไรได้บ้าง?

กฎหมาย PDPA บังคับใช้อย่างเป็นทางการ พร้อมกับกฎหมายลำดับรองที่ประกาศออกมาแล้ว หากเกิดข้อพิพาท หรือเกิดการละเมิดข้อมูลส่วนบุคคล เจ้าของข้อมูลต้องทำอย่างไร? t-reg

อ่านต่อ »
pdpa-dpia
t-reg news

ทำความรู้จัก DPIA (Data Protection Impact Assessment) สำคัญต่อองค์กรอย่างไร? ควรริเริ่มและดำเนินการอย่างไรให้สำเร็จ

ปฏิเสธไม่ได้ว่าปัจจุบัน จำนวนของข้อมูลในองค์กร ยิ่งมากยิ่งเป็นสิ่งที่ดีต่อการโฆษณา ดีต่อการพัฒนาผลิตภัณฑ์ แต่ขณะเดียวกันยิ่งมีข้อมูลมาก ก็ยิ่งมีความเสี่ยงต่อการรั่วไหล เสี่ยงต่อการจารกรรมข้อมูล ดังนั้นการหยิบยืมข้อมูลจากเจ้าของข้อมูลส่วนบุคคล

อ่านต่อ »
5 ข้อดีของ PDPA
t-reg knowledge

5 ข้อดีของ PDPA ที่ทำให้คุณเข้าใจว่าทำไมควรทำ

PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไม่ได้เป็นกฎหมายให้ภาครัฐหรือเอกชนทำตามเพียงอย่างเดียว แต่ทำไมควรทำลองมาดู 5 ข้อดีกัน

อ่านต่อ »
important PDPA
t-reg knowledge

สรุปสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล!

ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อมูลส่วนตัวรวมทั้งข้อมูลการใช้งานของ User ถ้าหากเก็บรวบรวมดีๆ จะมีมูลค่ามหาศาล แต่นั่นเป็นดาบสองคมที่อาจทำให้มีผู้ไม่ประสงค์ดีขโมยข้อมูลไปใช้

อ่านต่อ »
ถอดคำแถลงการณ์ข้อมูลรั่วไหล บริษัทมือถือชื่อดัง
t-reg news

ถอดคำแถลงการณ์ Service Provider ยักษ์ใหญ่ บอกอะไรกับเราบ้างนะ ?!

     เรียกได้ว่าช่วงสุดสัปดาห์ที่ผ่านมาหลายท่านคงได้ยินข่าวที่ผู้ให้บริการยักษ์ใหญ่แห่งหนึ่งออกมาประกาศเกี่ยวกับข้อมูลผู้ใช้ที่หลุดรั่วออกไปพร้อมกับวิธีการแก้ไขกับสิ่งที่เกิดขึ้น แม้ในปัจจุบัน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะยังไม่บังคับใช้ แต่การที่

อ่านต่อ »
pdpa ประกันภัย
t-reg knowledge

10 เรื่องที่บริษัทประกันควรรู้เกี่ยวกับ PDPA X ธุรกิจประกันภัย เข้าใจกฎหมาย ธุรกิจไปได้ไกลกว่า

PDPA ประกันภัย สำคัญอย่างไรในยุคที่กฎหมายคุ้มครองข้อมูลของลูกค้า? ธุรกิจประกันภัย เป็นหนึ่งในธุรกิจที่ใช้ข้อมูลส่วนบุคคลประกอบการดำเนินธุรกรรม  อาทิ การนำข้อมูลส่วนบุคคลมาใช้สนับสนุนการรับพิจารณาประกัน การปฏิบัติตามสัญญา การให้บริการลูกค้า

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่