พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ย่อมาจาก Personal Data Protection Act บทบัญญัติที่ให้ความคุ้มครองข้อมูลส่วนบุคคลของ “บุคคลธรรมดา” ให้สิทธิในการแก้ไข เข้าถึง หรือแจ้งลบข้อมูลที่ให้ไว้กับองค์กร และกำหนดบทบาทหน้าที่และบทลงโทษหากองค์กรหรือบุคคลใดๆ ไม่ปฏิบัติตาม
โดยรัฐมนตรีฯ ได้ลงนามในประกาศไปเมื่อ วันที่ 24 มิถุนายน พ.ศ. 2563 และได้ให้มีผลบังคับใช้ไปถึงวันที่ 31 พฤษภาคม 2564 และได้มีประกาศเพิ่มเติมให้ยืดการมีผลบังคับใช้ไปจนถึง วันที่ 31 พฤษภาคม 2565 ทำให้หลายๆ ธุรกิจมีเวลาในการเตรียมตัวมากยิ่งขึ้น ก่อนอื่นเรามาดูกันว่า พรบ.นี้มีข้อดีอย่างไร?
ข้อดีของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เมื่อพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้จะทำให้ไม่สามารถซื้อขายหรือแลกเปลี่ยนข้อมูลส่วนบุคคลได้ หากไม่ได้รับการอนุญาตจากเจ้าของข้อมูล จะไม่มีสายโทรศัพท์เบอร์แปลกๆ โทรมากวนใจคุณอีกต่อไป
การละเมิดพ.ร.บ. PDPA จะมีบทลงโทษที่จริงจังมาก เพียงแค่คุณถ่ายรูปบุคคลแล้วนำไปโพสต์ลงสื่อโซเชียลโดยไม่ได้รับอนุญาตจากบุคคลในภาพก็สามารถเอาผิดได้ หรือแม้การเก็บข้อมูลส่วนบุคคลก็ต้องได้รับการยินยอม ผู้เก็บจะต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ในการจัดเก็บข้อมูลให้เจ้าของทราบอยู่เสมอ หากมีเหตุไม่คาดคิดที่ข้อมูลรั่วไหล จะต้องแจ้งเจ้าของข้อมูลให้ทราบภายใน 72 ชม.
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะคุ้มครองข้อมูลของคนไทยทุกคน ไม่ว่าผู้เก็บจะอยู่ที่ใดบนโลกก็ตาม แล้วองค์กรต้องเตรียมตัวอะไรบ้างไปดูกัน
5 ขั้นตอน การเตรียมความพร้อมคุ้มครองข้อมูลส่วนบุคคลตาม PDPA สำหรับองค์กร องค์กรจัดตั้งทีมที่ทำ
งานด้านการคุ้มครองข้อมูลส่วนบุคคล
อันดับแรกให้องค์กรจัดตั้งทีมที่ทำเกี่ยวกับด้าน PDPA โดยให้สมาชิกในทีมมาจากหลายฝ่ายขององค์กรที่มีตำแหน่งระดับหัวหน้างานหรือผู้บริหาร ไม่ว่าจะเป็นฝ่ายทรัพยากรบุคคล ฝ่ายขายและการตลาด ฝ่ายบัญชี ฝ่ายกฎหมาย ฝ่ายเทคโนโลยีสารสนเทศ (IT) ฯลฯ ที่มีการใช้ข้อมูลส่วนบุคคลต่างๆ ไม่จำเป็นต้องจัดตั้งจากฝ่าย HR เพียงอย่างเดียว เมื่อตั้งแล้วให้จัดอบรมทีมงานให้มีความรู้และความเข้าใจเรื่อง PDPA อย่างถูกต้องและเข้าใจตรงกัน เพื่อลดปัญหาในการสื่อสารในระหว่างการทำงาน
1.สำรวจและประเมินความเสี่ยงของข้อมูลส่วนบุคคล
องค์กรจะต้องสำรวจให้รู้ว่าการไหลเวียนข้อมูลขององค์กรถูกส่งไปที่ไหนบ้าง ทั้งในและนอกองค์กร เพื่อจัดทำ Data Flow Diagram และ Data Inventory Mapping หรือเรียกอีกชื่อว่า Record of Processing Activities (RoPA) การทำแบบนี้จะมองเห็นภาพรวมและรายละเอียดของข้อมูลที่มีอยู่ภายในองค์กรได้อย่างชัดเจน
2.วิเคราะห์และวางแผนระบบตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
ให้ทีมงานวิเคราะห์และวางแผนว่ามีความจำเป็นต้องจัดทำ จัดหา หรือปรับปรุงสิ่งใดเพิ่มเติม เพื่อวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคล เช่น การจัดเก็บข้อมูลและเอกสาร รหัสการเข้าถึงข้อมูลที่มีความปลอดภัย ขั้นตอนการทำงานของผู้ที่สามารถเข้าถึงข้อมูล เป็นต้น
3.แจ้งรายละเอียดให้เจ้าของข้อมูลส่วนบุคคลทราบว่าทำตามกฎหมาย
หลังปรับปรุงกระบวนการ วางระบบและมาตรการคุ้มครองข้อมูลส่วนบุคคลเรียบร้อยแล้ว องค์กรจะต้องการแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) ผ่านช่องทางที่เก็บรวบรวมข้อมูลจากเจ้าของข้อมูลส่วนบุคคล
4.เริ่มสร้างวัฒนธรรมให้องค์กรด้าน PDPA
หลังจากที่วางแผนการดำเนินงานด้าน PDPA เสร็จสิ้นแล้ว องค์กรควรสร้างวัฒนธรรมใหม่ที่ทำให้พนักงานเกิดความรู้ ความเข้าใจ และความเคยชินกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อที่ทุกคนจะได้ทำงานร่วมกัน ลดอัตราการละเมิดอันเนื่องมาจากความผิดพลาดภายในองค์กรให้น้อยที่สุด
Vinarco มีบริการให้คำปรึกษาเกี่ยวกับกฎหมาย PDPA, วางแผนโซลูชันในการปฏิบัติตามข้อกำหนดของ PDPA จากเจ้าหน้าที่คุ้มครองข้อมูล (DPO) และมีการจัดฝึกอบรม
PDPA Training สำหรับองค์กรต่างๆ ด้วยแพลตฟอร์ม VinarcoFormiti LMS ที่สามารถดำเนินการบนพีซี สมาร์ทโฟนได้อย่างง่ายดาย ช่วยให้องค์กรสามารถเตรียมความพร้อมและวางแผน Privacy Policy ให้สอดคล้องกับกฎหมาย PDPA อย่างรอบคอบและ
แม่นยำมากขึ้น และ Vinarco เป็นบริษัท
Manpower Contractor Agency ที่จัดหาโซลูชันด้านการจัดหาทรัพยากรบุคคลที่มีความเชี่ยวชาญและทักษะสูง จากความต้องการของอุตสาหกรรมที่ต้องการบุคลากรที่มีความสามารถด้านเทคนิคเฉพาะทางอย่าง Oil & Gas
