5 Steps การเตรียมความพร้อมคุ้มครองข้อมูลส่วนบุคคลฉบับองค์กร ก่อน PDPA บังคับใช้เต็มรูปแบบ 1 มิ.ย.65 นี้

5 Steps การเตรียมความพร้อมคุ้มครองข้อมูลส่วนบุคคลฉบับองค์กร ก่อน PDPA บังคับใช้เต็มรูปแบบ 1 มิ.ย. 65 นี้ โดย อาจารย์ ดร.อุดมธิปก ไพรเกษตรและอาจารย์ สุกฤษ โกยอัครเดช www.pdpa.online.th

เหลือเวลาเพียง 6 เดือน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรารู้จักกันดีในนาม PDPA จะมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 องค์กรต่าง ๆ จึงมีเวลาในการเตรียมตัวปฏิบัติตามกฎหมายยฉบับนี้ไม่มากนัก บทความวันนี้ผมจึงมาขอแนะนำ 5 ขั้นตอนในการในการเตรียมตัวดำเนินการคุ้มครองข้อมูลส่วนบุคคลให้กับองค์กร

ต้องเตรียมตัวอย่างไรก่อนถึง 1 มิถุนายน 2565?

จากประสบการณ์ของพวกเราในการให้คำปรึกษาแก่องค์กรธุรกิจขนาดกลางและขนาดใหญ่ที่ต้องการดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลต้องใช้เวลาในการเตรียมการประมาณ 4-6 เดือน โดยขึ้นอยู่กับความซับซ้อนของโมเดลธุรกิจ และกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลขององค์กร ทั้งนี้ยังไม่รวมการปรับปรุงระบบ Information Technology (IT) น่าจะใช้เวลามากกว่านั้น ดังนั้นวันนี้ จึงขอแนะนำ 5 ขั้นตอนที่องค์กรของคุณควรต้องทำเพื่อตอบโจทย์กฎหมายตัวนี้มาฝากครับ

5 ขั้นตอน การเตรียมความพร้อมคุ้มครองข้อมูลส่วนบุคคลตาม PDPA สำหรับองค์กร

1. จัดตั้งคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล

เริ่มต้นด้วยการจัดตั้งคณะทำงานเพื่อดำเนินงานเรื่องการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ จากหลาย ๆ หน่วยงานในองค์กร ไม่ว่าจะเป็นฝ่ายทรัพยากรบุคคล ฝ่ายขายและการตลาด ฝ่ายแอดมิน ฝ่ายบัญชี ฝ่ายกฎหมาย ฝ่ายเทคโนโลยีสารสนเทศ (IT) ฯลฯ ที่เกี่ยวข้องและมีข้อมูลผ่านมือ เพราะการทำตามกฎหมายอย่าง PDPA ต้องไปพร้อม ๆ กัน เปลี่ยนแปลงอย่าง Synergized กันทั้งองค์กร ไม่ใช่เฉพาะฝ่าย HR, Legal Compliance, IT ที่เป็นผู้รับผิดชอบหลักอย่างที่หลาย ๆ คนเข้าใจ นอกจากนี้ ผู้ที่ร่วมเป็นคณะทำงานฯ ควรมีตำแหน่งระดับหัวหน้างานหรือผู้บริหาร หรือเป็นบุคคลที่มีอำนาจในการสั่งการเปลี่ยนแปลง เมื่อตั้งแล้วอย่าลืมอบรมให้คณะทำงานนี้มีความรู้และความเข้าใจเรื่อง PDPA อย่างถูกต้องและเหมือนๆกัน เพื่อลดปัญหาในการสื่อสารในระหว่างการทำงาน กรณีที่ทำเองคณะทำงานควรมีเวลาให้ไม่น้อยกว่า 50% ของเวลาทำงาน แต่หากมีการจ้างที่ปรึกษาภายนอกมากช่วยทำงานให้ อาจจะใช้เวลา 5%-20% ของเวลาทำงานโดยขึ้นอยู่กับเงื่อนไขของการจ้างที่ปรึกษา

2. สำรวจข้อมูลส่วนบุคคลและประเมินความเสี่ยง

ก่อนจะสามารถคุ้มครองได้ องค์กรจะต้องสำรวจให้รู้ก่อนว่ามีข้อมูลส่วนบุคคลใดบ้างที่ไหลเวียนและเก็บรักษาอยู่ภายในองค์กร รวมถึงการส่งออกและรับเข้ามาจากองค์กรหรือบุคคลภายนอก และจัดทำ Data Flow Diagram และ Data Inventory Mapping หรือเรียกอีกชื่อว่า Record of Processing Activities (RoPA) เพื่อให้มองเห็นภาพรวมและรายละเอียดของข้อมูลที่มีอยู่ภายในองค์กรได้อย่างชัดเจน แล้วค่อยดำเนินการต่อด้วย Data Protection Impact Assessment (DPIA) ประเมินดูว่าข้อมูลส่วนบุคคลที่องค์กรเกี่ยวข้องชุดใดผ่านเกณฑ์หรือตกอยู่ในความเสี่ยง ซึ่งคุณจะต้องมีกระบวนการแก้ไข คิดใหม่ทำใหม่ให้ความเสี่ยงดังกล่าวลดลง

*ทุกองค์กรจำเป็นต้องมี RoPA ตามบัญญัติของ PDPA มาตรา 39-40 หากไม่มีเมื่อถูกตรวจสอบ ระวางโทษสูงสุด 1-3 ล้านบาท

3. ปรับปรุงกระบวนการ และวางระบบ/มาตรการ

คณะทำงานฯ จะต้องวิเคราะห์และวางแผนว่ามีความจำเป็นต้องจัดทำ จัดหา หรือปรับปรุงสิ่งใดเพิ่มเติม เพื่อวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีตัวอย่างประเด็นที่ควรให้ความสำคัญตามลิสต์รายการ ดังนี้

