ใกล้ครบกำหนด 1 ปี ที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเริ่มมีผลบังคับใช้ ปลายเดือนพฤษภาคม 2563 นี้แล้ว เชื่อว่าหลายองค์กร ต่างก็เตรียมความพร้อมและเร่งมือในการทำตามข้อกำหนด
Blog ก่อนหน้านี้ เราได้พูดถึงสาระสำคัญในพ.ร.บ. ที่เกี่ยวกับสิทธิ์ของเจ้าของข้อมูลและสิ่งที่ผู้เก็บข้อมูลพึงกระทำและระวังเพื่อไม่ให้เป็นการละเมิดกฎหมาย ซึ่งมีบทลงโทษทั้งทางแพ่งและทางอาญา
ในภาคนี้ เราจะเน้นเรื่องคนในองค์กร ก่อนอื่นเราต้องเช็คว่า หน่วยงานของคุณเข้าข่ายต้องทำตาม พ.ร.บ. นี้หรือไม่
ใน พ.ร.บ. ได้ระบุหน้าที่ของผู้ที่มีส่วนสำคัญ 3 ฝ่าย ได้แก่
1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เป็นบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
2. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เป็นผู้ที่องค์กรจะต้องแต่งตั้งขึ้นมา หากเป็นหน่วยงานรัฐหรือหน่วยงานที่มีข้อมูลส่วนบุคคลจำนวนมาก หรือมีการใช้ข้อมูลส่วนบุคคลที่ sensitive
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) เป็นบุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวจะต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
หากจะอธิบายให้เข้าใจง่ายก็คือ ถ้าคุณมีการเก็บและใช้ข้อมูลที่ทำให้สามารถระบุตัวตนได้ อย่าง ชื่อ, เบอร์โทร, รูปภาพ, ประวัติส่วนตัวทุกอย่าง หรือต้องประมวลผลข้อมูลลูกค้าของลูกค้า หรือแม้ธุรกิจจะอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับคนในประเทศไทย มีการใช้และรับข้อมูล ไม่ว่าจะผ่านอีเมล เว็บไซต์ โซเชียลมีเดีย ไปรษณีย์ หรือช่องทางอื่นใด ยินดีด้วยค่ะ คุณเข้าข่ายที่จะต้องปฎิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ทีนี้แต่ละองค์กรต้องมาดูว่า แผนกใดที่ต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลบ้าง ซึ่งประเด็นหลักที่ต้องพิจารณาคือ “ข้อมูลทุกอย่างที่เก็บและใช้ ต้องได้รับความยินยอมจากเจ้าของข้อมูล” หรือที่เราเรียกว่าการทำ consent ว่าจะเก็บข้อมูลเพื่ออะไร นำไปใช้ทำอะไร มีการแจ้งวัตถุประสงค์ และให้รายละเอียดในการเก็บข้อมูลที่ชัดเจนสำหรับการนำไปใช้แต่ละครั้ง ทั้งยังต้องให้สิทธิ์แก่เจ้าของข้อมูลเมื่อใดก็ตามที่ต้องการถอนความยินยอม
ตัวอย่างข้อมูลส่วนบุคคลที่แต่ละแผนกในองค์กรเกี่ยวข้อง ได้แก่
1. ฝ่ายทรัพยากรบุคคล มีข้อมูลพนักงาน ไม่ว่าจะเป็น ประวัติส่วนตัว ข้อมูลด้านสุขภาพ สัญญาจ้างงาน รวมถึงข้อมูลของผู้สมัครงาน เช่น Resume, CV, ใบสมัคร เป็นต้น
2. ฝ่ายการตลาด และประชาสัมพันธ์ มีการเก็บข้อมูลลูกค้า เช่น ฐานข้อมูลติดต่อ มีการทำแคมเปญและกิจกรรมการตลาด อาทิ การส่งจดหมายข่าว ส่งแบบสอบถาม ส่งหมายเชิญมางานอีเว้นท์ เป็นต้น
3. ฝ่ายขาย มีข้อมูลลูกค้า ข้อมูลผู้สนใจสินค้า
4. ฝ่ายกฎหมาย มีการเขียนสัญญา ข้อตกลง การออกนโยบายต่างๆ ขององค์กร เพื่อรองรับเรื่องความปลอดภัยของข้อมูลส่วนบุคคล
5. ฝ่ายไอที ผู้ดูแลระบบ จะต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม
ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องมีโซลูชั่นด้านความปลอดภัยของข้อมูลที่มารองรับทุกช่องทาง ไม่ว่าจะเป็น Server, Storage, Database, Application, Network Firewall, Website, Email Gateway ฯลฯ
แม้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนี้จะส่งผลกับภาพรวมองค์กร เพราะทุกแผนกที่เกี่ยวข้องจะต้องเข้าใจและปฎิบัติตามพร้อมๆ กัน แต่ถ้ามีระบบหลังบ้านที่ดี ก็ย่อมเป็นตัวช่วยสำคัญในการจัดการให้ง่ายและราบรื่นยิ่งขึ้น
สตรีมฯ เราทำด้าน Cybersecurity มายาวนานค่ะ และมีประสบการณ์วางระบบรักษาความปลอดภัยด้านไอทีให้กับหลายภาคส่วน เรามีโซลูชั่นด้านความปลอดภัยของข้อมูลที่ครบครัน มาดูกันว่าเราทำอะไรที่เกี่ยวข้องกับการป้องกันดูแลข้อมูลส่วนบุคคลบ้างค่ะ
สนใจติดต่อฝ่ายการตลาดได้ที่อีเมล Marketing@stream.co.th หรือโทร. 092-283-5904 นะคะ
