Share this

ผู้ประกอบการต้องเตรียมอะไร ให้พร้อมรับ PDPA ?

Issues
August
PDPA
Categories:
#PDPA#Digital Transformation#Tech & Legal
Inspired by: Siwanad, Kittiya
Views

เมื่อเทคโนโลยีก้าวหน้าเข้าใกล้ตัวบุคคลมากขึ้น ทำให้การละเมิดสิทธิข้อมูลส่วนบุคคลทำได้ง่ายขึ้นตามไปด้วย หลายครั้งนำมาซึ่งความเสียหายแก่เจ้าของข้อมูล รัฐจึงได้ออก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคล หรือ PDPA เพื่อให้ข้อมูลบุคคลถูกนำไปใช้อย่างถูกต้อง ตามการยินยอมจากเจ้าของข้อมูล เหล่าผู้ประกอบการหรือผู้มีส่วนเกี่ยวข้องจึงต้องหันมาดูว่า ข้อมูลส่วนบุคคลที่เก็บมาจากลูกค้ารวมถึงการนำข้อมูลมาใช้ ได้ทำตามกฎหมาย PDPA ที่ว่าไว้เเล้วหรือไม่
 
จึงนำมาซึ่งประเด็นสำคัญคือ เเล้ว PDPA ได้กำหนดอะไรไว้บ้าง? ผู้ประกอบการต้องเตรียมตัวอย่างไร? มีอะไรที่ต้องทำบ้าง? คำตอบทั้งหมด เราได้รวบรวมไว้ให้เเล้ว แบบฉบับอ่านง่าย มีภาพประกอบชัดเจน มาเริ่มเตรียมความพร้อมกันได้เลย!
 
5 สิ่งที่ผู้ประกอบการต้องเตรียมให้พร้อมรับ PDPA
 

สิ่งที่ผู้ประกอบการต้องเตรียม ให้พร้อมรับ PDPA

 

1) Consent Management บริหารความยินยอมจากเจ้าของข้อมูล

Privacy Policy - จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล
     องค์กรต้องจัดทำนโยบายการจัดการข้อมูลส่วนบุคคล เพื่ออธิบายและสร้างความเข้าใจให้กับเจ้าของข้อมูลถึงเรื่องมาตรการปกป้องความเป็นส่วนตัวของข้อมูล ซึ่งรายละเอียดในนโยบายที่ควรมี เช่น จะเก็บข้อมูลใดบ้าง, วัตถุประสงค์ในการเก็บข้อมูลคืออะไร, ใช้อะไรในการเก็บรักษาข้อมูล รวมถึงองค์กรจำเป็นต้องจัดทำให้รองรับทั้งภาษาไทยกับอังกฤษด้วย
 
Consent Form - ขอความยินยอมใช้ข้อมูลจากเจ้าของข้อมูล
     มีการขออนุญาติเจ้าของข้อมูลในการใช้ข้อมูล โดยทั่วไปจะออกมาในรูปแบบฟอร์ม ที่ต้องแจ้งรายละเอียดและเน้นย้ำให้เจ้าของข้อมูลมีเวลาในการพิจารณาอ่าน และต้อง Bullet แต่ละข้อให้ชัดเจนว่าเราจะขออนุญาตข้อมูลส่วนไหนบ้าง โดยเจ้าของข้อมูลสามารถเลือกยอมรับเเละปฏิเสธในบางข้อมูลได้ ซึ่งฟอร์มต้องรองรับทั้งภาษาไทยเเละอังกฤษ
 
ตัวอย่างฟอร์มที่ส่งขออนุญาติเจ้าของข้อมูล
ที่มารูปจาก Content Shifu
 
Cookie Consent Banner - ขอคำยินยอมให้ใช้ Cookie
     มีการขอความยินยอมจากเจ้าของข้อมูลผู้เข้ามาในเว็บไซต์ของเรา ให้เจ้าของเว็บสามารถรวบรวมหรือใช้ไฟล์ Cookie เพื่อจดจำข้อมูลการใช้งานได้
 
ตัวอย่างการขออนุญาติใช้ Cookie
ขอบคุณที่มารูปจาก StackExchange
 

2) Right of Data Subject สิทธิเจ้าของข้อมูลในการจัดการข้อมูลบุคคล

Data Subject Rights Form - เจ้าของข้อมูลยื่นคำร้องจัดการข้อมูล
     สิทธิของเจ้าของข้อมูลในการดำเนินการเเละจัดการข้อมูลส่วนบุคคล ไม่ว่าจะแก้ไข/ลบข้อมูล หรือเปลี่ยนการยินยอมต่างๆ ที่ได้ให้ความยินยอมไปก่อนหน้านี้ ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลหรือองค์กรที่นำข้อมูลไปใช้ ต้องจัดการให้เจ้าของข้อมูลสามารถทำได้ โดยทางภาคปฏิบัติ องค์กรจะสร้างเเบบฟอร์มยื่นคำร้องขึ้นมา เเล้วนำไปไว้บนเว็บไซต์, แอปพลิเคชั่น, หรือช่องทางที่องค์กรติดต่อกับเจ้าของข้อมูล เพื่อให้เจ้าของข้อมูลคลิ๊กเข้ามายื่นคำร้องขอเปลี่ยนข้อมูลที่ต้องการได้  
 
