ใกล้เข้ามาทุกทีสำหรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ตลอดระยะเวลาเกือบหนึ่งปีที่ผ่านมา ทุกหน่วยงานทั้งภาครัฐและเอกชนต่างเร่งเตรียมความพร้อมใน
การกำหนดนโยบายและวางมาตรการควบคุมเพื่อคุ้มครองข้อมูลส่วนบุคคลทั้งของลูกค้าและพนักงาน เนื่องจากบทลงโทษสำหรับผู้ที่ฝ่าฝืนจะมีทั้งโทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปีและปรับตั้งแต่ 500,000 – 5,000,000 บาท ดังนั้นเพื่อให้แน่ใจว่าองค์กรของท่านมีความพร้อมมากน้อยเพียงใด วันนี้เราได้สรุปเฉพาะประเด็นสำคัญๆ ที่ห้ามพลาดมาให้ ณ ที่นี้แล้ว
PDPA มีความสำคัญอย่างไร
กฎหมายฉบับนี้มีความสำคัญอย่างมากสำหรับทุกองค์กรทั้งภาครัฐและเอกชน เพราะเป็นกฎหมายที่เขียนขึ้นมาเพื่อช่วยปกป้องข้อมูลทางดิจิทัลของประชาชน
อีกทั้งยังเป็นเครื่องมือยืนยันว่าธุรกิจและรัฐจะใช้ข้อมูลประชาชนอย่างโปร่งใส และปลอดภัย เนื่องจากที่ผ่านมา เราอาจเคยได้เห็นข่าวดังเกี่ยวกับเหตุการณ์ละเมิดสิทธิความเป็นส่วนตัว
ของข้อมูลส่วนบุคคลที่เกิดขึ้นทั่วโลกมากมาย ตัวอย่างเช่น กรณี Facebook แชร์ข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 50 ล้านคนให้บริษัท Cambridge Analytica ในปี 2018 เพื่อวิเคราะห์ความคิดเห็นของประชาชนด้านการเมือง โดยที่ไม่ได้ขอความยินยอมจากผู้ใช้งาน ซึ่งนอกจากจะสร้างความเสียหายต่อทั้งองค์กรในด้านผลประกอบการและด้านความเชื่อมั่นแล้ว ยังสร้างความเสียหายให้กับเจ้าของข้อมูลอีกด้วย
ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น
การเก็บรวบรวมใช้หรือเปิดเผย - ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีต่อไปนี้
- ได้รับความยินยอมจากเจ้าของข้อมูส่วนบุคคล
- จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ
- ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
- จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น - จำเป็นเพื่อประโยชน์สาธารณะและการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
บทลงโทษหากไม่ปฏิบัติตาม PDPA
สำหรับองค์กรที่ต้องมีความเกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องมีระบบในการควบคุมหรือยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตามอาจได้รับโทษดังนี้
ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริงและอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่ม
ขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท
สิ่งที่ทุกบริษัทและทุกองค์กรควรปฏิบัติในขณะนี้ คือ
1.ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
2.จัดทำการบันทึกรายการ (Records of processing activities: ROPA) หากบริษัทมีการจัดเก็บข้อมูลส่วนบุคคลมาก บริษัทอาจจะเลือกใช้ Risk-Based Approach ในการจัดการ
3.เผยแพร่นโยบายความเป็นส่วนตัว (Privacy notice) ผ่านทางเว็บไซต์
4.เตรียมข้อความการให้ความยินยอม (Consent) และการจัดเก็บคำยินยอม
5.กำหนดผู้รับผิดชอบในการจัดการและขั้นตอนเมื่อมีการร้องขอ (Data subject rights) รวมถึงกำหนดขอบเขตว่าคำร้องใดที่มีสิทธิหรือไม่มีสิทธิที่จะดำเนินการ
6.วางแผนและกำหนดผู้รับผิดชอบในการรายงานเหตุการณ์การละเมิดต่าง ๆ
7.จัดทำรายการบุคคลที่สาม และประมินความเสี่ยงที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล รวมทั้งจัดเตรียมข้อตกลงการประมวลผลข้อมูล (Data processing agreement)
8.ฝึกอบรมและให้ความรู้พนักงานเกี่ยวกับ PDPA เพื่อจะได้รับทราบถึงความสำคัญและบทบาทที่ต้องปฏิบัติตาม
จากการกำหนดกฎหมายข้อมูลส่วนบุคคล (PDPA) ทำให้หลายองค์กรให้ความสนใจในเรื่องของการเพิ่มความมั่นคงปลอดภัยให้กับระบบ IT ขององค์กรเพื่อลดโอกาสข้อมูลรั่วไหลออกไป เพราะไม่ว่าข้อมูลเหล่านั้นจะรั่วจากความผิดพลาดของกระบวนการทำงาน หรือจากการถูกโจมตี ก็ทำให้เกิดความเสียหายกับองค์กรได้ ทั้งในเรื่องของข้อมูล ชื่อเสียง และความไว้ใจของลูกค้า
โปรวัน ไอที ขอนำเสนอ SmartSecure โซลูชันที่รองรับกฎหมายข้อมูลส่วนบุคคล (PDPA) เพื่อปกป้องข้อมูลขององค์กร
SmartSecure เป็นโซลูชั่นที่ทำงานบน Cloud ทำให้ผู้ใช้บริการสามารถมั่นใจได้ว่ามีความมั่นคงปลอดภัยภายใต้การดูแลอย่างมืออาชีพ โดยผู้ใช้บริการไม่ต้องจัดหาอุปกรณ์สำหรับการติดตั้ง SmartSecure ซึ่งจะช่วยลดภาระเรื่องค่าใช้จ่ายในการบริหารจัดการลง ในขณะเดียวกันได้เพิ่มความปลอดภัยข้อมูลขององค์กรในระดับที่สูงขึ้น ให้คุณวางใจในความปลอดภัยทางด้านข้อมูลธุรกิจ ไม่ว่าพนักงานของคุณจะทำงานที่ใด
สำหรับผู้ที่สนใจโซลูชั่น SmartSecure เสริมความมั่นคงปลอดภัยให้องค์กร สามารถติดต่อทีมงาน PRO ONE IT ได้ทันที Tel. 02 619 2161 กด 1 (ฝ่ายขาย)
Email : Sales@professional-one.com
Line@ : Proonesales หรือคลิกลิงค์
Website : https://www.poit.co.th/