ผู้ประกอบการต้องเตรียมอะไร ให้พร้อมรับ PDPA ?

Views
Share this:
ผู้ประกอบการต้องเตรียมอะไร ให้พร้อมรับ PDPA ?
#consult
#PDPA
#LegalTech
เมื่อเทคโนโลยีก้าวหน้าเข้าใกล้ตัวบุคคลมากขึ้น ทำให้การละเมิดสิทธิข้อมูลส่วนบุคคลทำได้ง่ายขึ้นตามไปด้วย หลายครั้งนำมาซึ่งความเสียหายแก่เจ้าของข้อมูล รัฐจึงได้ออก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคล หรือ PDPA เพื่อให้ข้อมูลบุคคลถูกนำไปใช้อย่างถูกต้อง ตามการยินยอมจากเจ้าของข้อมูล เหล่าผู้ประกอบการหรือผู้มีส่วนเกี่ยวข้องจึงต้องหันมาดูว่า ข้อมูลส่วนบุคคลที่เก็บมาจากลูกค้ารวมถึงการนำข้อมูลมาใช้ ได้ทำตามกฎหมาย PDPA ที่ว่าไว้เเล้วหรือไม่
 
จึงนำมาซึ่งประเด็นสำคัญคือ เเล้ว PDPA ได้กำหนดอะไรไว้บ้าง? ผู้ประกอบการต้องเตรียมตัวอย่างไร? มีอะไรที่ต้องทำบ้าง? คำตอบทั้งหมด เราได้รวบรวมไว้ให้เเล้ว แบบฉบับอ่านง่าย มีภาพประกอบชัดเจน มาเริ่มเตรียมความพร้อมกันได้เลย!
 
5 สิ่งที่ผู้ประกอบการต้องเตรียมให้พร้อมรับ PDPA
 

สิ่งที่ผู้ประกอบการต้องเตรียม ให้พร้อมรับ PDPA

 

1) Consent Management บริหารความยินยอมจากเจ้าของข้อมูล

Privacy Policy - จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล
     องค์กรต้องจัดทำนโยบายการจัดการข้อมูลส่วนบุคคล เพื่ออธิบายและสร้างความเข้าใจให้กับเจ้าของข้อมูลถึงเรื่องมาตรการปกป้องความเป็นส่วนตัวของข้อมูล ซึ่งรายละเอียดในนโยบายที่ควรมี เช่น จะเก็บข้อมูลใดบ้าง, วัตถุประสงค์ในการเก็บข้อมูลคืออะไร, ใช้อะไรในการเก็บรักษาข้อมูล รวมถึงองค์กรจำเป็นต้องจัดทำให้รองรับทั้งภาษาไทยกับอังกฤษด้วย
 
Consent Form - ขอความยินยอมใช้ข้อมูลจากเจ้าของข้อมูล
     มีการขออนุญาติเจ้าของข้อมูลในการใช้ข้อมูล โดยทั่วไปจะออกมาในรูปแบบฟอร์ม ที่ต้องแจ้งรายละเอียดและเน้นย้ำให้เจ้าของข้อมูลมีเวลาในการพิจารณาอ่าน และต้อง Bullet แต่ละข้อให้ชัดเจนว่าเราจะขออนุญาตข้อมูลส่วนไหนบ้าง โดยเจ้าของข้อมูลสามารถเลือกยอมรับเเละปฏิเสธในบางข้อมูลได้ ซึ่งฟอร์มต้องรองรับทั้งภาษาไทยเเละอังกฤษ
 
ตัวอย่างฟอร์มที่ส่งขออนุญาติเจ้าของข้อมูล
ที่มารูปจาก Content Shifu
 
Cookie Consent Banner - ขอคำยินยอมให้ใช้ Cookie
     มีการขอความยินยอมจากเจ้าของข้อมูลผู้เข้ามาในเว็บไซต์ของเรา ให้เจ้าของเว็บสามารถรวบรวมหรือใช้ไฟล์ Cookie เพื่อจดจำข้อมูลการใช้งานได้
 
