กฎหมาย PDPA เป็นเรื่องของ IT จริงหรอ?

ในตัวกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่จะมีผลบังคับใช้ในปีหน้า และบังคับใช้กับทุกองค์กรที่เก็บข้อมูลลูกค้า ไม่ใช่เพียงแค่เรื่องไอทีเท่านั้นนะครับดังนั้นจึงเป็นสิ่งสำคัญที่ทุกภาคส่วนในองค์กรต้องปฏิบัติตามกฎหมาย และคำนึงถึงทุกๆ ด้านของแผนกต่าง ๆ ในองค์กรที่มีส่วนเกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วย‍

"ทำไม PDPA จึงเป็นมากกว่าเรื่องของ IT"

ในระดับองค์กรกฎหมาย PDPA จะเข้าไปสัมผัสทุกแง่มุมทุกแผนกที่มีการเก็บ และใช้ข้อมูลส่วนบุคคล มันเป็นสิ่งที่สำคัญที่ต้องเริ่มปฎิบัติตาม ก่อนที่จะเริ่มบังคับใช้จริงในปีหน้านะครับสรุปแล้วองค์กร หรือบริษัทที่รวบรวม และประมวลผลข้อมูลส่วนบุคคล ใช้ข้อมูลส่วนบุคคลในการทำการตลาด ไม่ว่าจะเก็บข้อมูลไว้ใน Server หรือบนกระดาษก็ตามครับ

หมายเหตุ หากว่าองค์กรเก็บข้อมูลที่สามารถระบุตัวตนได้ ข้อมูลถือว่าเป็นทรัพย์สินที่มีค่ามาก ๆ ขององค์กร เลยครับ และมีความเสี่ยงที่จะจะทำให้บริษัทเสียหายหากว่าใช้ไม่ระวัง หรือถูกโจรกรรมข้อมูลส่วนบุคคล

แผนกไหนบ้างที่ได้รับผลกระทบจาก PDPA

1.ทรัพยากรมนุษย์ (Human resources)  

"ข้อมูลพนักงานก็ถือว่าเป็นข้อมูลส่วนบุคคลนะครับ"

แผนก HR ควรจัดการเข้ามาทำงานใหม่ และการลาออกของพนักงานให้กับองค์กรเพื่อให้มั่นใจว่ามีการจัดการข้อมูลเริ่มต้นใหม่อย่างถูกต้องสัญญาว่าจ้าง จัดอบรมให้พนักงานเกี่ยวกับการตระหนักรู้ถึงความรับผิดชอบในการจัดการข้อมูลเป็นสินทรัพย์ HR อาจต้องได้รับความยินยอมจากพนักงานในการขออนุญาตให้ประมวลผลข้อมูลสำหรับการจ่ายเงินเดือน ซึ่งตรงนี้จะต้องทำให้พวกเขามั่นใจว่าจะไม่ถูกนำไปใช้ในทางที่ผิด

2. ฝ่ายการฝึกอบรม (Training Department)

"ข้อมูลที่เกี่ยวกับการฝึกอบรมที่มีข้อมูลพนักงานก็ถือเป็นข้อมูลส่วนบุคคลเช่นเดียวครับ"

การศึกษาอย่างต่อเนื่อง และการฝึกอบรมพนักงานเพื่อให้แน่ใจว่าพวกเขาเข้าใจว่าข้อมูลสามารถ และไม่สามารถจัดการได้ สิ่งนี้ต้องรวมข้อมูลเกี่ยวกับสิ่งที่ต้องเกี่ยวกับการใช้งาน และการจัดการกับข้อมูลส่วนบุคคล ซึ่งในแผนกนี้ข้อมูลของพนักงานภายในที่ฝึกอบรม หรือเรียนรู้ Core Knowledge ในองค์กรจะต้องถูกเก็บไว้อย่างถูกต้อง และปลอดภัยเช่นเดียวกัน

3. การจัดซื้อจัดจ้าง (Procurement)

"ชื่อบุคคลที่อยู่ในสัญญาจัดซื้อจัดจ้างเป็นข้อมูลส่วนบุคคล"

ฝ่ายจัดซื้อจัดจ้างควรตรวจสอบให้แน่ใจว่าบุคคลที่สาม (Third Party) ที่นำข้อมูลส่วนบุคคลมาใช้ในการประมวลผลข้อมูลเป็นไปตามสัญญาว่าข้อมูลได้รับการคุ้มครองไม่แบ่งปันกับผู้อื่น และมีการส่งผ่านเฉพาะข้อมูลที่จำเป็นเท่านั้น หากสูญเสียข้อมูลที่ได้รับการโจมตีจาก ransomware หรือสงสัยว่าระบบของพวกเขาถูกบุกรุกระบบเกิดขึ้น เราจะสื่อสารฐานะ Data Controller ได้อย่างไร? และถ้าหากจ้าง IT จากภายนอกผู้ให้บริการจะมีกระบวนการและระบบที่ถูกต้องเพื่อจัดการข้อมูลของคุณอย่างปลอดภัยหรือไม่?

