ข้อมูลประชาชนในระบบทะเบียนของรัฐ เช่น ระบบทะเบียนราษฎร์ เป็นตัวอย่าง ข้อมูลส่วนบุคคลที่ต้องมีมาตรการคุ้มครองขั้นสูงสุด

แม้หน่วยงานรัฐจะมีอำนาจบางประการ ในการประมวลผลข้อมูลส่วนบุคคล แต่หากละเลยหน้าที่ตามกฎหมาย เช่น ไม่แต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือไม่แจ้งเหตุการละเมิดฯ หน่วยงานนั้นหรือผู้บริหารอาจถูกสอบสวน และถูกลงโทษทางปกครองได้ตามที่กฎหมายกำหนด
PDPA Thailand รวบรวม Checklist 4 ประการที่สำคัญที่ “ภาครัฐต้องรู้” ก่อนจะถูก PDPA ตรวจสอบ

1. หน่วยงานรัฐของท่าน มีการแต่งตั้ง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)” แล้วหรือยัง?:

– ตาม PDPA มาตรา 41 (1) ได้มีการประกาศรายชื่อหน่วยงานรัฐที่จำเป็นต้องแต่งตั้ง DPO ซึ่งแม้ว่าบางหน่วยงานจะไม่มีรายชื่อตามประกาศ* แต่หากมีกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่เข้าข่ายตาม 41 (2) หรือ 41 (3) ก็จำเป็นต้องแต่งตั้ง DPO ด้วย
*ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องลักษณะขององค์กรที่จำเป็นต้องแต่งตั้ง DPO ตามมาตรา 41(1)

2. หน่วยงานรัฐของท่าน มีการจัดทำ “บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ RoPA (Record of Processing Activities)” แล้วหรือยัง?:
– ตาม PDPA มาตรา 39 มีการกำหนดให้หน่วยงานต้องจัดทำ RoPA เพื่อให้ทราบถึง รายละเอียด การเก็บรวบรวมใช้และเปิดเผย ข้อมูลส่วนนบุคคล มีวัตถุประสงค์อย่างไร และ มีมาตรการ ป้องกันอย่างไร

RoPA เป็นสิ่งสะท้อน ความรับผิดชอบของผู้บริหาร ความโปร่งใสขององค์กรที่สามารถตรวจสอบได้ เป็นหนึ่งในเครื่องมือที่ช่วยบริหารจัดการข้อมูลส่วนบุคคล ได้อย่างมีประสิทธิภาพ

3. หน่วยงานรัฐของท่าน มีคู่มือการจัดการ “เหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach)” หรือไม่?:
– การจัดให้มีคู่มือการจัดการ Data Breach เป็นหนึ่งในมาตรการรับมือเมื่อเกิดเหตุการละเมิดฯ ซึ่งมีประโยชน์ในหลายมิติ เช่น การแจ้งเตือน เจ้าของข้อมูลส่วนบุคคลผู้มีส่วนเกี่ยวข้อง, การประเมินความเสี่ยงที่อาจมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล, การลดผลกระทบ รวมถึงการรายงานต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมงนับแต่เหตุ อันเป็นกรอบระยะเวลาที่กฎหมายกำหนด

4. หน่วยงานรัฐของท่าน มีมาตรการรักษาความมั่นคงปลอดภัยที่เพียงพอ ตามมาตรฐานขั้นต่ำที่กฎหมายกำหนด หรือไม่?:
– ในมาตรา 37 ของ PDPA นั้นกำหนดให้องค์กร ซึ่งรวมถึงหน่วยงานรัฐ ต้องมีมาตรการด้านความปลอดภัยทั้งเชิงองค์กร เชิงเทคนิคและเชิงกายภาพ เพื่อให้ข้อมูลเหล่านี้ ได้รับการคุ้มครองตลอดวงจรชีวิตของการประมวลผล (Data Life Cycle)

Checklist เหล่านี้เป็นเพียงหนึ่งในสิ่งที่กฎหมาย PDPA กำหนดให้หน่วยงานรัฐ “ต้องทำ” เพื่อให้กระบวนการด้าน PDPA เป็นไปอย่างสอดคล้อง ถูกต้องปลอดภัยตามที่กฎหมายกำหนด ดังนั้นหน่วยงานของรัฐจึงจำเป็นต้องมีผู้เชี่ยวชาญด้าน PDPA อย่างน้อย 1 คน

เรียนรู้ทุกความเข้าใจ หลักการ, ขอบเขตการบังคับใช้, กฎหมายลำดับรองที่สำคัญ พร้อมการตีความ PDPA จากประสบการณ์การลงมือทำจริง “ฉบับหน่วยงานรัฐ”

“รู้ลึก รู้จริงเรื่อง PDPA” คลิกเลย >> https://pdpathailand.com/courses-pdpa-in…/public-sector/