กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บัญญัติให้ ‘ข้อมูลส่วนบุคคล’ ที่หมายถึง ข้อมูลใดก็ตามที่สามารถระบุตัวบุคคลทั้งตรงและทางอ้อมเป็นสิทธิที่ได้รับความคุ้มครอง ซึ่งการเก็บ ใช้หรือเปิดเผยจะต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ในการจัดเก็บ ระยะเวลาในการเก็บ และต้องได้รับความยินยอมของเจ้าของข้อมูล รวมทั้งต้องมีมาตรการในการรักษาข้อมูลที่ปลอดภัยเหมาะสมกับความเสี่ยง ดังนั้นกฎหมายนี้ จะเข้าไปสัมผัสทุกแง่มุมทุกแผนกที่มีการเก็บ และใช้ข้อมูลส่วนบุคคล มันเป็นสิ่งที่สำคัญที่ต้องเริ่มปฎิบัติตาม
สาระ สำคัญจาก พรบ.คุ้มครองข้อมูลส่วนบุคคล
- ปกป้องข้อมูลส่วนบุคคล
- การเก็บข้อมูลส่วนบุคคล ต้องเป็นไปตามที่ พรบ.คุ้มครองข้อมูลส่วนบุคคล กำหนดไว้ในกฏหมาย และการเก็บข้อมูลส่วนบุคคล กับการนำข้อมูลส่วนบุคคลไปใช้ จะต้องได้รับคำยินยอมจากเจ้าของข้อมูล หรือมีการใช้ฐานทางกฎหมาย และการจัดเก็บข้อมูลจะต้องปลอดภัย ได้มาตรฐานไม่ให้ข้อมูลเกิดการรั่วไหล
- ข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมไว้ จะต้องตรวจสอบได้ ข้อมูลเหล่านั้นต้องตรวจสอบได้ว่า ได้มายังไง ได้มาอย่างถูกต้องไหม ตรงตามข้อกำหนดหรือไม่
- เกิดอาชีพใหม่ในไทย DPO หรือ Data Protection Officer) ที่จะมาทำหน้าที่ดูแลและตรวจเช็ค ปกป้องข้อมูล ให้เป็นไปตามกฎหมาย
จากสาระสำคัญเบื้องต้น ทำให้องค์กรส่วนมาก “ผลักภาระ” การรับผิดชอบในการจัดการเรื่อง PDPA ไปให้แผนก IT (Information Technology) เพราะแผนก IT จะมีการจัดการข้อมูลต่างๆ(รวมถึงข้อมูลส่วนบุคคล) ทั่วองค์กรในทางเทคนิคอยู่แล้ว แต่! หากเอาความจริงมากาง มันใช่หน้าที่เพียงฝ่าย IT จริงหรอ ?
IT กุมขมับ ! PDPA ใช่หน้าที่ จริงหรอ !?
การทำตาม PDPA อย่าว่าแต่เป็นหน้าที่แผนกใดแผนกหนึ่งเลย เพราะจริงๆแล้ว PDPA เป็นสิ่งที่หลายแผนกต้องทำ โดยแผนกใดก็ตามที่มีกระบวนการในการประมวลผลข้อมูลส่วนบุคคล (เก็บรวบรวม ใช้ เผยแพร่ข้อมูลฯ) ดังนั้นก็ค่อนข้างตอบคำถามได้อย่างชัดเจนว่า จริงๆแล้ว ไม่ใช่จะโบ้ยงานนี้ไปให้ IT อย่างเดียว แต่ต้องทำกันทุกแผนกต่างหาก
แล้วแผนกไหนบ้างที่มักได้รับผลกระทบเรื่อง PDPA ?