ตัวอย่างการขออนุญาติใช้ Cookie
ขอบคุณที่มารูปจาก StackExchange
 

2) Right of Data Subject สิทธิเจ้าของข้อมูลในการจัดการข้อมูลบุคคล

Data Subject Rights Form - เจ้าของข้อมูลยื่นคำร้องจัดการข้อมูล
     สิทธิของเจ้าของข้อมูลในการดำเนินการเเละจัดการข้อมูลส่วนบุคคล ไม่ว่าจะแก้ไข/ลบข้อมูล หรือเปลี่ยนการยินยอมต่างๆ ที่ได้ให้ความยินยอมไปก่อนหน้านี้ ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลหรือองค์กรที่นำข้อมูลไปใช้ ต้องจัดการให้เจ้าของข้อมูลสามารถทำได้ โดยทางภาคปฏิบัติ องค์กรจะสร้างเเบบฟอร์มยื่นคำร้องขึ้นมา เเล้วนำไปไว้บนเว็บไซต์, แอปพลิเคชั่น, หรือช่องทางที่องค์กรติดต่อกับเจ้าของข้อมูล เพื่อให้เจ้าของข้อมูลคลิ๊กเข้ามายื่นคำร้องขอเปลี่ยนข้อมูลที่ต้องการได้  
 
Data Subject Rights Management - ระบบจัดการคำร้องเปลี่ยนข้อมูล
     เมื่อเจ้าของข้อมูลได้ยื่นคำร้องขอเปลี่ยนแปลงข้อมูลส่วนบุคคลมาเเล้ว ข้อมูลจะถูกส่งมาที่ หน้าจัดการรายการคำร้อง ที่แอดมินขององค์กรสามารถเห็นทุกคำร้องที่เข้ามา พร้อมทั้งดูสถานะของคำร้องต่างๆได้ ทั้งที่ดำเนินการปรับเปลี่ยนอยู่หรือดำเนินการเสร็จสิ้น โดยเมื่อดำเนินการเสร็จเเล้ว ระบบจะเเจ้งเตือนให้กับเจ้าของข้อมูลได้รับรู้ผ่านทางที่เจ้าของข้อมูลยื่นคำร้องมา หรือตามเเต่ที่องค์กรจะติดต่อกับเจ้าของข้อมูล
 

3) Data Collection มีระบบจัดเก็บข้อมูลที่มีมาตราฐาน

Data Classification - จำเเนกการเก็บข้อมูลส่วนบุคคล
     ต้องมีการจำแนกแยกการเก็บข้อมูลอย่างเป็นระบบ​โดยแบ่งตามมาตรา 26 ได้แก่ ข้อมูลส่วนบุคคล (Personal Data) เเละข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) นอกจากนี้ยังมีการแบ่งข้อมูลเป็นประเภทต่างๆตามที่ระบุไว้ในกฏหมาย เช่น ข้อมูลห้ามเก็บรวมรวม หรือข้อมูลที่ได้รับการยกเว้นไม่ต้องขอคำยินยอมจากเจ้าของข้อมูล
 
Data Inventory Mapping - บันทึกความเป็นไปของข้อมูล
     การตรวจสอบว่าองค์กรมีข้อมูลส่วนบุคคลอะไรบ้าง เป็นการจัดทำบันทึกรายการข้อมูลส่วนบุคคล เพื่อแยกแยะว่าข้อมูลใดเป็นข้อมูลส่วนบุคคลบ้าง และข้อมูลดังกล่าวถูกเก็บไว้ที่ใด การทำ Data Inventory Mapping ที่ดีจะมีประโยชน์ในการช่วยติดตาม และระบุตำแหน่งของข้อมูลส่วนบุคคลที่ถูกจัดเก็บ ช่วยให้องค์กรสามารถนำข้อมูลไปใช้งานได้ง่ายขึ้น เช่น การทำ Data Flow Diagram (DFD) และการทำ Record of Processing (ROP)
 
ตัวอย่าง Data Flow Diagram : DFD
ที่มารูปจาก Miro
 
Data Impact Assessment - การประเมินความเสี่ยงเกี่ยวกับการประมวลผลข้อมูล
     องค์กรต้องมีการประเมินเสี่ยงในการนำข้อมูลมาใช้งาน โดยพิจารณาว่าความเสี่ยงนั้นมีมากน้อยเพียงใด กระทบกับความเสียหายที่เกิดขึ้นกับเจ้าของข้อมูลมากเเค่ไหน ทั้งนี้เพื่อกำหนดเเนวทางการแก้ไขเเละรับมือกับความเสี่ยงที่อาจเกิดขึ้น
 

