5 ข้อ Checklist PDPA องค์กรต้องทำอะไรอย่างไรบ้างในการบังคับใช้ PDPA 1 มิ.ย. 65

แม้จะเหลือเวลาอีกไม่นานก่อนการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ในวันที่ 1 มิถุนายน 2565 แต่องค์กรก็สามารถเตรียมตัวให้เป็นไปตามข้อกำหนดให้ทันได้ ในบทความนี้ เราได้สรุปแนวทางและขั้นตอนการปฏิบัติสำหรับองค์กรที่คุณกำพล ศรธนะรัตน์ – Data Protection Officer (DPO) และที่ปรึกษาด้าน Digital Transformation แห่งก.ล.ต. และประธานชมรม DPO ได้แนะนำไว้มาให้ผู้อ่านได้ทราบและนำไปดำเนินการในองค์กรได้ทันที 

เปิด Checklist สิ่งที่องค์กรต้องทำ

จากการแนะนำของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม สิ่งที่องค์กรต้องเตรียมความพร้อมตามข้อกำหนดของกฎหมาย PDPA นั้นมีด้วยกันทั้งหมด 5 หัวข้อด้วยกัน โดยหลักการในแต่ละข้อมีสาระสำคัญดังนี้

  1. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ซึ่งสามารถเป็นพนักงานภายในหรือภายนอกองค์กรที่ Outsource มาก็ได้ มีหน้าที่ในการดูแลให้องค์กรมีการคุ้มครองและรักษาควมปลอดภัยของข้อมูลตามกฎหมาย และเป็นผู้ประสานงานกับเจ้าของข้อมูลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ส.ค.ส.) ซึ่งเป็นหน่วยงานกำกับดูแล
  2. จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ที่ระบุถึงวัตถุประสงค์ในการจัดเก็บข้อมูล การนำไปใช้ และการส่งต่อข้อมูลให้กับหน่วยงานอื่นๆ 
  3. จัดทำ Record of Processing Activities (ROPA) ซึ่งเป็นบันทึกการใช้และประมวลผลข้อมูลทั้งหมดขององค์กรที่สามารถตรวจสอบย้อนหลังได้
  4. จัดทำเอกสารขอความยินยอมในกรณีที่มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคล (Consent Form) จากเจ้าของข้อมูล ซึ่งเอกสารนี้จะแตกต่างกันออกไปตามประเภทของธุรกิจและการนำไปใช้ 
  5. จัดทำข้อตกลงการประมวลผล (Data Processing Agreement) ในกรณีที่มีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคลภายนอกไม่ว่าจะเป็นผู้ที่ได้รับจ้างให้ประมวลผลข้อมูลหรือคู่ค้าที่จะนำข้อมูลไปใช้ 

ทั้ง 5 ข้อนี้เป็นข้อกำหนดในกฎหมายมาตรา 41, 23, 39, 19 และ 41 ซึ่งเป็นสิ่งที่องค์กรจะต้องเร่งทำก่อนเพื่อให้ทันกำหนดการบังคับใช้ที่จะถึง และนอกเหนือไปจากนี้แล้วกระทรวง DE ยังได้แนะนำ Best Practices อีก 6 ข้อให้ทำควบคู่กันไปด้วย ได้แก่

