ปปป

สรุปการบรรยาย หัวข้อ Road to PDPA Compliance รู้เบื้องลึก เช็คความพร้อมกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

Road to PDPA Compliance

เมื่อวันที่ 6 พ.ค. 2564 ที่ผ่านมา บริษัท ไมโครซอฟท์ ประเทศไทย ร่วมกับ MISO และ EasyPDPA ได้รวบรวมข้อมูลและประเด็นสำคัญทั้งเชิงทฤษฎี และเชิงปฏิบัติในการนำเทคโนโลยีมาใช้ให้เป็นประโยชน์และเป็นการปฏิบัติตามกฎหมาย GDPR และ PDPA

โดยจัดการบรรยายผ่านระบบ e-Meeting หัวข้อ “Road to PDPA Compliance รู้เบื้องลึก เช็คความพร้อมกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” ซึ่งวิทยากรในการบรรยายครั้งนี้ ได้แก่

  1. คุณวรรณทิพา วงษ์สมุทร
    ผู้อำนวยการกลุ่มผลิตภัณฑ์ Modern Work บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด
  2. คุณอมรเชษฐ์ จินดาอภิรักษ์
    Co-Founder จาก EasyPDPA
  3. คุณธนพล พลาวงศ์
    Head of Cloud Business จาก MISO

