GDPR ได้ระบุความหมายของคำว่า การประมวลผล ไว้ใน Article 4 ดังนี้ Show
ดังนั้นการประมวลผลข้อมูลส่วนบุคคล จึงเป็น การเก็บรวบรวม การบันทึก การจัดระบบ การวางโครงสร้าง การเก็บรักษา การปรับใช้ หรือการแปรสภาพ การค้นคืน การสืบค้นข้อมูลเพิ่มเติม การใช้ประโยชน์ การเปิดเผยโดยการส่งต่อ เผยแพร่ หรือวิธีอื่นใดอันทำให้เข้าถึงได้ การจัดเรียงหรือรวมเข้าด้วยกัน การจำกัดการเข้าถึง การลบหรือทำลาย นั่นเอง อย่างไรก็ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ได้ให้ความหมายของคำว่า “การประมวลผลข้อมูลส่วนบุคคล” ไว้ชัดเจน ทั้งนี้การประมวลผลข้อมูลส่วนบุคคลในความหมายของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 256 ก็คือ เนื้อหาในมาตรา 3 อนุมาตรา 1 มาตรา 5 รวมทั้งส่วนที่ 2 การเก็บรวบรวมข้อมูลส่วนบุคคล และ ส่วนที่ 3 การใช้หรือเปิดเผยข้อมูลส่วนบุคคล นั่นเอง
Number of View :653 วันนี้ t-reg ขอพาทุกท่านมารู้จัก PDPA Checklist Thailand เพื่อตรวจสอบว่าองค์กรได้ทำตามที่กฎหมาย PDPA กำหนดไว้ครบถ้วนแล้วหรือยัง โดยบทความนี้นอกจากจะช่วยให้ท่านเข้าใจข้อกำหนดตามกฎหมาย PDPA แล้วทางเรายังมีตัวอย่างแนวทางปฏิบัติที่ดี มาช่วยให้ท่านเปลี่ยน PDPA ให้เป็นเรื่องง่าย และองค์กรสามารถทำตามได้แบบถูกกฎหมาย เริ่มจาก แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ตาม PDPA Checklist Thailandตามมาตรา 41 ของกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ได้กำหนดไว้ว่า
ซึ่งหลายคนเมื่อได้อ่านข้อความนี้แล้ว อาจมีข้อสงสัยกันใช่ไหมล่ะคะว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) คือใคร ? คำตอบก็คือ คนที่มีหน้าที่ดูแลเกี่ยวกับข้อมูลส่วนบุคคลขององค์กรทั้งภายใน (พนักงานในองค์กร) และภายนอก (ผู้ใช้บริการ พาร์ทเนอร์) ของบริษัทตั้งแต่กระบวนการเก็บรวบรวม ใช้งาน เปิดเผย รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล โดยอาจจะแต่งตั้งพนักงานในองค์กรให้รับตำแหน่งนี้ หรือจะจ้าง Outsource เข้ามาดูแลในส่วนนี้ก็ได้เช่นกัน เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?องค์กรจะต้องมีการแต่งตั้งคณะทำงาน PDPA ภายในหน่วยงาน ซึ่งคุณสมบัติที่ดีของ DPO นั้นต้องเป็นผู้เข้าใจในกฎหมาย PDPA และด้าน Cyber Security เป็นอย่างดี รวมถึงต้องไม่ทำหน้าที่ขัดกับการปกป้องข้อมุลส่วนบุคคลเช่นฝ่าย Sales and Marketing เป็นต้น ดังนั้นการมองหา DPO ที่เป็น Outsoucre จะช่วยลดความยุ่งยากในการสรรหาแต่งตั้ง และดูแลเกี่ยวกับข้อมูลส่วนบุคคล หากคุณอยากศึกษาเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพิ่มเติมสามารถเข้าไปอ่านได้ที่ DPO คือใคร?, 6 คำถามยอดฮิตที่พบบ่อยในองค์กร จัดทำประกาศความเป็นส่วนตัวหรือ Privacy Noticeในกฎหมาย PDPA หรือพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้กล่าวเกี่ยวกับ Privacy Notice ในมาตรา 23 ไว้ว่า
เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?กฎหมายระบุชัดเจนแล้วว่าต้องมีการทำ Privacy Notice หรือประกาศความเป็นส่วนตัว ซึ่งในประกาศนั้นต้องแจ้งถึงรายละเอียดข้อมูลที่เก็บไป วัตถุประสงค์ในการเก็บข้อมูล แหล่งวิธีการได้มาของข้อมูล การนำข้อมูลส่วนบุคคลไปใช้ประมวลผลส่วนไหนบ้าง การเก็บรักษาข้อมูลส่วนบุคคล และระยะเวลาในการเก็บ ข้อมูลที่ติดต่อได้ของผู้ควบคุมข้อมูล รวมถึงสิทธิ์ของเจ้าของข้อมูล ซึ่งทั้งหมดนี้ต้องระบุเป็นลายลักษณ์อักษรอย่างชัดเจนเพื่อให้เจ้าของข้อมูลได้รับรู้ก่อนหรือระหว่างการเก็บข้อมูลส่วนบุคคล ทำบันทึกรายการกิจกรรมการประมวลผล (Records of Processing Activities)มาตรา 39 ในกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้กล่าวไว้เกี่ยวกับการทำบันทึกรายการกิจกรรมการประมวลผลไว้ว่า