4. ฝ่ายปฎิบัติการ (Operation)

"เป็นฟันเฟื่องที่สำคัญที่จะทำให้ Comply พรบ. คุ้มครองข้อมูลส่วนบุคคลง่ายขึ้น"

ในส่วนของฝ่ายปฎิบัติการ (Operation) จะเป็นกลไลที่สำคัญ และเกี่ยวกับกับทุกแผนกที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลไม่ว่าจะเป็นข้อมูลภายในหรือว่าภายนอก ดังนั้นการทำ Compliance Checklist จะช่วยทำให้ติดตามแผนกอื่น ๆ ว่าทำตามกฎหมาย PDPA ถึงไหนแล้ว อีกทั้งยังต้องมีการออกแบบแผนผังการไหลของข้อมูล (Data Mapping) ที่ง่ายต่อการให้แผนกอื่น ๆ เข้ามาอัพเดทข้อมูล และเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

5. การตลาด และการขาย (Marketing & Sale)

"สื่อสาร และสร้างความเชื่อมั่นให้แก่ลูกค้าว่าข้อมูลส่วนบุคคลที่เก็บไว้จะปลอดภัย และ Comply PDPA"

ในส่วนพนักงานที่ทำงานเกี่ยวกับการตลาดจะเป็นส่วนหน้าด่านแรกในการขอความยินยอมเก็บข้อมูลส่วนบุคคลลูกค้า ไม่ว่าจะเป็นช่องทางไหน และสร้างความมั่นใจว่าข้อมูลส่วนตัวที่องค์กรเก็บไว้ ปฎิบัติตาม PDPA

นอกจากนี้ การทำลายข้อมูลส่วนบุคคลก็เป็นสิ่งที่สำคัญเช่นเดียวกัน ต้องทำแน่ใจว่าข้อมูลที่ถูกทำลายเป็นอย่างถูกต้อง

พออ่านมีถึงตรงนี้จะรู้ว่าจริง ๆ แล้วกฎหมาย พรบ. ข้อมูลส่วนบุคคลไม่ใช่เรื่องของคน IT เท่านั้นนะครับมันเป็นสิ่งที่เกี่ยวข้องทุก ๆ คนในองค์กรที่เก็บ และใช้ข้อมูลส่วนบุคคล ซึ่งถ้าคนใดคนนึงเก็บ หรือใช้ข้อมูลส่วนบุคคลไม่ถูกต้อง ถึงแม้ว่าจะ Comply PDPA แต่สามารถทำให้เกิดความเสียหายเป็นจำนวนมหาศาลได้หากว่าเกิดเหตุการณ์ข้อมูลรั่วไหลขึ้นมานะครับ

“ เราช่วยแบ่งเบาภาระในการทำ PDPA
เพียงเรียนรู้เทคนิคดี ๆ กับ PDPA with Word & Excel

Related products

Purichaya Narongpan

จบจาก Stamford International University (Hua Hin Campus) คณะ International Business Management – Bilingual Program ปัจจุบันทำงานด้าน Digital Marketing อยู่ที่ Ragnar Corporation อีกทั้งสนใจเรื่อง Cyber Security, Compliance และ Technology ต่าง ๆ จึงเขียนบทความเพื่อศึกษาหาข้อมูล และทำความเข้าใจเกี่ยวกับเรื่องนี้

Similar tags

Pakawadee Chanhom

สัมมนาออนไลน์สำหรับองค์กรที่ต้องทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)

งานสัมมนาออนไลน์สำหรับองค์กรทั้งภาครัฐและเอกชนที่ต้องการจะปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล แต่มีเวลาและทรัพยากรจำกัดในการทำ

Read more...
Purichaya Narongpan

ใครเหมาะสมที่จะเป็น DPO?

สวัสดีครับ ในบทความนี้เราจะมาเรียนรู้กันว่า DPO คืออะไร หน้าที่ความรับผิดชอบคืออะไร คุณสมบัติของคนที่จะเข้ามารับตำแหน่ง Data Protection Officer

Read more...
Pakawadee Chanhom

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

แม้แต่ลูกเสือที่เตรียมพร้อมขนาดไหน หากขาดความรู้ด้าน Cyber security ไปก็ข้อมูลลูกค้ารั่วไหลหากไม่เตรียมตัว

Read more...