10 เรื่องที่องค์กร ‘ควรทำ’ เพื่อรองรับกฏหมาย PDPA

10 เรื่องที่องค์กร ‘ควรทำ’ เพื่อรองรับกฏหมาย PDPA


พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 มีจุดมุ่งหมายเพื่อ กำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของประเทศให้หน่วยงาน ทั้งภาครัฐ เอกชน รวมถึงประชาชนทั่วไป โดยนับเป็นหนึ่งในชุดกฎหมายดิจิทัลเพื่อยกขีดจำกัดความสามารถในการแข่งขันของประเทศไทยให้มีความเข้มแข็ง รวมทั้งเสริมสร้างความเชื่อมั่นให้กับสังคมในการใช้บริการออนไลน์ในชีวิตประจำวัน

ทุกองค์กรจำเป็นต้องทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (ในระดับแตกต่างกัน) มิเช่นนั้นอาจโดนระวางโทษทางปกครองปรับสูงสุด 5 ล้านบาท โทษทางอาญาปรับสูงสุด 1 ล้านบาท หรือจำคุกสูงสุด 1 ปี หรือทั้งจำทั้งปรับ และโทษทางแพ่งที่ต้องชดใช้ค่าเสียหายให้กับเจ้าของข้อมูลส่วนบุคคล และศาลอาจสั่งสินไหมลงโทษเพิ่มได้อีกเป็น 2 เท่า เป็นกฎหมายที่กระเทือนองค์กรต่าง ๆ ได้ไม่น้อยเลย และเพื่อทำตามกฎหมาย PDPA ฉบับนี้ องค์กรต้องปรับตัวกันเยอะมาก ๆ มีทั้งสิ่งที่ต้องทำเพิ่ม และสิ่งที่ต้องเททิ้ง จะเป็นอะไรบ้างไปดูกัน

