]

t-reg PDPA Platform

PDPA Checklist Thailand

PDPA Checklist Thailand เตรียมความพร้อมก่อนพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บังคับใช้

เนื้อหาในบทความ

วันนี้ t-reg ขอพาทุกท่านมารู้จัก PDPA Checklist Thailand เพื่อตรวจสอบว่าองค์กรได้ทำตามที่กฎหมาย PDPA กำหนดไว้ครบถ้วนแล้วหรือยัง โดยบทความนี้นอกจากจะช่วยให้ท่านเข้าใจข้อกำหนดตามกฎหมาย PDPA แล้วทางเรายังมีตัวอย่างแนวทางปฏิบัติที่ดี มาช่วยให้ท่านเปลี่ยน PDPA ให้เป็นเรื่องง่าย และองค์กรสามารถทำตามได้แบบถูกกฎหมาย เริ่มจาก

แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ตาม PDPA Checklist Thailand

ตามมาตรา 41 ของกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ได้กำหนดไว้ว่า 

ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน

ซึ่งหลายคนเมื่อได้อ่านข้อความนี้แล้ว อาจมีข้อสงสัยกันใช่ไหมล่ะคะว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) คือใคร ?

คำตอบก็คือ คนที่มีหน้าที่ดูแลเกี่ยวกับข้อมูลส่วนบุคคลขององค์กรทั้งภายใน (พนักงานในองค์กร) และภายนอก (ผู้ใช้บริการ พาร์ทเนอร์) ของบริษัทตั้งแต่กระบวนการเก็บรวบรวม ใช้งาน เปิดเผย รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล โดยอาจจะแต่งตั้งพนักงานในองค์กรให้รับตำแหน่งนี้ หรือจะจ้าง Outsource เข้ามาดูแลในส่วนนี้ก็ได้เช่นกัน

เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?

องค์กรจะต้องมีการแต่งตั้งคณะทำงาน PDPA ภายในหน่วยงาน ซึ่งคุณสมบัติที่ดีของ DPO นั้นต้องเป็นผู้เข้าใจในกฎหมาย PDPA และด้าน Cyber Security เป็นอย่างดี รวมถึงต้องไม่ทำหน้าที่ขัดกับการปกป้องข้อมุลส่วนบุคคลเช่นฝ่าย Sales and Marketing เป็นต้น ดังนั้นการมองหา DPO ที่เป็น Outsoucre จะช่วยลดความยุ่งยากในการสรรหาแต่งตั้ง และดูแลเกี่ยวกับข้อมูลส่วนบุคคล หากคุณอยากศึกษาเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพิ่มเติมสามารถเข้าไปอ่านได้ที่  DPO คือใคร?, 6 คำถามยอดฮิตที่พบบ่อยในองค์กร

จัดทำประกาศความเป็นส่วนตัวหรือ Privacy Notice

ในกฎหมาย PDPA หรือพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้กล่าวเกี่ยวกับ Privacy Notice ในมาตรา 23 ไว้ว่า

ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ดังต่อไปนี้ เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว

ซึ่งการแจ้งให้เจ้าของข้อมูลส่วนบุคคลให้ทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลนั้นก็คือ การทำ Privacy Notice หรือประกาศความเป็นส่วนตัว อ่านเพิ่มเติมเกี่ยวกับ Privacy Notice ได้ที่ Privacy Notice (ประกาศความเป็นส่วนตัว) ทำไมต้องมี?

เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?

กฎหมายระบุชัดเจนแล้วว่าต้องมีการทำ Privacy Notice หรือประกาศความเป็นส่วนตัว ซึ่งในประกาศนั้นต้องแจ้งถึงรายละเอียดข้อมูลที่เก็บไป วัตถุประสงค์ในการเก็บข้อมูล แหล่งวิธีการได้มาของข้อมูล การนำข้อมูลส่วนบุคคลไปใช้ประมวลผลส่วนไหนบ้าง การเก็บรักษาข้อมูลส่วนบุคคล และระยะเวลาในการเก็บ ข้อมูลที่ติดต่อได้ของผู้ควบคุมข้อมูล รวมถึงสิทธิ์ของเจ้าของข้อมูล ซึ่งทั้งหมดนี้ต้องระบุเป็นลายลักษณ์อักษรอย่างชัดเจนเพื่อให้เจ้าของข้อมูลได้รับรู้ก่อนหรือระหว่างการเก็บข้อมูลส่วนบุคคล

ทำบันทึกรายการกิจกรรมการประมวลผล (Records of Processing Activities)

มาตรา 39 ในกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้กล่าวไว้เกี่ยวกับการทำบันทึกรายการกิจกรรมการประมวลผลไว้ว่า

ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

ซึ่งแปลว่าผู้ควบคุมข้อมูลหรือองค์กรนั้น ต้องมีการทำบันทึกรายการกิจกรรมการประมวผล หรือที่เราคุ้นกันว่าการทำ Records of Processing Activities (RoP) ซึ่งสามารถทำออกมาในรูปแบบของหนังสือทั่วไป หรือจะเป็นแบบอิเล็กทรอนิกส์เพื่อตอบโจทย์กระแสดิจิทัลในปัจจุบัน

เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?

