สำหรับองค์กรที่ยังไม่มีการเตรียมความพร้อมด้านกฎหมายข้อมูลส่วนบุคคลนี้ ควรต้องเร่งเช็กลิสปแล้วว่า องค์กรคุณยังขาด ต้องปรับแก้ไข หรือต้องเตรียมการด้านข้อมูล บุคลากร และการปกป้องข้อมูลอย่างไรบ้าง
1. ศึกษาข้อมูลเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ (PDPA)
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ให้ความคุ้มครองอย่างครอบคลุมไม่ว่าจะเป็น ชื่อ-นามสกุล หมายเลขบัตรประชาชน อายุ ที่อยู่ อีเมล เบอร์โทรศัพท์ รูปถ่าย รวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว ได้แก่ เชื้อชาติ ความเชื่อ ศาสนา ความเห็นทางการเมือง ข้อมูลด้านสุขภาพ และอื่นๆ ที่สื่อถึงตัวบุคคล
ดังนั้นองค์กรที่มีการเก็บข้อมูลของลูกค้า คู่ค้า ผู้มาติดต่อ ผู้บริหาร พนักงาน และลูกจ้าง ทั้งในรูปแบบของไฟล์หรือเอกสาร ควรจัดให้ผู้ที่เกี่ยวข้องกับข้อมูลนั้นๆ ได้ทำความเข้าใจและศึกษาข้อมูลเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล อย่างถ่องแท้ รวมทั้งสร้างการรับรู้และเข้าใจที่ตรงกันให้กับพนักงานทุกคน เพื่อปฏิบัติตามกฎหมายและรักษาข้อมูลส่วนบุคคลได้อย่างถูกต้อง ป้องกันการกระทำความผิดโดยรู้เท่าไม่ถึงการ
2. กำหนดบทบาทหน้าที่สำหรับผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างชัดเจน
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ได้กำหนดบทบาทหน้าที่ของผู้ที่มีส่วนเกี่ยวข้องและรับผิดชอบต่อข้อมูลไว้อย่างชัดเจน ดังนี้
• ผู้ควบคุมข้อมูลส่วนบุคคล บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• ประมวลผลข้อมูลส่วนบุคคล เป็นบุคคลหรือนิติบุคคลที่รับหน้าที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามที่ผู้ควบคุมข้อมูลส่วนบุคคลสั่งการ
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้ที่ได้รับการแต่งตั้งจากผู้ควบคุมข้อมูลส่วนบุคคล ที่มีความรู้ด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ดังนั้นเพื่อให้องค์กรสามารถวางแผนการปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคลอย่างถูกต้อง ควรจัดให้มีผู้ที่ทำหน้าที่ในด้านต่างๆ ตามรายละเอียดข้างต้นอย่างครบถ้วน เพื่อให้มีผู้ที่คอยดูแลรับผิดชอบและเก็บรักษาข้อมูลส่วนบุคคลได้อย่างถูกวิธีและปลอดภัยมากที่สุด
3. สำรวจข้อมูลต่างๆ ที่ใช้ในการดำเนินธุรกิจอย่างรอบด้าน
ข้อมูลด้านต่างๆ ที่ได้จากการสำรวจ จะทำให้เห็นภาพรวมว่าแท้จริงแล้วธุรกิจที่ทำอยู่นั้นมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลมากน้อยเพียงใด องค์กรได้เก็บข้อมูลอะไรไว้บ้าง หรือเข้าข่ายที่จะต้องเร่งดำเนินการให้ถูกต้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือไม่ เพื่อลดช่องโหว่การหลงลืมข้อมูลส่วนบุคคลบางส่วนที่อาจถูกเก็บไว้หรือมีการใช้งานอยู่
4. ระบุขั้นตอนและการจัดเก็บข้อมูลส่วนบุคคลอย่างเป็นระบบและมีมาตรฐาน
