วันนี้ t-reg ขอพาทุกท่านมารู้จัก PDPA Checklist Thailand เพื่อตรวจสอบว่าองค์กรได้ทำตามที่กฎหมาย PDPA กำหนดไว้ครบถ้วนแล้วหรือยัง โดยบทความนี้นอกจากจะช่วยให้ท่านเข้าใจข้อกำหนดตามกฎหมาย PDPA แล้วทางเรายังมีตัวอย่างแนวทางปฏิบัติที่ดี มาช่วยให้ท่านเปลี่ยน PDPA ให้เป็นเรื่องง่าย และองค์กรสามารถทำตามได้แบบถูกกฎหมาย เริ่มจาก
แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ตาม PDPA Checklist Thailand
ตามมาตรา 41 ของกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ได้กำหนดไว้ว่า
ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน
ซึ่งหลายคนเมื่อได้อ่านข้อความนี้แล้ว อาจมีข้อสงสัยกันใช่ไหมล่ะคะว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) คือใคร ?
คำตอบก็คือ คนที่มีหน้าที่ดูแลเกี่ยวกับข้อมูลส่วนบุคคลขององค์กรทั้งภายใน (พนักงานในองค์กร) และภายนอก (ผู้ใช้บริการ พาร์ทเนอร์) ของบริษัทตั้งแต่กระบวนการเก็บรวบรวม ใช้งาน เปิดเผย รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล โดยอาจจะแต่งตั้งพนักงานในองค์กรให้รับตำแหน่งนี้ หรือจะจ้าง Outsource เข้ามาดูแลในส่วนนี้ก็ได้เช่นกัน
เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?
องค์กรจะต้องมีการแต่งตั้งคณะทำงาน PDPA ภายในหน่วยงาน ซึ่งคุณสมบัติที่ดีของ DPO นั้นต้องเป็นผู้เข้าใจในกฎหมาย PDPA และด้าน Cyber Security เป็นอย่างดี รวมถึงต้องไม่ทำหน้าที่ขัดกับการปกป้องข้อมุลส่วนบุคคลเช่นฝ่าย Sales and Marketing เป็นต้น ดังนั้นการมองหา DPO ที่เป็น Outsoucre จะช่วยลดความยุ่งยากในการสรรหาแต่งตั้ง และดูแลเกี่ยวกับข้อมูลส่วนบุคคล หากคุณอยากศึกษาเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพิ่มเติมสามารถเข้าไปอ่านได้ที่ DPO คือใคร?, 6 คำถามยอดฮิตที่พบบ่อยในองค์กร
จัดทำประกาศความเป็นส่วนตัวหรือ Privacy Notice
ในกฎหมาย PDPA หรือพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้กล่าวเกี่ยวกับ Privacy Notice ในมาตรา 23 ไว้ว่า
ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ดังต่อไปนี้ เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว
ซึ่งการแจ้งให้เจ้าของข้อมูลส่วนบุคคลให้ทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลนั้นก็คือ การทำ Privacy Notice หรือประกาศความเป็นส่วนตัว อ่านเพิ่มเติมเกี่ยวกับ Privacy Notice ได้ที่ Privacy Notice (ประกาศความเป็นส่วนตัว) ทำไมต้องมี?
เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?
กฎหมายระบุชัดเจนแล้วว่าต้องมีการทำ Privacy Notice หรือประกาศความเป็นส่วนตัว ซึ่งในประกาศนั้นต้องแจ้งถึงรายละเอียดข้อมูลที่เก็บไป วัตถุประสงค์ในการเก็บข้อมูล แหล่งวิธีการได้มาของข้อมูล การนำข้อมูลส่วนบุคคลไปใช้ประมวลผลส่วนไหนบ้าง การเก็บรักษาข้อมูลส่วนบุคคล และระยะเวลาในการเก็บ ข้อมูลที่ติดต่อได้ของผู้ควบคุมข้อมูล รวมถึงสิทธิ์ของเจ้าของข้อมูล ซึ่งทั้งหมดนี้ต้องระบุเป็นลายลักษณ์อักษรอย่างชัดเจนเพื่อให้เจ้าของข้อมูลได้รับรู้ก่อนหรือระหว่างการเก็บข้อมูลส่วนบุคคล
ทำบันทึกรายการกิจกรรมการประมวลผล (Records of Processing Activities)
มาตรา 39 ในกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้กล่าวไว้เกี่ยวกับการทำบันทึกรายการกิจกรรมการประมวลผลไว้ว่า
ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
ซึ่งแปลว่าผู้ควบคุมข้อมูลหรือองค์กรนั้น ต้องมีการทำบันทึกรายการกิจกรรมการประมวผล หรือที่เราคุ้นกันว่าการทำ Records of Processing Activities (RoP) ซึ่งสามารถทำออกมาในรูปแบบของหนังสือทั่วไป หรือจะเป็นแบบอิเล็กทรอนิกส์เพื่อตอบโจทย์กระแสดิจิทัลในปัจจุบัน
เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?
