ผู้ประกอบการไทย ควรเตรียมพร้อมและรับมือกับ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคลอย่างไร

  • ธุรกิจ
  • July 12, 2021
ผู้ประกอบการไทย ควรเตรียมพร้อมและรับมือกับ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคลอย่างไร
ย้อนกลับไปเมื่อกลางปี พ.ศ 2562 ประเทศไทยได้มีการประกาศใช้กฎหมายน้องใหม่อย่าง PDPA (Personal Data Protection Act) หรือในชื่อภาษาไทยว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ที่จะมีผลบังคับใช้เต็มรูปแบบในปีหน้า วันที่ 1 มิ.ย 2565

โดยกฎหมาย PDPA จะถูกบังคับใช้เพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลของประชาชนทุกคน อาทิเช่น ชื่อ เบอร์โทรศัพท์ ไอดีไลน์ อีเมล ที่อยู่ หรือ บัญชีธนาคาร ทั้งที่อยู่ในรูปแบบกระดาษ หรือข้อมูลในรูปแบบดิจิทัลก็ต่างเป็นข้อมูลที่สามารถระบุตัวตนของเจ้าของได้ทั้งสิ้น

กฎหมาย PDPA นั้นจึงส่งผลอย่างมากต่อผู้ประกอบการธุรกิจภาคเอกชนและ SMEs ต่างๆ เพราะที่ผ่านมา หลายๆบริษัทก็ได้มีการเก็บข้อมูลต่างๆของลูกค้าเอาไว้ เพื่อนำไปวิเคราะห์เชิงการตลาดต่างๆ แต่ในปัจจุบันภาคธุรกิจไม่สามารถเก็บข้อมูลเหล่านั้นไว้ได้นานๆแบบไม่มีเหตุผลหรือไม่มีวัตถุประสงค์อีกต่อไปแล้ว เพราะนี่จะถือว่าเป็นการละเมิดสิทธิได้ ดังนั้นนี่จึงเป็นเรื่องสำคัญที่ผู้ประกอบการจะต้องให้ความสนใจและเตรียมความพร้อมเป็นอย่างมาก

เมื่อวันที่ 24 มิถุนายนที่ผ่านมา ทรู ดิจิทัล พาร์ค ได้จัดงาน TDPK TALK: Global Tech Review  “Preparing and implementing PDPA compliance policies in Thai companies” powered by Tilleke & Gibbins เพื่อพูดคุยกับผู้เชี่ยวชาญด้านกฎหมายจาก Tilleke & Gibbins และ True Digital Group ถึงแนวทางให้ผู้ประกอบการไทยรับมือกับกฎหมาย PDPA 

ภาระหน้าที่สำคัญที่ผู้ประกอบการต้องทำก่อนที่ พ.ร.บคุ้มครองข้อมูลส่วนบุคคล จะมีผลบังคับใช้จริง มีอยู่ทั้งหมด 4 ข้อ ได้แก่

  1. หน้าที่ในส่วนของการเก็บใช้หรือเปิดเผยข้อมูล
  2. หน้าที่ในการรักษาความปลอดภัยของข้อมูล
  3. หน้าที่ในการให้สิทธิกับเจ้าของข้อมูล
  4. การตั้ง Data Protection Officer (DPO)

1. หน้าที่ในส่วนของการเก็บใช้หรือเปิดเผยข้อมูล

  • บันทึกการประมวลผลข้อมูลส่วนบุคคล หรือ Records of Processing Activity (ROPA) เพื่อช่วยวิเคราะห์ Data Minimization (การเก็บข้อมูลเท่าที่จำเป็น) และ Purpose Limitation (การมีกรอบวัตุประสงค์ในการนำข้อมูลมาใช้)
  • จัดทำ Privacy notice แจ้งให้ลูกค้าทราบ เพื่อแสดงความโปร่งใสในการเก็บ ใช้ และเปิดเผยข้อมูล ในบางจุดอาจจำเป็นต้องขอความยินยอมก่อนด้วย
  • คัดเลือก Data Processor ให้เหมาะสมตามหน้าที่และจัดทำเอกสาร Data Processing Agreement 
  • ในกรณีที่มีการส่งข้อมูลไปยังต่างประเทศอาจต้องมีการพิจารณาทำ Binding 

