SMEs ควรปรับตัวอย่างไร? หลัง PDPA บังคับใช้ เรามีคำตอบ!

SMEs ควรปรับตัวอย่างไร? เมื่อบังคับใช้กฎหมาย PDPA 

หลีกเลี่ยงไม่ได้ว่า “แม้จะเป็นธุรกิจขนาดเล็กอย่าง SMEs หรือองค์กรขนาดใหญ่ ต่างก็มีการเก็บรวบรวมข้อมูลส่วนบุคคลด้วยกันทั้งสิ้น” ถึงแม้จะไม่ใช่ธุรกิจที่มีการเกี่ยวข้องกับข้อมูลส่วนบุคคลโดยตรง

ซึ่งหากองค์กรหรือบริษัทของคุณ มีการเก็บข้อมูลส่วนบุคคลของคนไทยไม่ว่าจะมากหรือน้อย คุณควรจะต้องทำความรู้จัก พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) กฎหมายใหม่ ที่จะส่งผลกระทบกับธุรกิจของคุณอย่างแน่นอน หากคุณยังไม่เตรียมความพร้อมเพื่อรับมืออย่างถูกวิธี 

เพื่อให้ง่ายขึ้น คุณควรจะต้องทำความเข้าใจเกี่ยวกับกฎหมาย PDPA นี้ก่อน

กฎหมาย PDPA (พรบ. คุ้มครองข้อมูลส่วนบุคคล) ถือเป็นอีกหนึ่งกฎหมายสำคัญของประเทศไทย ที่จะส่งผลกระทบและมีผลบังคับใช้หลายฝ่ายในหน่วยงานต่างๆ ไม่ว่าจะเป็นภาครัฐ ภาคเอกชนหรือภาคธุรกิจ ที่มีการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของประชาชนคนไทยทุกคน

ซึ่ง PDPA สามารถนำไปใช้ได้กับทั้งองค์กรที่อยู่ในประเทศไทยและอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย โอนถ่ายข้อมูลหรือเฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย เป็นต้น  อ่านเพิ่มเติม

“แล้ว SMEs ต้องปรับตัวอย่างไร? หลัง PDPA บังคับใช้” วันนี้เรามีคำตอบ!

1.จัดตั้งทีมงาน 

เริ่มด้วยการจัดตั้งทีมงานจากหลายๆฝ่ายภายในองค์กร เพื่อดำเนินงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ ไม่ว่าจะเป็นฝ่ายทรัพยากรบุคคล ฝ่ายขายและการตลาด ฝ่ายแอดมิน ฝ่ายบัญชี ฝ่ายกฎหมายและฝ่ายเทคโนโลยีสารสนเทศ ที่เกี่ยวข้องและมีข้อมูลผ่านมือ เพื่อเตรียมความพร้อม เช่น กำหนดวัตถุประสงค์ของการใช้ข้อมูล กำหนดวิธีการประมวลผลข้อมูลและวิธีการใช้ประโยชน์จากข้อมูลส่วนบุคคล

ซึ่งจะประกอบด้วย ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) โดยผู้ที่ร่วมเป็นคณะทำงาน ควรมีตำแหน่งระดับหัวหน้างานหรือผู้บริหาร หรือเป็นบุคคลที่มีอำนาจในการสั่งการเปลี่ยนแปลง

2.สำรวจและจัดเตรียมข้อมูล

องค์กรจะต้องมีการสำรวจก่อนว่ามีข้อมูลส่วนบุคคลใดบ้าง ที่มีการใช้และเก็บรักษาอยู่ภายในองค์กร รวมถึงการส่งออกและนำเข้ามาของข้อมูลจากภายนอกองค์กรด้วย เพื่อเตรียมความพร้อมทั้งด้านเอกสาร แบบฟอร์ม วิธีการเก็บข้อมูล และนโยบายความเป็นส่วนตัว ไม่ว่าจะเป็นฟอร์มขอความยินยอม (Consent) ฟอร์มนโยบายความเป็นส่วนตัว (Privacy Policy) หรือคำขอในการใช้ (Cookie) 

ซึ่งกิจกรรมใดบ้างที่ต้องมีการใช้ “ความยินยอม” ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ที่ต้องตรวจสอบเพื่อให้สอดคล้องกับข้อกฎหมาย PDPA 

3.ประเมินผลกระทบ

ควรมีการตรวจสอบให้แน่ใจว่าบทลงโทษของข้อกำหนดทางกฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลทางแพ่ง ทางอาญาและทางปกครองอย่างไรบ้าง เพื่อเตรียมความพร้อมรับมือในกรณีที่องค์หรือบริษัทได้รับการร้องเรียนจากเจ้าของข้อมูลส่วนบุคคล (Data Subject) โดยตรง

