10 เรื่องที่องค์กร ‘ควรทำ’ เพื่อรองรับกฏหมาย PDPA

10 เรื่องที่องค์กร ‘ควรทำ’ เพื่อรองรับกฏหมาย PDPA


พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 มีจุดมุ่งหมายเพื่อ กำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของประเทศให้หน่วยงาน ทั้งภาครัฐ เอกชน รวมถึงประชาชนทั่วไป โดยนับเป็นหนึ่งในชุดกฎหมายดิจิทัลเพื่อยกขีดจำกัดความสามารถในการแข่งขันของประเทศไทยให้มีความเข้มแข็ง รวมทั้งเสริมสร้างความเชื่อมั่นให้กับสังคมในการใช้บริการออนไลน์ในชีวิตประจำวัน

ทุกองค์กรจำเป็นต้องทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (ในระดับแตกต่างกัน) มิเช่นนั้นอาจโดนระวางโทษทางปกครองปรับสูงสุด 5 ล้านบาท โทษทางอาญาปรับสูงสุด 1 ล้านบาท หรือจำคุกสูงสุด 1 ปี หรือทั้งจำทั้งปรับ และโทษทางแพ่งที่ต้องชดใช้ค่าเสียหายให้กับเจ้าของข้อมูลส่วนบุคคล และศาลอาจสั่งสินไหมลงโทษเพิ่มได้อีกเป็น 2 เท่า เป็นกฎหมายที่กระเทือนองค์กรต่าง ๆ ได้ไม่น้อยเลย และเพื่อทำตามกฎหมาย PDPA ฉบับนี้ องค์กรต้องปรับตัวกันเยอะมาก ๆ มีทั้งสิ่งที่ต้องทำเพิ่ม และสิ่งที่ต้องเททิ้ง จะเป็นอะไรบ้างไปดูกัน