  1. จัดตั้งคณะทำงาน PDPA ภายในหน่วยงาน ซึ่งประกอบไปด้วยบุคลากรจากฝ่ายไอที ฝ่ายธุรกิจ และฝ่ายกฎหมายเพื่อทำความเข้าใจในบริบทและออกแบบแนวทางการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลที่เหมาะกับองค์กร 
  2. สำรวจข้อมูลภายในหน่วยงานและจัดทำผังวงจรชีวิตข้อมูลส่วนบุคคล (Data Inventory) เพื่อช่วยให้องค์กรเห็นภาพ ตรวจสอบช่องโหว่และนำไปใช้วางแผนอื่นๆได้ง่าย
  3. จัดทำนโยบายและแนวปฏิบัติด้านข้อมูลให้เข้าใจร่วมกันทั้งองค์กร ช่วยลดข้อผิดพลาดและทำให้ทุกฝ่ายสามารถทำงานไปในทิศทางเดียวกันได้
  4. จัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคลในกรณีที่มีการแลกเปลี่ยนและแบ่งปันข้อมูลระหว่างองค์กรเพื่อเป็นแนวทางไว้อ้างอิงและป้องกันองค์กรจากความเสี่ยง 
  5. สร้างความตระหนักรู้และฝึกอบรมเกี่ยวกับข้อมูลและความเป็นส่วนตัวให้กับพนักงานทุกคนในองค์กร รวมไปถึงให้ความรู้กับลูกค้าผู้ใช้บริการ
  6. กำกับดูแลและตรวจสอบการรักษาความปลอดภัยและขั้นตอนเกี่ยวกับข้อมูลต่างๆอย่างสม่ำเสมอ

หากองค์กรใดสามารถปฏิบัติตามหลักการเหล่านี้ได้ทั้งหมดก็นับว่าพร้อมแล้วสำหรับการบังคับใช้กฎหมายในมาตราที่ถูกเลื่อนการบังคับใช้มาถึง 2 ปีเต็ม

7 ขั้นตอนนำไปสู่การปฏิบัติตาม PDPA อย่างมีประสิทธิภาพ

เมื่อได้ทราบถึงหลักการและสิ่งที่ต้องทำแล้ว คุณกำพลได้แนะนำขั้นตอนอีก 7 ข้อที่องค์กรสามารถนำไปเริ่มลงมือจริงที่จะช่วยให้องค์กรมี Compliance กับ PDPA อย่างสมบูรณ์แบบ 

  1. จัดทำ Data Flow เพื่อดูว่ามีการใช้ข้อมูลในส่วนใด จัดเก็บที่ใด และใช้งานอย่างไรบ้าง เพื่อเป็นแผนผังสำหรับการวางแผนด้านข้อมูลทั้งหมด
  2. กำหนดหน้าที่และความรับผิดชอบให้กับบุคลากรในองค์กรให้ชัดเจน โดยในการใช้ข้อมูลแต่ละครั้งต้องระบุชื่อผู้ควบคุมข้อมูลและผู้ประมวลผลเสมอ
  3. จัดทำเอกสารสำคัญทั้งหมดตามที่กฎหมายกำหนด ได้แก่ Privacy Policy, Privacy Notice, และ Consent Form โดยมีทั้งในรูปแบบเอกสารกระดาษและอิเล็กทรอนิกส์เพื่อพร้อมสำหรับการใช้งาน
  4. บริหารข้อมูลตลอด Data Life Cycles โดยเมื่อมีข้อมูลเข้ามาใหม่หรือมีกิจกรรมที่ใช้ข้อมูลใหม่ ต้องบันทึกใน Data Flow และระบุผู้รับผิดชอบที่เกี่ยวข้องเสมอ ในขั้นตอนนี้รวมถึงการบริหารวันหมดอายุของข้อมูล และการจัดการลบข้อมูลที่เลิกใช้แล้วเมื่อเวลาผ่านไปด้วย 
  5. ปรับระบบ IT ให้สอดคล้องกับการใช้งานและการบริหารข้อมูลตาม PDPA โดยต้องคำนึงถึงความปลอดภัยและสิทธิในการเข้าถึงข้อมูลด้วย
  6. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO เพื่อเป็นผู้ดูแลรวมถึงติดต่อกับผู้ที่เกี่ยวข้องในวงจรการคุ้มครองข้อมูลทั้งหมด
  7. สร้างความตระหนักรู้ให้กับผู้ที่เกี่ยวข้องกับข้อมูล ตั้งแต่ผู้บริหาร สมาชิกภายในองค์กร ธุรกิจคู่ค้าและผู้รับจ้างประมวลผล รวมไปถึงลูกค้าผู้ใช้บริการ เพื่อให้เกิดความเข้าใจร่วมกันถึงสิทธิและแนวทางในการรักษาความเป็นส่วนตัว 

