]

t-reg PDPA Platform

PDPA Checklist Thailand

PDPA Checklist Thailand เตรียมความพร้อมก่อนพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บังคับใช้

เนื้อหาในบทความ

วันนี้ t-reg ขอพาทุกท่านมารู้จัก PDPA Checklist Thailand เพื่อตรวจสอบว่าองค์กรได้ทำตามที่กฎหมาย PDPA กำหนดไว้ครบถ้วนแล้วหรือยัง โดยบทความนี้นอกจากจะช่วยให้ท่านเข้าใจข้อกำหนดตามกฎหมาย PDPA แล้วทางเรายังมีตัวอย่างแนวทางปฏิบัติที่ดี มาช่วยให้ท่านเปลี่ยน PDPA ให้เป็นเรื่องง่าย และองค์กรสามารถทำตามได้แบบถูกกฎหมาย เริ่มจาก

แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ตาม PDPA Checklist Thailand

ตามมาตรา 41 ของกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ได้กำหนดไว้ว่า 

ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน

ซึ่งหลายคนเมื่อได้อ่านข้อความนี้แล้ว อาจมีข้อสงสัยกันใช่ไหมล่ะคะว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) คือใคร ?

คำตอบก็คือ คนที่มีหน้าที่ดูแลเกี่ยวกับข้อมูลส่วนบุคคลขององค์กรทั้งภายใน (พนักงานในองค์กร) และภายนอก (ผู้ใช้บริการ พาร์ทเนอร์) ของบริษัทตั้งแต่กระบวนการเก็บรวบรวม ใช้งาน เปิดเผย รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล โดยอาจจะแต่งตั้งพนักงานในองค์กรให้รับตำแหน่งนี้ หรือจะจ้าง Outsource เข้ามาดูแลในส่วนนี้ก็ได้เช่นกัน

เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?

องค์กรจะต้องมีการแต่งตั้งคณะทำงาน PDPA ภายในหน่วยงาน ซึ่งคุณสมบัติที่ดีของ DPO นั้นต้องเป็นผู้เข้าใจในกฎหมาย PDPA และด้าน Cyber Security เป็นอย่างดี รวมถึงต้องไม่ทำหน้าที่ขัดกับการปกป้องข้อมุลส่วนบุคคลเช่นฝ่าย Sales and Marketing เป็นต้น ดังนั้นการมองหา DPO ที่เป็น Outsoucre จะช่วยลดความยุ่งยากในการสรรหาแต่งตั้ง และดูแลเกี่ยวกับข้อมูลส่วนบุคคล หากคุณอยากศึกษาเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพิ่มเติมสามารถเข้าไปอ่านได้ที่  DPO คือใคร?, 6 คำถามยอดฮิตที่พบบ่อยในองค์กร

จัดทำประกาศความเป็นส่วนตัวหรือ Privacy Notice

ในกฎหมาย PDPA หรือพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้กล่าวเกี่ยวกับ Privacy Notice ในมาตรา 23 ไว้ว่า

ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ดังต่อไปนี้ เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว

ซึ่งการแจ้งให้เจ้าของข้อมูลส่วนบุคคลให้ทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลนั้นก็คือ การทำ Privacy Notice หรือประกาศความเป็นส่วนตัว อ่านเพิ่มเติมเกี่ยวกับ Privacy Notice ได้ที่ Privacy Notice (ประกาศความเป็นส่วนตัว) ทำไมต้องมี?

เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?

กฎหมายระบุชัดเจนแล้วว่าต้องมีการทำ Privacy Notice หรือประกาศความเป็นส่วนตัว ซึ่งในประกาศนั้นต้องแจ้งถึงรายละเอียดข้อมูลที่เก็บไป วัตถุประสงค์ในการเก็บข้อมูล แหล่งวิธีการได้มาของข้อมูล การนำข้อมูลส่วนบุคคลไปใช้ประมวลผลส่วนไหนบ้าง การเก็บรักษาข้อมูลส่วนบุคคล และระยะเวลาในการเก็บ ข้อมูลที่ติดต่อได้ของผู้ควบคุมข้อมูล รวมถึงสิทธิ์ของเจ้าของข้อมูล ซึ่งทั้งหมดนี้ต้องระบุเป็นลายลักษณ์อักษรอย่างชัดเจนเพื่อให้เจ้าของข้อมูลได้รับรู้ก่อนหรือระหว่างการเก็บข้อมูลส่วนบุคคล

ทำบันทึกรายการกิจกรรมการประมวลผล (Records of Processing Activities)

มาตรา 39 ในกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้กล่าวไว้เกี่ยวกับการทำบันทึกรายการกิจกรรมการประมวลผลไว้ว่า

ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

ซึ่งแปลว่าผู้ควบคุมข้อมูลหรือองค์กรนั้น ต้องมีการทำบันทึกรายการกิจกรรมการประมวผล หรือที่เราคุ้นกันว่าการทำ Records of Processing Activities (RoP) ซึ่งสามารถทำออกมาในรูปแบบของหนังสือทั่วไป หรือจะเป็นแบบอิเล็กทรอนิกส์เพื่อตอบโจทย์กระแสดิจิทัลในปัจจุบัน

เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?

