พร้อมรับมือ PDPA สรุป 10 สิ่งที่องค์กรต้องเตรียมพร้อม

หลายคนคงคุ้นหูกับคำว่า PDPA มาบ้าง ว่าเป็นกฎหมายที่เกี่ยวกับการคุ้มครองส่วนบุคคล สำหรับผู้ประกอบการหรือองค์กรที่มีการจัดเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคล เพื่อใช้ดำเนินงานในองค์กรหรือเพื่อการประกอบธุรกิจ ก็จำเป็นต้องปฏิบัติตามกฎหมาย PDPA ทั้งสิ้น เพื่อไม่ให้เกิดการละเมิด หรือนำข้อมูลส่วนบุคคลของลูกค้าหรือพนักงานในองค์กรไปใช้ในทางที่ไม่ถูกต้อง ซึ่งจะมีโทษทางกฎหมายตามมา รวมถึงความน่าเชื่อถือขององค์กรที่เสียไปอีกด้วย

สิ่งที่ธุรกิจต้องเตรียมความพร้อมก่อนที่กฎหมาย PDPA จะบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 ไม่ได้มีเพียงเรื่องการขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากเจ้าของข้อมูลเท่านั้น (Consent) แต่การจัดทำ Consent Management เพียงอย่างเดียว ยังไม่ถือว่าครอบคลุม ยังมีการจัดการข้อมูลส่วนบุคคล (Personal Data) ซึ่งรวมถึงการเตรียมความพร้อมด้านระบบที่รองรับและเอกสารทางกฎหมาย การรักษาความปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐาน รวมทั้งการสร้าง Awareness ด้าน PDPA ให้กับพนักงานในองค์กร มาดูกันว่านอกจากการทำระบบขอ Consent ตาม PDPA แล้ว องค์กรยังมีอะไรต้องเตรียมอะไรอีกบ้าง

1. Data Inventory Mapping

สิ่งแรกที่องค์กรควรดำเนินการ คือ การจัดทำ Data Inventory Mapping ซึ่งเป็นการตรวจสอบการบริหารและจัดการข้อมูลส่วนบุคคลที่มีอยู่ในปัจจุบันขององค์กร เพื่อแยกแยะว่าข้อมูลใดเป็นข้อมูลส่วนบุคคลบ้าง ข้อมูลดังกล่าวถูกเก็บไว้ที่ใดบ้าง ข้อมูลส่วนบุคคลนั้นมีความละเอียดอ่อนและความเสี่ยงมากเพียงใด ทำให้ทราบถึงตำแหน่งที่จัดเก็บข้อมูลส่วนบุคคล รวมถึงการหาวิธีจัดการกับความเสี่ยงดังกล่าว และช่วยให้องค์กรสามารถนำข้อมูลไปใช้งานได้ง่ายขึ้น เช่น การทำ Data Flow Diagram (DFD) และการทำเอกสารเพื่อบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing: ROP)

2. DPO Appointment

กฎหมาย PDPA กำหนดให้องค์กรต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้เชี่ยวชาญกฎหมาย PDPA มีหน้าที่ให้คำปรึกษากับองค์กร และตรวจสอบว่าองค์กรได้ปฏิบัติให้เป็นไปตามที่ PDPA พร้อมทั้งประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหา

3. Training / Awareness

การสอน Awareness ให้ความรู้ด้าน PDPA กับพนักงาน จะทำให้พนักงานเข้าใจภาพรวมของกฎหมาย PDPA ที่เกี่ยวข้อง ได้รู้ปัญหาและแนวปฏิบัติจากผู้เชี่ยวชาญ และทำให้รู้หน้าที่ของตนเองต่อกฎหมาย PDPA โดยเฉพาะด้านความปลอดภัยทางไซเบอร์เพื่อลดข้อผิดพลาดจากการทำงาน ซึ่งองค์กรสามารถใช้การอบรม สัมมนา หรืออบรมรูปแบบ e-Learning เพื่อให้รู้ถึงความสำคัญของความปลอดภัยของข้อมูลส่วนบุคคล รวมถึงปฏิบัติตาม PDPA ได้อย่างถูกต้อง

4. Data Impact Assessment

การประเมินความเสี่ยงเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล เป็นมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล ที่องค์กรต้องประเมินความเสี่ยงในการนำข้อมูลส่วนบุคคลมาใช้งาน โดยพิจารณาว่าความเสี่ยงนั้นมีมากน้อยเพียงใด และกระทบกับการทำธุรกิจมากขนาดไหน

5. Privacy Notice

การจัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) เป็นการจัดทำเอกสารเพื่อใช้ในการอธิบายเกี่ยวกับรายละเอียดต่างๆ ในการจัดเก็บข้อมูลส่วนบุคคล โดยมีเนื้อหาสำคัญที่เจ้าของข้อมูลส่วนบุคคลต้องรับทราบ มาตรการในการปกป้องข้อมูลส่วนบุคคลของเจ้าของข้อมูล นอกจากนี้ หากมีการเปลี่ยนแปลงการจัดเก็บข้อมูลส่วนบุคคล องค์กรก็สามารถแจ้งผ่าน Privacy Notice ได้