10 เรื่องที่องค์กร ‘ควรทำ’ เพื่อรองรับกฏหมาย PDPA

  1. ตั้งคณะทำงาน Data Protection ประกอบด้วยผู้บริหาร และหัวหน้า หรือผู้มีอำนาจในแต่ละแผนก เพื่อช่วยอำนวยความสะดวกให้การจัดการข้อมูล การปรับเปลี่ยนกระบวนการ ตลอดจนเอกสารและระบบต่าง ๆ ให้เป็นไปอย่างราบรื่นและถูกหลักกฎหมาย PDPA
  2. Data Classification แยก หรือ จำแนก ข้อมูลส่วนบุคคล โดยจะต้องมีการจำแนกแยกการเก็บข้อมูลอย่างเป็นระบบโดยแบ่งข้อมูลออกเป็น 2 ประเภท ได้แก่ ข้อมูลส่วนบุคคล (Personal Data) เเละข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) (PDPA มาตรา 26) และจะได้รู้ด้วยว่าข้อมูลส่วนบุคคลอยู่ตรงไหนบ้าง ไหลจากไหนไปไหน จะได้ดำเนินการคุ้มครองได้อย่างครอบคลุมในสเต็ปถัดไป
  3. Privacy Policy จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล โดยมีเนื้อหาที่เกี่ยวข้องกับความเป็นส่วนตัวของเจ้าของข้อมูล เนื้อหาที่องค์กรจัดทำต้องมีความชัดเจน ครบถ้วน อาจต้องขอคำปรึกษาจากผู้เชี่ยวชาญด้านกฎหมาย
    Privacy Notice  สามารถเรียกอีกชื่อนึงว่า “นโยบายความเป็นส่วนตัว” โดยจะแจ้งนโยบายแก่กลุ่มต่าง ๆ ที่เกี่ยวข้อง คือคำประกาศถึงเจ้าของข้อมูลที่กล่าวถึงวิธีการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล
  1. RoPA (Record of Processing Activities ) คือการบันทึกกิจกรรมที่เกี่ยวกับข้อมูลส่วนบุคคล เพื่อให้เราสามารถเข้าไปตรวจสอบความถูกต้อง และตรวจสอบกิจกรรมการประมวลผลได้อย่างง่าย และเป็นระบบ และหากมีกรณีการละเมิดข้อมูลขึ้นมา หรือได้รับร้องเรียนและมีหน่วยงานกำกับดูแลด้านข้อมูลส่วนบุคคลเข้ามาตรวจสอบ การทำ RoPA ถือเป็นเครื่องมือที่ช่วยพิจารณาลดโทษเนื่องจากเป็นหลักฐานว่าทางบริษัทได้ทำตามกฎหมายแล้ว
  2. Update สัญญาระหว่างองค์กร กับพนักงาน คู่ค้า ลูกค้า องค์กรจำเป็นต้องมีการอัปเดตสัญญาการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่ว่าจะในฐานะพนักงานภายในองค์กร คู่ค้า หรือลูกค้า เพื่อแลกเปลี่ยนตามวัตถุประสงค์หรือธุรกรรมที่ทำร่วมกัน โดยจำเป็นต้องใช้ข้อมูลส่วนบุคคล และต้องมีการแจ้งว่าทางองค์กรมีมาตรการการคุ้มครองที่เหมาะสมกับเจ้าของข้อมูลแนบกับสัญญาไปด้วย
  3. Consent Form ฟอร์มการขอความยินยอมจากลูกค้า ฟอร์มนี้จะถูกส่งไปยังเจ้าของข้อมูลเพื่อให้ลูกค้าทราบเงื่อนไข และเลือกว่าจะยินยอมให้ทางองค์กรสามารถใช้ข้อมูลฯส่วนไหนบ้าง สำคัญโดยเฉพาะอย่างยิ่งกับการนำข้อมูลไปวิเคราะห์ทางการตลาด
  4. Cookie consent banner การส่งขอความยินยอม cookie เป็นการขอความยินยอมเพื่อจัดเก็บไฟล์คุกกี้ และข้อมูลต่างๆ จากผู้ใช้งานเว็บไซต์ ซึ่งถือเป็นข้อมูลส่วนบุคคลประเภทหนึ่งที่ เจ้าของเว็บไซต์ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ต้องขอความยินยอมจากเจ้าของข้อมูลตามกฎหมาย PDPA
  5. Training / Awareness อบรมบุคคลการในองค์กร การฝึกอบรมจะทำให้พนักงานตระหนักรู้ภาพรวมของกฎหมาย PDPA ที่เกี่ยวข้อง นอกจากนี้ยังสามารถปรับรูปแบบการทำงานของแต่ละแผนกให้เข้ากับ PDPA ได้
  6. ระบบ DSR และช่องทางการขอใช้สิทธิในข้อมูลส่วนบุคคลตามกฎหมาย กฎหมาย PDPA ระบุไว้ให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนบุคคลของตนเอง โดยอาจขอเข้าถึง ระงับ แก้ไข ถอนความยินยอม ฯลฯ องค์กรจำเป็นต้องมีระบบการจัดการการขอใช้สิทธิ (Data Subject Request; DSR) และมีช่องทางให้เจ้าของข้อมูลสามารถส่งคำขอใช้สิทธิได้ทุกเมื่อ จึงถือเป็นการทำตามข้อกำหนด PDPA อย่างมีประสิทธิภาพ
  7. แต่งตั้ง DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือเรียกสั้น ๆ ว่า DPO (Data Protection Officer) มีหน้าที่สำคัญในการจัดการและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเพื่อช่วยให้องค์กรนั้นสามารถดำเนินงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA อีกทั้งเป็นตำแหน่งที่กฎหมาย PDPA กำหนดให้บางองค์กรที่เข้าเกณฑ์ จะต้องแต่งตั้งเจ้าหน้าที่ DPO ขึ้นด้วย สำหรับเกณฑ์ขององค์กรที่จำเป็นต้องมี DPO คลิก PDPA Focus: องค์กรแบบไหนต้องมี DPO ใช่คุณหรือเปล่า?