หลายคนคงไม่รู้จะต้องทำอย่างไรให้บรรลุตามมาตรา 39 กำหนดไว้ ซึ่งการทำ RoP นี้ต้องเริ่มจาก การสำรวจข้อมูลส่วนบุคคลที่องค์กรจัดเก็บอยู่, กำหนดวัตถุประสงค์ และระยะในการจัดเก็บข้อมูล สำรวจแหล่งจัดเก็บข้อมูล รวมถึงมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่เราจัดเก็บ ซึ่งกระบวนการทำ RoP นี้จะช่วยให้องค์กรสามารถชี้แจงกับเจ้าของข้อมูล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีการตรวจสอบได้อีกด้วย

สามารถอ่านเพิ่มเติมเกี่ยวกับการจัดทำบันทึกรายการกิจกรรมการประมวลผลได้ที่ RoP Records of Processing Activity คืออะไร

จัดทำแบบขอความยินยอมในกรณีที่มีความจำเป็นต้องใช้ (Consent Form)

อย่างที่หลายคนรู้กันว่าการที่องค์กรไหนที่ต้องการใช้ข้อมูลส่วนบุคคลของผู้อื่นต้องมีการขออนุญาตจากเจ้าของข้อมูลก่อน ซึ่งในทางกฎหมายก็มีการระบุไว้เช่นกันในมาตรา 19 ที่กล่าวว่า

ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้

จากกฎหมายข้อนี้ทำให้ทุกองค์กรมีการกำหนด Consent Form ซึ่งอาจทำในรูปแบบของหนังสือ หรือระบบอิเล็กทรอนิกส์ที่เรามักเห็นเป็นหลาย ๆ ข้อในเวลาที่เรากำลังให้ หรือมีการอัพเดตการใช้ข้อมูลส่วนบุคคล

เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?

Consent Form ที่ดีต้องมีแจ้งวัตถุประสงค์ชัดเจน มีการขอความยินยอม ไม่ใช้คำกำกวมหรือประโยคที่อ่านแล้วเข้าข่ายหลอกลวง หรือก่อให้เกิดความเข้าใจผิดในวัตถุประสงค์ของการใช้ข้อมูล โดยเมื่อขอความยินยอมขอสิทธิ์ในการใช้ข้อมูลแล้ว ต้องมีช่องทางให้เจ้าของข้อมูลเรียกใช้สิทธิ์ด้วย ซึ่งกิจกรรมที่ต้องทำการขอความยินยอม สามารถอ่านเพิ่มเติมได้ที่ 5 กิจกรรมยอดฮิตที่องค์กรต้องขอ consent ตามกฎหมาย PDPA

สิ่งที่ต้องระวังเกี่ยวกับการขอ Consent Form ก็คือ การขอความยินยอมกับกลุ่มบุคคลบางประเภท อาทิ ผู้เยาว์, บุคคลไร้ความสามารถ และ บุคคลเป็นคนเสมือนไร้ความสามารถ ซึ่งสามารถอ่านรายละเอียดเกี่ยวกับเรื่องนี้เพิ่มเติมได้ที่ Consent Management คืออะไรในกฎหมาย PDPA

จัดทำข้อตกลงการประมวลผลในกรณีที่มีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement)

ในกฎหมาย PDPA มาตรา 40 ได้กล่าวถึงผู้ประมวลผลที่ผู้ควบคุมข้อมูลจ้างวานไว้ว่า

การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้

ซึ่งสัญญาที่ทำร่วมกันจะต้องระบุถึงหน้าที่ชัดเจนในการนำข้อมูลส่วนบุคคลไปประมวลผลใช้

เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?

ทางผู้ควบคุมข้อมูล (องค์กร) ต้องมีการร่างสัญญาแบบเป็นลายลักษณ์อักษร โดยในสัญญาต้องระบุให้ชัดเจนเกี่ยวกับหน้าที่ของผู้ประมวลผลข้อมูล และการดำเนินการเกี่ยวกับการจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล และการดำเนินการต่อสิทธิ์ของเจ้าของข้อมูลในการขอให้ผู้ควบคุมข้อมูลคัดค้าน, ระงับ หรือลบทำลายข้อมูลส่วนบุคคล เป็นต้น

บทสรุปของ PDPA Checklist Thailand

อ่านถึงตรงนี้แล้ว หลายคนคงเข้าใจในตัวของกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกันมากยิ่งขึ้น จากทางมาตราต่าง ๆ และแนวทางปฏิบัติที่ทางเรายกมา หากคุณยังมีข้อสงสัยว่าองค์กรของเรามีการปรับรูปแบบการปฏิบัติ และมีการทำตามที่กฎหมาย PDPA กำหนดไว้ครบถ้วนหรือไม่ ทาง t-reg ขอแนะนำ PDPA Checklist Thailand แบบประเมินความพร้อม PDPA องค์กร ให้ทุกท่านได้ตรวจสอบความพร้อมต่อกฎหมายฉบับนี้ที่จะบังคับใช้ในอีกไม่กี่เดือนข้างหน้าแบบฟรี ไม่มีค่าใช้จ่าย 

FREE EVENT

ร่วมฟังแนวทางเปลี่ยนความท้าทาย ให้กลายเป็นโอกาส ด้วยไกด์ไลน์การทำโครงการ PDPA ควบคู่กับ Digital Transformation โดย ผู้เชี่ยวชาญด้านเทคโนโลยี และกฎหมาย PDPA จาก t-reg พบกับผู้เชี่ยวชาญของ t-reg PDPA Platform ที่ให้คำปรึกษาพร้อมเทคโนโลยี ในการพาองค์กรชั้นนำของประเทศไทยมามากกว่า 50 องค์กร สำเร็จโครงการ PDPA แบบยั่งยืน

ส่งต่อบทความดีๆ ได้ที่นี่