PDPA ความเสี่ยง ...ที่ต้องรับมือ
ความเข้าใจผิด PDPA หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 ที่คิดว่าไม่น่าจะมีอะไร
ลองทบทวนใหม่อีกที!!
PDPA ความสำคัญ
เป็นที่ชัดเจนแล้วว่าตั้งแต่ 1 มิ.ย. 2565 เป็นต้นไป ประธานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล นายเธียรชัย ณ นคร ประกาศเดินหน้าประเทศไทยจะบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือที่นิยมเรียกว่า PDPA ซึ่งเป็นคำย่อมาจาก Personal Data Protection Act ธุรกิจใหญ่น้อยจะต้องสะเทือนเลื่อนลั่นหรือเป็นเพียงแค่ลมกรรโชกวูบเดียว ถ้าคุณคิดอย่างนั้นถือว่ากำลังอยู่ในภาวะความเสี่ยงขั้นสูงสุด เพราะถึงแม้ว่าประธานคณะกรรมการจะเน้นสร้างการรับรู้ ไม่มีบทลงโทษก็ตาม (ข่าวจากกรุงเทพธุรกิจ 13 เม.ย. 2565) แต่หากเกิดการละเมิดหรือสืบทราบได้ว่าข้อมูลส่วนบุคคลของลูกค้ารั่วไหลมาจากองค์กรของท่าน การฟ้องร้องดำเนินคดีทางแพ่งหรืออาญาอาจมีตามมาอย่างหลีกเลี่ยงไม่ได้ เพราะความเสียหายเกิดขึ้นกับลูกค้า ไม่ได้เกิดขึ้นกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยตรง กลายเป็นความเสี่ยงที่ต้องแบกรับด้วยความไม่พร้อมที่จะรับมือ เนื่องจาก พรบ. ฉบับนี้ได้ให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคลหลายประการ รวมทั้งสิทธิในการฟ้องร้องดำเนินคดี ซึ่งมีโทษปรับไม่เกิน 5,000,000 บาท และจำคุกไม่เกิน 5 ปี หรือทั้งจำทั้งปรับ
โอกาสความเป็นไปได้ที่จะโดนฟ้องร้อง
ความคิดง่าย ๆ ที่หลายคนชอบเข้าข้างตัวเอง เช่น
- “ไม่ต้องรีบหรอก รอดูคนอื่นเค้าไปก่อน ยังไงก็ยังไม่ปรับ”
- “เค้าจะรู้ได้ไงว่าข้อมูลรั่วจากเรา”
- “ใครจะอยากฟ้องร้อง ค่อยพูดค่อยจากันเดี๋ยวก็จบ”
PDPA สิ่งที่ต้องทำ
เกิดเรื่องแล้วค่อยทำ PDPA ได้ไหม ?
