1.การจัดตั้งคณะทำงาน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)  

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer เป็นตำแหน่งงานใหม่ที่เกิดขึ้นมาพร้อมกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเป็น “ผู้รับผิดชอบ” ให้แน่ใจว่าการประมวลผลข้อมูลขององค์กรดำเนินการอย่างสอดคล้องกับกฎหมายและราบรื่นมากที่สุด และมีหน้าที่ (ตาม PDPA มาตรา 42 และเอกสารประกอบอื่น) อ่านบทความเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO เพิ่มเติม ได้ที่  Click !

2.Privacy Policy หรือ นโยบายการคุ้มครองข้อมูลส่วนบุคคล

Privacy Policy คือการกำหนดข้อตกลง หรือคำแถลงการเกี่ยวกับแนวทางการจัดเก็บรวบรวม ใช้ หรือเผยแพร่งานข้อมูลส่วนบุคคลคนภายในองค์กร หรือหน่วยงาน

3.Privacy Notice หรือ การสร้างประกาศชี้แจงการใช้ข้อมูลส่วนบุคคล

Privacy Notice คือคำประกาศถึงเจ้าของข้อมูลที่องค์กรจำมีการดำเนินการการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล ซึ่งเราจะเห็นกันคุ้นตาในชื่อ นโยบายความเป็นส่วนตัว หรือ นโยบายการประมวลผลข้อมูลส่วนบุคคล >>>  หากยังไม่รู้ว่าเขียนอย่างไรให้ถูกหลัก PDPA สามารถอ่าน วิธีการเขียน Privacy Notice และ Privacy Policy ได้ที่นี่ Click !

4.ข้อตกลงการประมวลข้อมูล หรือ Data Processing Agreement  (DPA)

โดยปกติแล้ว  DPA จะมีการกำหนดขอบเขต และวัตถุประสงค์ของข้อตกลงการประมวลผลข้อมูลส่วนบุคคล รายละเอียดของข้อมูลที่จะนำไปประมวลผล วิธีป้องกันการเสียหายของข้อมูล และกระบวนการระหว่างผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล โดยมีการกำหนดดังนี้

• ผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุข้อมูลที่แลกเปลี่ยนอย่างชัดเจน ว่ามีการส่งต่อข้อมูลส่วนบุคคลอะไรบ้างให้กับองค์กรภายนอก และระบุฝ่ายที่รับผิดชอบในการตรวจสอบว่าข้อมูลเป็นไปตามแนวปฏิบัติของกฎหมาย PDPA หรือไม่
• วัตถุประสงค์และขอบเขตในการประมวลผลข้อมูล 
• กำหนดการของระยะเวลาที่ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ทำสัญญาว่าจะมีการเก็บรักษาข้อมูลเพื่อทำการตลาด ระยะเวลา 3 ปี หากเกินระยะเวลากำหนด ผู้ควบคุ้มข้อมูลจะต้องลบและทำลายข้อมูลทิ้ง
• ข้อตกลงเรื่องการกำหนดมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กฎหมายกําหนด 
• ผู้ประมวลผลข้อมูลฯจะไม่นําข้อมูลที่ได้รับจากบริษัทไปใช้ในวัตถุประสงค์อื่นนอกเหนือจากที่ระบุในข้อตกลงฉบับนี้ 
• หากการกระทําใดของผู้ประมวลผลข้อมูลทําให้เกิดข้อพิพาท หรือความเสียหายแก่บริษัท ผู้ประมวลผลข้อมูลต้อง รับผิดชอบความเสียหายที่เกิดขึ้นทั้งหมด

5.จดหมายแจ้งการละเมิดข้อมูลส่วนบุคคล 

เป็นฟอร์มที่องค์กรณ์ต้องเตรียมไว้เผื่อมีกรณีการละเมิดข้อมูลส่วนบุคคลขึ้น โดยต้องมีรายละเอียดดังนี้

• รายละเอียดของเหตุ ละเมิดข้อมูลส่วนบุคคล
• วันเวลาที่ทราบเหตุ
• ผู้ที่รายงานเหตุให้ทราบ (หากมี)
• รายการข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
• รูปแบบผลกระทบ ที่เกิดขึ้นกับข้อมูลส่วนบุคคล 
• จำนวนเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
• มาตรการตอบสนองเพื่อหยุดยั้งเหตุละเมิดข้อมูล
• การแจ้งเหตุต่อเจ้าของข้อมูลส่วนบุคคล
• ติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล 