6. Consent Management

องค์กรต้องเตรียมการเพื่อขอรับความยินยอม (Consent) จากเจ้าของข้อมูล โดยจัดให้มีกระบวนการบริหารความยินยอมด้วยการเตรียมเอกสาร แบบฟอร์มต่างๆ ช่องทางหรือระบบที่รองรับเพื่อให้เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม โดยระบุว่าต้องการจัดเก็บข้อมูลอะไร และมีวัตถุประสงค์ในการจัดเก็บข้อมูลอย่างไร

7. Security Measure

มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลนั้น ถือเป็นสิ่งที่องค์กรต้องมีเพื่อคุ้มครองข้อมูลส่วนบุคคลให้ปลอดภัย โดยจะต้องมีการรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) เป็นมาตรฐานขั้นต่ำ โดยกำหนดแนวทางด้านมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่รัดกุม ตรงตามมาตรฐานสากล ไม่ว่าจะเป็นด้านการบริหารจัดการ (Administrative Safeguard) ด้านเทคนิค (Technical Safeguard) และทางกายภาพ (Physical) รวมถึงการเข้าถึงหรือควบคุมการใช้งาน (access control) การกำหนดสิทธิการเข้าถึงข้อมูลส่วนบุคคล รวมถึงอุปกรณ์ที่ใช้ในการจัดเก็บข้อมูล ซึ่งสอดคล้องกับแนวทางในการป้องกันการรั่วไหลของข้อมูล

8. Data Subject Rights Management

การบริหารคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เป็นสิ่งที่องค์กรต้องจัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิตามกฎหมาย PDPA และจัดการข้อมูลให้เป็นปัจจุบันโดยสามารถเรียกใช้ได้อย่างสะดวก เช่น การขอลบ แก้ไข โอน ขอสำเนา ถอนความยินยอม เป็นต้น ซึ่งตามกฎหมาย PDPA ได้กำหนดระยะให้องค์กรทำตามคำร้องขอของเจ้าของข้อมูลให้แล้วเสร็จภายใน 30 วัน

9. Data Processing Agreement

Data Processing Agreement (DPA) หรือสัญญาเกี่ยวกับการใช้หรือประมวลผลข้อมูลส่วนบุคคล เป็นเอกสารที่มีผลผูกพันทางกฎหมายซึ่งต้องทำขึ้นระหว่างบริษัทผู้ว่าจ้าง กับผู้ให้บริการภายนอกหรือบุคคลอื่น โดยอาจเป็นผู้ให้บริการด้านบัญชี การตลาด ที่ปรึกษากฎหมาย หรือผู้ดูแลระบบ IT ที่ดำเนินการเพื่อวัตถุประสงค์ทางธุรกิจของบริษัทผู้ว่าจ้าง โดยกำหนดขอบเขตและวัตถุประสงค์ของการประมวลผล และความสัมพันธ์ของคู่สัญญา DPA จึงมีความจำเป็นต่อบริษัทผู้ว่าจ้างและบริษัทภายนอกซึ่งเป็นบุคคลที่มีหน้าที่ตามกฎหมาย PDPA เนื่องจาก บริษัททั้งคู่ต้องมีการประมวลผลหรือแลกเปลี่ยนข้อมูลส่วนบุคคลระหว่างกัน ดังนั้น การจัดทำ Data Processing Agreement (DPA) ซึ่งเป็นเอกสารที่มีผลผูกพันทางกฎหมาย จะช่วยให้ทั้งสองฝ่ายเข้าใจหน้าที่ ความรับผิดชอบและความรับผิด และยังเป็นการป้องกันการที่คู่สัญญาจะนำข้อมูลส่วนบุคคลไปใช้ในทางที่ไม่ถูกต้องหรือเกินอำนาจได้

10. Data Breach Management Plan

Data Breach Management Plan คือการแจ้งเตือนและมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคล องค์กรต้องมีแนวทางในการจัดเก็บข้อมูลให้มีความปลอดภัย ไม่ให้เกิดการรั่วไหลของข้อมูลไปยังบุคคลอื่น โดยต้องมีกระบวนการการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และแจ้งให้เจ้าของข้อมูลทราบเมื่อเกิดการรั่วไหล อีกทั้งต้องมีมาตรการในการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย

สิ่งสำคัญที่ธุรกิจจะต้องเตรียมพร้อมเพื่อปฏิบัติตาม PDPA คือการศึกษากฎหมาย PDPA ให้เข้าใจและปฏิบัติตามแนวทางให้ถูกต้อง แต่คงจะดีกว่า ถ้ามีผู้เชี่ยวชาญทางด้านธุรกิจและนักกฎหมายมากประสบการณ์ด้วยบริการจาก PDPA Core ที่ให้คำแนะนำอย่างใกล้ชิดในการจัดทำเอกสารให้สอดคล้องตามกฎหมาย พร้อมกับจัดทำมาตรการรักษาความปลอดภัยของข้อมูลตาม PDPA นอกจากนี้ PDPA Core ยังมีเทคโนโลยี Software ให้องค์กรเลือกใช้อย่างเหมาะสม ครบวงจรด้าน PDPA ส่งผลให้ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ซึ่งจะสร้างความเชื่อมั่นต่อองค์กรให้กับผู้ใช้งานได้เป็นอย่างดี