Data protection – ผลกระทบธุรกิจครั้งใหญ่ กม.คุ้มครองข้อมูลส่วนบุคคล PDPA

pdpa data protection th lcdl dbc

*PDPA คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (บังคับใช้แล้ว)

ให้เวลาเตรียมตัวนับตั้งแต่ลงประกาศในราชกิจจานุเบกษา เท่ากับว่าตั้งแต่ 28 พ.ค. 63 เป็นต้นไป รัฐและเอกชน ไม่ว่าจะรายย่อยแค่ไหน หรือรายใหญ่เท่าไหร่ ต้องทำตามกฎระเบียบ และข้อกำหนดที่ระบุในกฎหมาย PDPA (โทษปรับทำเอาธุรกิจติดขัดด้านการเงินไปได้หลายปีเลยทีเดียว)

pdpa data protection th lcdl dbc

นิยาม

ข้อมูลส่วนบุคคล ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม  แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) – บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) – บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล  ทั้งนี้  บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

gdpr PDPA

ถูกบังคับใช้กับใคร?

หน่วยงานเอกชนและภาครัฐ ที่มีการจัดเก็บข้อมูลส่วนบุคคลของประชาชนเอาไว้ เช่น

– ชื่อ-นามสกุล – [Name];
– ที่อยู่ – [Address];
– เบอร์โทรศัพท์ – [Phone number(s)];
– วันเกิด – [Date of birth];
– อีเมลล์ – [Email address];
– เพศ – [Gender];
– เลขประจำตัวบัตรประชาชน หรือ พาสปอร์ต – [Identity card number or passport number]

เป็นต้น

สิ่งที่องค์กรต้องเตรียมตัว

  • จัดสรรงบประมาณจำนวนหนึ่ง เพื่อเตรียมสร้างระบบรักษาความมั่นคงปลอดภัย ป้องกันไม่ให้ข้อมูลผู้ใช้รั่วไหล
  • ต้องมีตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
  • การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน นำข้ออะไร ไปใช้อะไร โดยใช้ภาษาที่เข้าใจง่าย เห็นชัด
  • จัดการแยกประเภทของข้อมูลส่วนบุคคล ตามหาทำการเช็กลิสต์จัดเก็บอยู่ที่ไหนบ้าง มีอะไรบ้าง มีการขออนุญาตหรือไม่ และถ้าเป็นข้อมูลส่วนบุคคลที่ไม่จำเป็นทำลายอย่างเหมาะสม
  • เจ้าของข้อมูลส่วนบุคคล สามารถถอนความยินยอมได้ในภายหลัง รวมถึงเจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลายเมื่อการเก็บ ใช้ เปิดเผย ทำโดยไม่ชอบด้วยกฎหมายหรือเมื่อถอนความยินยอม
  • กําหนดประเภทของข้อมูลและมาตรการในการจัดการข้อมูล
  • ทบทวนระยะเวลาของการเก็บรักษาข้อมูลและการทําลายข้อมูล
  • จัดอบรมด้าน Data Protection ให้กับบุคลากรพนักงานและเจ้าหน้าที่
  • พัฒนาทักษะและกระบวนการตรวจสอบประเมิน (Audit) หรือสอบใบรับรองวุฒิบัตรด้าน Data Protection

สำหรับตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) มีหน้าที่ดังนี้

dpo PDPA Data protection icdl dbc

หากไม่ทำตามกฎระเบียบ และข้อกำนด ที่ระบุในกฎหมาย PDPA จะต้องโดนโทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปี และโทษปรับตั้งแต่ 5 แสนถึง 5 ล้านบาท

gdpr-2-1

I am Title

ใบรับรองคุณวุฒิ Data Protection Certificate โดย ICDL Thailand by DBC จากมูลนิธิ ECDL Foundation คือ โมดูลรับรองทักษะการปกป้องข้อมูลส่วนบุคคลที่ภาคธุรกิจต้องมี ตามข้อกำหนดความรู้ที่จำเป็นเกี่ยวกับแนวคิดและหลักการปกป้องข้อมูล ในเป็นไปตามนโยบายและมาตรการป้องกันข้อมูล โดยเฉพาะเพื่อตอบสนองความต้องการของคนทำงานในองค์กรขนาดเล็กและขนาดใหญ่ที่ต้องจัดการกับข้อมูลส่วนบุคคล ช่วยให้องค์กรมั่นใจได้ว่าพนักงงานมีทักษะที่เหมาะสมเข้าใจถึงสิทธิ์ของตนเองเกี่ยวกับข้อมูลส่วนบุคคล

ในหลายสิบปีที่ผ่านมาเราเก็บข้อมูลลูกค้าหรือรายชื่อผู้รับจดหมายมามหาศาล โดยไม่ได้ใส่ใจกับเรื่องความรับผิดชอบต่อข้อมูลของลูกค้าตามกฎหมายในฐานะ ‘data controller’ และ ‘data processor’ โดยในเฉพาะในองค์กรขนาดเล็กที่ความเชี่ยวชาญในการปกป้องข้อมูลมีน้อยมาก
มูลนิธิ ECDL จึงได้พัฒนาทักษะโมดูลใหม่เกี่ยวกับการปกป้องข้อมูลครอบคลุมทักษะที่สำคัญรวมถึงหลักการของการปกป้องข้อมูลส่วนบุคคลและการปฏิบัติตามการปกป้องข้อมูล ภาพรวมของ GDPR ซึ่งเป็นกฎหมายต้น แบบพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ดีที่สุดฉบับหนึ่งของโลก และประเทศไทยก็นำมาใช้เป็นต้นแบบในการทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
ถึงเวลาแล้วที่จะต้องย้อนกลับไปและถามว่าคุณพร้อมหรือยัง

X