ซึ่งแปลว่าผู้ควบคุมข้อมูลหรือองค์กรนั้น ต้องมีการทำบันทึกรายการกิจกรรมการประมวผล หรือที่เราคุ้นกันว่าการทำ Records of Processing Activities (RoP) ซึ่งสามารถทำออกมาในรูปแบบของหนังสือทั่วไป หรือจะเป็นแบบอิเล็กทรอนิกส์เพื่อตอบโจทย์กระแสดิจิทัลในปัจจุบัน เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?หลายคนคงไม่รู้จะต้องทำอย่างไรให้บรรลุตามมาตรา 39 กำหนดไว้ ซึ่งการทำ RoP นี้ต้องเริ่มจาก การสำรวจข้อมูลส่วนบุคคลที่องค์กรจัดเก็บอยู่, กำหนดวัตถุประสงค์ และระยะในการจัดเก็บข้อมูล สำรวจแหล่งจัดเก็บข้อมูล รวมถึงมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่เราจัดเก็บ ซึ่งกระบวนการทำ RoP นี้จะช่วยให้องค์กรสามารถชี้แจงกับเจ้าของข้อมูล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีการตรวจสอบได้อีกด้วย จัดทำแบบขอความยินยอมในกรณีที่มีความจำเป็นต้องใช้ (Consent Form)อย่างที่หลายคนรู้กันว่าการที่องค์กรไหนที่ต้องการใช้ข้อมูลส่วนบุคคลของผู้อื่นต้องมีการขออนุญาตจากเจ้าของข้อมูลก่อน ซึ่งในทางกฎหมายก็มีการระบุไว้เช่นกันในมาตรา 19 ที่กล่าวว่า
จากกฎหมายข้อนี้ทำให้ทุกองค์กรมีการกำหนด Consent Form ซึ่งอาจทำในรูปแบบของหนังสือ หรือระบบอิเล็กทรอนิกส์ที่เรามักเห็นเป็นหลาย ๆ ข้อในเวลาที่เรากำลังให้ หรือมีการอัพเดตการใช้ข้อมูลส่วนบุคคล เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?Consent Form ที่ดีต้องมีแจ้งวัตถุประสงค์ชัดเจน มีการขอความยินยอม ไม่ใช้คำกำกวมหรือประโยคที่อ่านแล้วเข้าข่ายหลอกลวง หรือก่อให้เกิดความเข้าใจผิดในวัตถุประสงค์ของการใช้ข้อมูล โดยเมื่อขอความยินยอมขอสิทธิ์ในการใช้ข้อมูลแล้ว ต้องมีช่องทางให้เจ้าของข้อมูลเรียกใช้สิทธิ์ด้วย ซึ่งกิจกรรมที่ต้องทำการขอความยินยอม สามารถอ่านเพิ่มเติมได้ที่ 5 กิจกรรมยอดฮิตที่องค์กรต้องขอ consent ตามกฎหมาย PDPA สิ่งที่ต้องระวังเกี่ยวกับการขอ Consent Form ก็คือ การขอความยินยอมกับกลุ่มบุคคลบางประเภท อาทิ ผู้เยาว์, บุคคลไร้ความสามารถ และ บุคคลเป็นคนเสมือนไร้ความสามารถ ซึ่งสามารถอ่านรายละเอียดเกี่ยวกับเรื่องนี้เพิ่มเติมได้ที่ Consent Management คืออะไรในกฎหมาย PDPA จัดทำข้อตกลงการประมวลผลในกรณีที่มีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement)ในกฎหมาย PDPA มาตรา 40 ได้กล่าวถึงผู้ประมวลผลที่ผู้ควบคุมข้อมูลจ้างวานไว้ว่า
ซึ่งสัญญาที่ทำร่วมกันจะต้องระบุถึงหน้าที่ชัดเจนในการนำข้อมูลส่วนบุคคลไปประมวลผลใช้ เมื่อกฎหมายว่ามาแบบนี้แล้วองค์กรจะต้องปฏิบัติอย่างไร ?ทางผู้ควบคุมข้อมูล (องค์กร) ต้องมีการร่างสัญญาแบบเป็นลายลักษณ์อักษร โดยในสัญญาต้องระบุให้ชัดเจนเกี่ยวกับหน้าที่ของผู้ประมวลผลข้อมูล และการดำเนินการเกี่ยวกับการจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล และการดำเนินการต่อสิทธิ์ของเจ้าของข้อมูลในการขอให้ผู้ควบคุมข้อมูลคัดค้าน, ระงับ หรือลบทำลายข้อมูลส่วนบุคคล เป็นต้น บทสรุปของ PDPA Checklist Thailandอ่านถึงตรงนี้แล้ว หลายคนคงเข้าใจในตัวของกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกันมากยิ่งขึ้น จากทางมาตราต่าง ๆ และแนวทางปฏิบัติที่ทางเรายกมา หากคุณยังมีข้อสงสัยว่าองค์กรของเรามีการปรับรูปแบบการปฏิบัติ และมีการทำตามที่กฎหมาย PDPA กำหนดไว้ครบถ้วนหรือไม่ ทาง t-reg ขอแนะนำ PDPA Checklist Thailand แบบประเมินความพร้อม PDPA องค์กร ให้ทุกท่านได้ตรวจสอบความพร้อมต่อกฎหมายฉบับนี้ที่จะบังคับใช้ในอีกไม่กี่เดือนข้างหน้าแบบฟรี ไม่มีค่าใช้จ่าย |