โดยในการบรรยายได้มีการพูดถึงประเด็นต่างๆ โดยสรุปได้ ดังนี้

  • ช่วงที่ 1 : สรุปประเด็นควรรู้ และ การเตรียมตัวก่อนการเป็น DPO
    • DPO หรือ Data Protection Officer
      • คือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
      • เป็น “เจ้าภาพ” และคนที่คอย “กำกับดูแล” การทำงานด้าน PDPA ขององค์กร
    • ทุกบริษัทต้องแต่งตั้ง DPO ใช่หรือไม่
      • คำตอบ ไม่ใช่ทุกบริษัท มีแค่บางบริษัท บางองค์กรที่จำเป็นต้องมี DPO ตามกฎหมาย คือ
        • เป็นหน่วยงานรัฐ
        • ถ้ากิจกรรมหลักขององค์กรนั้นเป็นการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว
        • ถ้าเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมุลส่วนบุคคลจำนวนมาก
    • DPO ของบริษัท
      • แต่งตั้งคนภายในบริษัท หรือ ภายนอกบริษัทก็ได้
      • แต่งตั้งเป็นคนเดียว หรือ เป็นคณะทำงานก็ได้
      • ส่วนมากจะแต่งตั้งเป็นคณะทำงาน
        • โดยแต่งตั้งตัวแทนมาจากแต่ละแผนก/ฝ่ายที่มีการใช้ข้อมูลส่วนบุคคล ซึ่งทุกคนจะมีมุมมองในหลายด้านแตกต่างกันที่จะช่วยอธิบายกลุ่มคณะทำงานให้เข้าใจงานของแต่ละแผนก
        • ควรมีผู้บริหารระดับสูงเป็นประธานของคณะทำงาน เพื่อช่วยให้มีอำนาจในการสั่งการ
        • คณะทำงานควรรายงานตรงต่อคณะกรรมการบริษัท
    • คุณสมบัติของ DPO คือ มีความรู้ความเข้าใจ PDPA และการประมวลผลข้อมูลส่วนบุคคลทั้งหมดของบริษัท
    • DPO มีหน้าที่
      • ให้คำแนะนำเกี่ยวกับการปฏิบัติตาม PDPA
      • ตรวจสอบการทำงานขององค์กร/บริษัท
      • ตรวจสอบการทำงานของพนักงาน-ผู้รับจ้างขององค์กร/บริษัท เกี่ยวกับการปฏิบัติตาม PDPA
      • ประสานงาน รายงาน ชี้แจงและให้ความร่วมมือกับ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ( PDPC ) กรณีเกิดปัญหาหรือข้อร้องเรียน
      • รับเรื่องร้องเรียน หรือ การใช้สิทธิต่างๆ ของเจ้าของข้อมูล
    • หน้าที่-เอกสารสำคัญที่บริษัทต้องจัดทำ
      • N – Necessity คือ จัดทำ Record of Processing – ROP สำหรับแต่ละรายการประมวลผลข้อมูลส่วนบุคคล
      • N – Notify คือ จัดทำ Privacy Policy และ ขอความยินยอม ( Consent ) ในกรณีที่จำเป็น
      • P – Protect คือ จัดทำ Data Flows เพื่อการติดตามการไหลของข้อมูลภายใน-ภายนอกองค์กร, จัดฝึกอบรมพนักงานและบุคคลที่เกี่ยวข้องให้ตระหนักถึง PDPA, กำหนดหน้าที่ความรับผิดชอบในการรักษาความปลอดภัยข้อมูลให้พนักงานทุกคนปฏิบัติตาม, รายงานแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
      • R – Respect คือ จัดทำแบบฟอร์มการขอใช้สิทธิของเจ้าของข้อมูล และ บันทึกการใช้สิทธิของเจ้าของข้อมูล
  • ช่วงที่ 2 : 4 ขั้นตอนเตรียมความพร้อมด้านเทคโนโลยีเพื่อ PDPA
    • องค์กรควรมีมาตรการทางด้านเทคนิค และด้านการจัดการองค์กรที่เหมาะสม ซึ่งคำว่าเหมาะสมของแต่ละองค์กรไม่เหมือนกัน การที่จะรู้ว่าอะไรเหมาะสมกับองค์กรจะต้องทำการประเมินสิ่งที่องค์กรมีและขาด แล้วจึงจะสามารถสรุปได้ว่าควรทำอย่างไรให้เหมาะสมกับลักษณะขององค์กร
    • อย่างไรก็ตาม แนะนำให้ทำตาม Framework หรือ กรอบมาตรฐานใดก็ได้ที่ได้รับการรับรองแล้ว เพื่อองค์กรจะได้มีแนวทางในการปฏิบัติ และอุดช่องโหว่ขององค์กร
    • นอกจากนี้ได้มีการแนะนำเครื่องมือของ Microsoft โดยอิงตาม 4 ขั้นตอนในการปฏิบัติตาม PDPA ( 4 Steps to PDPA Compliance ) ได้แก่
      • Discover – การตรวจสอบและจำแนกประเภทข้อมูลส่วนบุคคลที่มีในองค์กร
      • Manage – ธรรมาภิบาลข้อมูล และการกำหนดกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
      • Protect – มาตรการปกป้องและคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยทางไซเบอร์
      • Report – มาตรการคุ้มครองข้อมูลส่วนบุคคลและการดำเนินการสิทธิของเจ้าของข้อมูล
  • ช่วงที่ 3 : Panel Discussion “5 สิ่งที่ต้องทำ พร้อมแนะนำ Action Plan”
    • ถ้าวันนี้องค์กรที่อาจจะยังไม่ได้มีความพร้อม หรืออาจจะเริ่มเตรียม PDPA ไปบ้างแล้ว ในมุมของ process เพื่อเตรียมตัวรองรับ PDPA คุณอมรเชษฐ์ได้แนะนำและเน้นย้ำ 4 ข้อดังต่อไปนี้
      • N – Necessity คือ ประเมินความจำเป็นในการเก็บข้อมูล หากข้อมูลใดไม่มีการใช้งานก็ไม่ควรเก็บ
      • N – Notify คือ แจ้งให้เจ้าของข้อมูลทราบ และขอความยินยอม
      • P – Protect คือ รักษาความปลอดภัยข้อมูลที่อยู่กับเรา
      • R – Respect คือ ใช้ข้อมูลเท่าที่จำเป็น ใช้ข้อมูลตามที่ได้แจ้งเจ้าของข้อมูล และเคารพสิทธิของเจ้าของข้อมูลเมื่อเจ้าของข้อมูลมาขอใช้สิทธิต่างๆ
    • หากข้อมูลลูกค้าของบริษัทโดนแฮก ใครเป็นคนผิด และถูกฟ้อง
      • คำตอบ ตามกฎหมาย PDPA บริษัทเป็นผู้มีความผิด และผู้ที่ถูกฟ้องคือ บริษัท เนื่องจากบริษัทเป็นผู้ควบคุมข้อมูล หรือ Data Controller ในขณะที่แฮกเกอร์จะมีความผิดตาม พ.ร.บ.อื่น
    • ในมุมของด้านเทคโนโลยี ควรทำอะไรก่อนเป็นอันดับแรก
      • คำตอบ ฝ่ายไอทีควรอยู่ในทีมประเมินความจำเป็นในการเก็บข้อมูล เพื่อทำความเข้าใจการทำงานของฝ่ายต่างๆ ซึ่งจะช่วยให้ฝ่ายไอทีวางแผนด้านเทคโนโลยีที่ตอบโจทย์ความต้องการของบริษัทได้อย่างเหมาะสม