Blog > How to เตรียมความพร้อมรับกฎหมาย PDPA ถึงเวลาที่ธุรกิจต้องตื่นตัว How to เตรียมความพร้อมรับกฎหมาย PDPA ถึงเวลาที่ธุรกิจต้องตื่นตัว 6 days ago Share กฎหมาย PDPA (Personal Data Protection Act) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเริ่มบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 นี้ สำหรับ PDPA เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ ธุรกิจอะไรบ้างที่ต้องปฏิบัติตามกฎหมาย PDPA จะเห็นได้ว่าองค์กรที่มีการจัดเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคล เพื่อใช้ประกอบธุรกิจ ไม่ว่าจะเป็นข้อมูลส่วนบุคคลของลูกค้า ข้อมูลส่วนบุคคลของพนักงานในองค์กร ข้อมูลส่วนบุคคลของคู่ค้า (Vendor) เรียกได้ว่าแทบจะทุกธุรกิจที่มีข้อมูลส่วนบุคคลเหล่านี้อยู่ในครอบครอง ไม่ว่าจะเป็นธุรกิจขนาดเล็กหรือขนาดใหญ่ จำเป็นต้องปฏิบัติตาม PDPA ทั้งสิ้น PDPA Compliance Guideline คืออะไร PDPA Compliance Guideline เป็นขั้นตอนการเตรียมตัวสำหรับองค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคล เนื่องจากกฎหมาย PDPA กำหนดให้การดำเนินงานขององค์กรต้องสอดคล้องกับ PDPA องค์กรจึงจำเป็นต้องเตรียมนโยบาย จัดทำเอกสารทางกฎหมาย วางมาตรการความปลอดภัยเพื่อคุ้มครองข้อมูลส่วนบุคคลทั้งของลูกค้าและพนักงาน รวมทั้งสร้างความรับรู้และความเข้าใจเรื่อง PDPA ให้กับบุคลากรในองค์กร Guideline นี้จึงถือว่าเป็นตัวช่วยที่เตรียมความพร้อมให้กับองค์กรก่อนที่กฎหมาย PDPA บังคับใช้เต็มรูปแบบในปีหน้า ทำไมถึงต้องมี PDPA Compliance Guideline การปฏิบัติตาม PDPA มีรายละเอียดตามกฎหมายปลีกย่อยมากมาย นอกจากนี้ยังมีวิธีปฏิบัติจากผู้เชี่ยวชาญ PDPA หากองค์กรที่ไม่มีความรู้ความเข้าใจอาจต้องใช้เวลาเตรียมการมากกว่า 2-3 เดือนขึ้นไป ดังนั้น Guideline จึงมีข้อดีและประโยชน์ต่อองค์กรที่ต้องการจัดทำ PDPA หลายด้าน เช่น สะดวก มีขั้นตอนการเตรียมการเพื่อจัดทำตาม PDPA อย่างชัดเจน จัดทำ PDPA ได้รวดเร็วมากขึ้น เกิดความปลอดภัยต่อข้อมูลส่วนบุคคลที่องค์กรดูแล ลดความเสี่ยงการได้รับโทษทางกฎหมาย เพิ่มความน่าเชื่อถือให้กับองค์กร เริ่มเตรียมความพร้อมก่อน จึงได้เปรียบกว่าองค์กรอื่นที่เริ่มช้ากว่า สรุปขั้นตอนสำหรับองค์กรที่ต้องการทำ PDPA กฎหมาย PDPA กำหนดว่าเมื่อองค์กรได้ข้อมูลส่วนบุคคลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย โดยขั้นตอนสำคัญที่องค์กรต้องมีเพื่อเตรียมความพร้อมตาม PDPA มีดังนี้ 1. ตรวจสอบว่าองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลอะไรบ้าง 2. จัดทำบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity: ROPA) ซึ่งเป็นเอกสารสำคัญสำหรับการใช้หรือประมวลผลข้อมูลส่วนบุคคลเพื่อให้เกิดความโปร่งใส โดยใช้บันทึกรายละเอียดการจัดเก็บข้อมูล ว่ามีวัตถุประสงค์เพื่ออะไร และมีใครที่เกี่ยวข้องบ้าง 3. จัดทำเอกสารทางกฎหมายเพื่อลดความเสี่ยงในการเกิดข้อพิพาทจากการไม่ปฏิบัติให้เป็นไปตาม PDPA เช่น การจัดทำ Privacy Policy หรือการแจ้งขอ Consent ผ่าน Privacy Notice เป็นต้น 4. บริหารจัดการข้อมูลภายในองค์กร โดยวางระบบจัดการและขั้นตอนการใช้ข้อมูลส่วนบุคคลภายในองค์กร 5. สร้างความตระหนักและความรู้ให้บุคลากรภายในองค์กร 6. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) องค์กรที่เตรียมพร้อมเพื่อปฏิบัติตามกฎหมาย PDPA แต่เนิ่นๆ จะทำให้ได้เปรียบคู่แข่ง สิ่งที่เป็นปัจจัยสำคัญคือข้อกฎหมายลำดับรองและแนวปฏิบัติที่ปรับเปลี่ยนตลอดเวลาและอาจมีการประกาศใช้เพิ่มเติมในอนาคต ซึ่งอาจทำให้ธุรกิจที่ไม่มีทีมกฎหมายหรือความเชี่ยวชาญเฉพาะด้านต้องเสียทรัพยากรในการศึกษา PDPA เพิ่มเติม รวมถึง อาจเกิดผลกระทบต่อแนวทางการจัดการขององค์กร You may also like Tutorials อะไรคือ Cookies consent ทำไมเจ้าของเว็บไซต์ต้องมี 1 week ago Tutorials จัดกิจกรรมแจกของบน Facebook อย่างไรหลัง PDPA บังคับใช้ 5 days ago Tutorials 5 เรื่องที่ต้องรู้เกี่ยวกับ Email Consent ใน PDPA 5 days ago More posts
