Thai (TH) 
English (UK) 
แม้สถานการณ์โควิด-19 ที่กำลังระบาดและทวีความรุนแรงเพิ่มมากขึ้นเรื่อย ๆ จนทำให้หลายธุรกิจต้องปรับตัวเพื่อโฟกัสทางออกที่จะให้ผ่านพ้นวิกฤตินี้ไปได้ แต่อย่างไรแล้วยังมีอีกหนึ่งเรื่องที่ละเลยไม่ได้ก็คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) ที่ยังคงต้องทำและเร่งทำ เพราะกฎหมายดังกล่าวยังมีผลและจะบังคับใช้ในปี 2565 นี้แล้ว
หากองค์กรคุณยังไม่ได้เริ่มทำ PDPA อย่างจริงจัง ลองมานั่งเช็กลิสต์กันว่ามีอะไรที่องค์กรยังขาด หรือต้องปรับต้องแก้ไข เพื่อให้ถูกกฎหมายมากที่สุด หรือหากยังไม่มั่นใจว่าทำถูกต้องครบถ้วนแล้ว ลองมองหาตัวช่วยอย่าง PDPA Audit เพื่อลดภาระการจัดการ ให้คุณได้โฟกัสธุรกิจต่ออย่างหมดห่วง
6 Checklist เตรียมพร้อมปรับองค์กรให้ถูกกฎหมาย PDPA
1. สร้างความตระหนักการรับรู้และความเข้าใจเกี่ยวกับ PDPA ภายในองค์กร
ในองค์กรที่มีส่วนเกี่ยวข้องกับข้อมูลต่างๆ ของลูกค้า คู่ค้า ผู้มาติดต่อ ลูกจ้าง หรือข้อมูลของบุคคลอื่นๆ ทั้งในรูปแบบเอกสาร และไฟล์ที่เก็บไว้ในที่ต่างๆ ต้องมีการนำประเด็น หรือแนวทางการปฏิบัติเกี่ยวกับเรื่องกฎหมาย PDPA แจ้งให้ทุกคนภายในองค์กรได้ทราบรายละเอียด การปฏิบัติ และบทลงโทษ
เพื่อให้เป็นที่เข้าใจตรงกันและสามารถปฏิบัติตามได้อย่างถูกต้อง
2. ทำความเข้าใจกับบทบาทหน้าที่ผู้เกี่ยวข้องกับข้อมูลตามกฎหมาย
กฎหมาย PDPA มีผู้เกี่ยวข้องกับข้อมูลส่วนบุคคลดังนี้คือ เจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยบุคคลดังกล่าวมีสิทธิ และหน้าที่แตกต่างกัน ดังนี้
• เจ้าของข้อมูลส่วนบุคคล คือบุคคลธรรมดาที่เป็นเจ้าของข้อมูล หรือผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ หรือ ผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ โดยจะมีสิทธิกับข้อมูลส่วนบุคคล ดังนี้
- สิทธิที่จะได้รับการแจ้งให้ทราบถึงการนำข้อมูลส่วนบุคคลไปใช้และเผยแพร่
- สิทธิที่จะสามารถขอเข้าถึง หรือขอให้โอนข้อมูลส่วนบุคคล
- สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงระงับการใช้ข้อมูลส่วนบุคคลของตนเองชั่วคราว
- สิทธิขอให้ลบ หรือทำลาย หรือให้เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้องและเป็นปัจจุบัน
- สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคล
- สิทธิในการขอเพิกถอนความยินยอม
- สิทธิในการร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
• ผู้ควบคุมข้อมูลส่วนบุคคล บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยจะมีหน้าที่ต่างๆ คือ
- ดำเนินการจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ดูแลอยู่
- ดำเนินการเพื่อป้องกันไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
- ดูแลจัดการระบบตรวจสอบให้ลบหรือทำลายข้อมูลส่วนบุคคลเมื่อหมดเวลาเก็บรักษา
- คอยตรวจสอบและแจ้งเหตุหากมีการละเมิดข้อมูลส่วนบุคคลให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง นับตั้งแต่ที่ทราบเหตุ
- ดำเนินการแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล
• ผู้ประมวลผลข้อมูลส่วนบุคคล เป็นบุคคลหรือนิติบุคคลที่รับหน้าที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามที่ผู้ควบคุมข้อมูลส่วนบุคคลสั่งการ ซึ่งมีหน้าที่หลักๆ คือ
- ทำตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ยกเว้นคำสั่งนั้นขัดกฎหมาย PDPA
- จัดหามาตรการรักษาความปลอดภัยของข้อมูลที่เหมาะสม
- จัดทำ ประมวลผล และบันทึกความเคลื่อนไหวเกี่ยวกับข้อมูลส่วนบุคคล
