หลายท่านคงรู้จักเกี่ยวกับการทำ PDPA Checklist Thailand กันมาคร่าว ๆ แล้ว แต่ก็มีคำถามในใจอยากรู้ว่าจะต้องทำอย่างไรให้ตรงกับตัวกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งวันนี้ t-reg ได้นำความรู้เชิงแนวทางปฏิบัติที่ดีมาให้ทุกท่านได้อ่านกันในบทความนี้ ซึ่งจะมีอะไรบ้างนั้น ไปเริ่มกันเลย
จัดตั้งคณะ PDPA ภายในหน่วยงานให้ตรงตาม PDPA Checklist Thailand
การทำให้ถูกกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น ทางองค์กรจะต้องมีจัดตั้งคณะทำงานที่คอยดูแลเกี่ยวกับกระบวนการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ซึ่งกลุ่มที่ว่าดังกล่าวนี้ต้องมาจากหลากหลายแผนกที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอาทิ ฝ่ายลูกค้าสัมพันธ์ ฝ่ายทรัพยากรบุคคล ฝ่ายจัดซื้อ ไปตลอดจนถึงฝ่ายกฎหมายของบริษัท เป็นต้น
นอกจากนี้ในองค์กรยังต้องมีการแต่งตั้ง DPO (Data Protection Officer) เพื่อคุ้มครองข้อมูลส่วนบุคคล และดูแลสิทธิ์ของเจ้าของข้อมูลอีกด้วย หากยังไม่รู้จัก DPO สามารถคลิกอ่านศึกษาเพิ่มเติมได้ที่ DPO คือใคร?
สำรวจข้อมูลภายในหน่วยงาน และจัดทำผังวงจรชีวิตข้อมูลส่วนบุคคล (Record of Processing Activity: RoP)
ก่อนที่จะเริ่มทำตามกฎหมาย PDPA ทางองค์กรจะต้องมีการสำรวจข้อมูลภายในหน่วยงานว่ามีข้อมูลส่วนบุคคลอะไรบ้าง เก็บไว้ที่ไหน ใครเป็นผู้ดูแลข้อมูลส่วนบุคคล ระยะเวลาในการเก็บเท่าไหร่ และวัตถุประสงค์ในการเก็บ เป็นต้น
จากข้อมูลที่ได้จะนำไปสู่การทำวงจรชีวิตข้อมูลส่วนบุคคลตั้งแต่การเก็บรวบรวม ใช้ และเผยแพร่ จนไปถึงการทำลายข้อมูลส่วนบุคคล รวมถึงทุกองค์กรจะต้องจัดทำขึ้นเพื่อจัดระเบียบข้อมูลส่วนบุคคล นำไปสร้างนโยบาย และระบบจัดการข้อมูลแต่ละส่วนได้อย่างตรงจุด
จัดทำนโยบาย และแนวทางปฏิบัติงานของหน่วยงาน (Privacy Policy and Codes of Practice)
หลังจากที่ได้ทำการสำรวจ และทำแผนวงจรชีวิตข้อมูลส่วนบุคคลแล้ว ทางองค์กรจะต้องทำนโยบายที่เกี่ยวกับการใช้ข้อมูลส่วนบุคคลทั้งในรูปแบบของ Privacy Policy กับ Privacy Notice รวมถึงกำหนดแนวทางปฏิบัติในกระบวนการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล กำหนดบทลงโทษสำหรับผู้ที่ฝ่าฝืน หรือทำผิดนโยบายการรักษาข้อมูลส่วนบุคคล เพื่อเตรียมพร้อมรับมือกับภัยคุกคามด้วยการทำแนวทางปฏิบัติในกรณีที่ข้อมูลรั่วไหลอีกด้วย
อ่านเพิ่มเติมเกี่ยวกับ Privacy Policy กับ Privacy Notice ต่างกันอย่างไร ?