Data Subject Rights Management - ระบบจัดการคำร้องเปลี่ยนข้อมูล
     เมื่อเจ้าของข้อมูลได้ยื่นคำร้องขอเปลี่ยนแปลงข้อมูลส่วนบุคคลมาเเล้ว ข้อมูลจะถูกส่งมาที่ หน้าจัดการรายการคำร้อง ที่แอดมินขององค์กรสามารถเห็นทุกคำร้องที่เข้ามา พร้อมทั้งดูสถานะของคำร้องต่างๆได้ ทั้งที่ดำเนินการปรับเปลี่ยนอยู่หรือดำเนินการเสร็จสิ้น โดยเมื่อดำเนินการเสร็จเเล้ว ระบบจะเเจ้งเตือนให้กับเจ้าของข้อมูลได้รับรู้ผ่านทางที่เจ้าของข้อมูลยื่นคำร้องมา หรือตามเเต่ที่องค์กรจะติดต่อกับเจ้าของข้อมูล
 

3) Data Collection มีระบบจัดเก็บข้อมูลที่มีมาตราฐาน

Data Classification - จำเเนกการเก็บข้อมูลส่วนบุคคล
     ต้องมีการจำแนกแยกการเก็บข้อมูลอย่างเป็นระบบ​โดยแบ่งตามมาตรา 26 ได้แก่ ข้อมูลส่วนบุคคล (Personal Data) เเละข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) นอกจากนี้ยังมีการแบ่งข้อมูลเป็นประเภทต่างๆตามที่ระบุไว้ในกฏหมาย เช่น ข้อมูลห้ามเก็บรวมรวม หรือข้อมูลที่ได้รับการยกเว้นไม่ต้องขอคำยินยอมจากเจ้าของข้อมูล
 
Data Inventory Mapping - บันทึกความเป็นไปของข้อมูล
     การตรวจสอบว่าองค์กรมีข้อมูลส่วนบุคคลอะไรบ้าง เป็นการจัดทำบันทึกรายการข้อมูลส่วนบุคคล เพื่อแยกแยะว่าข้อมูลใดเป็นข้อมูลส่วนบุคคลบ้าง และข้อมูลดังกล่าวถูกเก็บไว้ที่ใด การทำ Data Inventory Mapping ที่ดีจะมีประโยชน์ในการช่วยติดตาม และระบุตำแหน่งของข้อมูลส่วนบุคคลที่ถูกจัดเก็บ ช่วยให้องค์กรสามารถนำข้อมูลไปใช้งานได้ง่ายขึ้น เช่น การทำ Data Flow Diagram (DFD) และการทำ Record of Processing (ROP)
 
ตัวอย่าง Data Flow Diagram : DFD
ที่มารูปจาก Miro
 
Data Impact Assessment - การประเมินความเสี่ยงเกี่ยวกับการประมวลผลข้อมูล
     องค์กรต้องมีการประเมินเสี่ยงในการนำข้อมูลมาใช้งาน โดยพิจารณาว่าความเสี่ยงนั้นมีมากน้อยเพียงใด กระทบกับความเสียหายที่เกิดขึ้นกับเจ้าของข้อมูลมากเเค่ไหน ทั้งนี้เพื่อกำหนดเเนวทางการแก้ไขเเละรับมือกับความเสี่ยงที่อาจเกิดขึ้น
 

4) Data Protection มาตรการรักษาความปลอดภัยของข้อมูล

User Permission - กำหนดสิทธิผู้ใช้งาน
     ระบบต้องมีการกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคลได้ เพื่อให้มั่นใจว่าผู้ที่สามารถเข้าถึงข้อมูลได้จะมีเฉพาะผู้ที่ได้รับอนุญาติเเล้วเท่านั้น รวมถึงมีการบริหารจัดการขอบเขตการเข้าถึงข้อมูลเท่าที่ผู้ใช้งานนั้นจำเป็นเท่านั้น  
 
