PDPA บังคับใช้ทั้งส่วนราชการและเอกชนที่เก็บข้อมูลบุคคลเอาไว้ใช่หรือไหม
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่จะประกาศใช้ในปี 2565 เป็นทางการนั้น บังคับใช้กับทุกองค์กรไม่ว่าจะเป็นส่วนราชการหรือเอกชนที่ถือครองข้อมูลส่วนบุคคล ซึ่งองค์กรควรมีการดูแลข้อมูลส่วนบุคคล 2 ด้านหลักคือ ด้านนโยบายหรือกระบวนการในองค์กร และ ด้านเครื่องมือที่จะมาช่วยป้องกันข้อมูลรั่วไหล และตรวจสอบได้ตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
หากองค์กรรับข้อมูลส่วนบุคคลต่อมาจากหน่วยงานอื่น องค์กรจะต้องขอความยินยอม หรือแจ้งวัตถุประสงค์อีกครั้งหรือไม่ แล้วหน่วยงานที่ต้องดำเนินการต่อโดยไม่ได้รับข้อมูลส่วนบุคคลโดยตรงจากเจ้าของข้อมูล จะต้องดำเนินการอย่างไร
หากองค์กรรับข้อมูลส่วนบุคคลต่อมาจากหน่วยงานอื่น องค์กรจะต้องขอความยินยอม หรือแจ้งวัตถุประสงค์อีกครั้งโดยระบุวัตถุประสงค์ที่องค์กรต้องการนำข้อมูลไปใช้ให้ถูกต้องและครอบคลุม เพราะองค์กรดังกล่าวถือเป็น Data Processor และเรียกหน่วยงานที่ให้ข้อมูลว่าเป็น Data Controller โดยอาจใช้ฐานข้อมูลที่มีติดต่อกับเจ้าของข้อมูลเพื่อขอความยินยอมตามวัตถุประสงค์นั้น ๆ ทั้งนี้ควรดำเนินการให้แล้วเสร็จก่อนนำข้อมูลดังกล่าวไปใช้ นอกจากนี้องค์กรยังควรมีนโยบายหรือกระบวนการในองค์กร และ เครื่องมือที่จะมาช่วยควบคุม ตรวจสอบ หากเกิดการรั่วไหลของข้อมูลส่วนบุคคลที่นำมาใช้อีกด้วย
การประกาศใช้ Privacy Policy หากบริษัทเป็นกลุ่มบริษัท ประกาศฉบับเดียว สามารถใช้ได้ทั้งกลุ่มบริษัทหรือไม่
องค์กรสามารถประกาศใช้ Privacy Policy ฉบับเดียวได้ทั้งกลุ่มบริษัทหากการประกาศฉบับนั้นมีเนื้อหาครอบคลุมบริษัทย่อยทั้งหมดในเครือตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล อย่างถูกต้อง
Comments