4.กำหนดนโยบายภายในองค์กร

การเก็บข้อมูลภายใต้ พรบ. คุ้มครองข้อมูลส่วนบุคคลเพียงแค่เก็บรวบรวมข้อมูลเท่าที่จำเป็นเท่านั้น มีการแจ้งวัตถุประสงค์ให้กับเจ้าของข้อมูลทราบ (Privacy Notice) และหากมีการเปลี่ยนแปลงวัตถุประสงค์ในการประมวลผล จะต้องมีการแจ้งเจ้าของข้อมูลให้ทราบหรือได้รับความยินยอมก่อน โดยกรอบนโยบายที่สามารถนำไปปรับใช้กับธุรกิจ SMEs ได้และตรงตามข้อกำหมดของกฎหมาย มีดังนี้

1. วางมาตรการจัดการตามข้อกำหนดทางกฎหมาย เช่น การจัดการเอกสาร การเก็บข้อมูล การเข้ารหัสข้อมูลให้มีความปลอดภัย การจัดลำดับสิทธิ์ของผู้ที่สามารถเข้าถึงข้อมูลได้ เป็นต้น
2. เพิ่มประสิทธิภาพการประมวลผลข้อมูลส่วนบุคคล โดยผู้ประมวลผลข้อมูลต่อจากคุณควรมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ได้มาตรฐานเช่นกัน
3. ใช้ระบบการรักษาความมั่นคงปลอดภัยทางข้อมูล (IT Security) ที่เหมาะสมและได้มาตรฐาน
4. เพิ่มระบบการเข้าถึง เพื่อรองรับการใช้สิทธิของเจ้าของข้อมูล
5. จัดให้มีมาตรการรับมือเมื่อเกิดการละเมิดข้อมูล โดยต้องแจ้งเตือนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง หลังเกิดเหตุและแจ้งเจ้าของข้อมูลส่วนบุคคลโดยเร็วที่สุด
6. แต่งตั้ง DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สำหรับองค์กรที่มีความจำเป็นตามกฎหมาย
7. จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)  เพื่อให้มีแนวทางการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน

5.จัดทำ Records of Processing Activity (RoPA)

เพื่อให้มองเห็นภาพรวมและรายละเอียดของข้อมูลที่มีอยู่ภายในองค์กรได้อย่างชัดเจน ควรมีการจัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล  Record of Processing Activities (RoPA) จากนั้นดำเนินการต่อด้วย Data Protection Impact Assessment (DPIA) เพื่อประเมินดูว่าข้อมูลส่วนบุคคลที่องค์กรเกี่ยวข้องอยู่นั้น ชุดใดผ่านเกณฑ์หรือตกอยู่ในความเสี่ยง ซึ่งคุณจะต้องมีกระบวนขั้นต่อไปเพื่อลดความเสี่ยงดังกล่าวลง ซึ่งบันทึก RoPA นี้จำเป็นต้องมี

1. สำรวจข้อมูลส่วนบุคคล ว่ามีการจัดเก็บข้อมูลอะไรไว้บ้าง เป็นข้อมูลส่วนบุคคลหรือข้อมูลที่มีความอ่อนไหวหรือไม่ เช่น ชื่อ ที่อยู่ อีเมล เบอร์โทร ข้อมูลสุขภาพ ข้อมูลพันธุกรรม และประวัติอาชญากรรม เป็นต้น 
2. กำหนดวัตถุประสงค์ เพื่อให้เจ้าของข้อมูลรู้ว่าจัดเก็บข้อมูลไปทำอะไร ตรงตามวัตถุประสงค์หรือไม่
3. กำหนดระยะเวลาการจัดเก็บ มีการดำเนินการเพื่อจัดเก็บข้อมูลในระยะเวลาเท่าไหร่ มีหลักเกณฑ์ ระเบียบ หรือเงื่อนไขในการจัดเก็บอย่างไร เป็นต้น
4. สำรวจแหล่งที่มาของข้อมูล ได้ข้อมูลเหล่านี้มาได้อย่างไร ได้มาจากเจ้าของข้อมูลโดยตรงหรือไม่หรือมาจากการส่งต่อไฟล์ข้อมูลเหล่านั้นมา มีการเปิดเผย หรือส่งต่อข้อมูลส่วนบุคคลเหล่านี้มาหรือไม่ เป็นต้น
5. สำรวจมาตรการคุ้มครอง มีการจัดเก็บข้อมูลที่ปลอดภัย ตามมาตรฐานความมั่นคงที่เหมาะสมหรือไม่ จะต้องไม่เปิดเผยหรือปรากฎการนำไปใช้ ในลักษณะอื่นนอกเหนือจากวัตถุประสงค์ที่แจ้งให้กับผู้ให้ข้อมูล

การเตรียมความพร้อมเพื่อปฏิบัติตามแนวทางที่ดีที่สุด จะช่วยลดความเสี่ยงในการบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล ของคุณได้มากยิ่งขึ้น และยังเป็นการแสดงความรับผิดชอบในการปกป้องข้อมูลส่วนบุคคลของผู้บริโภคได้อีกด้วย 

แหล่งที่มา: NT cyfence, Prachachat

You May Also Like