อย่างที่บอก ถ้า เกิดอุบัติเหตุหรือเจอด่านตรวจแล้วค่อยไปสอบใบขับขี่ ไม่น่าจะทันนะ
ท่านทราบไหมว่า เอกสารหรือแบบฟอร์มที่จำเป็นต้องเตรียมรองรับกฎหมาย PDPA ของแต่ละหน่วยงานประกอบด้วย 17 หัวข้อ ดังต่อไปนี้
- แบบฟอร์มขอความยินยอม (Consent Form)
- คำประกาศ/นโยบายความเป็นส่วนตัว (Privacy Notice/Privacy Policy)
- แบบคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Request Form)
- นโยบายคุกกี้ (Cookie Policy)
- หนังสือแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Notification)
- บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record Of Processing Activities)
- หนังสือแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer Appointment)
- หนังสือตอบกลับการใช้สิทธิของเจ้าของข้อมูล (Data Subject Rights Responding)
- ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement)
- ข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Personal Data Sharing Agreement)
- นโยบายคุ้มครองข้อมูลส่วนบุคคลของกิจการในเครือ (Binding Corporate Rules)
- ข้อสัญญาว่าด้วยกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA Clauses in Contracts)
- แบบประเมินผลกระทบความเสี่ยงข้อมูลส่วนบุคคล (Data Protection Impact Assessment)
- เอกสารประเมินฐานการใช้ประโยชน์อันชอบธรรม (Legitimate Interest Assessment)
- นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของข้อมูล (Data Security)
- แผนภูมิการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลขององค์กร (Business Flow Process)
- สำหรับหน่วยงานที่มีการติดตั้งกล้องวงจรปิด ควรติดตั้งป้ายคำเตือน (CCTV Warning Message) แจ้งให้ทราบโดยชัดเจนด้วย
Copy & Paste นโยบายหรือแบบฟอร์ม
หลายคนอาจคิดเองเออเองทำนองว่า ก็เห็นมีแต่เอกสารทั้งนั้น รอให้คนอื่นทำ PDPA เสร็จแล้วไปขอลอกหรือซื้อต่อจากคนอื่นก็น่าจะสะดวกรวดเร็วทันใจดี แนวคิดแบบนี้ยิ่งเพิ่มความเสี่ยงให้ตัวเองมากขึ้นไปอีก เพราะลักษณะของกิจการ รายละเอียด ไปจนถึงวัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคลของลูกค้า มักมีความแตกต่างกัน ตั้งแต่ระดับเล็กน้อยไปจนถึงมาก
นี่ยังไม่ได้พูดถึงการนำข้อมูลนั้นไปใช้ ไปประมวลผล ทำรายงาน ส่งต่อหรือเปิดเผยให้ใครบ้าง เมื่อเป็นเช่นนี้ “รายละเอียดในนโยบาย/แบบฟอร์มที่เค้าเขียนไว้แต่เราไม่มี” หรือบางเรื่องเรามีแต่เค้าไม่ได้เขียนถึง ก็เสมือน “พกใบขับขี่ปลอมออกไปขับรถ” คงนึกฉากต่อไปออกนะ
ตัวอย่างง่าย ๆ ที่อาจช่วยให้มองเห็นเป็นรูปธรรมมากขึ้น เช่น “บริษัทเค้าไม่ได้ติดกล้องวงจรปิด แต่ของเราติดตั้งกล้องวงจรปิดทั้งภายในและภายนอกบริษัท” โดยไม่มีคำประกาศหรือนโยบายอะไรอ้างถึงเลย อย่างนี้เป็นการถือวิสาสะเก็บข้อมูลส่วนบุคคลโดยพลการ เจ้าของข้อมูลส่วนบุคคลที่เดินตัดหน้ากล้องไป ๆ มา ๆ เค้าจะว่าไง คงต้องลุ้นกันหน่อย
หากท่านลองทำ PDPA อย่างสุดความสามารถแล้ว ยังไม่แน่ใจว่าใช้ได้หรือไม่? ครบถ้วนสมบูรณ์หรือเหมาะสมหรือไม่? ลองติดต่อสอบถามหรือส่งรายละเอียดให้ทีมงาน PDPA Consult ช่วยตรวจสอบอีกแรงตามที่อยู่ด้านล่างได้นะครับ
ปรึกษาผู้เชี่ยวชาญด้าน PDPA ฟรี
ที่ปรึกษาในการจัดทำพีดีพีเอ (พีดีพีเอ คอนซัลแตนท์)
สอบถามข้อมูลเกี่ยวกับการสัมมนาและเทรนนิ่ง PDPA
ขอใบเสนอราคา และสอบถามบริการ PDPA
ปรึกษาผู้เชี่ยวชาญด้าน PDPA ฟรี
ปรึกษาข้อมูลด้าน PDPA สอบถามข้อมูลเกี่ยวการสัมมนาและให้เทรนนิ่งให้ความรู้ด้าน PDPA ฟรี ขอใบเสนอราคา และสอบถามบริการด้าน PDPA