– วางมาตรการการจัดการตามกำหนดกฎหมาย (PDPA Compliance Management) เช่น การจัดการเอกสาร การเก็บข้อมูล การเข้ารหัสข้อมูลให้มีความปลอดภัย การจัดลำดับสิทธิ์ของผู้ที่สามารถเข้าถึงข้อมูลได้ เป็นต้น

– ปรับปรุงและทำสัญญาการประมวลผลข้อมูลส่วนบุคคล เพื่อควบคุมการดำเนินงานประมวลผลข้อมูลของบุคคลหรือองค์กรอื่นที่คุณมอบหมาย โดยผู้ประมวลผลข้อมูลส่วนบุคคลต่อจากคุณควรมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ทัดเทียมได้มาตรฐานเช่นกัน

– ปรับใช้ระบบรักษาความมั่นคงปลอดภัยทางข้อมูล (IT Security) ที่เหมาะสมและได้มาตรฐาน

– เพิ่มระบบ ช่องทางการเข้าถึง และโฟลวงานเพื่อรองรับการใช้สิทธิของเจ้าของข้อมูล

– จัดให้มีมาตรการรับมือเมื่อเกิดการละเมิด เช่น ข้อมูลรั่วไหล โดยต้องแจ้งเตือนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงหลังเกิดเหตุ และแจ้งเจ้าของข้อมูลส่วนบุคคลโดยเร็วที่สุด

– กำหนดผู้ที่เป็น Contact Point ด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร และ/หรือแต่งตั้ง DPO สำหรับองค์กรที่มีความจำเป็นตามกฎหมาย

– ร่างและจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Data Protection Policy / Privacy Policy) ขององค์กร เพื่อให้มีแนวทางการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน บุคลากรเห็นและรับรู้ร่วมกัน

– อื่น ๆ ที่เกี่ยวข้อง

4. ประกาศให้เจ้าของข้อมูลรู้ว่าทำตามกฎหมาย

หลังปรับปรุงกระบวนการ วางระบบและมาตรการคุ้มครองข้อมูลส่วนบุคคลเรียบร้อย องค์กรลงประกาศความเป็นส่วนตัว (Privacy Notice) ผ่านช่องทางที่เก็บรวบรวมข้อมูลจากเจ้าของข้อมูลส่วนบุคคล โดยระบุวัตถุประสงค์ของการประมวลผล มาตรการคุ้มครองข้อมูลที่องค์กรปรับใช้ (ตามที่ได้วางแผนไว้ในข้อที่แล้ว) ตลอดจนสิทธิของเจ้าของข้อมูล และช่องทางการติดต่อเพื่อขอใช้สิทธิฯ โดยหากปราศจากฐานการประมวลผลอื่น ๆ ตามกฎหมาย คุณจะต้องจัดทำแบบฟอร์มขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแนบ ด้วยภาษาที่เข้าใจง่ายและแยกส่วนชัดเจน

การประกาศความเป็นส่วนตัวนอกจากจะเป็นการโชว์ Accountability ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้ว ยังมีผลต่อชื่อเสียงความน่าเชื่อถือขององค์กร ว่าผู้ที่เข้ามาติดต่อจะได้รับการคุ้มครองด้านข้อมูลอย่างแน่นอน

5. สร้างวัฒนธรรมด้านการคุ้มครองข้อมูลส่วนบุคคล

สุดท้ายนี้ เมื่อดำเนินการตาม PDPA ครบเรียบร้อยแล้ว องค์กรควรให้ความสำคัญกับการอบรมบุคลากรขององค์กร ให้เข้าใจและเคยชินกับการคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะผู้ที่เกี่ยวข้องโดยตรงกับกระบวนการด้านข้อมูล จนกลายเป็น “วัฒนธรรมใหม่” ขององค์กร เพื่อที่ทุกคนจะได้ร่วมด้วยช่วยกัน ลดอัตราการละเมิดอันเนื่องมาจากความผิดพลาดภายในองค์กรให้น้อยที่สุด

เชื่อว่า 5 ขั้นตอนนี้จะช่วยให้คุณเห็นภาพรวมและเริ่มต้นทำเองได้ อย่างไรก็ตาม ทั้งหมดนี้เป็นเพียง Guideline แนะนำแนวทางเบื้องต้นในการทำตาม PDPA เท่านั้น การดำเนินการตามกฎหมายมีรายละเอียดเชิงลึกอีกมาก หากไม่มั่นใจ คุณควรปรึกษาผู้เชี่ยวชาญทางด้านการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีความรู้ด้านกฎหมายและสามารถปรับประยุกต์ใช้องค์ความรู้กับกระบวนการทำงานจริงของแต่ละองค์กร

หากสนใจบทความ สาระ และข้อแนะนำต่าง ๆ เกี่ยวกับ PDPA ท่านสามารถเข้าไปได้ที่ pdpa.online.th


บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด มีบริการรับให้คำปรึกษาด้าน Personal Data Protection สำหรับองค์กรที่ยังไม่พร้อมด้านการคุ้มครองข้อมูลส่วนบุคคล มีบริการตรวจสอบภายใน (PDPA Compliance Audit) ตลอดจนบริการอบรมพร้อมสอบในรูปแบบองค์กรและส่วนตัว ภายใต้การดำเนินงานของ สถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) สนใจรายละเอียดบริการสามารถเข้าไปได้ที่ pdpa.online.th อีเมล [email protected] เฟซบุ๊กเพจ PDPA Thailand ไลน์ @pdpathailand หรือโทร. 065-982-5412 (คุณสุ), 081-632-5918 (คุณปุ๋ม)