นอกจากการแบ่งหน้าที่บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในการรับผิดชอบดูแลข้อมูลส่วนต่างๆ แล้ว องค์กรควรมีมาตรฐานการจัดเก็บและดูแลข้อมูลอย่างเป็นระบบ มีมาตรฐาน ไม่ว่าจะเป็นรูปแบบของเอกสาร หรือไฟล์ โดยอาจกำหนดให้พื้นที่จัดเก็บข้อมูลนั้นมีการเข้ารหัส หรือมีระบบความปลอดภัยป้องกันการเข้าถึงจากบุคคลไม่หวังดี แต่ขณะเดียวกันก็ต้องมีความโปร่งใสในการจัดเก็บและนำข้อมูลไปใช้ โดยต้องแจ้งให้เจ้าของข้อมูลทราบ และได้รับความยินยอมหรืออนุญาตให้นำข้อมูลไปใช้
นอกจากนี้ยังควรมีมาตรการแก้ไขปัญหา แนวทางการประเมินความเสียหาย และวิธีการรับผิดชอบต่อเจ้าของข้อมูล กรณีที่ข้อมูลที่ถูกจัดเก็บนั้นถูกโจรกรรมหรือมีการรั่วไหลเกิดขึ้น
5. วางแผนการจัดการและอัปเดตข้อมูล
การเก็บข้อมูลเป็นเวลานานๆ แน่นอนว่าต้องมีปัญหาของพื้นที่จัดเก็บไม่เพียงพอ ดังนั้นองค์กรที่ต้องเก็บข้อมูลส่วนบุคคลจำนวนมากๆ ควรมีการวางแผนการ หรือกำหนดระยะเวลาการจัดเก็บ หากไม่ถูกนำมาใช้เป็นเวลานานแค่ไหนจึงควรจัดการออกจากระบบอย่างถูกวิธีและปลอดภัย
นอกจากนี้ควรมีการอัปเดตข้อมูลให้เป็นปัจจุบันทั้งการเปลี่ยนแปลง แก้ไข หรือลบออกจากฐานข้อมูล โดยทุกความเปลี่ยนแปลงเกี่ยวกับข้อมูลนั้นต้องได้รับความยินยอมจากเจ้าของข้อมูลทุกครั้ง
6. จัดเตรียมเอกสารและแบบฟอร์มต่างๆ ที่ใช้เกี่ยวกับข้อมูล
เอกสารที่ควรจัดเตรียมไว้คือเอกสารหรือแบบฟอร์มเกี่ยวกับการใช้แจ้งวัตถุประสงค์การใช้ข้อมูล การขอความยินยอมจากเจ้าของข้อมูลกรณีที่จะมีการดำเนินการเปลี่ยนแปลง แก้ไข หรือลบข้อมูล รวมถึงแนวทางดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล โดยแบ่งเป็นรายละเอียดต่างๆ ดังนี้
• เอกสารเกี่ยวกับการกระทำต่างๆ กับข้อมูลส่วนบุคคล ที่มีรายละเอียดทั้งการจัดเก็บ การประมวลผล วัตถุประสงค์การนำข้อมูลไปใช้ และระบุบุคคลที่เกี่ยวข้องกับข้อมูลนั้น ๆ
• แบบฟอร์มการขอสิทธิ์ใช้ข้อมูลส่วนบุคคล
• แบบฟอร์มสำหรับการแจ้งเตือนเจ้าของข้อมูล ในกรณีที่มีปัญหาการรั่วไหลของข้อมูล
• ข้อความแจ้งนโยบายความเป็นส่วนตัว หรือ Privacy Policy ที่ระบุรายละเอียดและเงื่อนไขต่างๆ อย่างครบถ้วนชัดเจน
• ข้อความขอความยินยอมเพื่อใช้คุกกี้
7. มองหาที่ปรึกษา PDPA Audit ที่มีความเชี่ยวชาญ
PDPA Audit จะเป็นเหมือนผู้ช่วยในการตรวจสอบการดำเนินการและตรวจทานเอกสารที่ใช้เกี่ยวข้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พร้อมกับนำข้อมูลต่างๆ มาใช้ในการวิเคราะห์ ประเมินผลการดำเนินงาน วิเคราะห์ความเสี่ยง และการปรับปรุงแก้ไขให้สอดคล้องตามที่กฎหมายกำหนด ซึ่งสามารถช่วยแบ่งเบาและลดความเสี่ยงให้กับองค์กร และช่วยให้ปฏิบัติได้อย่างถูกต้องตามกฎหมาย
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ถือเป็นประเด็นสำคัญและข้อบังคับที่ทุกองค์กรที่ดำเนินธุรกิจเกี่ยวกับข้อมูลต้องเตรียมพร้อมและดำเนินการตามอย่างเคร่งครัด เพื่อจบปัญหาที่จะก่อให้เกิดความเสียหายทั้งกับลูกค้า คู่ค้า ผู้มาติดต่อ ลูกจ้าง หรือข้อมูลของบุคคลอื่นๆ รวมถึงองค์กรเองที่จะเสียหายทั้งชื่อเสียงและทรัพย์สินตามไปด้วย ที่สำคัญการเตรียมพร้อมตั้งแต่วันนี้ยังช่วยให้เจ้าของธุรกิจมีเวลาในการศึกษารายละเอียด และจัดการข้อมูลได้อย่างครบถ้วน รวมทั้งยังมีเวลาที่จะวิเคราะห์ข้อมูลต่างๆ ที่อาจเป็นประโยชน์ต่อการพัฒนาต่อยอดธุรกิจในอนาคตได้อีกด้วย
#Dharmniti #ธรรมนิติ #ข้อมูลส่วนบุคคล #PDPA