หลายคนคงไม่รู้จะต้องทำอย่างไรให้บรรลุตามมาตรา 39 กำหนดไว้ ซึ่งการทำ RoP นี้ต้องเริ่มจาก การสำรวจข้อมูลส่วนบุคคลที่องค์กรจัดเก็บอยู่, กำหนดวัตถุประสงค์ และระยะในการจัดเก็บข้อมูล สำรวจแหล่งจัดเก็บข้อมูล รวมถึงมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่เราจัดเก็บ ซึ่งกระบวนการทำ RoP นี้จะช่วยให้องค์กรสามารถชี้แจงกับเจ้าของข้อมูล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีการตรวจสอบได้อีกด้วย
สามารถอ่านเพิ่มเติมเกี่ยวกับการจัดทำบันทึกรายการกิจกรรมการประมวลผลได้ที่ RoP Records of Processing Activity คืออะไร
จัดทำแบบขอความยินยอมในกรณีที่มีความจำเป็นต้องใช้ (Consent Form)
อย่างที่หลายคนรู้กันว่าการที่องค์กรไหนที่ต้องการใช้ข้อมูลส่วนบุคคลของผู้อื่นต้องมีการขออนุญาตจากเจ้าของข้อมูลก่อน ซึ่งในทางกฎหมายก็มีการระบุไว้เช่นกันในมาตรา 19 ที่กล่าวว่า
ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้
จากกฎหมายข้อนี้ทำให้ทุกองค์กรมีการกำหนด Consent Form ซึ่งอาจทำในรูปแบบของหนังสือ หรือระบบอิเล็กทรอนิกส์ที่เรามักเห็นเป็นหลาย ๆ ข้อในเวลาที่เรากำลังให้ หรือมีการอัพเดตการใช้ข้อมูลส่วนบุคคล
เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?
Consent Form ที่ดีต้องมีแจ้งวัตถุประสงค์ชัดเจน มีการขอความยินยอม ไม่ใช้คำกำกวมหรือประโยคที่อ่านแล้วเข้าข่ายหลอกลวง หรือก่อให้เกิดความเข้าใจผิดในวัตถุประสงค์ของการใช้ข้อมูล โดยเมื่อขอความยินยอมขอสิทธิ์ในการใช้ข้อมูลแล้ว ต้องมีช่องทางให้เจ้าของข้อมูลเรียกใช้สิทธิ์ด้วย ซึ่งกิจกรรมที่ต้องทำการขอความยินยอม สามารถอ่านเพิ่มเติมได้ที่ 5 กิจกรรมยอดฮิตที่องค์กรต้องขอ consent ตามกฎหมาย PDPA
สิ่งที่ต้องระวังเกี่ยวกับการขอ Consent Form ก็คือ การขอความยินยอมกับกลุ่มบุคคลบางประเภท อาทิ ผู้เยาว์, บุคคลไร้ความสามารถ และ บุคคลเป็นคนเสมือนไร้ความสามารถ ซึ่งสามารถอ่านรายละเอียดเกี่ยวกับเรื่องนี้เพิ่มเติมได้ที่ Consent Management คืออะไรในกฎหมาย PDPA
จัดทำข้อตกลงการประมวลผลในกรณีที่มีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement)
ในกฎหมาย PDPA มาตรา 40 ได้กล่าวถึงผู้ประมวลผลที่ผู้ควบคุมข้อมูลจ้างวานไว้ว่า
การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้
ซึ่งสัญญาที่ทำร่วมกันจะต้องระบุถึงหน้าที่ชัดเจนในการนำข้อมูลส่วนบุคคลไปประมวลผลใช้
เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?
ทางผู้ควบคุมข้อมูล (องค์กร) ต้องมีการร่างสัญญาแบบเป็นลายลักษณ์อักษร โดยในสัญญาต้องระบุให้ชัดเจนเกี่ยวกับหน้าที่ของผู้ประมวลผลข้อมูล และการดำเนินการเกี่ยวกับการจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล และการดำเนินการต่อสิทธิ์ของเจ้าของข้อมูลในการขอให้ผู้ควบคุมข้อมูลคัดค้าน, ระงับ หรือลบทำลายข้อมูลส่วนบุคคล เป็นต้น