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้ที่ได้รับการแต่งตั้งจากผู้ควบคุมข้อมูลส่วนบุคคล ที่มีความรู้ด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อทำหน้าที่ต่างๆ เช่น
- ให้คำแนะนำที่ถูกต้องตามกฎหมายแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
- ตรวจสอบการดำเนินงานของ ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ที่เกี่ยวข้องกับข้อมูล
- ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
- รักษาความลับข้อมูลส่วนบุคคล
3. สำรวจข้อมูลธุรกิจทุกมิติ
การสำรวจข้อมูลของธุรกิจอย่างรอบด้านนั้นจะทำให้เห็นภาพรวมของการทำงานว่าแท้จริงแล้ว ธุรกิจที่ทำอยู่นั้นมีความเชื่อมโยงเกี่ยวข้อง หรือมีส่วนไหนที่ต้องปฏิบัติตามกฎหมายหรือไม่ เพื่อลดโอกาสการกระทำความผิดโดยไม่รู้ตัว
หากในองค์กรมีงานส่วนใดส่วนหนึ่งที่เกี่ยวข้องกับข้อมูลลูกค้า คู่ค้า บุคคลภายนอก หรือแม้กระทั่งพนักงานภายในองค์กรเอง ให้ดำเนินการพิจารณารายละเอียดข้อกำหนดต่างๆ เกี่ยวกับการใช้ข้อมูลของบุคคลเหล่านั้นให้เป็นไปตามวัตถุประสงค์และถูกต้องตามที่กฎหมายกำหนด และหากมีแนวโน้มที่จะนำข้อมูลนั้น
ไปใช้นอกเหนือจากที่มีการระบุไว้ตั้งแต่แรก จะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนนำไปใช้
4. จัดเตรียมพื้นที่สำหรับเก็บข้อมูลอย่างเป็นระบบและปลอดภัย
เมื่อข้อมูลส่วนบุคคลถูกปกป้องโดยกฎหมาย การจัดเก็บจึงต้องรัดกุมตามไปด้วยไม่ว่าจะเป็นรูปแบบของเอกสาร หรือไฟล์ ซึ่งองค์กรควรมีระบบจัดเก็บและจัดการที่เข้มงวดปลอดภัย รวมถึงการแสดงความโปร่งใสในการจัดเก็บและนำข้อมูลไปใช้ โดยแจ้งเจ้าของข้อมูลทราบด้วย และขณะเดียวกัน
แค่ระบบการจัดเก็บข้อมูลที่ปลอดภัยอย่างเดียวอาจไม่เพียงพอ แต่องค์กรควรมีมาตรการแก้ไขปัญหาและแนวทางการประเมินความเสียหายและรับผิดชอบต่อเจ้าของข้อมูลกรณีที่เกิดการรั่วไหลของข้อมูล
5. จัดเตรียมเอกสารและแบบฟอร์มต่างๆ เกี่ยวกับข้อมูล
องค์กรควรมีเอกสารหรือแบบฟอร์มที่จะใช้แจ้งวัตถุประสงค์ ขอความยินยอมจากเจ้าของข้อมูล และแนวทางดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล เช่น
• เอกสารเกี่ยวกับการกระทำต่างๆ กับข้อมูลซึ่งระบุทั้งการเก็บ การประมวลผล วัตถุประสงค์การนำข้อมูลไปใช้ และมีใครที่เกี่ยวข้องกับข้อมูลนั้นบ้าง
• แบบฟอร์มการขอใช้สิทธิจัดการข้อมูลส่วนบุคคล สำหรับเจ้าของข้อมูลส่วนบุคคล
• ข้อความแสดงการจัดเก็บข้อมูลการเข้าชมเว็บไซต์ หรือขอความยินยอมจัดเก็บ หรืองานใช้คุกกี้ (Cookies)
• แบบฟอร์มสำหรับการแจ้งเตือนเจ้าของข้อมูลกรณีที่มีปัญหาข้อมูลส่วนบุคคลรั่วไหล
• ข้อความแจ้งนโยบายความเป็นส่วนตัว หรือ Privacy Policy ที่ระบุรายละเอียดและเงื่อนไขต่างๆ อย่างชัดเจน
6. หาที่ปรึกษา PDPA Audit
เพื่อเป็นผู้ช่วยในการตรวจสอบการดำเนินการและตรวจทานเอกสารที่เกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อนำข้อมูลต่างๆ มาใช้ในการวิเคราะห์ และประเมินผลการดำเนินงาน ความเสี่ยง และการปรับปรุงแก้ไขให้สอดคล้องตามที่กฎหมายกำหนด
แม้การบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะถูกขยายระยะเวลาออกไปอีก 1 ปี แต่องค์กรก็ไม่ควรปล่อยเวลาให้หมุนไปโดยไม่ได้ทำอะไรเลย ตรงกันข้ามเพื่อการเตรียมพร้อมสู่การดำเนินธุรกิจอย่างถูกต้องตามกฎหมาย PDPA แล้ว ควรดำเนินการอย่างเร่งด่วนเพื่อตั้งรับปรับตัวตามกฎหมายใหม่โดยเฉพาะองค์กรที่มีการเก็บข้อมูลลูกค้า คู่ค้า ผู้มาติดต่อ ลูกจ้าง หรือข้อมูลของบุคคลอื่นๆ ที่ใช้ประกอบการวิเคราะห์เพื่อพัฒนาต่อยอดธุรกิจ
เรียบเรียงโดย : ฝ่ายตรวจสอบเทคโนโลยีสารสนเทศ บริษัท ตรวจสอบภายในธรรมนิติ จำกัด