1.แผนกทรัพยากรมนุษย์ (Human resources)
“ข้อมูลพนักงาน เป็นข้อมูลส่วนบุคคล”
กิจกรรมด้าน Human Resource (HR) มีความสุ่มเสี่ยงต่อการละเมิดข้อมูลส่วนบุคคลตามกฎหมาย PDPA สิ่งที่มีแนวโน้มจะทำให้เกิดความยุ่งยาก หรือความเสียหายต่อธุรกิจนั่นก็คือ ‘ข้อมูลบุคคลพนักงาน’ ตลอดจนข้อมูลใน เรซูเม่ (Resume) ซีวี (CV) คลิปวิดีโอแนะนำตัวของผู้สมัครงานที่บริษัทเก็บไว้
2. การจัดซื้อจัดจ้าง (Procurement)
ชื่อบุคคลที่อยู่ในสัญญาจัดซื้อจัดจ้างเป็นข้อมูลส่วนบุคคล Third Party ที่นำข้อมูลส่วนบุคคลมาใช้ในการประมวลผลข้อมูลเป็นไปตามสัญญาว่าข้อมูลได้รับการคุ้มครองไม่แบ่งปันกับผู้อื่น และมีการส่งผ่านเฉพาะข้อมูลที่จำเป็นเท่านั้น
3. การตลาด (Marketing)
ผลที่เกิดขึ้นจากกิจกรรมทางการขายและการตลาด ที่นำมาซึ่งยอดขายสินค้าหรือบริการที่มากมาย เคล็ดลับส่วนใหญ่ก็ล้วนเกิดจากสิ่งที่เรียกว่า ‘Big Data’ ซึ่งตลอดหลายปีที่ผ่านมามีความหมายอย่างมากต่อทุกองค์กร แต่ในทางกลับกัน ดูเหมือนว่ากิจกรรมด้านการขายและการตลาดก็มักจะรุกล้ำเกินเส้นแบ่งของความเป็นส่วนตัวของลูกค้ามากทุกขณะ
4. ฝ่ายขาย และ AE
กิจกรรมของฝ่ายขาย (Sale) และงานบริหารลูกค้า(AE-Account Executive) ซึ่งเป็นแผนกหลักๆ ที่มีการติดต่อและประสานงานกับลูกค้าโดยตรง ด้วยเหตุผลดังกล่าว ทำให้แผนกนี้ต้องมีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้าแต่ละบริษัทไว้เป็นจำนวนมาก
5. ฝ่ายการฝึกอบรม (Training Department)
“ข้อมูลที่เกี่ยวกับการฝึกอบรมที่มีข้อมูลพนักงาน หรือข้อมูลเข้าอบรบก็ถือเป็นข้อมูลส่วนบุคคลเช่นกัน”
พนักงานในทีมต้องรวมข้อมูลเกี่ยวกับสิ่งที่ต้องเกี่ยวกับการใช้งาน และการจัดการกับข้อมูลส่วนบุคคล ซึ่งในแผนกนี้ข้อมูลของพนักงานภายในที่ฝึกอบรม หรือเรียนรู้ Core Knowledge ในองค์กรจะต้องถูกเก็บไว้อย่างถูกต้อง และปลอดภัย
6.ฝ่าย IT (Information Technology)
ฝ่าย IT เป็นฝ่ายที่ส่วนมากจะได้รับผลกระทบ (มาโดยตลอด !) เพราะเนื่องจากเป็นทีมที่ดูแลฐาน Data ของทั้งองค์กรไว้
หากใครจะบอกว่า หน้าที่ที่ต้องทำ PDPA ก็คือฝ่าย IT ตอบได้เลยว่า ‘yes and no’ เพราะถึงแม้ฝ่าย IT จะมีการเก็บรวบรวมข้อมูลส่วนบุคคลเยอะก็จริง แต่หน้าที่การทำ PDPA เป็นสิ่งที่ทุกฝ่ายต้องทำ เราช่วยคุณได้ PDPA Thailand มีสินค้าและบริการที่ปรึกษาด้าน PDPA ที่คัดสรรรวบรวมมาเพื่อคุณ ให้สามารถดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA ได้อย่างสะดวก รวดเร็ว ครบถ้วน และถูกต้อง Click ที่นี่ เพื่อเข้าสู่หน้าบริการของเรา
