พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) กำหนดหน้าที่ของนิติบุคคลหรือบุคคลที่จัดเก็บข้อมูลส่วนบุคคลเป็นผู้ควบคุมข้อมูลส่วนบุคคลและ/หรือผู้ประมวลผลข้อมูลส่วนบุคคล ในความเป็นจริงบางหน่วยงานหรือองค์กรขนาดใหญ่จะมีนิติบุคคลหลายหน่วยในองค์กรเช่น มหาวิทยาลัยจะมีวิทยาลัย โรงเรียน สถาบัน ที่อาจเป็นนิติบุคคลในกำกับมหาวิทยาลัยทำให้ วิทยาลัย โรงเรียน สถาบันเป็นผู้ควบคุมข้อมูลส่วนบุคคลแยกจากมหาวิทยาลัย (ต้องพิจารณากฏหมายของมหาวิทยาลัยประกอบ) หรือบริษัทที่มีบริษัทย่อยเป็นบริษัทลูกหรือบริษัทในเครือเช่น สำนักงานใหญ่ โรงงาน ร้านค้าแฟรนไชส์ เหล่านี้เป็นนิติบุคคลต้องเป็นผู้ควบคุมข้อมูลฯ แยกจากกันตาม PDPA แต่ในการทำงานจริงข้อมูลภายในองค์กรจะมีการใช้ร่วมกันอย่างไร้รอยต่อทำให้อาจกระทำผิดตาม PDPA ได้ หากมีการส่งข้อมูลส่วนบุคคลในแต่ละกิจกรรมของแต่ละผู้ควบคุมข้อมูลฯไปยังผู้ประมวลผลฯ หรือผู้ควบคุมข้อมูลฯอื่นๆ เช่น ตัวอย่าง นักศึกษาใหม่สมัครเข้าเรียนที่วิทยาลัยต้องส่งข้อมูลนักศึกษาใหม่ไปที่มหาวิทยาลัยและส่งข้อมูลนักศึกษาใหม่ไปที่สำนักหอสมุด ในสถานะที่ วิทยาลัย, มหาวิทยาลัยเป็นนิติบุคคล ทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล และ สำนักหอสมุดทำหน้าที่เป็นผู้แทนผู้ควบคุมข้อมูลส่วนบุคคลและผู้แทนผู้ประมวลผลข้อมูลส่วนบุคคลการจัดเก็บข้อมูล การใช้งานข้อมูล การประมวลผลข้อมูลส่วนบุคคลจะใช้ฐานกฏหมายแตกต่างกันได้ตามความเหมาะสม ความสะดวกและถูกต้องตามกฏหมาย ของแต่ละหน่วยงาน ดังรูปตัวอย่าง
และบริษัท A ไล่พนักงานออก ต้องส่งข้อมูลพนักงานไปให้สำนักงานใหญ่และ ส่งข้อมูลพนักงานไปให้ฝ่ายบัญชีทราบเพื่อประมวลผล (ในตัวอย่างยังไม่ส่งข้อมูลให้บริษัทในเครือรับทราบ) ในสถานะที่ บริษัท A, สำนักงานใหญ่เป็นนิติบุคคล ทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล และ ฝ่ายบัญชีทำหน้าที่เป็นผู้แทนผู้ควบคุมข้อมูลส่วนบุคคลและผู้แทนผู้ประมวลผลข้อมูลส่วนบุคคลการจัดเก็บข้อมูล การใช้งานข้อมูล การประมวลผลข้อมูลส่วนบุคคลจะใช้ฐานกฏหมายแตกต่างกันตามความเหมาะสม เพื่อความสะดวกและถูกต้องตามกฏหมาย ของแต่ละหน่วยงาน ดังรูปตัวอย่าง
ดังตัวอย่างมหาวิทยาลัย วิทยาลัย และบริษัท บริษัทในเครือหรือหน่วยงานภายในองค์กรต้องทำให้ถูกต้องตาม PDPA จะต้องอธิบายกิจกรรมที่ทำพร้อมระบุฐานของกฏหมายที่ใช้ รวบรวม จัดเก็บ ใช้งานและส่งออกให้สอดคล้องกับความเป็นจริง โดยถ้าหน่วยงานนำ Alltra Enterprise ไปใช้งานทำให้องค์กรขนาดใหญ่สามารถ รวบรวม จัดเก็บ ใช้งาน ส่งออก เปิดเผยข้อมูลส่วนบุคคลตามฐานกฏหมายกำหนดได้ง่ายดังนี้
