Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

9 ขั้นตอน ทำ PDPA ยังไงให้ผ่านเกณฑ์ ( ฉบับง่าย !)

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

9 ขั้นตอน ทำ PDPA ยังไงให้ผ่านเกณฑ์ ( ฉบับง่าย !)

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ตกลงต้องทำอย่างไรกันแน่ !  กฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน หรือที่เราเรียกกันติดปากว่ากฎหมาย PDPA (Personal Data Protection Act: PDPA) คือกฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน  โดยกฎหมายนี้ได้มีผลบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 ที่ผ่านมา โดยกฎหมายนี้จะให้ความคุ้มครองข้อมูลส่วนบุคคล ที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล  เป็นต้น อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้

 

PDPA สำคัญอย่างไรกับเรา ?

ความสำคัญของ PDPA คือการทำให้สิทธิแก่เจ้าของข้อมูลในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูลฯ ดังนั้นเมื่อเจ้าของข้อมูลมีสิทธิที่เพิ่มขึ้น อาจทำให้องค์กรและบริษัทต่าง ๆ จำเป็นต้องปรับเปลี่ยนกระบวนการเก็บรวบรวม และนำข้อมูลฯของเจ้าของข้อมูลที่เกี่ยวข้องให้เป็นตามหลักปฏิบัติของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 

โดยหากคุณเป็นบุคคลที่ที่ดำเนินการเรื่อง PDPA วันนี้ PDPA Thailand จะเสนอแนวทางการดำเนินงานเพื่อให้องค์กรของคุณผ่านเกณฑ์ PDPA แบบง่ายๆ กันครับ

ง่ายๆ กับ 9 ขั้นตอน ทำ PDPA ยังไงให้ผ่านเกณฑ์

1.การจัดตั้งคณะทำงาน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)  

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer เป็นตำแหน่งงานใหม่ที่เกิดขึ้นมาพร้อมกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเป็น “ผู้รับผิดชอบ” ให้แน่ใจว่าการประมวลผลข้อมูลขององค์กรดำเนินการอย่างสอดคล้องกับกฎหมายและราบรื่นมากที่สุด และมีหน้าที่ (ตาม PDPA มาตรา 42 และเอกสารประกอบอื่น) อ่านบทความเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO เพิ่มเติม ได้ที่  Click !

2.Privacy Policy หรือ นโยบายการคุ้มครองข้อมูลส่วนบุคคล

Privacy Policy คือการกำหนดข้อตกลง หรือคำแถลงการเกี่ยวกับแนวทางการจัดเก็บรวบรวม ใช้ หรือเผยแพร่งานข้อมูลส่วนบุคคลคนภายในองค์กร หรือหน่วยงาน

3.Privacy Notice หรือ การสร้างประกาศชี้แจงการใช้ข้อมูลส่วนบุคคล

Privacy Notice คือคำประกาศถึงเจ้าของข้อมูลที่องค์กรจำมีการดำเนินการการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล ซึ่งเราจะเห็นกันคุ้นตาในชื่อ นโยบายความเป็นส่วนตัว หรือ นโยบายการประมวลผลข้อมูลส่วนบุคคล >>>  หากยังไม่รู้ว่าเขียนอย่างไรให้ถูกหลัก PDPA สามารถอ่าน วิธีการเขียน Privacy Notice และ Privacy Policy ได้ที่นี่ Click !

4.ข้อตกลงการประมวลข้อมูล หรือ Data Processing Agreement  (DPA)

โดยปกติแล้ว  DPA จะมีการกำหนดขอบเขต และวัตถุประสงค์ของข้อตกลงการประมวลผลข้อมูลส่วนบุคคล รายละเอียดของข้อมูลที่จะนำไปประมวลผล วิธีป้องกันการเสียหายของข้อมูล และกระบวนการระหว่างผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล โดยมีการกำหนดดังนี้

  • ผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุข้อมูลที่แลกเปลี่ยนอย่างชัดเจน ว่ามีการส่งต่อข้อมูลส่วนบุคคลอะไรบ้างให้กับองค์กรภายนอก และระบุฝ่ายที่รับผิดชอบในการตรวจสอบว่าข้อมูลเป็นไปตามแนวปฏิบัติของกฎหมาย PDPA หรือไม่
  • วัตถุประสงค์และขอบเขตในการประมวลผลข้อมูล 
  • กำหนดการของระยะเวลาที่ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ทำสัญญาว่าจะมีการเก็บรักษาข้อมูลเพื่อทำการตลาด ระยะเวลา 3 ปี หากเกินระยะเวลากำหนด ผู้ควบคุ้มข้อมูลจะต้องลบและทำลายข้อมูลทิ้ง
  • ข้อตกลงเรื่องการกำหนดมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กฎหมายกําหนด 
  • ผู้ประมวลผลข้อมูลฯจะไม่นําข้อมูลที่ได้รับจากบริษัทไปใช้ในวัตถุประสงค์อื่นนอกเหนือจากที่ระบุในข้อตกลงฉบับนี้ 
  • หากการกระทําใดของผู้ประมวลผลข้อมูลทําให้เกิดข้อพิพาท หรือความเสียหายแก่บริษัท ผู้ประมวลผลข้อมูลต้อง รับผิดชอบความเสียหายที่เกิดขึ้นทั้งหมด

