SMEs ควรปรับตัวอย่างไร? เมื่อ PDPA บังคับใช้

หลีกเลี่ยงไม่ได้ว่า “แม้จะเป็นธุรกิจขนาดเล็กอย่าง SMEs หรือองค์กรขนาดใหญ่ ต่างก็มีการเก็บรวบรวมข้อมูลส่วนบุคคลด้วยกันทั้งสิ้น” ถึงแม้จะไม่ใช่ธุรกิจที่มีการเกี่ยวข้องกับข้อมูลส่วนบุคคลโดยตรง

ไม่ว่าจะมีการเก็บข้อมูลมากหรือน้อย คุณก็ควรจะต้องทำความรู้จัก พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) กฎหมายใหม่ที่จะส่งผลกระทบกับธุรกิจของคุณอย่างแน่นอน หากคุณยังไม่เตรียมความพร้อมเพื่อรับมืออย่างถูกวิธี

กฎหมาย PDPA (พรบ. คุ้มครองข้อมูลส่วนบุคคล) ถือเป็นอีกหนึ่งกฎหมายสำคัญของประเทศไทยที่จะส่งผลกระทบและมีผลบังคับใช้หลายฝ่ายในหน่วยงานต่างๆ ไม่ว่าจะเป็นภาครัฐ ภาคเอกชนหรือภาคธุรกิจที่มีการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของประชาชนคนไทยทุกคน
ซึ่ง PDPA สามารถนำไปใช้ได้กับทั้งองค์กรที่อยู่ในประเทศไทยและอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย โอนถ่ายข้อมูลหรือเฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย เป็นต้น

“แล้ว SMEs ต้องปรับตัวอย่างไร? หลัง PDPA บังคับใช้” วันนี้เรามีคำตอบ!

1.จัดตั้งทีมงาน
เริ่มด้วยการจัดตั้งทีมงานจากหลายๆฝ่ายภายในองค์กร เพื่อดำเนินงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ ไม่ว่าจะเป็นฝ่ายทรัพยากรบุคคล ฝ่ายขายและการตลาด ฝ่ายแอดมิน ฝ่ายบัญชี ฝ่ายกฎหมายและฝ่ายเทคโนโลยีสารสนเทศ ที่เกี่ยวข้องและมีข้อมูลผ่านมือ เพื่อเตรียมความพร้อม เช่น กำหนดวัตถุประสงค์ของการใช้ข้อมูล กำหนดวิธีการประมวลผลข้อมูลและวิธีการใช้ประโยชน์จากข้อมูลส่วนบุคคล

ซึ่งจะประกอบด้วย ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) โดยผู้ที่ร่วมเป็นคณะทำงาน ควรมีตำแหน่งระดับหัวหน้างานหรือผู้บริหาร หรือเป็นบุคคลที่มีอำนาจในการสั่งการเปลี่ยนแปลง

2.สำรวจและจัดเตรียมข้อมูล
องค์กรจะต้องมีการสำรวจก่อนว่ามีข้อมูลส่วนบุคคลใดบ้างที่มีการใช้และเก็บรักษาอยู่ภายในองค์กร รวมถึงการส่งออกและนำเข้ามาของข้อมูลจากภายนอกองค์กรด้วย เพื่อเตรียมความพร้อมทั้งด้านเอกสาร แบบฟอร์ม วิธีการเก็บข้อมูล และนโยบายความเป็นส่วนตัว ไม่ว่าจะเป็นฟอร์มขอความยินยอม (Consent) ฟอร์มนโยบายความเป็นส่วนตัว (Privacy Policy) หรือคำขอในการใช้ (Cookie)

ซึ่งกิจกรรมใดบ้างที่ต้องมีการใช้ “ความยินยอม” ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ที่ต้องตรวจสอบเพื่อให้สอดคล้องกับข้อกฎหมาย PDPA

3.ประเมินผลกระทบ
ควรมีการตรวจสอบให้แน่ใจว่าบทลงโทษของข้อกำหนดทางกฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลทางแพ่ง ทางอาญาและทางปกครองอย่างไรบ้าง เพื่อเตรียมความพร้อมรับมือในกรณีที่องค์หรือบริษัทได้รับการร้องเรียนจากเจ้าของข้อมูลส่วนบุคคล (Data Subject) โดยตรง

4.กำหนดนโยบายภายในองค์กร
การเก็บข้อมูลภายใต้ พรบ. คุ้มครองข้อมูลส่วนบุคคล เพียงแค่เก็บรวบรวมข้อมูลเท่าที่จำเป็นเท่านั้น มีการแจ้งวัตถุประสงค์ให้กับเจ้าของข้อมูลทราบ (Privacy Notice) และหากมีการเปลี่ยนแปลงวัตถุประสงค์ในการประมวลผล จะต้องมีการแจ้งเจ้าของข้อมูลให้ทราบหรือได้รับความยินยอมก่อน โดยกรอบนโยบายที่สามารถนำไปปรับใช้กับธุรกิจ SMEs ได้และตรงตามข้อกำหมดของกฎหมาย มีดังนี้