4) Data Protection มาตรการรักษาความปลอดภัยของข้อมูล

User Permission - กำหนดสิทธิผู้ใช้งาน
     ระบบต้องมีการกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคลได้ เพื่อให้มั่นใจว่าผู้ที่สามารถเข้าถึงข้อมูลได้จะมีเฉพาะผู้ที่ได้รับอนุญาติเเล้วเท่านั้น รวมถึงมีการบริหารจัดการขอบเขตการเข้าถึงข้อมูลเท่าที่ผู้ใช้งานนั้นจำเป็นเท่านั้น  
 
ตัวอย่างการกำหนดสิทธิผู้ใช้งาน
ขอบคุณที่มารูปจาก StackExchange
 
System Protection - การควบคุมป้องกันการเข้าถึงข้อมูล
     มีวิธีการป้องกันการเข้าถึงข้อมูลในตัวอุปกรณ์หรือระบบขององค์กร ที่ใช้ในการจัดเก็บ จัดการ เเละประมวลผลข้อมูลส่วนบุคคล โดยทำหลายวิธีประกอบกัน เช่น
  • การยืนยันตัวตนของบุคคลก่อนเข้าถึงข้อมูล เช่น การล็อคอินผ่าน Username-password, การทำ e-KYC (Know Your Customer)
  • การทำ Firewall คือ กำหนดกฎควบคุมการเข้า-ออกของข้อมูล โดยระบบจะตรวจสอบเเละคัดกรองข้อมูลที่เข้ามาว่าเป็นข้อมูลอะไร มาจากที่ไหนและจะส่งไปที่ใด หากตรงกับที่กำหนดไว้ถึงจะอนุญาติให้เข้ามาได้
  • การเข้ารหัสให้กับข้อมูล (Encryption) เฉพาะผู้มีสิทธิเท่านั้นถึงจะเห็นข้อมูล
 

5) Personnel Preparation เตรียมความพร้อมบุคลากร

DPO Appointment - แต่งตั้ง DPO ให้คำแนะนำเกี่ยวกับ PDPA
     องค์กรมีหน้าที่แต่งตั้งเจ้าหน้าที่ดูแลความปลอดภัยของข้อมูล (DPO) ซึ่งเป็นเสมือนตัวแทนขององค์กร โดยมีหน้าที่ในการให้คำแนะนำ และตรวจสอบการดำเนินงานให้เป็นไปตาม พ.ร.บ. พร้อมทั้งประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหา
 
Training / Awareness - จัดอบรมพนักงานภายในองค์กร
     องค์กรต้องจัดการอบรมให้ความรู้กับพนักงานภายในองค์กรเกี่ยวกับข้อกฎหมาย ความสำคัญของ PDPA และความเสี่ยงที่อาจจะเกิดขึ้น เพื่อให้เกิดความร่วมมือจากพนักงาน และสร้างความเข้าใจ จนสามารถนำไปประยุกต์ใช้งานได้อย่างถูกต้อง
 
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มุ่งเน้นให้ผู้ประกอบการ สร้างแนวทางการเก็บข้อมูลอย่างเหมาะสม นำข้อมูลที่สำคัญของลูกค้ามาใช้ตรงตามจุดประสงค์ที่ขอรับความยินยอมไป เเละป้องกันความเสียหายที่อาจจะเกิดขึ้น ผู้ประกอบการต้องเตรียมความพร้อมต่อการใช้งานเเละรักษาข้อมูลส่วนบุคคลของลูกค้าให้ดี ไม่เช่นนั้นอาจมีความเสี่ยงทำผิดกฎหมายได้
 
รีบเตรียมปรับองค์กร ให้สอดคล้องกับกฎหมาย PDPA ได้แล้ววันนี้! เราพร้อมให้คำปรึกษาฟรี ติดต่อ
Website: Codium
Line: @codium
Mail: sales@codium.co
 
ขอบคุณที่มาข้อมูลจาก
มารู้จักกับกฎหมาย “PDPA” และการปรับโซลูชั่นสำหรับธุรกิจ - Krungsri
นโยบายคุ้มครองข้อมูลส่วนบุคคล - WIT
10 ขั้นตอน PDPA สำหรับผู้ประกอบการ - PDPA Pro
 
 
Share this:
Copyright © 2020 CODIUM Company Limited.