10 เรื่องที่องค์กร ‘ควรทำ’ เพื่อรองรับกฏหมาย PDPA

  1. ตั้งคณะทำงาน Data Protection ประกอบด้วยผู้บริหาร และหัวหน้า หรือผู้มีอำนาจในแต่ละแผนก เพื่อช่วยอำนวยความสะดวกให้การจัดการข้อมูล การปรับเปลี่ยนกระบวนการ ตลอดจนเอกสารและระบบต่าง ๆ ให้เป็นไปอย่างราบรื่นและถูกหลักกฎหมาย PDPA
  2. Data Classification แยก หรือ จำแนก ข้อมูลส่วนบุคคล โดยจะต้องมีการจำแนกแยกการเก็บข้อมูลอย่างเป็นระบบโดยแบ่งข้อมูลออกเป็น 2 ประเภท ได้แก่ ข้อมูลส่วนบุคคล (Personal Data) เเละข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) (PDPA มาตรา 26) และจะได้รู้ด้วยว่าข้อมูลส่วนบุคคลอยู่ตรงไหนบ้าง ไหลจากไหนไปไหน จะได้ดำเนินการคุ้มครองได้อย่างครอบคลุมในสเต็ปถัดไป
  3. Privacy Policy จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล โดยมีเนื้อหาที่เกี่ยวข้องกับความเป็นส่วนตัวของเจ้าของข้อมูล เนื้อหาที่องค์กรจัดทำต้องมีความชัดเจน ครบถ้วน อาจต้องขอคำปรึกษาจากผู้เชี่ยวชาญด้านกฎหมาย
    Privacy Notice  สามารถเรียกอีกชื่อนึงว่า “นโยบายความเป็นส่วนตัว” โดยจะแจ้งนโยบายแก่กลุ่มต่าง ๆ ที่เกี่ยวข้อง คือคำประกาศถึงเจ้าของข้อมูลที่กล่าวถึงวิธีการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล
  1. RoPA (Record of Processing Activities ) คือการบันทึกกิจกรรมที่เกี่ยวกับข้อมูลส่วนบุคคล เพื่อให้เราสามารถเข้าไปตรวจสอบความถูกต้อง และตรวจสอบกิจกรรมการประมวลผลได้อย่างง่าย และเป็นระบบ และหากมีกรณีการละเมิดข้อมูลขึ้นมา หรือได้รับร้องเรียนและมีหน่วยงานกำกับดูแลด้านข้อมูลส่วนบุคคลเข้ามาตรวจสอบ การทำ RoPA ถือเป็นเครื่องมือที่ช่วยพิจารณาลดโทษเนื่องจากเป็นหลักฐานว่าทางบริษัทได้ทำตามกฎหมายแล้ว
  2. Update สัญญาระหว่างองค์กร กับพนักงาน คู่ค้า ลูกค้า องค์กรจำเป็นต้องมีการอัปเดตสัญญาการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่ว่าจะในฐานะพนักงานภายในองค์กร คู่ค้า หรือลูกค้า เพื่อแลกเปลี่ยนตามวัตถุประสงค์หรือธุรกรรมที่ทำร่วมกัน โดยจำเป็นต้องใช้ข้อมูลส่วนบุคคล และต้องมีการแจ้งว่าทางองค์กรมีมาตรการการคุ้มครองที่เหมาะสมกับเจ้าของข้อมูลแนบกับสัญญาไปด้วย
  3. Consent Form ฟอร์มการขอความยินยอมจากลูกค้า ฟอร์มนี้จะถูกส่งไปยังเจ้าของข้อมูลเพื่อให้ลูกค้าทราบเงื่อนไข และเลือกว่าจะยินยอมให้ทางองค์กรสามารถใช้ข้อมูลฯส่วนไหนบ้าง สำคัญโดยเฉพาะอย่างยิ่งกับการนำข้อมูลไปวิเคราะห์ทางการตลาด
  4. Cookie consent banner การส่งขอความยินยอม cookie เป็นการขอความยินยอมเพื่อจัดเก็บไฟล์คุกกี้ และข้อมูลต่างๆ จากผู้ใช้งานเว็บไซต์ ซึ่งถือเป็นข้อมูลส่วนบุคคลประเภทหนึ่งที่ เจ้าของเว็บไซต์ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ต้องขอความยินยอมจากเจ้าของข้อมูลตามกฎหมาย PDPA
  5. Training / Awareness อบรมบุคคลการในองค์กร การฝึกอบรมจะทำให้พนักงานตระหนักรู้ภาพรวมของกฎหมาย PDPA ที่เกี่ยวข้อง นอกจากนี้ยังสามารถปรับรูปแบบการทำงานของแต่ละแผนกให้เข้ากับ PDPA ได้
  6. ระบบ DSR และช่องทางการขอใช้สิทธิในข้อมูลส่วนบุคคลตามกฎหมาย กฎหมาย PDPA ระบุไว้ให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนบุคคลของตนเอง โดยอาจขอเข้าถึง ระงับ แก้ไข ถอนความยินยอม ฯลฯ องค์กรจำเป็นต้องมีระบบการจัดการการขอใช้สิทธิ (Data Subject Request; DSR) และมีช่องทางให้เจ้าของข้อมูลสามารถส่งคำขอใช้สิทธิได้ทุกเมื่อ จึงถือเป็นการทำตามข้อกำหนด PDPA อย่างมีประสิทธิภาพ
  7. แต่งตั้ง DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือเรียกสั้น ๆ ว่า DPO (Data Protection Officer) มีหน้าที่สำคัญในการจัดการและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเพื่อช่วยให้องค์กรนั้นสามารถดำเนินงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA อีกทั้งเป็นตำแหน่งที่กฎหมาย PDPA กำหนดให้บางองค์กรที่เข้าเกณฑ์ จะต้องแต่งตั้งเจ้าหน้าที่ DPO ขึ้นด้วย สำหรับเกณฑ์ขององค์กรที่จำเป็นต้องมี DPO คลิก PDPA Focus: องค์กรแบบไหนต้องมี DPO ใช่คุณหรือเปล่า?

