SMEs ควรปรับตัวอย่างไร? เมื่อบังคับใช้กฎหมาย PDPA 

PDPA SMEs Ready to Personal Data Protection Act

หลีกเลี่ยงไม่ได้ว่า “แม้จะเป็นธุรกิจขนาดเล็กอย่าง SMEs หรือองค์กรขนาดใหญ่ ต่างก็มีการเก็บรวบรวมข้อมูลส่วนบุคคลด้วยกันทั้งสิ้น” ถึงแม้จะไม่ใช่ธุรกิจที่มีการเกี่ยวข้องกับข้อมูลส่วนบุคคลโดยตรง

ซึ่งหากองค์กรหรือบริษัทของคุณมีการเก็บข้อมูลส่วนบุคคลของคนไทยไม่ว่าจะมากหรือน้อย คุณควรจะต้องทำความรู้จัก พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) กฎหมายใหม่ที่จะส่งผลกระทบกับธุรกิจของคุณอย่างแน่นอน หากคุณยังไม่เตรียมความพร้อมเพื่อรับมืออย่างถูกวิธี 

เพื่อให้ง่ายขึ้น คุณควรจะต้องทำความเข้าใจเกี่ยวกับกฎหมาย PDPA นี้ก่อน

กฎหมาย PDPA (พรบ. คุ้มครองข้อมูลส่วนบุคคล) ถือเป็นอีกหนึ่งกฎหมายสำคัญของประเทศไทยที่จะส่งผลกระทบและมีผลบังคับใช้หลายฝ่ายในหน่วยงานต่างๆ ไม่ว่าจะเป็นภาครัฐ ภาคเอกชนหรือภาคธุรกิจที่มีการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของประชาชนคนไทยทุกคน

ซึ่ง PDPA สามารถนำไปใช้ได้กับทั้งองค์กรที่อยู่ในประเทศไทยและอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย โอนถ่ายข้อมูลหรือเฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย เป็นต้น อ่านเพิ่มเติม

“แล้ว SMEs ต้องปรับตัวอย่างไร? หลัง PDPA บังคับใช้” วันนี้เรามีคำตอบ!

PDPA SMEs Data Protection Act
1.จัดตั้งทีมงาน 

เริ่มด้วยการจัดตั้งทีมงานจากหลายๆฝ่ายภายในองค์กร เพื่อดำเนินงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ ไม่ว่าจะเป็นฝ่ายทรัพยากรบุคคล ฝ่ายขายและการตลาด ฝ่ายแอดมิน ฝ่ายบัญชี ฝ่ายกฎหมายและฝ่ายเทคโนโลยีสารสนเทศ ที่เกี่ยวข้องและมีข้อมูลผ่านมือ เพื่อเตรียมความพร้อม เช่น กำหนดวัตถุประสงค์ของการใช้ข้อมูล กำหนดวิธีการประมวลผลข้อมูลและวิธีการใช้ประโยชน์จากข้อมูลส่วนบุคคล

ซึ่งจะประกอบด้วย ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) โดยผู้ที่ร่วมเป็นคณะทำงาน ควรมีตำแหน่งระดับหัวหน้างานหรือผู้บริหาร หรือเป็นบุคคลที่มีอำนาจในการสั่งการเปลี่ยนแปลง

2.สำรวจและจัดเตรียมข้อมูล

องค์กรจะต้องมีการสำรวจก่อนว่ามีข้อมูลส่วนบุคคลใดบ้างที่มีการใช้และเก็บรักษาอยู่ภายในองค์กร รวมถึงการส่งออกและนำเข้ามาของข้อมูลจากภายนอกองค์กรด้วย เพื่อเตรียมความพร้อมทั้งด้านเอกสาร แบบฟอร์ม วิธีการเก็บข้อมูล และนโยบายความเป็นส่วนตัว ไม่ว่าจะเป็นฟอร์มขอความยินยอม (Consent) ฟอร์มนโยบายความเป็นส่วนตัว (Privacy Policy) หรือคำขอในการใช้ (Cookie) 

ซึ่งกิจกรรมใดบ้างที่ต้องมีการใช้ “ความยินยอม” ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ที่ต้องตรวจสอบเพื่อให้สอดคล้องกับข้อกฎหมาย PDPA 

3.ประเมินผลกระทบ

ควรมีการตรวจสอบให้แน่ใจว่าบทลงโทษของข้อกำหนดทางกฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลทางแพ่ง ทางอาญาและทางปกครองอย่างไรบ้าง เพื่อเตรียมความพร้อมรับมือในกรณีที่องค์หรือบริษัทได้รับการร้องเรียนจากเจ้าของข้อมูลส่วนบุคคล (Data Subject) โดยตรง

4.กำหนดนโยบายภายในองค์กร

การเก็บข้อมูลภายใต้ พรบ. คุ้มครองข้อมูลส่วนบุคคล เพียงแค่เก็บรวบรวมข้อมูลเท่าที่จำเป็นเท่านั้น มีการแจ้งวัตถุประสงค์ให้กับเจ้าของข้อมูลทราบ (Privacy Notice) และหากมีการเปลี่ยนแปลงวัตถุประสงค์ในการประมวลผล จะต้องมีการแจ้งเจ้าของข้อมูลให้ทราบหรือได้รับความยินยอมก่อน โดยกรอบนโยบายที่สามารถนำไปปรับใช้กับธุรกิจ SMEs ได้และตรงตามข้อกำหมดของกฎหมาย มีดังนี้

