PDPA ความเสี่ยง ...ที่ต้องรับมือ

ความเข้าใจผิด PDPA หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 ที่คิดว่าไม่น่าจะมีอะไร

ลองทบทวนใหม่อีกที!!

PDPA ความสำคัญ

เป็นที่ชัดเจนแล้วว่าตั้งแต่ 1 มิ.ย. 2565 เป็นต้นไป ประธานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล นายเธียรชัย ณ นคร ประกาศเดินหน้าประเทศไทยจะบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือที่นิยมเรียกว่า PDPA ซึ่งเป็นคำย่อมาจาก Personal Data Protection Act ธุรกิจใหญ่น้อยจะต้องสะเทือนเลื่อนลั่นหรือเป็นเพียงแค่ลมกรรโชกวูบเดียว ถ้าคุณคิดอย่างนั้นถือว่ากำลังอยู่ในภาวะความเสี่ยงขั้นสูงสุด เพราะถึงแม้ว่าประธานคณะกรรมการจะเน้นสร้างการรับรู้ ไม่มีบทลงโทษก็ตาม (ข่าวจากกรุงเทพธุรกิจ 13 เม.ย. 2565) แต่หากเกิดการละเมิดหรือสืบทราบได้ว่าข้อมูลส่วนบุคคลของลูกค้ารั่วไหลมาจากองค์กรของท่าน การฟ้องร้องดำเนินคดีทางแพ่งหรืออาญาอาจมีตามมาอย่างหลีกเลี่ยงไม่ได้ เพราะความเสียหายเกิดขึ้นกับลูกค้า ไม่ได้เกิดขึ้นกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยตรง กลายเป็นความเสี่ยงที่ต้องแบกรับด้วยความไม่พร้อมที่จะรับมือ เนื่องจาก พรบ. ฉบับนี้ได้ให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคลหลายประการ รวมทั้งสิทธิในการฟ้องร้องดำเนินคดี ซึ่งมีโทษปรับไม่เกิน 5,000,000 บาท และจำคุกไม่เกิน 5 ปี หรือทั้งจำทั้งปรับ

โอกาสความเป็นไปได้ที่จะโดนฟ้องร้อง

ความคิดง่าย ๆ ที่หลายคนชอบเข้าข้างตัวเอง เช่น 

  • “ไม่ต้องรีบหรอก รอดูคนอื่นเค้าไปก่อน ยังไงก็ยังไม่ปรับ”
  • “เค้าจะรู้ได้ไงว่าข้อมูลรั่วจากเรา”
  • “ใครจะอยากฟ้องร้อง ค่อยพูดค่อยจากันเดี๋ยวก็จบ”
ความคิดทำนองนี้คล้ายกับการขับรถออกจากบ้านโดยไม่มีใบขับขี่ แม้กฎหมายจะบังคับให้ต้องพกใบขับขี่ออกไปด้วยก็ตาม ถ้าไม่เกิดอุบัติเหตุหรือเจอด่านตรวจก็คงไม่มีใครรู้ ไม่มีการจับปรับ แต่จริงๆมันผิดกฎหมายตั้งแต่พ้นรั้วประตูบ้านแล้ว โชคดีที่ทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ไม่มีนโยบายตั้งด่านตรวจจับ แต่ท่านจะควบคุมอุบัติเหตุได้อย่างไร คงต้องพึ่งดวง!
 

PDPA สิ่งที่ต้องทำ

เกิดเรื่องแล้วค่อยทำ PDPA ได้ไหม ?

อย่างที่บอก ถ้า เกิดอุบัติเหตุหรือเจอด่านตรวจแล้วค่อยไปสอบใบขับขี่ ไม่น่าจะทันนะ

ท่านทราบไหมว่า เอกสารหรือแบบฟอร์มที่จำเป็นต้องเตรียมรองรับกฎหมาย PDPA ของแต่ละหน่วยงานประกอบด้วย 17 หัวข้อ ดังต่อไปนี้