หลายคนคงไม่รู้จะต้องทำอย่างไรให้บรรลุตามมาตรา 39 กำหนดไว้ ซึ่งการทำ RoP นี้ต้องเริ่มจาก การสำรวจข้อมูลส่วนบุคคลที่องค์กรจัดเก็บอยู่, กำหนดวัตถุประสงค์ และระยะในการจัดเก็บข้อมูล สำรวจแหล่งจัดเก็บข้อมูล รวมถึงมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่เราจัดเก็บ ซึ่งกระบวนการทำ RoP นี้จะช่วยให้องค์กรสามารถชี้แจงกับเจ้าของข้อมูล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีการตรวจสอบได้อีกด้วย

สามารถอ่านเพิ่มเติมเกี่ยวกับการจัดทำบันทึกรายการกิจกรรมการประมวลผลได้ที่ RoP Records of Processing Activity คืออะไร

จัดทำแบบขอความยินยอมในกรณีที่มีความจำเป็นต้องใช้ (Consent Form)

อย่างที่หลายคนรู้กันว่าการที่องค์กรไหนที่ต้องการใช้ข้อมูลส่วนบุคคลของผู้อื่นต้องมีการขออนุญาตจากเจ้าของข้อมูลก่อน ซึ่งในทางกฎหมายก็มีการระบุไว้เช่นกันในมาตรา 19 ที่กล่าวว่า

ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้

จากกฎหมายข้อนี้ทำให้ทุกองค์กรมีการกำหนด Consent Form ซึ่งอาจทำในรูปแบบของหนังสือ หรือระบบอิเล็กทรอนิกส์ที่เรามักเห็นเป็นหลาย ๆ ข้อในเวลาที่เรากำลังให้ หรือมีการอัพเดตการใช้ข้อมูลส่วนบุคคล

เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?

Consent Form ที่ดีต้องมีแจ้งวัตถุประสงค์ชัดเจน มีการขอความยินยอม ไม่ใช้คำกำกวมหรือประโยคที่อ่านแล้วเข้าข่ายหลอกลวง หรือก่อให้เกิดความเข้าใจผิดในวัตถุประสงค์ของการใช้ข้อมูล โดยเมื่อขอความยินยอมขอสิทธิ์ในการใช้ข้อมูลแล้ว ต้องมีช่องทางให้เจ้าของข้อมูลเรียกใช้สิทธิ์ด้วย ซึ่งกิจกรรมที่ต้องทำการขอความยินยอม สามารถอ่านเพิ่มเติมได้ที่ 5 กิจกรรมยอดฮิตที่องค์กรต้องขอ consent ตามกฎหมาย PDPA

สิ่งที่ต้องระวังเกี่ยวกับการขอ Consent Form ก็คือ การขอความยินยอมกับกลุ่มบุคคลบางประเภท อาทิ ผู้เยาว์, บุคคลไร้ความสามารถ และ บุคคลเป็นคนเสมือนไร้ความสามารถ ซึ่งสามารถอ่านรายละเอียดเกี่ยวกับเรื่องนี้เพิ่มเติมได้ที่ Consent Management คืออะไรในกฎหมาย PDPA

จัดทำข้อตกลงการประมวลผลในกรณีที่มีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement)

ในกฎหมาย PDPA มาตรา 40 ได้กล่าวถึงผู้ประมวลผลที่ผู้ควบคุมข้อมูลจ้างวานไว้ว่า

การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้

ซึ่งสัญญาที่ทำร่วมกันจะต้องระบุถึงหน้าที่ชัดเจนในการนำข้อมูลส่วนบุคคลไปประมวลผลใช้

เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?