ตามตัวอย่าง มหาวิทยาลัย หรือบริษัท ที่เป็นองค์กรมีหลายนิติบุคคลในองค์กรสามารถ ใช้ระบบ Alltra สามารถสร้างเอกสารนโยบาย กิจกรรม สัญญา หรือบันทึกข้อตกลงการประมวลผลได้ง่ายจากเทมเพลตที่มีมาให้สะดวกในการนำไปใช้ โดย API หรือส่งข้อมูลเป็นอิเล็กทรอนิกส์ให้ผู้ประมวลผลพร้อมสามารถ Update ได้ง่ายและเผยแพร่ได้ง่าย เก็บประวัติการแก้ไขเอกสารได้ พร้อมระบบยืนยันการรับข้อมูลจาก E-mail Consent ได้
ตามตัวอย่าง มหาวิทยาลัย หรือบริษัทต่างๆ ที่เป็นองค์กรมีหลายนิติบุคคลในองค์กรสามารถ ใช้ระบบ Alltra ช่วยในการจัดเก็บ รวบรวม เผยแพร่ นำออก และเปิดเผยข้อมูลตามเงื่อนไขของกฏหมายกำหนดไว้ในปัจจุบันและอนาคตพร้อมดำเนินการตามนโยบาย และ กิจกรรมต่างๆของมหาวิทยาลัยหรือบริษัทต่างๆ ด้วยเครื่องมือของ Alltra เช่น API ,Script การใช้ Agent ช่วยเหลือทำให้ผู้ใช้งานสามารถดำเนินการเหมือนเดิมเกือบทุกประการถ้าเป็นการใช้งานภายในองค์กรหรือเป็นการประมวลผลโดยทั่วไป แต่จะมีความเข้มข้นเรื่องสิทธิการเข้าถึงข้อมูลส่วนบุคคลหรือตามที่กำหนดจะต้องมีการตรวจสอบโดย DPO ที่สามารถเป็นบุคคลหรือกลุ่มบุคคล ภายในหรือภายนอกก็สามารถทำได้ โดยทั้งหมดใช้ DPO ชุดเดียวกันได้
ตามตัวอย่าง ข้อมูลนิรนามทำการเผยแพร่และการนำข้อมูลออก หากต้องการสร้างให้ข้อมูลเหล่านั้นเป็น Data mark โดยทำเป็นข้อมูลนิรนาม (Anonymous Data) หรือ ข้อมูลแฝง (Pseudonymous data) เผยแพร่พร้อมใส่การป้องกัน (Filter) ป้องกันการถ่ายถาพหน้าจอ รวมถึงกำหนดระยะเวลาการเปิดใช้งานข้อมูลที่เพยแพร่ และข้อมูลที่ส่งออกได้ ตามที่ระบุในนโยบาย กิจกรรม หรือ ข้อตกลงการประมวลผล การส่งออกข้อมูลอาจเป็น API เชื่อมตามระยะเวลาที่กำหนด หรือ E-mail หรือ Download เป็นครั้งๆ
ตามตัวอย่าง ตรวจสอบประวัติการนำข้อมูลส่วนบุคคลออกไปหรือข้อมูลที่เป็นความลับหรือข้อมูลที่มีความเสี่ยงจะถูกบริหารจัดการโดย Alltra โดยกำหนดให้กระทำได้เฉพาะผู้มีสิทธิเข้าถึง วิธีการนำออก พร้อมเก็บประวัติการนำข้อมูลออก พร้อมเข้ารหัสข้อมูลเพื่อใช้เช็คตรวจสอบความถูกต้องได้
ตามตัวอย่าง การที่เจ้าของข้อมูลส่วนบุคคลอาจใช้สิทธิตามกฏหมายในการระงับการประมวลผลข้อมูลของเจ้าของข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องทำตามสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลอาจมีเหตุแห่งการปฏิเสธการปฏิบัติตามคำร้องของเจ้าของข้อมูล สามารถทำได้โดยง่ายด้วย Alltra ระบบการรับเรื่องร้องเรียน