  1. แบบฟอร์มขอความยินยอม (Consent Form)
  2. คำประกาศ/นโยบายความเป็นส่วนตัว (Privacy Notice/Privacy Policy)
  3. แบบคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Request Form)
  4. นโยบายคุกกี้ (Cookie Policy)
  5. หนังสือแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Notification)
  6. บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record Of Processing Activities)
  7. หนังสือแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer Appointment)
  8. หนังสือตอบกลับการใช้สิทธิของเจ้าของข้อมูล (Data Subject Rights Responding)
  9. ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement)
  10. ข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Personal Data Sharing Agreement)
  11. นโยบายคุ้มครองข้อมูลส่วนบุคคลของกิจการในเครือ (Binding Corporate Rules)
  12. ข้อสัญญาว่าด้วยกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA Clauses in Contracts)
  13. แบบประเมินผลกระทบความเสี่ยงข้อมูลส่วนบุคคล (Data Protection Impact Assessment)
  14. เอกสารประเมินฐานการใช้ประโยชน์อันชอบธรรม (Legitimate Interest Assessment)
  15. นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของข้อมูล (Data Security)
  16. แผนภูมิการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลขององค์กร (Business Flow Process)
  17. สำหรับหน่วยงานที่มีการติดตั้งกล้องวงจรปิด ควรติดตั้งป้ายคำเตือน (CCTV Warning Message) แจ้งให้ทราบโดยชัดเจนด้วย
ประมาณ 17 รายการที่ต้องเตรียมให้พร้อม อาจมีลดหย่อนบ้างสำหรับกิจการธรรมดาทั่วไป เช่น เรื่องของกิจการในเครือ เป็นต้น 

Copy & Paste นโยบายหรือแบบฟอร์ม

หลายคนอาจคิดเองเออเองทำนองว่า ก็เห็นมีแต่เอกสารทั้งนั้น รอให้คนอื่นทำ PDPA เสร็จแล้วไปขอลอกหรือซื้อต่อจากคนอื่นก็น่าจะสะดวกรวดเร็วทันใจดี แนวคิดแบบนี้ยิ่งเพิ่มความเสี่ยงให้ตัวเองมากขึ้นไปอีก เพราะลักษณะของกิจการ รายละเอียด ไปจนถึงวัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคลของลูกค้า มักมีความแตกต่างกัน ตั้งแต่ระดับเล็กน้อยไปจนถึงมาก 

นี่ยังไม่ได้พูดถึงการนำข้อมูลนั้นไปใช้ ไปประมวลผล ทำรายงาน ส่งต่อหรือเปิดเผยให้ใครบ้าง เมื่อเป็นเช่นนี้ “รายละเอียดในนโยบาย/แบบฟอร์มที่เค้าเขียนไว้แต่เราไม่มี” หรือบางเรื่องเรามีแต่เค้าไม่ได้เขียนถึง ก็เสมือน “พกใบขับขี่ปลอมออกไปขับรถ” คงนึกฉากต่อไปออกนะ

ตัวอย่างง่าย ๆ ที่อาจช่วยให้มองเห็นเป็นรูปธรรมมากขึ้น เช่น “บริษัทเค้าไม่ได้ติดกล้องวงจรปิด แต่ของเราติดตั้งกล้องวงจรปิดทั้งภายในและภายนอกบริษัท” โดยไม่มีคำประกาศหรือนโยบายอะไรอ้างถึงเลย อย่างนี้เป็นการถือวิสาสะเก็บข้อมูลส่วนบุคคลโดยพลการ เจ้าของข้อมูลส่วนบุคคลที่เดินตัดหน้ากล้องไป ๆ มา ๆ เค้าจะว่าไง คงต้องลุ้นกันหน่อย

หากท่านลองทำ PDPA อย่างสุดความสามารถแล้ว ยังไม่แน่ใจว่าใช้ได้หรือไม่? ครบถ้วนสมบูรณ์หรือเหมาะสมหรือไม่? ลองติดต่อสอบถามหรือส่งรายละเอียดให้ทีมงาน PDPA Consult ช่วยตรวจสอบอีกแรงตามที่อยู่ด้านล่างได้นะครับ

กลับไปยัง คลังความรู้ PDPA ทั้งหมด

ปรึกษาผู้เชี่ยวชาญด้าน PDPA ฟรี

ที่ปรึกษาในการจัดทำพีดีพีเอ (พีดีพีเอ คอนซัลแตนท์)
สอบถามข้อมูลเกี่ยวกับการสัมมนาและเทรนนิ่ง PDPA
ขอใบเสนอราคา และสอบถามบริการ PDPA

ติดต่อหาเราตอนนี้

ปรึกษาผู้เชี่ยวชาญด้าน PDPA ฟรี

ปรึกษาข้อมูลด้าน PDPA สอบถามข้อมูลเกี่ยวการสัมมนาและให้เทรนนิ่งให้ความรู้ด้าน PDPA ฟรี ขอใบเสนอราคา และสอบถามบริการด้าน PDPA

ติดต่อหาเราตอนนี้