  1. วางมาตรการจัดการตามข้อกำหนดทางกฎหมาย เช่น การจัดการเอกสาร การเก็บข้อมูล การเข้ารหัสข้อมูลให้มีความปลอดภัย การจัดลำดับสิทธิ์ของผู้ที่สามารถเข้าถึงข้อมูลได้ เป็นต้น
  2. เพิ่มประสิทธิภาพการประมวลผลข้อมูลส่วนบุคคล โดยผู้ประมวลผลข้อมูลต่อจากคุณควรมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ได้มาตรฐานเช่นกัน
  3. ใช้ระบบการรักษาความมั่นคงปลอดภัยทางข้อมูล (IT Security) ที่เหมาะสมและได้มาตรฐาน
  4. เพิ่มระบบการเข้าถึง เพื่อรองรับการใช้สิทธิของเจ้าของข้อมูล
  5. จัดให้มีมาตรการรับมือเมื่อเกิดการละเมิดข้อมูล โดยต้องแจ้งเตือนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง หลังเกิดเหตุ และแจ้งเจ้าของข้อมูลส่วนบุคคลโดยเร็วที่สุด
  6. แต่งตั้ง DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สำหรับองค์กรที่มีความจำเป็นตามกฎหมาย
  7. จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)  เพื่อให้มีแนวทางการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน
5.จัดทำ Records of Processing Activity (RoPA)

เพื่อให้มองเห็นภาพรวมและรายละเอียดของข้อมูลที่มีอยู่ภายในองค์กรได้อย่างชัดเจน ควรมีการจัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล  Record of Processing Activities (RoPA) จากนั้นดำเนินการต่อด้วย Data Protection Impact Assessment (DPIA) เพื่อประเมินดูว่าข้อมูลส่วนบุคคลที่องค์กรเกี่ยวข้องอยู่นั้น ชุดใดผ่านเกณฑ์หรือตกอยู่ในความเสี่ยง ซึ่งคุณจะต้องมีกระบวนขั้นต่อไปเพื่อลดความเสี่ยงดังกล่าวลง ซึ่งบันทึก RoPA นี้จำเป็นต้องมี

  1. สำรวจข้อมูลส่วนบุคคล ว่ามีการจัดเก็บข้อมูลอะไรไว้บ้าง เป็นข้อมูลส่วนบุคคลหรือข้อมูลที่มีความอ่อนไหวหรือไม่ เช่น ชื่อ ที่อยู่ อีเมล เบอร์โทร ข้อมูลสุขภาพ ข้อมูลพันธุกรรม และประวัติอาชญากรรม เป็นต้น 
  2. กำหนดวัตถุประสงค์ เพื่อให้เจ้าของข้อมูลรู้ว่าจัดเก็บข้อมูลไปทำอะไร ตรงตามวัตถุประสงค์หรือไม่
  3. กำหนดระยะเวลาการจัดเก็บ มีการดำเนินการเพื่อจัดเก็บข้อมูลในระยะเวลาเท่าไหร่ มีหลักเกณฑ์ ระเบียบ หรือเงื่อนไขในการจัดเก็บอย่างไร เป็นต้น
  4. สำรวจแหล่งที่มาของข้อมูล ได้ข้อมูลเหล่านี้มาได้อย่างไร ได้มาจากเจ้าของข้อมูลโดยตรงหรือไม่ หรือมาจากการส่งต่อไฟล์ข้อมูลเหล่านั้นมา มีการเปิดเผย หรือส่งต่อข้อมูลส่วนบุคคลเหล่านี้มาหรือไม่ เป็นต้น
  5. สำรวจมาตรการคุ้มครอง มีการจัดเก็บข้อมูลที่ปลอดภัย ตามมาตรฐานความมั่นคงที่เหมาะสมหรือไม่ จะต้องไม่เปิดเผยหรือปรากฎการนำไปใช้ ในลักษณะอื่นนอกเหนือจากวัตถุประสงค์ที่แจ้งให้กับผู้ให้ข้อมูล

การเตรียมความพร้อมเพื่อปฏิบัติตามแนวทางที่ดีที่สุดจะช่วยลดความเสี่ยงในการบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล ของคุณได้มากยิ่งขึ้น และยังเป็นการแสดงความรับผิดชอบในการปกป้องข้อมูลส่วนบุคคลของผู้บริโภคได้อีกด้วย 

แหล่งที่มา: NT cyfence, Prachachat

You May Also Like

5 เทรนด์ Trend ความเป็นส่วนตัว privacy personal data ที่จะส่งผลไปอีก 2 ปีข้างหน้า
PDPA SMEs Personal Data Protection Act
คอมเก่า ความเสี่ยงของการละเมิดข้อมูลจากอุปกรณ์จัดเก็บข้อมูลเก่า ฮาร์ดแวร์เก่า ที่เลิกใช้งานแล้ว
Data management for Organization
PDPA Right of the Data Subject
ทำลายกระดาษ ทำลายเอกสารมีประโยชน์ต่อธุรกิจอย่างไร
ย้ายข้อมูล-windows-mac-คอมเก่า-คอมใหม่
old devices วิธีจัดการคอมพิวเตอร์เก่า
cfo carbon footprint for organization