10 เรื่องที่องค์กร ‘ควรเท’ ก่อนจะเจ็บหนักจากกฎหมาย PDPA

  1. เก็บข้อมูลโดยไม่มีฐานทางกฎหมายรองรับ การที่องค์กรจะเก็บรวบรวม หรือนำข้อมูลส่วนบุคคลไป ใช้ หรือเผยแพร่ต่อจำเป็นต้อง พิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล หากไม่มีฐานทางกฎหมายในการเก็บ/ใช้ข้อมูล เมื่อโดนตรวจสอบจะถือว่าเอาข้อมูลส่วนบุคคลมาใช้โดยไม่ชอบ โดยฐานทางกฎหมายในการเอาช้อมูลมาใช้มีอยู่ด้วยกัน 7 ฐานก็คือ ฐานความยินยอม (Consent) ฐานพันธะสัญญา (Contract) ฐานหน้าที่ผูกมัดตามกฎหมาย (Legal Obligation) ฐานประโยชน์ที่สำคัญแห่งชีวิต (Vital Interests) ฐานภารกิจของรัฐ (Public Interest) ฐานประโยชน์อันชอบธรรม (Legitimate Interests) และฐานจดหมายเหตุ/วิจัย/สถิติ (Archives/Research/Statistic) อ่านอย่างละเอียดที่ แนะ 7 ฐานทางกฎหมาย ประมวลผลข้อมูล “ผ่านฉลุย” ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
  2. เก็บข้อมูลนานเกินความจำเป็น ตามกฏหมาย หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลจำเป็นต้องกำหนดระยะเวลาการทำลายข้อมูลด้วย เนื่องจากข้อมูลส่วนบุคคลเป็นสิ่งที่ยืมมา ดังนั้นเมื่อครบกำหนดหรือบรรลุวัตถุประสงค์ องค์กรจำเป็นจะต้องทำลายทิ้ง
  3. เอาข้อมูลไปแอบขายต่อ อย่างที่ทราบมาข้างต้น ข้อมูลส่วนบุคคลเป็นสิ่งที่ยืมมาดังนั้นการนำข้อมูลฯไปเผยแพร่ต่อ หรือขายเพื่อทำกำไรถือเป็นสิ่งต้องห้าม ถือว่าเผยแพร่ข้อมูลเพื่อผลประโยชน์ที่ไม่ชอบด้วยกฎหมาย ส่วนนี้โดนโทษหนักแน่ถึงขั้นโดนโทษทางอาญา
  4. อนุญาตให้ใคร  ในองค์กรก็มีสิทธิการเข้าถึงข้อมูลทางดิจิทัล ข้อมูลส่วนบุคคล คือข้อมูลที่สามารถระบุตัวตนได้ดังนั้นองค์กรจำเป็นต้องจำกัดสิทธิการเข้าถึง เพื่อความปลอดภัย และป้องกันโอกาสข้อมูลส่วนบุคคลหลุดหายหรือถูกละเมิด โดยควรอนุญาตให้เข้าถึงได้เฉพาะผู้ที่เกี่ยวข้องหรือจำเป็นต้องใช้งานข้อมูลนั้นเท่านั้น
  5. พนักงานมีวัฒนธรรมหละหลวมด้านดูแลข้อมูล การเก็บเอกสารกระดาษแบบไม่ดูแล เช่น วางข้อมูลลูกค้า คู่ค้า ไว้บนโต๊ะใคร ๆ ก็อ่านได้ รวมไปถึงไม่ Log out หน้าจอ เพียงแค่นี้ก็สามารถทำให้ข้อมูลฯหลุด นำไปสู่การฟ้องร้องค่าเสียหายต่อบริษัทได้
  6. เก็บรวบรวมข้อมูลเกินความจำเป็นที่ต้องใช้ เช่น การที่บริษัทมีการเก็บสำเนาบัตรประชาชน เพื่อความปลอดภัย แต่ในบัตรประชาชนมี ข้อมูลศาสนาบนบัตร ซึ่งถือเป็นข้อมูลส่วนบุคคลประเภทออ่อนไหว และไม่จำเป็นต่อวัตถุประสงค์ในการรวบรวม
  7. เอาข้อมูลไปใช้เกินวัตถุประสงค์ องค์กรไม่ควรใช้ข้อมูลเกินขอบข่ายวัตถุประสงค์ที่แจ้งไว้แต่แรกเมื่อเก็บรวบรวมข้อมูลส่วนบุคคล เช่น เก็บข้อมูลบัตรประชาชนผู้มาติดต่อ และแจ้งกับเจ้าของข้อมูลว่ามีการจัดเก็บเพื่อความปลอดภัย แต่ในอนาคตกลับมีการเอาไปใช้เสนอขายสินค้า ทั้งนี้ถึงแม้จะมีการขอคความยินยอมแล้วแต่แรก (ในวัตถุประสงค์หนึ่ง) แต่นำไปใช้ผิดวัตถุประสงค์ที่ขอไว้เดิม แบบนี้ก็ถือว่าผิดกฏหมาย PDPA
  8. Cyber Security ขั้นพื้นฐานไม่อัปเดตให้เหมาะสม ความปลอดภัยทางระบบไซเบอร์ถือเป็นหนึ่งในสิ่งสำคัญของรากฐานความมั่นคงของการรวบรวมข้อมูลฯ เพราะในปัจจุบันการเก็บรวบรวมข้อมูลก็แทบจะอยู่ในฐานข้อมูลไซเบอร์ทั้งสิ้น ดังนั้น การวางระบบCyber Security ให้แข็งแรง และทันสมัยอยู่เสมอเป็นสิ่งที่ไม่ควรมองข้าม
  9. Reuse กระดาษหรือเอกสารที่มีข้อมูลส่วนบุคคลอยู่มาใช้งาน ถึงแม้บริษัทจะมีนโยบายรักษ์โลก แต่เราไม่สามารถนำกระดาษที่มีข้อมูลส่วนบุคคลมาใช้ต่อได้ ดังนั้นหากกระดาษนั้นมีข้อมูลฯ ทางบริษัทจำเป็นต้องทำลาย หรือทำให้ไม่สามารถระบุตัวตนได้เท่านั้น
  10. ถ่าย CCTV สถานที่ไม่สมควร และโดยไม่มีการแจ้งเตือน ความปลอดภัยของบริษัทเป็นเรื่องสำคัญ แต่ความเป็นส่วนตัวก็สำคัญไม่แพ้กัน การติดกล้องวงจรปิด หรือ ถ่าย CCTV จำเป็นต้องกำหนดความเหมาะสมในแต่ละสถานที่ รวมถึงจำเป็นต้องติดป้ายแจ้งต่อบุคคลนั้นๆด้วย ไม่อย่างนั้นจะถือว่ามีความผิดโทษฐานละเมิดความเป็นส่วนตัวของผู้ที่ใช้บริการสถานที่