10 เรื่องที่องค์กร ‘ควรเท’ ก่อนจะเจ็บหนักจากกฎหมาย PDPA

  1. เก็บข้อมูลโดยไม่มีฐานทางกฎหมายรองรับ การที่องค์กรจะเก็บรวบรวม หรือนำข้อมูลส่วนบุคคลไป ใช้ หรือเผยแพร่ต่อจำเป็นต้อง พิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล หากไม่มีฐานทางกฎหมายในการเก็บ/ใช้ข้อมูล เมื่อโดนตรวจสอบจะถือว่าเอาข้อมูลส่วนบุคคลมาใช้โดยไม่ชอบ โดยฐานทางกฎหมายในการเอาช้อมูลมาใช้มีอยู่ด้วยกัน 7 ฐานก็คือ ฐานความยินยอม (Consent) ฐานพันธะสัญญา (Contract) ฐานหน้าที่ผูกมัดตามกฎหมาย (Legal Obligation) ฐานประโยชน์ที่สำคัญแห่งชีวิต (Vital Interests) ฐานภารกิจของรัฐ (Public Interest) ฐานประโยชน์อันชอบธรรม (Legitimate Interests) และฐานจดหมายเหตุ/วิจัย/สถิติ (Archives/Research/Statistic) อ่านอย่างละเอียดที่ แนะ 7 ฐานทางกฎหมาย ประมวลผลข้อมูล “ผ่านฉลุย” ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
  2. เก็บข้อมูลนานเกินความจำเป็น ตามกฏหมาย หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลจำเป็นต้องกำหนดระยะเวลาการทำลายข้อมูลด้วย เนื่องจากข้อมูลส่วนบุคคลเป็นสิ่งที่ยืมมา ดังนั้นเมื่อครบกำหนดหรือบรรลุวัตถุประสงค์ องค์กรจำเป็นจะต้องทำลายทิ้ง
  3. เอาข้อมูลไปแอบขายต่อ อย่างที่ทราบมาข้างต้น ข้อมูลส่วนบุคคลเป็นสิ่งที่ยืมมาดังนั้นการนำข้อมูลฯไปเผยแพร่ต่อ หรือขายเพื่อทำกำไรถือเป็นสิ่งต้องห้าม ถือว่าเผยแพร่ข้อมูลเพื่อผลประโยชน์ที่ไม่ชอบด้วยกฎหมาย ส่วนนี้โดนโทษหนักแน่ถึงขั้นโดนโทษทางอาญา
  4. อนุญาตให้ใคร  ในองค์กรก็มีสิทธิการเข้าถึงข้อมูลทางดิจิทัล ข้อมูลส่วนบุคคล คือข้อมูลที่สามารถระบุตัวตนได้ดังนั้นองค์กรจำเป็นต้องจำกัดสิทธิการเข้าถึง เพื่อความปลอดภัย และป้องกันโอกาสข้อมูลส่วนบุคคลหลุดหายหรือถูกละเมิด โดยควรอนุญาตให้เข้าถึงได้เฉพาะผู้ที่เกี่ยวข้องหรือจำเป็นต้องใช้งานข้อมูลนั้นเท่านั้น
  5. พนักงานมีวัฒนธรรมหละหลวมด้านดูแลข้อมูล การเก็บเอกสารกระดาษแบบไม่ดูแล เช่น วางข้อมูลลูกค้า คู่ค้า ไว้บนโต๊ะใคร ๆ ก็อ่านได้ รวมไปถึงไม่ Log out หน้าจอ เพียงแค่นี้ก็สามารถทำให้ข้อมูลฯหลุด นำไปสู่การฟ้องร้องค่าเสียหายต่อบริษัทได้
  6. เก็บรวบรวมข้อมูลเกินความจำเป็นที่ต้องใช้ เช่น การที่บริษัทมีการเก็บสำเนาบัตรประชาชน เพื่อความปลอดภัย แต่ในบัตรประชาชนมี ข้อมูลศาสนาบนบัตร ซึ่งถือเป็นข้อมูลส่วนบุคคลประเภทออ่อนไหว และไม่จำเป็นต่อวัตถุประสงค์ในการรวบรวม
  7. เอาข้อมูลไปใช้เกินวัตถุประสงค์ องค์กรไม่ควรใช้ข้อมูลเกินขอบข่ายวัตถุประสงค์ที่แจ้งไว้แต่แรกเมื่อเก็บรวบรวมข้อมูลส่วนบุคคล เช่น เก็บข้อมูลบัตรประชาชนผู้มาติดต่อ และแจ้งกับเจ้าของข้อมูลว่ามีการจัดเก็บเพื่อความปลอดภัย แต่ในอนาคตกลับมีการเอาไปใช้เสนอขายสินค้า ทั้งนี้ถึงแม้จะมีการขอคความยินยอมแล้วแต่แรก (ในวัตถุประสงค์หนึ่ง) แต่นำไปใช้ผิดวัตถุประสงค์ที่ขอไว้เดิม แบบนี้ก็ถือว่าผิดกฏหมาย PDPA
  8. Cyber Security ขั้นพื้นฐานไม่อัปเดตให้เหมาะสม ความปลอดภัยทางระบบไซเบอร์ถือเป็นหนึ่งในสิ่งสำคัญของรากฐานความมั่นคงของการรวบรวมข้อมูลฯ เพราะในปัจจุบันการเก็บรวบรวมข้อมูลก็แทบจะอยู่ในฐานข้อมูลไซเบอร์ทั้งสิ้น ดังนั้น การวางระบบCyber Security ให้แข็งแรง และทันสมัยอยู่เสมอเป็นสิ่งที่ไม่ควรมองข้าม
  9. Reuse กระดาษหรือเอกสารที่มีข้อมูลส่วนบุคคลอยู่มาใช้งาน ถึงแม้บริษัทจะมีนโยบายรักษ์โลก แต่เราไม่สามารถนำกระดาษที่มีข้อมูลส่วนบุคคลมาใช้ต่อได้ ดังนั้นหากกระดาษนั้นมีข้อมูลฯ ทางบริษัทจำเป็นต้องทำลาย หรือทำให้ไม่สามารถระบุตัวตนได้เท่านั้น
  10. ถ่าย CCTV สถานที่ไม่สมควร และโดยไม่มีการแจ้งเตือน ความปลอดภัยของบริษัทเป็นเรื่องสำคัญ แต่ความเป็นส่วนตัวก็สำคัญไม่แพ้กัน การติดกล้องวงจรปิด หรือ ถ่าย CCTV จำเป็นต้องกำหนดความเหมาะสมในแต่ละสถานที่ รวมถึงจำเป็นต้องติดป้ายแจ้งต่อบุคคลนั้นๆด้วย ไม่อย่างนั้นจะถือว่ามีความผิดโทษฐานละเมิดความเป็นส่วนตัวของผู้ที่ใช้บริการสถานที่