 

5.จดหมายแจ้งการละเมิดข้อมูลส่วนบุคคล 

เป็นฟอร์มที่องค์กรณ์ต้องเตรียมไว้เผื่อมีกรณีการละเมิดข้อมูลส่วนบุคคลขึ้น โดยต้องมีรายละเอียดดังนี้

  • รายละเอียดของเหตุ ละเมิดข้อมูลส่วนบุคคล
  • วันเวลาที่ทราบเหตุ
  • ผู้ที่รายงานเหตุให้ทราบ (หากมี)
  • รายการข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
  • รูปแบบผลกระทบ ที่เกิดขึ้นกับข้อมูลส่วนบุคคล 
  • จำนวนเจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
  • มาตรการตอบสนองเพื่อหยุดยั้งเหตุละเมิดข้อมูล
  • การแจ้งเหตุต่อเจ้าของข้อมูลส่วนบุคคล
  • ติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล 

 

6.บันทึกการประมวลผลข้อมูลส่วนบุคคล (RoPA)

RoPA เป็นการจดบันทึกที่บอกว่าแผนกไหนในองค์กรทำอะไรบ้าง ทำด้วยวัตถุประสงค์อะไร และอยู่บนฐานกฎหมายข้อไหนที่อนุญาตให้ทำ จุดประสงค์หลักในการจดบันทึกคือ หากเกิดการละเมิดข้อมูลส่วนบุคคลขึ้นองค์กรจะสามารถตรวจสอบกระบวนการจัดการได้อย่างรวดเร็วตามกฎหมาย PDPA นอกจากนี้การบันทึก RoPA เราสามารถใช้ RoPA เป็นเสมือน Checklist ไว้ให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)” ได้เขียน และทบทวนกิจกรรมที่ทำอยู่นั้นมีการใช้ข้อมูลส่วนบุคคลหรือไม่ ที่มาขอข้อมูลถูกกฎหมายหรือไม่ สามารถวิเคราะห์ได้ฐานอะไร และใครเป็น Data Controller หรือ Data Processor ของกิจกรรมนี้ ดังนั้นหากมีการจดบันทึกข้อมูล RoPA อย่างละเอียด จะยิ่งลดความผิดพลาดในการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล>>> RoPA (Record of Processing Activities) คืออะไร ใครต้องทำ? Click !

 

7.Cookies Consent 

เป็นเอกสารขอความยินยอมในการเก็บข้อมูลของผู้เข้าใช้งาน ตามข้อกำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ซึ่งในส่วนของแพลตฟอร์มเว็บไซต์ที่มีการเก็บข้อมูลโดยคุกกี้จึงต้องปฏิบัติตามกฎหมายอ่านบทความ เว็บไซต์ประเภทไหนต้องขอ Cookie Consent ตามกฎหมาย PDPA Click !

8.การทำสิทธิ์ของเจ้าของข้อมูล  

กฎหมาย PDPA บังคับใช้เพื่อเป็นการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคล ได้มีการให้สิทธิ และการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยองค์กรจะต้องมีช่องทางที่ลูกค้าสามารถเข้าถึง หรือรับทราบสิทธิของตัวเองได้ง่าย ซึ่งแน่นอนอยู่แล้วว่าทุก ๆ องค์กรจะต้องปฏิบัติตามสิทธิของเจ้าของข้อมูลส่วนบุคคล ดังต่อไปนี้ click !

9.Consent Management 

สิ่งสำคัญที่สุดในการเก็บข้อมูล คือ การที่เราให้ลูกค้าตัดสินใจด้วยตัวเองในการอนุญาตการเก็บข้อมูลต่างๆ โดยไม่ฝ่าฝืนเก็บข้อมูลหากลูกค้าไม่ยินยอมให้เก็บ และเมื่อเก็บข้อมูลมาแล้ว ก็ต้องใช้ข้อมูลเหล่านั้นเพื่อประโยชน์ของลูกค้าเท่านั้น

 

ทั้งนี้ จาก ขั้นตอนทั้ง 9 ข้อที่เรานำมาแนะนำนี้ แม้จะเป็นเพียงแนวทางกว้างๆ ให้เป็นพื้นฐานสำหรับองค์กรที่ใช้ประโยชน์จาก Big Data สามารถนำไปต่อยอดหรือปรับรูปแบบให้เข้ากับกิจกรรมของธุรกิจ แต่ยังมีรายละเอียดอีกหลายด้านที่องค์กรธุรกิจที่ได้มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องปรับรูปแบบและกระบวนการต่างๆ ให้สอดคล้องกับกฎหมาย ด้วยเหตุนี้ ผู้ประกอบการจึงต้องศึกษาหรือสรรหาบุคลากรที่มีความรู้ ความเข้าใจในกฎหมาย PDPA มาช่วยให้การดำเนินการต่างๆ ได้ถูกต้องด้วย PDPA Starter Kit สินค้าและบริการที่คัดสรรรวบรวมมาเพื่อคุณ ให้สามารถดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA ได้อย่างสะดวก รวดเร็ว ครบถ้วน และถูกต้อง Click ที่นี่ เพื่อเข้าสู่หน้าบริการของเรา 

Share :

บทความที่เกี่ยวข้อง

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมี
Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