ตัวอย่างการกำหนดสิทธิผู้ใช้งาน
ขอบคุณที่มารูปจาก StackExchange
 
System Protection - การควบคุมป้องกันการเข้าถึงข้อมูล
     มีวิธีการป้องกันการเข้าถึงข้อมูลในตัวอุปกรณ์หรือระบบขององค์กร ที่ใช้ในการจัดเก็บ จัดการ เเละประมวลผลข้อมูลส่วนบุคคล โดยทำหลายวิธีประกอบกัน เช่น
  • การยืนยันตัวตนของบุคคลก่อนเข้าถึงข้อมูล เช่น การล็อคอินผ่าน Username-password, การทำ e-KYC (Know Your Customer)
  • การทำ Firewall คือ กำหนดกฎควบคุมการเข้า-ออกของข้อมูล โดยระบบจะตรวจสอบเเละคัดกรองข้อมูลที่เข้ามาว่าเป็นข้อมูลอะไร มาจากที่ไหนและจะส่งไปที่ใด หากตรงกับที่กำหนดไว้ถึงจะอนุญาติให้เข้ามาได้
  • การเข้ารหัสให้กับข้อมูล (Encryption) เฉพาะผู้มีสิทธิเท่านั้นถึงจะเห็นข้อมูล
 

5) Personnel Preparation เตรียมความพร้อมบุคลากร

DPO Appointment - แต่งตั้ง DPO ให้คำแนะนำเกี่ยวกับ PDPA
     องค์กรมีหน้าที่แต่งตั้งเจ้าหน้าที่ดูแลความปลอดภัยของข้อมูล (DPO) ซึ่งเป็นเสมือนตัวแทนขององค์กร โดยมีหน้าที่ในการให้คำแนะนำ และตรวจสอบการดำเนินงานให้เป็นไปตาม พ.ร.บ. พร้อมทั้งประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหา
 
Training / Awareness - จัดอบรมพนักงานภายในองค์กร
     องค์กรต้องจัดการอบรมให้ความรู้กับพนักงานภายในองค์กรเกี่ยวกับข้อกฎหมาย ความสำคัญของ PDPA และความเสี่ยงที่อาจจะเกิดขึ้น เพื่อให้เกิดความร่วมมือจากพนักงาน และสร้างความเข้าใจ จนสามารถนำไปประยุกต์ใช้งานได้อย่างถูกต้อง
 
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มุ่งเน้นให้ผู้ประกอบการ สร้างแนวทางการเก็บข้อมูลอย่างเหมาะสม นำข้อมูลที่สำคัญของลูกค้ามาใช้ตรงตามจุดประสงค์ที่ขอรับความยินยอมไป เเละป้องกันความเสียหายที่อาจจะเกิดขึ้น ผู้ประกอบการต้องเตรียมความพร้อมต่อการใช้งานเเละรักษาข้อมูลส่วนบุคคลของลูกค้าให้ดี ไม่เช่นนั้นอาจมีความเสี่ยงทำผิดกฎหมายได้
 
รีบเตรียมปรับองค์กร ให้สอดคล้องกับกฎหมาย PDPA ได้แล้ววันนี้! เราพร้อมให้คำปรึกษาฟรี ติดต่อ
Website: Codium
Line: @codium
Mail: sales@codium.co
 
ขอบคุณที่มาข้อมูลจาก
มารู้จักกับกฎหมาย “PDPA” และการปรับโซลูชั่นสำหรับธุรกิจ - Krungsri
นโยบายคุ้มครองข้อมูลส่วนบุคคล - WIT
10 ขั้นตอน PDPA สำหรับผู้ประกอบการ - PDPA Pro
 
 
You may also like
ลงลายมือชื่ออิเล็กทรอกนิกส์ ถูกกฎหมาย ใช้งานง่ายใน 4 ขั้นตอน
ลงลายมือชื่ออิเล็กทรอกนิกส์ ถูกกฎหมาย ใช้งานง่ายใน 4 ขั้นตอน
AUG 03, 202130 MINUTES AGO READ
e-Signature
Document Management System
Digital Transformation
งานเบาขึ้น ให้ HR Bot ช่วยงานในช่วง Work from Home
งานเบาขึ้น ให้ HR Bot ช่วยงานในช่วง Work from Home
MAY 14, 202119 HOURS AGO READ
Digital Transformation
Bot
จัดการสวัสดิการพนักงานให้ง่ายกว่าที่เคย กับระบบ e-Claim
จัดการสวัสดิการพนักงานให้ง่ายกว่าที่เคย กับระบบ e-Claim
MAY 29, 2021A DAY AGO READ
Digital Transformation
Document Management System
เซ็นอนุมัติเอกสารออนไลน์ทำอย่างไร? ให้ง่าย ทำได้จากทุกที่
เซ็นอนุมัติเอกสารออนไลน์ทำอย่างไร? ให้ง่าย ทำได้จากทุกที่
MAY 20, 2021A DAY AGO READ
e-Signature
Document Management System
Digital Transformation

SUBSCRIBE TO OUR

NEWS
LETTER .

Code , Consult , Communicate

Copyright © 2020 CODIUM Company Limited.