แชร์

Check list การเตรียมความพร้อม PDPA ของหน่วยงาน

อัพเดทล่าสุด: 24 ต.ค. 2024
26 ผู้เข้าชม

องค์กรสามารถนำข้อสรุปเบื้องต้นนี้ไปพิจารณาประกอบ เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลขององค์กรเป็นไปอย่างมีประสิทธิภาพ และสอดคล้องกับบทบัญญัติของกฎหมาย ผู้เขียนจำแนกเป็น 2 ส่วนคือ ข้อกำหนดตามกฎหมายที่ให้องค์ต้องจัดทำและตัวอย่างแนวปฏิบัติที่ดีภายในองค์กร 

ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีข้อกำหนดตามกฎหมายให้องค์กรในฐานะผู้ควบคุมข้อมูลปฏิบัติหลายหลายประการ อาทิ
(1)การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในกรณีตามที่กำหนดไว้ในมาตรา 41 ซึ่งอาจแต่งตั้งจากพนักงานภายในองค์กรหรือแต่งตั้งผู้รับจ้างให้บริการตามสัญญา 

(2)การจัดทำประกาศความเป็นความส่วนตัว หรือที่คุ้นเคยกันในชื่อของ Privacy Notice ซึ่งเป็นการแจ้งเจ้าของข้อมูลส่วนบุคคลเพื่อให้ทราบเกี่ยวกับรายละเอียด วิธีการ การดำเนินการต่าง ๆ เกี่ยวกับข้อมูลส่วนบุคคล โดยกฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล ตามมาตรา 23

(3)การจัดทำบันทึกรายการกิจกรรมการประมวลผล (Records of Processing Activities) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดให้องค์กรมีหน้าที่ในการจัดให้มีบันทึกรายการกิจกรรมอย่างน้อยตามที่ระบุไว้ในมาตรา 39  เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานฯ สามารถตรวจสอบได้

(4)การจัดทำแบบคำขอความยินยอม (Consent Form) ในกรณีที่มีความจำเป็นต้องใช้ความยินยอมเป็นฐานทางกฎหมายในการประมวลผล หลักเกณฑ์ในการขอความยินยอมต้องเป็นไปตามมาตรา 19 ประกอบมาตรา 20 เช่น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมถึงต้องคำนึงถึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคล 
แต่ทั้งนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (คณะกรรมการฯ) อาจกำหนดแบบและข้อความในการขอความยินยอมได้ในอนาคต อย่างไรก็ตาม ในกิจกรรมการประมวลผลใดบ้างที่อาจจะต้องใช้ ความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ตรวจสอบและสอบทานให้สอดคล้องกับข้อกฎหมาย ลักษณะของกิจกรรมการประมวลผล และความสัมพันธ์ระหว่างองค์กรกับเจ้าของข้อมูลส่วนบุคคล

(5)การจัดทำข้อตกลงการประมวลผล (Data Processing Agreement) โดยข้อตกลงดังกล่าวเป็นข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามมาตรา 40 วรรคสาม ซึ่งรายละเอียดของข้อสัญญาและข้อตกลงอื่น ๆ เป็นเรื่องที่คู่สัญญาควรตกลงกันให้สอดคล้องกับกิจกรรมการประมวลผลและความเสี่ยงที่เกี่ยวข้อง แต่อย่างน้อยสัญญาต้องมีเงื่อนไขตามที่กำหนดไว้ในมาตรา 40 วรรคหนึ่ง 

อนึ่งนอกจากกรณีที่กล่าวมาข้างต้น องค์กรยังมีเอกสารอื่นตามกฎหมายที่อาจจัดเตรียมอีกด้วย อาทิ มาตรการเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลและกระบวนการแจ้ง แบบการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อเจ้าของข้อมูลส่วนบุคคล รายละเอียดภาระงานของ DPO แบบฟอร์มขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล  แบบประเมินความเสี่ยงผลกระทบต่อสิทธิและเสรีภาพของบุคคล หรือรายงานผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล นโยบายระยะเวลาการจัดเก็บข้อมูล นโยบายการทำลายข้อมูล เป็นต้น

อย่างไรก็ตาม รายละเอียดเอกสารข้างต้นเป็นเพียงตัวอย่างให้ท่านเป็นแนวทางในการจัดเตรียมเอกสาร องค์กรอาจมีการปรับเปลี่ยนได้ตามความเหมาะสมของลักษณะกิจการหรือขนาดของกิจการ

สำหรับการเตรียมความพร้อมขององค์กรที่เป็นแนวปฏิบัติที่ดี (Best Practices) เนื่องจากอาจขึ้นอยู่กับรูปแบบขององค์กรหรือระบบการบริหารจัดการภายใน ซึ่งกรณีดังต่อไปนี้เป็นเพียงตัวอย่างให้ท่านสามารถนำไปพิจารณาเป็นแนวทางเบื้องต้น 

(1)การจัดตั้งคณะทำงาน PDPA ภายในหน่วยงาน (PDPA Working Team) เนื่องจากกฎหมายไม่ได้เกี่ยวข้องเฉพาะกับแผนกใดแผนกหนึ่งในองค์กรเท่านั้น อาจมีหลายฝ่ายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล การจัดตั้งเป็นคณะทำงาน PDPA จึงจะทำให้องค์กรสามารถบริหารจัดการข้อมูลส่วนบุคคลได้มีประสิทธิภาพมากขึ้น