ขอบคุณที่มา : LINK
 1631
ผู้เข้าชม

บทความที่เกี่ยวข้อง

Background Checks คือการตรวจสอบประวัติอย่างละเอียด ครอบคลุมทั้งด้านข้อมูลส่วนตัว, ประวัติอาชญากรรม, ภาวะทางการเงิน, การศึกษา ตลอดจนบริบทอื่น ๆ ที่ส่งผลกับตำแหน่งที่สมัครเข้ามา
สวัสดิการที่องค์กรมอบให้แก่พนักงาน กับ สวัสดิการที่พนักงานต้องการ นั้น บางเรื่องก็เป็นสิ่งที่ตรงกัน ส่วนบางเรื่องก็เป็นสิ่งที่ต่างความเห็นกัน ในเรื่องนี้จากทาง Jobthai (jobthai.com) เคยทำบทความนำเสนอผลการสำรวจความคิดเห็นจากคนทำงานทั่วประเทศในประเด็นที่ว่า “สวัสดิการที่คนทำงานต้องการจากองค์กร” ซึ่งเป็นการทำผลสำรวจจากคนทำงานที่เป็นพนักงานทั่วไปจำนวน 7,420 คน ทั่วประเทศ โดยมีผลการสำรวจออกมาดังนี้
เคยได้ยินคำว่า Flexible Time กันอยู่บ่อย ๆ ว่าแต่เอ๊ะ มันคืออะไร ??
AQ หรือ Adversity Quotient คือความฉลาดในการรับมือกับปัญหา ทั้งสภาพกาย และจิตใจ ถูกบัญญัติขึ้นโดยพอล สโตลทซ์ (Paul Stoltz) เมื่อปี 1997 ว่า เป็นวิธีการประเมินความสามารถของแต่ละคนในการรับมือ และตอบสนองต่อความทุกข์ยาก โดยสถาบันชั้นนำอย่างฮาร์วาร์ด (Harvard), สถาบันเทคโนโลยีแมสซาชูเซตส์ (Massachusetts Institute of Technology หรือ MIT) และคาร์เนกีเมลลอน (Carnegie Mellon) ต่างก็ใช้ AQ เป็น ‘Golden Standard’ เพื่อประเมินว่า คนนั้นๆ จัดการกับความท้าทายอย่างไรด้วยกันทั้งสิ้น และยังค้นพบอีกด้วยว่า AQ มีความสัมพันธ์โดยตรงกับ ‘การเป็นผู้นำที่ดี’
การวางแผนอัตรากำลังคน (Manpower Planning) หรือ การวางแผนกำลังคน คือ กระบวนการในการคาดการณ์ หรือการวิเคราะห์ จำนวนความต้องการกำลังคนขององค์กร ประเภทพนักงานที่มีความสามารถเหมาะสมที่จะมาปฏิบัติงานให้พอเพียงกับการเปลี่ยนแปลง การขยายตัว หรือลดขนาดองค์กร เพื่อความเหมาะสมของขนาดองค์กร ตามความต้องการของธุรกิจให้บรรลุวัตถุประสงค์ที่องค์กรได้กำหนดไว้
ปัจจุบันมีการใช้เทคโนโลยีที่เรียกว่า "Face recognition" หรือ ระบบจดจำใบหน้า อย่างกว้างขวาง รวมไปถึงการนำไปใช้กับซอฟต์แวร์ในระบบ HR ในการสแกนใบหน้าเพื่อลงเวลาเข้า-ออกงานที่ออฟฟิศ เพื่อบันทึกประวัติการทำงานของพนักงาน ตรวจสอบประสิทธิภาพการทำงานของพนักงาน คำนวณเงินเดือน รวมไปถึงการประเมินต่างๆ
สร้างเว็บไซต์สำเร็จรูปฟรี ร้านค้าออนไลน์