8 มี.ค. 2023 เวลา 13:00 • ธุรกิจ

จีเอเบิลสรุปมาให้แล้วจ้า กับคู่มือการทำ PDPA สำหรับองค์กรและ SMEs ฉบับจัดเต็ม

แม้ว่า 𝗣𝗗𝗣𝗔 มีผลบังคับใช้จริงไปแล้วระยะเวลาหนึ่ง แต่ผลสำรวจของซิสโก้ล่าสุดกลับพบว่าพิษของโควิด-19 ส่งผลให้หลายธุรกิจที่พึ่งฟื้นตัวกลับมาปฎิบัติตามข้อกฎหมายไม่ทัน อีกทั้งตัวบุคลากรเองยังขาดความเข้าใจในตัวกฎหมายอีกด้วย ดังนั้นลองเช็กดูกันว่าองค์กรขอคุณในฐานะผู้ควบคุมและประมวลผลข้อมูลเตรียมความพร้อมครบตามกฎหมาย 100% แล้วรึยังกับคู่มือ PDPA สำหรับองค์กรและ SEMs
ทั้งนี้หากใครยังเตรียมไม่ครบไม่ต้องกังวล G-Able ได้พัฒนาโซลูชัน 𝗪𝗵𝗶𝘁𝗲𝗳𝗮𝗰𝘁 ช่วยจัดการ PDPA อย่างเป็นระบบในที่เดียว ครอบคลุมตั้งแต่การอบรบพนักงานในองค์กรของคุณ การกำหนด Data Policy และการวางนโยบายสำหรับช่องทางให้เจ้าของข้อมูลส่วนบุคคลตรวจสอบย้อนหลังได้ ทดลองใช้งานฟรี! คลิก https://whitefact.co/
PDPA เป็นกฎหมายที่เกิดขึ้นมาเพื่อการคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของประชาชนในฐานะเจ้าของข้อมูล โดยกำหนดหน้าที่และความรับผิดชอบให้องค์กรปฏิบัติตามกฎหมาย โดย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA มีลักษณะพิเศษแตกต่างจากกฎหมายฉบับอื่นคือ ไม่ได้มุ่งเน้นเพียงสภาพบังคับให้กระทำหรือไม่กระทำเท่านั้น แต่ส่งเสริมการสร้างความตระหนักรู้ และการทบทวนกระบวนการทำงาน เพื่อให้การกระทำใดก็ตามที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเป็นไปอย่างเหมาะสมภายใต้หลักรัฐธรรมนูญ
“กฎหมายไม่ได้มุ่งสร้างภาระในการเก็บและใช้ข้อมูล แต่ต้องการให้มีกระบวนการเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคลอย่างเหมาะสม ปลอดภัยโดยคำนึงถึงสิทธิความเป็นส่วนตัวของบุคคลเพื่อให้ได้รับผลกระทบน้อยที่สุด”
ดังนั้นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อประโยชน์ส่วนตัว หรือกิจกรรมในครอบครัวจะได้รับการยกเว้น ทำให้ไม่ต้องปฏิบัติตามกฎหมายนี้ เช่น การทำแผนผังครอบครัว การติดกล้องวงจรปิดภายในบริเวณบ้าน การถ่ายรูปบุคคลในครอบครัว เป็นต้น
กฎหมายใช้บังคับกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ประกอบธุรกิจ องค์กรไม่แสวงหาผลกำไรและหน่วยงานของรัฐ โดยไม่จำกัดว่ากิจกรรมดังกล่าวจะเกิดขึ้นในรูปแบบกระดาษหรือในระบบดิจิทัล อย่างไรก็ตามกฎหมายไม่ได้ห้ามประมวลผลข้อมูลส่วนบุคคลโดยสิ้นเชิง นั่นหมายความว่าผู้ประกอบการยังสามารถดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ได้เช่นเดียวกับที่เคยปฏิบัติตราบเท่าที่ไม่ขัดต่อเงื่อนไขที่กฎหมายกำหนด
ผู้ควบคุมข้อมูลส่วนบุคคล ได้แก่ บริษัท ห้างหุ้นส่วนทั้งเป็นนิติบุคคลและไม่เป็นนิติบุคคล หรือผู้ประกอบธุรกิจฟรีแลนซ์ที่มีการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือพนักงาน เช่น ร้านกาแฟเป็นห้างหุ้นส่วนนิติบุคคลมีการเก็บรวบรวมข้อมูลลูกค้าเพื่อใช้ทำระบบสมาชิก หน้าที่ส่วนใหญ่ตามกฎหมายนี้กำหนดให้เป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล ได้แก่ บริษัท ห้างหุ้นส่วนทั้งเป็นนิติบุคคลและไม่เป็นนิติบุคคล และผู้ประกอบธุรกิจฟรีแลนซ์
ที่รับจ้างหรือให้บริการแก่ผู้ควบคุมข้อมูลส่วนบุคคลทำกิจกรรมที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น ธุรกิจร้านค้าอาจจ้างบริษัทอื่นให้จัดการข้อมูลสั่งซื้อสินค้าหรือดูแลเฟซบุ๊กเพจของร้าน ซึ่งต้องมีการเก็บรวบรวม
และใช้ข้อมูลส่วนบุคคลของลูกค้า
1. การแจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เนื่องจากพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ได้กำหนดหน้าที่ให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเมื่อมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น การแจ้งรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้กับเจ้าของข้อมูลส่วนบุคคลทราบ
การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม หรือการต้องแจ้งเมื่อมีเหตุละเมิดข้อมูลส่วนบุคคลหากเกิดการรั่วไหลหรือมีการละเมิดข้อมูลสUวนบุคคลเกิดขึ้น รวมถึงยังมีหน้าที่จะต้องจัดทำบันทึกรายการ
2. การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม โดยข้อกำหนดตามประกาศถือเป็นมาตรฐานพื้นฐานให้ไว้เป็นแนวทางสำหรับผู้ประกอบการนำไปปฏิบัติ เช่น การเสริมสร้างความตระหนักรู้เกี่ยวกับความสำคัญของข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย (Privacy And Security Awareness) มีการควบคุมการเข้าถึงข้อมูลส่วนบุคคลที่สำคัญ (Access Control)
โดยอาจจะต้องมีการพิสูจน์และยืนยันตัวตน (Identity Proofing And Authentication) และมีมาตรการสำหรับอนุญาตหรือการกำหนดสิทธิในการเข้าถึงและใช้งาน (Authorization) ที่เหมาะสม เพื่อให้สอดคล้องกับหลักการของกฎหมายคุ้มครองข้อมูลสUวนบุคคล นอกจากนี้อาจจะมีการกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User Responsibilities)
3. การจัดทำบันทึกรายการ กฎหมายกำหนดไว้ว่าผู้ประกอบการซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลอาจต้องมีการจัดทำบันทึกรายการเพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ ซึ่งวิธีการจัดทำบันทึกนั้นจะเป็นเอกสารกระดาษหรือใช้ระบบอิเล็กทรอนิกส์ก็ได้
4. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล โดยหลักการแจ้งเหตุละเมิดควรเป็นการใช้ภาษาที่ชัดเจนและมีการอธิบายถึงรายละเอียดการละเมิดข้อมูลส่วนบุคคลที่เข้าใจง่าย ในกรณีที่ต้องแจ้งให้กับสำนักงานฯ และเจ้าของข้อมูลส่วนบุคคลทราบ จะต้องมีการบรรยายลักษณะของการเหตุละเมิดข้อมูลส่วนบุคคล เช่น ประเภทของข้อมูลที่รั่วไหล จำนวนข้อมูลที่รั่วไหล แจ้งผลกระทบที่จะเกิดขึ้นและอาจเกิดขึ้นในอนาคต รวมถึงมาตรการหรือแนวทางที่จะบรรเทาผลกระทบที่อาจเกิดขึ้น
การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องพิจารณาปัจจัยในการประเมินความเสี่ยง 3 ด้านประกอบกัน คือ ลักษณะของข้อมูล จำนวนของข้อมูลในการควบคุม และผลกระทบที่อาจจะเกิดขึ้นจากข้อมูล โดยเฉพาะอย่างยิ่งผู้ประกอบธุรกิจขนาดกลางและขนาดย่อม (SMEs) นั้นควรเลือกใช้มาตรการที่เหมาะสมกับขนาดและความจำเป็นของตน
1. ประเภทของข้อมูลส่วนบุคคล การพิจารณาปัจจัยประเภทนี้ หากข้อมูลส่วนบุคคลใดเป็นข้อมูลส่วนบุคคลทั่วไปที่ในการใช้ข้อมูลส่วนบุคคลไม่ก่อให้เกิดความเสียหายกับเจ้าของข้อมูลส่วนบุคคลมาก มาตรการที่นำมาใช้อาจจะไม่ต้องเข้มงวดมาก
เช่น การเก็บบันทึกหรือเอกสารที่ระบุข้อมูลส่วนบุคคลให้ปลอดภัย โดยอาจจะเก็บไว้ในตู้เอกสารให้เรียบร้อย แต่ถ้าเป็นข้อมูลส่วนบุคคลอ่อนไหว เช่น เชื้อชาติเผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ อาจจะต้องแยกเก็บข้อมูลไว้จากข้อมูลส่วนอื่น และกำหนดสิทธิให้เฉพาะบุคคลที่มีหน้าที่เกี่ยวข้องเท่านั้นที่จะเข้าถึงข้อมูลดังกล่าวได้
2. จำนวนของข้อมูลในการควบคุม การพิจารณาปัจจัยประเภทนี้จะต้องคำนึงถึงจำนวนของข้อมูลส่วนบุคคลภายใต้กิจกรรมการประมวลผลข้อมูลส่วนบุคคลนั้น ๆ ประกอบ เช่น กิจการที่มีรายชื่อลูกค้าจำนวน 100 ราย กับจำนวน 10,000 ราย ย่อมมีความแตกต่างกัน ในกรณีที่มีบุคคลเข้ามามีส่วนเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลจำนวนมาก องค์กรควรพิจารณากำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล ให้มีเฉพาะผู้มีส่วนเกี่ยวข้องเท่านั้น