จากตัวอย่างจะเห็นความซับซ้อนของการดำเนินการให้ถูกต้องตาม PDPA แต่ตัวอย่างเป็นเพียงกิจกรรมปรกติเพียง 2 ตัวอย่างแต่การทำงานจริงๆจะมีกิจกรรมจำนวนมากที่จำเป็นต้องนำข้อมูลไปจัดเก็บ รวบรวม นำไปใช้ ส่งออก และเผยแพร่ และทำบ่อยๆจนในทางปฏิบัติจริงไม่สามารถจัดทำเป็นโดยเอกสารบันทึกข้อมูลได้
ซึ่งทั้งหมดถ้าหน่วยงานหรือองค์กรจะต้องลงทุนพัฒนาอบรมบุคคลกร อุปกรณ์ Hardware ระบบรวมถึงพัฒนา Software เพื่อทำแค่ PDPA ก็อาจเป็นการลงทุนที่ได้ประโยชน์น้อยเกินไปแต่ถ้าพิจารณาให้กว้างขึ้น โดยเริ่มต้นปรับแผนการพัฒนาระบบให้ทำตาม PDPA เพื่อต่อไปเป็นการช่วยควบคุมข้อมูลภายในเพราะกิจกรรมทุกกิจกรรมในองค์กรที่ต้องการควบคุมควรมีข้อมูลที่ดี มีความน่าเชื่อถือได้ในการบันทึกอยู่แล้วเพื่อช่วยตรวจสอบภายในหรือทำงาน (กิจกรรม) ต่างๆให้มีประสิทธิภาพมากที่สุดขึ้น เพื่อนำไปสู่การทำธรรมาภิบาลข้อมูลในอนาคต การทำให้ บริษัทหรือองค์กรปฏิบัติตามธรรมาภิบาลเป็นแนวโน้มของโลกสมัยใหม่ที่การดำเนินธุรกิจต้องมีธรรมาภิบาลเช่น บริษัทที่อยู่ในตลาดหลักทรัพย์หรือบริษัทที่กำลังจะเข้าสู่ตลาดทุนต้องพิจารณาเรื่อง ESG (Environmental, Social and Governance) รวมถึงองค์กรที่ต้องทำงานร่วมกับต่างประเทศโอกาสที่มีกฏหมายที่คุ้มครองข้อมูลส่วนบุคคลหรือกฏหมายเกี่ยวกับ Data Governance ต้องพิจารณาไปพร้อมในโอกาสนี้โดยเฉพาะหน่วยงานภาครัฐในประเทศไทยที่ต้องทำตามธรรมาภิบาลข้อมูลภาครัฐ (Data Governance for Government) หรือ พระราชบัญญัติ ข้อมูลข่าวสารของราชการ พ.ศ.2540ก็ควรเริ่มต้นจาก PDPA ไปพร้อมกันด้วย
เรามี Solutions ต่างๆประกอบด้วยทีมงานมากกว่า 70 ชีวิตพร้อมร่วมไปกับหน่วยงานหรือองค์กรต่างๆในการพัฒนาระบบให้ทำตาม PDPA และพัฒนาไปสู่การทำระบบธรรมาภิบาลข้อมูลเพื่อเข้าสู่ตลาดทุนและตลาดโลกหรือ หน่วยงาน Certification ต้องทำตาม GDPR ของยุโรปทางเรามี GDPR ที่ผ่านการอบรมและทดสอบได้รับ Certification เกี่ยวกับเรื่อง Data Protection Regulation (GDPR) Certified Expert Practitioner (CEP) และ Data Protection Officer (DPO ) Certification จากสหภาพยุโรป และผ่านการอบรมและทดสอบเรื่อง PDPA จากคณะนิติศาสตร์จุฬาลงกรณ์มหาวิทยาลัยภายในประเทศไทยพร้อมให้บริการ
ติดต่อขอข้อมูลเกี่ยวกับโปรแกรม Alltra ที่ได้ Sense-Info Tech Co.,Ltd
92/6 หมู่ 4 ซอย 19 ตำบลคลองเกลือ อำเภอปากเกร็ด จังหวัด นนทบุรี 11120
เบอร์โทร : 02-582-827
e-mail : sales@sense-infotech.com
หรือใช้งานระบบเบื้องต้นเกี่ยวกับ PDPA ได้ฟรี ได้ที่ smartpdpa.com