จะเห็นได้ว่าเมื่อแจกแจงออกมาเช่นนี้แนวทางในการดำเนินการก็จะชัดเจนและง่ายต่อการนำไปทำจริงยิ่งขึ้น สำหรับธุรกิจใดที่ยังรู้สึกไม่พร้อมสำหรับการบังคับใช้ PDPA นั้นก็ต้องเปิด Checklist และเร่งดำเนินการกันแล้ว

รู้จักบทลงโทษของ PDPA 

ในส่วนของบทลงโทษที่หลายธุรกิจมีความกังวลถึง คุณกำพลเชื่อว่าหากองค์กรมีการเตรียมความพร้อมที่ดีตาม Checklist ที่ได้แนะนำและเข้าใจถึงบทลงโทษก็จะช่วยลดความกังวลไปได้ โดยความผิดจากกฎหมาย PDPA นั้นแบ่งออกเป็น 3 ส่วน ได้แก่ ความรับผิดทางแพ่ง โทษทางปกครอง และโทษอาญา

ความรับผิดทางแพ่ง (มาตรา 77-78) นั้นคิดจากค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของสินไหมนั้น

โทษทางปกครอง (มาตรา 82-87) หากองค์กรไม่ปฏิบัติตามข้อกำหนดของกฎหมาย เช่น ไม่ขอความยินยอมในการใช้ข้อมูล ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูล หรือไม่จัดทำบันทึก ROPA มีโทษปรับไม่เกินหนึ่งล้านบาท

โทษอาญา (มาตรา 79-81) หากผู้ควบคุมข้อมูลใช้หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมหรือผิดจากวัตถุประสงค์ที่แจ้งไว้ เป็นเหตุให้ผู้อื่นเกิดความเสียหาย อาจมีโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกิน 5 แสนบาท หรือในกรณีที่นำข้อมูลไปแสวงหาประโยชน์ที่มิควร มีโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งล้านบาท


ศึกษารายละเอียดและอ่านความคิดเห็นของคุณกำพล ศรธนะรัตน์เพิ่มเติมได้ที่  https://www.jrit-ichi.com/cutting/2022/04/20/1050/ 


Check Also

เจาะกลยุทธ์ AIS Business: วางใจในบริการครบครัน จากทีมงานผู้เชี่ยวชาญระดับมืออาชีพ

ไม่ว่าเวลาจะผ่านไปกี่ยุคกี่สมัย องค์กรจะขับเคลื่อนไปข้างหน้าไม่ได้เลยหากขาดกำลังสำคัญคือทรัพยากรบุคคลที่มีคุณภาพและมีความรู้ความเชี่ยวชาญในธุรกิจนั้น ๆ ยิ่งรูปแบบการทำธุรกิจในปัจจุบันที่ต้องแปรผันปรับเปลี่ยนไปตามเทคโนโลยีอุบัติใหม่ ความท้าทายครั้งสำคัญมิใช่เพียงแค่การลงทุนนวัตกรรมไล่ตามเทคโนโลยี ทว่าคือการลงทุนกับ “คน” ในองค์กรให้มีความสามารถก้าวทันความเปลี่ยนแปลงพร้อมทรานส์ฟอร์มธุรกิจสู่ดิจิทัลไปด้วยกัน ในปี 2022 นี้เอง AIS Business ตั้งเป้าเดินหน้าพัฒนาองค์กรอย่างไม่หยุดยั้งด้วยการขยายขีดความสามารถของทีมงานให้พร้อมส่งมอบบริการที่ลูกค้าองค์กรวางใจได้ เพื่อร่วมสร้างธุรกิจให้เติบโตอย่างแข็งแกร่งและก้าวข้ามทุกความท้าทายในอนาคต …

[Guest Post] บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก

“บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก” How Digital Transformation Enables CFOs to Achieve Organizational Agility and Resilience …