(2)การสำรวจข้อมูลภายในหน่วยงาน (Data Inventory) เพื่อประโยชน์ในการพิจารณากำหนดฐานการประมวลผลหรือการจัดทำบันทึกรายการกิจกรรมการประมวลผล การสำรวจข้อมูลจะทำให้สามารถวางแผนการคุ้มครองข้อมูลส่วนบุคคลและอธิบายถึงเหตุผลความจำเป็นในการประมวลผลข้อมูลส่วนบุคคลนั้นได้

(3)การจัดทำนโยบายและแนวปฏิบัติของหน่วยงาน (Privacy Policy and Codes of Practice) การจัดทำนโยบายเป็นการกำหนดทิศทางภายในองค์กรที่ต้องการจะสื่อสารกับพนักงานในการประมวลผลข้อมูลส่วนบุคคล เพื่อให้สอดคล้องกับหลักการตามกฎหมาย ซึ่งเป็นการกำหนดแนวทางในภาพรวม และสำหรับรายละเอียดอาจกำหนดเป็นแนวปฏิบัติที่มีเนื้อหาชัดเจนอธิบายขั้นตอน หรือกระบวนการอย่างครอบคลุมมากขึ้น

(4)การจัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (Data Sharing Agreement) ในการดำเนินธุรกิจอาจมีการแลกเปลี่ยนข้อมูลกันระหว่างองค์กร การจัดการความรับผิดหรือขอบเขตในการแลกเปลี่ยนข้อมูลระหว่างกันจึงเป็นสิ่งสำคัญที่ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลด้วยกันจะมีแนวปฏิบัติต่อกันอย่างไร ต้องใช้ข้อมูลส่วนบุคคลที่ได้รับการเปิดเผยมาในขอบเขตอย่างไร

(5)การสร้างความตระหนักรู้และฝึกอบรม (Capacity Building and Awareness Raising) เนื่องจาก PDPA เป็นกฎหมายใหม่ในสังคมไทย ซึ่งองค์ความรู้มีการเปลี่ยนแปลงและพัฒนาอยู่ตลอด อีกทั้งเทคโนโลยีที่มีความก้าวหน้ามากขึ้น ดังนั้น เพื่อให้พนักงานมีความรู้ความเข้าใจและปฏิบัติต่อข้อมูลส่วนบุคคลอย่างถูกต้องจึงต้องมีการสร้างความตระหนักรู้และฝึกอบรมอย่างต่อเนื่องด้วย

(6)การกำกับดูแลและตรวจสอบอย่างสม่ำเสมอ (Audit and Compliance)  

การคุ้มครองข้อมูลส่วนบุคคลจะสัมฤทธิ์ผลตามความมุ่งหวังของกฎหมายและสามารถคุ้มครองสิทธิของเจ้าของข้อมูลได้อย่างเป็นรูปธรรมขึ้นอยู่กับความพร้อมขององค์กร ทั้งภาครัฐและเอกชนที่ต้องตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ 

ผู้เขียนเชื่อเป็นอย่างยิ่งว่า กฎหมายไม่ใช่อุปสรรคของธุรกิจหรือการบริหารภาครัฐ หากแต่เป็นกฎหมายเพื่อส่งเสริมธรรมาภิบาลในการประมวลผลข้อมูลส่วนบุคคล สร้างความชอบธรรม โปร่งใส และตรวจสอบย้อนกลับได้ในการเชื่อมโยงและใช้ข้อมูลส่วนบุคคล บนพื้นฐานของการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม.  


บทความที่เกี่ยวข้อง
PDPA สื่อมวลชนและการขอใช้สิทธิลบเนื้อหาข่าว
สคส. เผยแพร่ความเห็นของคณะอนุกรรมการเฉพาะกิจ ตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
24 ต.ค. 2024
การโพสต์หรือแชร์รูปภาพ ไม่มีความรับผิดทางอาญาตาม PDPA
การโพสต์ข้อมูลส่วนบุคคล อย่างภาพใบหย่า ข้อมูลประวัติอาชญากรรม ภาพถ่ายใบหน้าลูกหนี้ แม้จะเข้าข่ายข้อยกเว้นการใช้บังคับกฎหมาย PDPA
24 ต.ค. 2024
กรรมการบริษัท ก็ต้องรู้จักปัญญาประดิษฐ์ AI
สถาบันกรรมการบริษัทแห่งออสเตรเลีย (Australian Institute of Company Directors -AICD) ได้ร่วมมือกับสถาบัน Human Technology Institute (HTI)
24 ต.ค. 2024
เว็บไซต์นี้มีการใช้งานคุกกี้ เพื่อเพิ่มประสิทธิภาพและประสบการณ์ที่ดีในการใช้งานเว็บไซต์ของท่าน ท่านสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ ประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) และ นโยบายคุกกี้
เปรียบเทียบสินค้า
0/4
ลบทั้งหมด
เปรียบเทียบ
Powered By MakeWebEasy Logo MakeWebEasy