How to เตรียมความพร้อมรับกฎหมาย PDPA ถึงเวลาที่ธุรกิจต้องตื่นตัว

กฎหมาย PDPA (Personal Data Protection Act) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเริ่มบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 นี้ สำหรับ PDPA เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้

ธุรกิจอะไรบ้างที่ต้องปฏิบัติตามกฎหมาย PDPA

จะเห็นได้ว่าองค์กรที่มีการจัดเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคล เพื่อใช้ประกอบธุรกิจ ไม่ว่าจะเป็นข้อมูลส่วนบุคคลของลูกค้า ข้อมูลส่วนบุคคลของพนักงานในองค์กร ข้อมูลส่วนบุคคลของคู่ค้า (Vendor) เรียกได้ว่าแทบจะทุกธุรกิจที่มีข้อมูลส่วนบุคคลเหล่านี้อยู่ในครอบครอง ไม่ว่าจะเป็นธุรกิจขนาดเล็กหรือขนาดใหญ่ จำเป็นต้องปฏิบัติตาม PDPA ทั้งสิ้น

PDPA Compliance Guideline คืออะไร

PDPA Compliance Guideline เป็นขั้นตอนการเตรียมตัวสำหรับองค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคล เนื่องจากกฎหมาย PDPA กำหนดให้การดำเนินงานขององค์กรต้องสอดคล้องกับ PDPA องค์กรจึงจำเป็นต้องเตรียมนโยบาย จัดทำเอกสารทางกฎหมาย วางมาตรการความปลอดภัยเพื่อคุ้มครองข้อมูลส่วนบุคคลทั้งของลูกค้าและพนักงาน รวมทั้งสร้างความรับรู้และความเข้าใจเรื่อง PDPA ให้กับบุคลากรในองค์กร Guideline นี้จึงถือว่าเป็นตัวช่วยที่เตรียมความพร้อมให้กับองค์กรก่อนที่กฎหมาย PDPA บังคับใช้เต็มรูปแบบในปีหน้า

ทำไมถึงต้องมี PDPA Compliance Guideline

การปฏิบัติตาม PDPA มีรายละเอียดตามกฎหมายปลีกย่อยมากมาย นอกจากนี้ยังมีวิธีปฏิบัติจากผู้เชี่ยวชาญ PDPA หากองค์กรที่ไม่มีความรู้ความเข้าใจอาจต้องใช้เวลาเตรียมการมากกว่า 2-3 เดือนขึ้นไป ดังนั้น Guideline จึงมีข้อดีและประโยชน์ต่อองค์กรที่ต้องการจัดทำ PDPA หลายด้าน เช่น

• สะดวก มีขั้นตอนการเตรียมการเพื่อจัดทำตาม PDPA อย่างชัดเจน
• จัดทำ PDPA ได้รวดเร็วมากขึ้น
• เกิดความปลอดภัยต่อข้อมูลส่วนบุคคลที่องค์กรดูแล
• ลดความเสี่ยงการได้รับโทษทางกฎหมาย
• เพิ่มความน่าเชื่อถือให้กับองค์กร
• เริ่มเตรียมความพร้อมก่อน จึงได้เปรียบกว่าองค์กรอื่นที่เริ่มช้ากว่า

สรุปขั้นตอนสำหรับองค์กรที่ต้องการทำ PDPA Compliance Guideline

กฎหมาย PDPA กำหนดว่าเมื่อองค์กรได้ข้อมูลส่วนบุคคลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย โดยขั้นตอนสำคัญที่องค์กรต้องมีเพื่อเตรียมความพร้อมตาม PDPA มีดังนี้

1. ตรวจสอบว่าองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลอะไรบ้าง
2. จัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity: ROPA) ซึ่งเป็นเอกสารสำคัญสำหรับการใช้หรือประมวลผลข้อมูลส่วนบุคคลเพื่อให้เกิดความโปร่งใส โดยใช้บันทึกรายละเอียดการจัดเก็บข้อมูล ว่ามีวัตถุประสงค์เพื่ออะไร และมีใครที่เกี่ยวข้องบ้าง
3. จัดทำเอกสารทางกฎหมายเพื่อลดความเสี่ยงในการเกิดข้อพิพาทจากการไม่ปฏิบัติให้เป็นไปตาม PDPA เช่น การจัดทำ Privacy Policy หรือการแจ้งขอ Consent ผ่าน Privacy Notice เป็นต้น
4. บริหารจัดการข้อมูลภายในองค์กร โดยวางระบบจัดการและขั้นตอนการใช้ข้อมูลส่วนบุคคลภายในองค์กร
5. สร้างความตระหนักและความรู้ให้บุคลากรภายในองค์กร
6. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer)

องค์กรที่เตรียมพร้อมเพื่อปฏิบัติตามกฎหมาย PDPA แต่เนิ่นๆ จะทำให้ได้เปรียบคู่แข่ง สิ่งที่เป็นปัจจัยสำคัญคือข้อกฎหมายลำดับรองและแนวปฏิบัติที่ปรับเปลี่ยนตลอดเวลาและอาจมีการประกาศใช้เพิ่มเติมในอนาคต ซึ่งอาจทำให้ธุรกิจที่ไม่มีทีมกฎหมายหรือความเชี่ยวชาญเฉพาะด้านต้องเสียทรัพยากรในการศึกษา PDPA เพิ่มเติม รวมถึง อาจเกิดผลกระทบต่อแนวทางการจัดการขององค์กร

ดังนั้น เพื่อลดความเสี่ยงที่องค์กรอาจไม่ได้ปฏิบัติตาม PDPA ให้สอดคล้องซึ่งจะมีโทษความรับผิดตาม PDPA ตามมา ทางเลือกที่น่าสนใจสำหรับองค์กรที่ต้องการเตรียมความพร้อมเพื่อปฏิบัติตาม PDPA คือการเลือกใช้บริการจัดทำ PDPA ครบวงจร อย่างบริการจาก PDPA Core ซึ่งมีผู้เชี่ยวชาญเฉพาะด้านกฎหมายมากประสบการณ์ที่จะให้คำแนะนำและจัดทำเอกสารกฎหมายที่จำเป็นทั้งหมดเพื่อให้การดำเนินธุรกิจขององค์กรสอดคล้องตามข้อกำหนดของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

คลิกที่นี่ เพื่อดาวน์โหลด PDPA Compliance Guideline แนวปฏิบัติเบื้องต้นสำหรับดำเนินการ ให้องค์กรสอดคล้อง PDPA