ทางผู้ควบคุมข้อมูล (องค์กร) ต้องมีการร่างสัญญาแบบเป็นลายลักษณ์อักษร โดยในสัญญาต้องระบุให้ชัดเจนเกี่ยวกับหน้าที่ของผู้ประมวลผลข้อมูล และการดำเนินการเกี่ยวกับการจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล และการดำเนินการต่อสิทธิ์ของเจ้าของข้อมูลในการขอให้ผู้ควบคุมข้อมูลคัดค้าน, ระงับ หรือลบทำลายข้อมูลส่วนบุคคล เป็นต้น

บทสรุปของ PDPA Checklist Thailand

อ่านถึงตรงนี้แล้ว หลายคนคงเข้าใจในตัวของกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกันมากยิ่งขึ้น จากทางมาตราต่าง ๆ และแนวทางปฏิบัติที่ทางเรายกมา หากคุณยังมีข้อสงสัยว่าองค์กรของเรามีการปรับรูปแบบการปฏิบัติ และมีการทำตามที่กฎหมาย PDPA กำหนดไว้ครบถ้วนหรือไม่ ทาง t-reg ขอแนะนำ PDPA Checklist Thailand แบบประเมินความพร้อม PDPA องค์กร ให้ทุกท่านได้ตรวจสอบความพร้อมต่อกฎหมายฉบับนี้ที่จะบังคับใช้ในอีกไม่กี่เดือนข้างหน้าแบบฟรี ไม่มีค่าใช้จ่าย
FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

RELATED POST
Case Study

WARNING! ถูกละเมิดความเป็นส่วนตัว ถูกองค์กรประมวลผลข้อมูลส่วนบุคคลโดยที่เราไม่ยินยอม ทำอะไรได้บ้าง?

กฎหมาย PDPA บังคับใช้อย่างเป็นทางการ พร้อมกับกฎหมายลำดับรองที่ประกาศออกมาแล้ว หากเกิดข้อพิพาท หรือเกิดการละเมิดข้อมูลส่วนบุคคล เจ้าของข้อมูลต้องทำอย่างไร? t-reg

อ่านต่อ »
pdpa-dpia
t-reg news

ทำความรู้จัก DPIA (Data Protection Impact Assessment) สำคัญต่อองค์กรอย่างไร? ควรริเริ่มและดำเนินการอย่างไรให้สำเร็จ

ปฏิเสธไม่ได้ว่าปัจจุบัน จำนวนของข้อมูลในองค์กร ยิ่งมากยิ่งเป็นสิ่งที่ดีต่อการโฆษณา ดีต่อการพัฒนาผลิตภัณฑ์ แต่ขณะเดียวกันยิ่งมีข้อมูลมาก ก็ยิ่งมีความเสี่ยงต่อการรั่วไหล เสี่ยงต่อการจารกรรมข้อมูล ดังนั้นการหยิบยืมข้อมูลจากเจ้าของข้อมูลส่วนบุคคล

อ่านต่อ »
5 ข้อดีของ PDPA
t-reg knowledge

5 ข้อดีของ PDPA ที่ทำให้คุณเข้าใจว่าทำไมควรทำ

PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไม่ได้เป็นกฎหมายให้ภาครัฐหรือเอกชนทำตามเพียงอย่างเดียว แต่ทำไมควรทำลองมาดู 5 ข้อดีกัน

อ่านต่อ »
important PDPA
t-reg knowledge

สรุปสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล!

ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อมูลส่วนตัวรวมทั้งข้อมูลการใช้งานของ User ถ้าหากเก็บรวบรวมดีๆ จะมีมูลค่ามหาศาล แต่นั่นเป็นดาบสองคมที่อาจทำให้มีผู้ไม่ประสงค์ดีขโมยข้อมูลไปใช้

อ่านต่อ »
ถอดคำแถลงการณ์ข้อมูลรั่วไหล บริษัทมือถือชื่อดัง
t-reg news

ถอดคำแถลงการณ์ Service Provider ยักษ์ใหญ่ บอกอะไรกับเราบ้างนะ ?!

     เรียกได้ว่าช่วงสุดสัปดาห์ที่ผ่านมาหลายท่านคงได้ยินข่าวที่ผู้ให้บริการยักษ์ใหญ่แห่งหนึ่งออกมาประกาศเกี่ยวกับข้อมูลผู้ใช้ที่หลุดรั่วออกไปพร้อมกับวิธีการแก้ไขกับสิ่งที่เกิดขึ้น แม้ในปัจจุบัน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะยังไม่บังคับใช้ แต่การที่

อ่านต่อ »
pdpa ประกันภัย
t-reg knowledge

10 เรื่องที่บริษัทประกันควรรู้เกี่ยวกับ PDPA X ธุรกิจประกันภัย เข้าใจกฎหมาย ธุรกิจไปได้ไกลกว่า

PDPA ประกันภัย สำคัญอย่างไรในยุคที่กฎหมายคุ้มครองข้อมูลของลูกค้า? ธุรกิจประกันภัย เป็นหนึ่งในธุรกิจที่ใช้ข้อมูลส่วนบุคคลประกอบการดำเนินธุรกรรม  อาทิ การนำข้อมูลส่วนบุคคลมาใช้สนับสนุนการรับพิจารณาประกัน การปฏิบัติตามสัญญา การให้บริการลูกค้า

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่