– วางมาตรการจัดการตามข้อกำหนดทางกฎหมาย เช่น การจัดการเอกสาร การเก็บข้อมูล การเข้ารหัสข้อมูลให้มีความปลอดภัย การจัดลำดับสิทธิ์ของผู้ที่สามารถเข้าถึงข้อมูลได้ เป็นต้น
– เพิ่มประสิทธิภาพการประมวลผลข้อมูลส่วนบุคคล โดยผู้ประมวลผลข้อมูลต่อจากคุณควรมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ได้มาตรฐานเช่นกัน
– ใช้ระบบการรักษาความมั่นคงปลอดภัยทางข้อมูล (IT Security) ที่เหมาะสมและได้มาตรฐาน
– เพิ่มระบบการเข้าถึง เพื่อรองรับการใช้สิทธิของเจ้าของข้อมูล
– จัดให้มีมาตรการรับมือเมื่อเกิดการละเมิดข้อมูล โดยต้องแจ้งเตือนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง หลังเกิดเหตุ และแจ้งเจ้าของข้อมูลส่วนบุคคลโดยเร็วที่สุด
– แต่งตั้ง DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สำหรับองค์กรที่มีความจำเป็นตามกฎหมาย
– จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) เพื่อให้มีแนวทางการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน

5.จัดทำ Records of Processing Activity (RoPA)
เพื่อให้มองเห็นภาพรวมและรายละเอียดของข้อมูลที่มีอยู่ภายในองค์กรได้อย่างชัดเจน ควรมีการจัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล Record of Processing Activities (RoPA) จากนั้นดำเนินการต่อด้วย Data Protection Impact Assessment (DPIA) เพื่อประเมินดูว่าข้อมูลส่วนบุคคลที่องค์กรเกี่ยวข้องอยู่นั้น ชุดใดผ่านเกณฑ์หรือตกอยู่ในความเสี่ยง ซึ่งคุณจะต้องมีกระบวนขั้นต่อไปเพื่อลดความเสี่ยงดังกล่าวลง ซึ่งบันทึก RoPA นี้จำเป็นต้องมี

– สำรวจข้อมูลส่วนบุคคล ว่ามีการจัดเก็บข้อมูลอะไรไว้บ้าง เป็นข้อมูลส่วนบุคคลหรือข้อมูลที่มีความอ่อนไหวหรือไม่ เช่น ชื่อ ที่อยู่ อีเมล เบอร์โทร ข้อมูลสุขภาพ ข้อมูลพันธุกรรม และประวัติอาชญากรรม เป็นต้น
– กำหนดวัตถุประสงค์ เพื่อให้เจ้าของข้อมูลรู้ว่าจัดเก็บข้อมูลไปทำอะไร ตรงตามวัตถุประสงค์หรือไม่
– กำหนดระยะเวลาการจัดเก็บ มีการดำเนินการเพื่อจัดเก็บข้อมูลในระยะเวลาเท่าไหร่ มีหลักเกณฑ์ ระเบียบ หรือเงื่อนไขในการจัดเก็บอย่างไร เป็นต้น
– สำรวจแหล่งที่มาของข้อมูล ได้ข้อมูลเหล่านี้มาได้อย่างไร ได้มาจากเจ้าของข้อมูลโดยตรงหรือไม่ หรือมาจากการส่งต่อไฟล์ข้อมูลเหล่านั้นมา มีการเปิดเผย หรือส่งต่อข้อมูลส่วนบุคคลเหล่านี้มาหรือไม่ เป็นต้น
– สำรวจมาตรการคุ้มครอง มีการจัดเก็บข้อมูลที่ปลอดภัย ตามมาตรฐานความมั่นคงที่เหมาะสมหรือไม่ จะต้องไม่เปิดเผยหรือปรากฎการนำไปใช้ ในลักษณะอื่นนอกเหนือจากวัตถุประสงค์ที่แจ้งให้กับผู้ให้ข้อมูล

การเตรียมความพร้อมและปฏิบัติตามแนวทางที่ดีที่สุดจะช่วยลดความเสี่ยงในการบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล ของคุณได้มากยิ่งขึ้น และยังเป็นการแสดงความรับผิดชอบในการปกป้องข้อมูลส่วนบุคคลของผู้บริโภคได้อีกด้วย

แหล่งที่มา: Asia Data Destruction

2022.07.08-PDPA-SMEs-ready.png