7 สิ่งที่ผู้ประกอบการต้องเตรียมพร้อมเพื่อรองรับ PDPA

ข้อมูลส่วนบุคคลไม่ว่าจะเป็น  ชื่อ-นามสกุล   หมายเลขโทรศัพท์   ที่อยู่   อีเมล  หมายเลขบัตรประจำตัวประชาชน   รูปถ่าย   ประวัติการทำงาน   อายุ    และรวมไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว   เช่น  เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ  ลัทธิ  ศาสนา  พฤติกรรมทางเพศ  ประวัติอาชญากรรม  ข้อมูลด้านสุขภาพ   ข้อมูลทางพันธุกรรม และข้อมูลทางชีวภาพ  สิ่งเหล่านี้ล้วนแล้วแต่จะได้รับความคุ้มครองจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  หรือ  PDPA  ที่ย่อมาจาก  Personal Data Protection Act  ที่จะมีผลบังคับในวันที่ 27 พฤษภาคม 2563 โดยองค์กรหรือหน่วยงานไม่ว่าจะจากภาครัฐหรือเอกชนที่มีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้าหรือประชาชน  ต้องไม่นำเอาข้อมูลส่วนบุคคลเหล่านี้ไปใช้ในกิจกรรมอื่น ๆ ที่ไม่ได้รับความยินยอม


สำหรับผู้ประกอบการที่ได้เก็บรวบรวมข้อมูลของลูกค้า  พนักงาน  ลูกจ้างภายในองค์กรไว้ จะต้องทำความเข้าใจรายละเอียดของ พ.ร.บ.ฉบับนี้   เพราะถ้าหากจัดเก็บข้อมูลไม่ถูกต้อง  ไม่ได้รับความยินยอมจากเจ้าของข้อมูล  รวมไปถึงการนำข้อมูลไปใช้หรือเอาไปเปิดเผยโดยไม่ตรงตามข้อกฎหมาย    อาจมีความเสี่ยงที่จะทำผิดกฎหมาย และมีบทลงโทษทั้งทางแพ่ง  อาญาและโทษทางปกครองอีกด้วย  ฉะนั้นจากนี้ไปไม่ว่าจะเก็บข้อมูลส่วนบุคคลมาตั้งแต่ก่อนที่จะมี  พ.ร.บ. หรือเคยได้รับความยินยอมมาก่อนหน้าจะไม่ถือว่าเป็นการให้ความยินยอมตลอดไป  หรือจะนำเอาไปใช้อย่างไรก็ได้เหมือนแต่ก่อน  ดังนั้นผู้ประกอบการจำเป็นจะต้องเตรียมตัวให้พร้อมสำหรับการบังคับใช้กฎหมาย  PDPA  ดังนี้  

pdpa

  1. ศึกษาข้อกฎหมาย  รวมไปถึงทำความเข้าใจบทบาทหน้าที่ต่าง ๆ ตามที่กฎหมายระบุให้ละเอียด

  2. จัดทำข้อกำหนดและนโยบายต่างๆ ขององค์กรในการจัดเก็บข้อมูลภายใน  โดยต้องมีการทบทวนและปรับปรุงข้อมูลที่มีอยู่ให้เป็นปัจจุบันเสมอ  

  3. ระบุขั้นตอนในการจัดเก็บข้อมูลให้เป็นมาตรฐาน  รวมไปถึงการมีแบบฟอร์มหรือระบบรองรับที่ใช้ในองค์กรในการขอรับความยินยอม

  4. กำหนดระเบียบและหลักเกณฑ์ต่างๆ ในองค์กร ทั้งการเก็บรวบรวมข้อมูล  การใช้  และการเปิดเผยข้อมูลส่วนบุคคล  ให้สอดคล้องกับกฎหมาย   ตลอดจนกำหนดมาตรการในการแก้ปัญหา  กรณีที่มีการล่วงละเมิดข้อมูลส่วนบุคคลหรือเกิดการรั่วไหลของข้อมูล

  5. จัดทำระบบที่ช่วยให้การจัดเก็บข้อมูลส่วนบุคคลปลอดภัยและมีประสิทธิภาพ

  6. ให้ความรู้อบรมกับบุคลากรภายในองค์กร  เกี่ยวกับความสำคัญของข้อมูลส่วนบุคคลให้เข้าใจในหลักการ  และนำไปใช้ในการทำงานได้ถูกต้องตามกฎหมาย

  7. แต่งตั้งและมอบหมายผู้รับผิดชอบภายในองค์กรที่มีการเก็บและใช้ข้อมูลส่วนบุคคลหรือที่เรียกว่า Data Controller (ผู้ควบคุมข้อมูลส่วนบุคคล)  เพื่อดำเนินการให้สอดคล้องตามกฎหมาย  

แม้ว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเป็นกฎหมายใหม่สำหรับผู้ประกอบการไทย   แต่เป็นสิ่งที่ทุกองค์กรต้องปรับตัวให้ทัน   เพราะถ้าหากมีการละเมิดข้อมูลส่วนบุคคลทั้งที่ตั้งใจหรือไม่ก็ตามจะมีความผิดตามกฎหมาย ซึ่งจะส่งผลเสียหายต่อภาพลักษณ์และความน่าเชื่อถือขององค์กรในระยะยาวต่อไป

 

ข้อมูล :

https://www.everydaymarketing.co

https://www.fusionsol.com/blog/pdpa-%E0%B8%84%E0%B8%B7%E0%B8%AD/