ขอบคุณที่มา : LINK
 956
ผู้เข้าชม

บทความที่เกี่ยวข้อง

เชื่อว่าหนึ่งในความฝันหรือเป้าหมายของคนทำงานประจำหรือคนทำงานออฟฟิศ คือการ เปิดบริษัท ของตัวเอง ยิ่งได้เก็บเกี่ยวประสบการณ์ และความรู้มาแล้วชั่วระยะเวลาหนึ่ง ย่อมอยากนำไปใช้กับสิ่งที่เป็นของตัวเอง ลงทุนลงแรงเอง แต่ก่อนที่คุณจะตัดสินใจเปิดบริษัท มีหลายเรื่องให้ต้องพิจารณาเลย 10 ข้อน่ารู้ก่อนตัดสินใจเปิดบริษัทเป็นของตัวเอง มีอะไรบ้าง ไปหาคำตอบกัน
กองทุนฌาปนกิจ คือ กองทุนช่วยเหลือพนักงานและครอบครัวกรณีเสียชีวิต ต้องบอกว่าแต่ละองค์กร จะมีเงื่อนไขในการช่วยเหลือ รวมไปถึงจำนวนเงินช่วยเหลือ และรูปแบบของกองทุนที่แตกต่างกันออกไป ขึ้นอยู่กับหลายปัจจัย ทั้งขนาดขององค์กร รูปแบบของธุรกิจ รูปแบบของงาน หากเป็นงานที่มีความเสี่ยงสูง ก็จะได้รับเงินช่วยเหลือสูงตามไปด้วย โดยหากเป็นองค์กรขนาดใหญ่จะมีรูปแบบของ กองทุนฌาปนกิจ ในรูปแบบกองทุน หรือรูปแบบสหกรณ์ ขณะที่องค์กรขนาดเล็กอาจจะเป็นในรูปแบบของเงินสนับสนุน ช่วยเหลือครอบครัว
“ลาออก” เป็นหนึ่งสิ่งที่เชื่อได้ว่าต้องเคยเกิดขึ้นในชีวิตของคนแทบทุกคน ไม่ว่าจะด้วยเหตุผลที่ว่าอยากเปลี่ยนงาน หรือจะเกษียณก็ตาม นอกจากการวางแผนหางานใหม่ การทำเรื่องลาออกกับบริษัท จัดการเอกสารต่าง ๆ การวางแผนการเงินก็เป็นอีกเรื่องสำคัญที่หลายคนให้ความสำคัญ แต่อาจจะมีเรื่องเงิน ๆ ทอง ๆ ที่หลายคนมองข้ามในช่วงลาออก นั่นก็คือการจัดการเงินที่อยู่ใน “กองทุนสำรองเลี้ยงชีพ”
นับว่าเป็นบทลงโทษที่ยอดฮิตที่นายจ้างมักจะลงโทษลูกจ้างนอกเหนือไปจากการเลิกจ้าง คือ การหักเงินค่าจ้าง และ การพักงาน โดยจะขอทำการกล่าวถึง “การพักงาน” 
แน่นอนว่างานบางอย่างอาจสามารถทำคนเดียวได้ แต่งานนั้นอาจทำได้ดีกว่าหากร่วมกันทำงานเป็นทีม การทำงานเป็นทีมนั้นถือเป็นสิ่งที่ท้าทายสำหรับหลายคนและหลายองค์กร อาจเป็นเรื่องง่ายที่จะนำคนมาทำงานร่วมกัน แต่การทำให้คนเหล่านั้นกลายเป็นทีมที่ทำงานได้อย่างมีประสิทธิภาพอาจต้องใช้เวลาเรียนรู้อีกมากมาย
แน่นอนว่าการพิจารณาผู้สมัครจาก Resume และการสัมภาษณ์งานอาจไม่ใช่เรื่องง่ายนัก โดยเฉพาะการประเมินเรื่อง Soft Skills ซึ่งเป็นคุณสมบัติที่จับต้องได้น้อยกว่าเรื่องบุคลิกภาพหรือความสามารถด้าน Hard Skills จึงทำให้ HR หลายคนอาจมีคำถามหรือเกิดความลังเลใจว่าควรเลือกผู้สมัครแบบไหนดี?
สร้างเว็บไซต์สำเร็จรูปฟรี ร้านค้าออนไลน์