Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

‘สมาคม’ ดูไว้! 5 กิจกรรมที่สุ่มเสี่ยงละเมิดกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

‘สมาคม’ ดูไว้! 5 กิจกรรมที่สุ่มเสี่ยงละเมิดกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

สมาคม คือ การรวมกลุ่มบุคคลที่มีวัตถุประสงค์เฉพาะ หรือเพื่อดูแลผลประโยชน์ของสมาชิกเป็นหลัก แต่ต้องไม่ใช่เพื่อการหากำไร หรือแบ่งปันรายได้ ซึ่งมีสถานะเป็น ‘นิติบุคคล’ ตามประมวลกฎหมายแพ่งและพาณิชย์ โดยต้องมีสมาชิกเริ่มก่อตั้ง 3 คนขึ้นไป มีกิจกรรมที่มุ่งเน้นทั้งตัวบุคคล และธุรกิจ ดังนั้นสมาคมจึงมีการดำเนินกิจกรรมใน 2 ลักษณะ คือ เป็นทั้ง B2C และ B2B  และทำให้สมาคมแต่ละแห่งอาจมีจำนวนสมาชิกตั้งแต่หลักสิบคน ไปจนถึงหลักแสนคนเลยทีเดียว 

ด้วยเหตุนี้ ข้อมูลส่วนบุคคลของสมาชิกภายในสมาคมจำนวนมาก ทั้งสมาชิกเก่าและใหม่ หากไม่มีการจัดการที่เหมาะสมและปลอดภัย ก็จะนำไปสู่การละเมิดข้อมูลส่วนบุคคลได้โดยง่าย ซึ่งจะทำให้สมาคม หรือคณะกรรมการของสมาคมมีความผิดตามบทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) เนื่องจากสมาคมมีสถานะอีกอย่างหนึ่ง นั่นคือเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามกฎหมาย PDPA 

ดังนั้น จะเห็นได้ว่าในช่วงที่ผ่านมา มีสมาคมรายใหญ่หลาย ๆ ด้าน อาทิ ประกันภัย สถาบันการเงินและธนาคาร ตลอดจนสมาคมวิชาชีพแหนงต่างๆ มีการจัดทำรูปแบบของสมาคมให้เป็นไปตามเงื่อนไขของกฎหมาย PDPA กันอย่างเร่งด่วน เพราะดูเหมือนว่า ‘เส้นตาย’ ได้ใกล้เข้ามาทุกขณะ ซึ่งในที่นี้เราได้มีการสรุปกิจกรรมด้านต่าง ๆ ของสมาคมที่เข้าข่ายต้องดำเนินการให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้ 

 

7 คำแนะนำที่ ‘สมาคม’ ควรทำเพื่อรับมือกฎหมาย PDPA

สมาคมอาจมีอีกหลายกิจกรรมที่เข้าข่ายจะต้องดำเนินการเพื่อให้สอดคล้องกับกฎหมาย PDPA ด้วยเหตุนี้ จึงต้องมีการดำเนินการอย่างเร่งด่วนเพื่อรับมือกับกฎหมาย PDPA ที่กำลังบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ โดยมีแนวทางในการดำเนินการดังนี้ :

1.แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นตำแหน่งที่กฎหมายให้ความคุ้มครอง และมีหน้าที่ในการตรวจสอบ ให้คำแนะนำ กำหนดทางปฏิบัติในด้านข้อมูลส่วนบุคคลของสมาคม และประสานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

2. กรณีที่สมาคมจำเป็นต้องเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นจำนวนมากก็อาจจะต้องทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA (Data Protection Impact Assessment) ไว้ด้วย 

3.จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ประกาศนโยบายความเป็นส่วนตัว (Privacy notice) และหากมีเว็บไซต์ที่เก็บข้อมูลด้วยคุกกี้ก็ต้องทำ Cookie Policy ด้วย

4.จัดทำระบบหรือเอกสารขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล

5.จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Personal Data Sharing Agreement) ในกรณีของสมาคมที่มีการส่งต่อข้อมูลให้แก่บุคคลภายนอก 

6. ดำเนินการให้เจ้าของข้อมูลส่วนบุคคลเข้าถึงสิทธิเพื่อการร้องขอให้ดำเนินการใด ๆ เช่น แก้ไข ระงับ ถ่ายโอน หรือทำลาย ซึ่งสมาคมที่มีข้อมูลบุคคลเป็นจำนวนมากควรมีเจ้าหน้าที่รับผิดชอบโดยตรงในบทบาทหน้าที่นี้ 

7.ดำเนินการในด้านไอทีหรือมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันการรั่วไหลทั้งจากบุคคลภายนอกและภายใน 

อย่างไรก็ตาม ทั้งรูปแบบกิจกรรม และแนวทางในการปฏิบัติของสมาคมเพื่อให้สอดคล้องกับกฎหมาย PDPA ยังคงเป็นหลักปฏิบัติในเบื้องต้น เนื่องจากบริบทของแต่ละสมาคมมีการดำเนินการที่แตกต่างกัน แต่จะสังเกตได้ว่า ภายใต้กฎหมาย PDPA ที่มุ่งเน้นการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้องค์กรธุรกิจและหน่วยงานต่าง ๆ ได้ตระหนักและระมัดระวังการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ปราศจากการยินยอม ขณะเดียวกันยังให้สิทธิในการขอให้แก้ไข ระงับ ยกเลิกหรือทำลายได้อีกด้วย 

ดังนั้น การขอความยินยอม จากเจ้าของข้อมูล จึงเป็นยันต์ผืนแรกที่จะช่วยปกป้ององค์กรจากความยุ่งยากจากการละเมิดที่อาจจะเกิดขึ้น แต่ก็ไม่ถึงกับแคล้วคลาดปลอดภัยได้ตลอดไป เนื่องยังมีอีกหลากหลายแง่มุมที่สมาคม และผู้ประกอบการในภาคธุรกิจจะต้องทำความเข้าใจ เพราะอาจส่งผลกระทบต่อองค์กรในระยะยาว เห็นได้จากกรณีการละเมิดข้อมูลส่วนบุคคลในต่างประเทศที่นำไปสู่การฟ้องร้องจนยืดเยื้อที่เสียทั้งเงิน ชื่อเสียง และเวลา    

Share :

บทความที่เกี่ยวข้อง

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมี
Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