ในกรณีที่มีการแบ่งปัน หรือเปลี่ยนแปลงข้อมูลระหว่างองค์กร ควรจัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (Data Processing Agreement)
หลายท่านอาจสงสัยว่าถ้ามีการแชร์ข้อมูลระหว่างองค์กรเพื่อผลประโยชน์ร่วมกัน จะต้องทำอย่างไรให้ถูกกฎหมาย PDPA คำตอบก็คือ ในฐานะที่องค์กรทั้ง 2 นั้นเป็นผู้ควบคุมข้อมูลต้องมีการทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (Data Processing Agreement)
โดยในข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคลนั้นต้องระบุไว้ว่า ข้อมูลส่วนบุคคลที่แบ่งปันมีข้อมูลอะไรบ้าง เป็นข้อมูลประเภทไหนบ้าง วัตถุประสงค์ในการแบ่งบันข้อมูล เหตุผลประกอบคำร้องขอ สิทธิ์ และข้อสงวนสิทธิ์ของผู้ควบคุมข้อมูล รวมถึงการรับทราบและยินยอมในการแบ่งปันข้อมูล นอกจากนี้ต้องมีการลงชื่อเป็นลายลักษณ์อักษรในสัญญาเพื่อเป็นหลักฐานในการทำข้อตกลงแลกเปลี่ยนข้อมูลระหว่างองค์กรอีกด้วย รวมถึงหากมีการเปลี่ยนแปลงข้อมูลส่วนบุคคลส่วนไหน ต้องแจ้งให้อีกฝ่ายทราบทันที
นอกจากนี้ทางองค์กรที่เป็นผู้จัดเก็บข้อมูลส่วนบุคคลจากผู้ให้ข้อมูล (ผู้ใช้บริการ) ก่อนหรือในขณะทำการเก็บข้อมูลจะต้องมีการแจ้งผ่าน Privacy Notice ถึงเรื่องการส่งต่อข้อมูลให้แก่บริษัทที่ได้ทำทำสัญญาร่วมกันไว้ ซึ่งข้อมูลส่วนบุคคลที่จัดเก็บแบบนี้จะไปอยู่กับผู้ควบคุมข้อมูลที่เป็นคนเก็บโดยตรง และผู้ควบคุมข้อมูลอีกองค์กรหนึ่งตามที่ระบุไว้ในนั้น
สร้างความตระหนัก และฝึกอบรม (Capacity Building and Awareness Raising)
หนึ่งในสิ่งที่องค์กรมักละเลยในการทำตามกฎหมาย PDPA ที่สามารถส่งผลกระทบต่อความปลอดภัยของข้อมูลส่วนบุคคลในองค์กรได้นั่นก็คือ การสร้างความตระหนัก และฝึกอบรบเกี่ยวกับความสำคัญของข้อมูลส่วนบุคคล
ในปัจจุบันข้อมูลส่วนบุคคลทั้งหลายนี้ถูกจัดเก็บไว้บนคลาวน์ออนไลน์ที่ต้องมีการรักษาความปลอดภัยอย่างแน่นหนา แต่พนักงานในองค์กรก็เป็นสาเหตุหลักที่มีส่วนทำให้ข้อมูลรั่วไหลโดยตั้งใจ และไม่ได้ตั้งใจ ดังนั้นการสร้าง PDPA และ Cyber Security Awareness ก็เป็นสิ่งสำคัญที่ทุกองค์กรต้องปฏิบัติเพื่อให้สอดคล้องกับกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนี้
จากข้อนี้ทางเราก็มีของดีมาแนะนำผู้อ่านทุกท่านด้วยการอบรมแบบใหม่ยุคนิวนอร์มอลผ่าน e-learning ด้วยเนื้อหาด้าน PDPA และ Cyber Security Awareness โดยเฉพาะ ผู้ที่สนใจสามารถเข้าดูข้อมูลเพิ่มเติมได้ที่ secap.co
กำกับดูแล และตรวจสอบอย่างสม่ำเสมอ (Audit and Compliance)
หลังจากที่มีการทำ PDPA ในองค์กรแล้ว องค์กรจะต้องมีการตรวจสอบข้อมูลส่วนบุคคล และกิจกรรมของการใช้ข้อมูลส่วนบุคคล พร้อมทั้งอัพเดตผลการตรวจสอบ หรือกิจกรรมการใช้ข้อมูลที่เปลี่ยนไปอาทิ การเปลี่ยน Privacy Notice, วัตถุประสงค์ในการเก็บข้อมูล หรือประเภทของข้อมูลที่นำไปใช้ที่เปลี่ยนไป เป็นต้น เพื่อให้องค์กรได้รู้ทันในกรณีที่ข้อมูลรั่วไหล
โดยองค์กรต้องทำการกำกับดูแล และตรวจสอบในส่วนนี้ทุก 6 เดือนหรือ 1 ปี ให้ข้อมูลส่วนบุคคล และกิจกรรมมีการอัพเดตอยู่เสมอ เพื่อรองรับต่อสถานการณ์ทางข้อมูลส่วนบุคคลต่าง ๆ และกฎหมายลูกที่จะประกาศใช้ หรือเปลี่ยนแปลงได้ในอนาคต
จากทั้ง 6 ข้อที่เรากล่าวมาในบทความข้างต้นนั้นจะช่วยให้การทำ PDPA ขององค์กรท่านสอดคล้องกับตัวกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่จะมีผลบังคับใช้ในเดือนมิถุนายนที่จะถึงนี้ ดังนั้นการมีตัวชี้วัดว่าองค์กรของคุณทำถูกกฎหมายฉบับนี้ จะช่วยให้คุณได้รู้ถึงสถานะของการทำ PDPA ในองค์กร ซึ่งทางเราก็มีตัวช่วยดี ๆ มาแนะนำให้ทุกท่านได้รู้จักกันกับ PDPA Checklist Thailand แบบประเมินที่ครอบคลุมที่สุดในการปฏิบัติติตาม PDPA ที่จะช่วยคุณให้สามารถประเมินการทำ PDPA ด้วยตัวของท่านได้ฟรี ไม่มีค่าใช้จ่าย พร้อมรับวันที่กฎหมายบังคับใช้