6.บันทึกการประมวลผลข้อมูลส่วนบุคคล (RoPA)

RoPA เป็นการจดบันทึกที่บอกว่าแผนกไหนในองค์กรทำอะไรบ้าง ทำด้วยวัตถุประสงค์อะไร และอยู่บนฐานกฎหมายข้อไหนที่อนุญาตให้ทำ จุดประสงค์หลักในการจดบันทึกคือ หากเกิดการละเมิดข้อมูลส่วนบุคคลขึ้นองค์กรจะสามารถตรวจสอบกระบวนการจัดการได้อย่างรวดเร็วตามกฎหมาย PDPA นอกจากนี้การบันทึก RoPA เราสามารถใช้ RoPA เป็นเสมือน Checklist ไว้ให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)” ได้เขียน และทบทวนกิจกรรมที่ทำอยู่นั้นมีการใช้ข้อมูลส่วนบุคคลหรือไม่ ที่มาขอข้อมูลถูกกฎหมายหรือไม่ สามารถวิเคราะห์ได้ฐานอะไร และใครเป็น Data Controller หรือ Data Processor ของกิจกรรมนี้ ดังนั้นหากมีการจดบันทึกข้อมูล RoPA อย่างละเอียด จะยิ่งลดความผิดพลาดในการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล>>> RoPA (Record of Processing Activities) คืออะไร ใครต้องทำ? Click !

7.Cookies Consent 

เป็นเอกสารขอความยินยอมในการเก็บข้อมูลของผู้เข้าใช้งาน ตามข้อกำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ซึ่งในส่วนของแพลตฟอร์มเว็บไซต์ที่มีการเก็บข้อมูลโดยคุกกี้จึงต้องปฏิบัติตามกฎหมายอ่านบทความ เว็บไซต์ประเภทไหนต้องขอ Cookie Consent ตามกฎหมาย PDPA Click !

8.การทำสิทธิ์ของเจ้าของข้อมูล  

กฎหมาย PDPA บังคับใช้เพื่อเป็นการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคล ได้มีการให้สิทธิ และการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยองค์กรจะต้องมีช่องทางที่ลูกค้าสามารถเข้าถึง หรือรับทราบสิทธิของตัวเองได้ง่าย ซึ่งแน่นอนอยู่แล้วว่าทุก ๆ องค์กรจะต้องปฏิบัติตามสิทธิของเจ้าของข้อมูลส่วนบุคคล ดังต่อไปนี้ click !

9.Consent Management 

สิ่งสำคัญที่สุดในการเก็บข้อมูล คือ การที่เราให้ลูกค้าตัดสินใจด้วยตัวเองในการอนุญาตการเก็บข้อมูลต่างๆ โดยไม่ฝ่าฝืนเก็บข้อมูลหากลูกค้าไม่ยินยอมให้เก็บ และเมื่อเก็บข้อมูลมาแล้ว ก็ต้องใช้ข้อมูลเหล่านั้นเพื่อประโยชน์ของลูกค้าเท่านั้น

ทั้งนี้ จาก ขั้นตอนทั้ง 9 ข้อที่เรานำมาแนะนำนี้ แม้จะเป็นเพียงแนวทางกว้างๆ ให้เป็นพื้นฐานสำหรับองค์กรที่ใช้ประโยชน์จาก Big Data สามารถนำไปต่อยอดหรือปรับรูปแบบให้เข้ากับกิจกรรมของธุรกิจ แต่ยังมีรายละเอียดอีกหลายด้านที่องค์กรธุรกิจที่ได้มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องปรับรูปแบบและกระบวนการต่างๆ ให้สอดคล้องกับกฎหมาย ด้วยเหตุนี้ ผู้ประกอบการจึงต้องศึกษาหรือสรรหาบุคลากรที่มีความรู้ ความเข้าใจในกฎหมาย PDPA มาช่วยให้การดำเนินการต่างๆ ได้ถูกต้องด้วย PDPA Starter Kit สินค้าและบริการที่คัดสรรรวบรวมมาเพื่อคุณ ให้สามารถดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA ได้อย่างสะดวก รวดเร็ว ครบถ้วน และถูกต้อง Click ที่นี่ เพื่อเข้าสู่หน้าบริการของเรา