3. ผลกระทบที่อาจจะเกิดขึ้นจากข้อมูล การพิจารณาปัจจัยประเภทนี้ ควรคำนึงถึงผลกระทบที่อาจจะเกิดขึ้นหากข้อมูลส่วนบุคคลนั้นรั่วไหลออกไป เช่น ธนาคารที่มีข้อมูลธุรกรรมทางการเงินของลูกค้า ผลกระทบย่อมมีมากกว่าร้านอาหารที่มีข้อมูลชื่อนามสกุลของลูกค้า
ในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการเกี่ยวกับการเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคล โดยพิจารณามาตรการให้เหมาะสมกับลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล การรักษาความมั่นคงปลอดภัยตามระดับความเสี่ยง ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการประกอบกัน
1. การควบคุมการเข้าถึงข้อมูลส่วนบุคคล (Access Control) ที่มีการพิสูจน์และยืนยันได้ว่า บุคคลใดเป็นผู้เข้าถึงข้อมูลส่วนบุคคล และการอนุญาตหรือกำหนดสิทธิในการเข้าถึงและใช้งานที่เหมาะสม เช่น กำหนดให้สิทธิการเข้าถึงข้อมูลเกี่ยวกับพนักงานบริษัท เฉพาะพนักงานฝ่ายทรัพยากรบุคคล
2. การบริหารจัดการการเข้าถึงของผู้ใช้งาน (User Access Management) ที่เหมาะสม โดยกำหนดให้ผู้ใช้งานมีสิทธิเข้าถึงข้อมูลส่วนบุคคล ซึ่งอาจรวมถึงการลงทะเบียนและการถอนสิทธิผู้ใช้งาน การจัดการสิทธิการเข้าถึงของผู้ใช้งาน การบริหารจัดการสิทธิการเข้าถึงตามสิทธิ การบริหารจัดการข้อมูลความลับสำหรับการพิสูจน์ตัวตนของผู้ใช้งาน การทบทวนสิทธิการเข้าถึงของผู้ใช้งานและการถอดถอนหรือปรับปรุงสิทธิการเข้าถึง
3. การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User Responsibilities) เพื่อป้องกันการเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบซึ่งรวมถึงกรณีที่เป็นการกระทำนอกเหนือบทบาทหน้าที่ที่ได้รับมอบหมาย ตลอดจนการลักลอบทำสำเนาข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และการลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล
4. การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง แก้ไข หรือ ลบข้อมูลส่วนบุคคล (Audit Trails) ที่เหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล
ในส่วนของรายละเอียดเพิ่มเติมเกี่ยวกับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลพิจารณาได้จากประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
เพราะการรับมือ พ.ร.บ. PDPA ไม่ได้แค่ทำ Data Policy และ Data Subject Right หรือ Cookie Management แล้วจบ แต่ยังมีเรื่องของการควบคุมสิทธิ์ว่าใครเหมาะสมต่อการเข้าถึงข้อมูล การปกป้องข้อมูลจากการโจมตีผ่านช่องทางต่าง ๆ การตรวจสอบพฤติกรรมที่ผิดปกติอันเป็นสาเหตุที่ทำให้ข้อมูลรั่วไหล รวมถึงการเฝ้าระวังเพื่อมั่นใจได้ว่าแนวทางปฏิบัติและมาตรการควบคุมนั้นเป็นไปตามนโยบายที่วางไว้อีกด้วย
ดังนั้นรับมือกับ PDPA ได้อย่างครบถ้วนกับโซลูชัน 𝗪𝗵𝗶𝘁𝗲𝗳𝗮𝗰𝘁 ที่ช่วยจัดการ PDPA อย่างเป็นระบบในที่เดียว ครอบคลุมตั้งแต่การอบรบพนักงานในองค์กร การกำหนด Data Policy และการวางนโยบายสำหรับช่องทางให้เจ้าของข้อมูลส่วนบุคคลตรวจสอบ มั่นใจได้ว่าครบถ้วนทุกการทำ PDPA ตามกฎหมายแน่นอนครับ
ทดลองใช้งานฟรี! คลิก https://whitefact.co/
𝗪𝗵𝗶𝘁𝗲𝗳𝗮𝗰𝘁 ด้วยประสบการณ์ด้านไอทีกว่า 28 ปี ทำให้เราได้รับความไว้วางใจจากองค์กรขนาดใหญ่ โดย 80% ของลูกค้าอยู่ในตลาดหลักทรัพย์ อีกทั้งเรายังเป็นพันธมิตรกับแบรนด์ระดับโลก เช่น Microsoft, Oracle, Cisco HP เป็นต้น และนอกจากนี้โซลูชันเรายังครบครันด้วยฟีเจอร์ที่หลากหลาย โดยมีดังนี้
Easy to use ใช้งานง่าย
Data Centralized ช่วยให้การทำงานในองค์กรง่ายขึ้น
Comply ตามกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
Support มีผู้เชี่ยวชาญคอยช่วยเหลือตลอดการใช้งาน
ทดลองใช้งานฟรี! คลิก https://whitefact.co/
โฆษณา