2. หน้าที่ในการรักษาความปลอดภัยของข้อมูล

  • Data controller ต้องมีการเตรียมมาตรการหรือออก policy ต่างๆภายในองค์กรเพื่อให้การจัดการข้อมูลมีมาตรฐาน เพราะหากเกิดเหตุละเมิดข้อมูลหรือ Data Breach ขึ้นมาอาจมีปัญหาได้

3. หน้าที่ในการให้สิทธิกับเจ้าของข้อมูล

  • บริษัทต้องมีการเตรียมกระบวนการให้เจ้าของข้อมูลสามารถเข้ามาใช้สิทธิได้ เช่น การเตรียมคำขอการใช้สิทธิ, การวางระบบภายในองค์กรให้คำร้องนั้นถูกส่งต่อไปยังหน่วยงานต่างๆได้อย่างถูกต้องจนถึงขั้นสุดท้าย

4. การตั้ง Data Protection Officer (DPO)

  • บริษัทจำเป็นต้องแต่งตั้ง DPO ขึ้นเพื่อให้คำแนะนำแก่บุคลากรในที่ทำงานและผู้บริหาร โดย DPO มีหน้าที่คอยให้คำแนะนำว่าองค์กรควรปฏิบัติตาม พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล อย่างไร และต้องเป็นผู้ที่มีมีความเข้าใจในองค์กรอย่างมาก เข้าใจกฎหมาย PDPA รวมถึงมีความรู้ด้าน IT & security โดย DPO สามารถเป็นแค่คนคนเดียวหรือเป็นทีมก็ได้

ลำดับขั้นตอนการจัดการข้อมูลที่สำคัญ

1. แต่งตั้งทีมขึ้นมาก่อน เช่น DPO ที่เข้ามาให้คำแนะนำ

2. กำหนด Record of Processing Data (ROPA) เพื่อช่วยให้เราเรียนรู้ลักษณะการประมวลผลข้อมูลส่วนบุคคลภายในองค์กรได้อย่างดี ทำให้สามารถร่าง privacy notice ได้อย่างเหมาะสมกับองค์กรของเราและรู้ว่ากิจกรรมไหนต้องขอการยินยอม

3. จัดทำเอกสารต่างๆให้การทำ PDPA สมบูรณ์มากยิ่งขึ้น เช่น

  • Internal policy
  • Data breach (การละเมิดสิทธิ)
  • Data Subject Right (การใช้สิทธิของเจ้าของข้อมูล)
  • Security
  • สัญญาที่ใช้ทำ PDPA ที่มี Data Processing Agreement และ Standard Contractual Clauses ในการส่งข้อมูลไปยังต่างประเทศ

4. จัดทำ Security measure ดูว่ามีช่องโหว่ตรงไหนอีกบ้าง

5. การส่งข้อมูลไปยังต่างประเทศ หากประเทศที่จะส่งไปมีมาตรฐานคล้ายคลึงกับไทยก็สามารถส่งข้อมูลไปได้เลย

6. จัดทำกิจกรรมอื่นๆ เช่น DPIA (Data Protection Impact Assessment)

 

ธุรกิจแบบไหนที่ต้องปฏิบัติตาม

ถ้าธุรกิจไหนมีการเก็บใช้เปิดเผยข้อมูลแล้วข้อมูลนั้นสามารถระบุตัวตนบุคคลได้ก็จำเป็นต้องทำตามกฎหมาย PDPA แต่กิจกรรมภายในครัวเรือน กิจกรรมรัฐสภา ศาล การบังคับคดี การรักษาความมั่นคงความปลอดภัยของรัฐอาจจะมีข้อยกเว้น

และสุดท้ายสิ่งที่ผู้ประกอบการควรจดจำคือ หากบริษัทไม่มีความจำเป็นที่จะต้องเก็บข้อมูลของลูกค้ามาใช้ ก็ไม่ควรเก็บมาเยอะมากเกินความจำเป็น และควรใช้เท่าที่จำเป็นตามวัตถุประสงค์ที่วางไว้ เพื่อลดความเสี่ยงที่อาจเกิดขึ้นได้ในอนาคต เช่น การทำข้อมูลของลูกค้าสูญหายและอาจทำให้โดนฟ้องร้องได้

Tags

  • Business
  • law

You May Like

ติดต่อทีมงานทรู ดิจิทัล พาร์ค

หรือเข้าชม สถานที่