PDPA manual

Page | 1

EDUCATE
เนื่องจากกฎหมายคุม้ ครองขอ้ มูลส่วนบุคคลน้นั เป็นเรื่องใหม่ มีคาศพั ทเ์ ฉพาะทางตา่ ง ๆ มากมาย เช่นผคู้ วบคุม

ขอ้ มูล, ผปู้ ระมวลผล, เจา้ ของขอ้ มูล เป็นตน้ การท่ีทีมงานจะสามารถดาเนินการให้องคก์ รของตนเองปฏิบตั ิตาม
กฎหมายไดน้ ้นั จาเป็นตอ้ งมีความรู้ความเขา้ ใจท้งั ในตวั กฎหมายและกระบวนการในการคุม้ ครองขอ้ มลู ส่วน
บคุ คล ดว้ ยเหตุน้ี ส่ิงที่ควรดาเนินการเพอ่ื ใหท้ ีมงานทุกคนเขา้ ใจความหมายของคาตา่ ง ๆ และเป้าหมายของ
โครงการจึงเป็นการให้ความรู้เสียก่อน โดยการจะใหค้ วามรู้แก่ทกุ คนในองคก์ รเลยก็จะเป็นเร่ืองที่ทาไดย้ าก
เพราะฉะน้นั ก่อนการดาเนินการจดั อบรมใหค้ วามรู้ควรมีการคดั เลือกทีมงาน โดยทีมงานที่จะมาเป็นส่วนนึงของ
การทา PDPA ควรมีบคุ ลากรดงั ต่อไปน้ี

TEAM UP

เจ้าหน้าทคี่ ุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO)
เนื่องจาก DPO เป็นผทู้ ี่ตอ้ งดูแลเรื่องการคุม้ ครองขอ้ มูลส่วนบุคคลโดยตรง จึงเป็นที่แน่นอนวา่ DPO จาเป็นตอ้ งเป็น
หน่ึงในทีมงานและควรเป็นหวั หนา้ โครงการในเร่ือง PDPA ในกรณีที่องคก์ รไมม่ ีการแตง่ ต้งั DPO หรือไม่
จาเป็นตอ้ งแตง่ ต้งั DPO อาจทาการเลือกเจา้ หนา้ ที่ท่ีมีความรู้เกี่ยวกบั กฎหมายคมุ้ ครองขอ้ มลู ส่วนบคุ คลมาทาหนา้ ที่
ดงั กล่าวในฐานะผนู้ าโครงการแทนซ่ึงโดยส่วนมากแลว้ มกั เป็นเจา้ หนา้ ที่จากทีมกฎหมาย ทีมไอที ทีมผตู้ รวจสอบ
ทีมกากบั ดูแล ทีมบริหารความเสี่ยง เป็นตน้
ตามประกาศท่ี 09/2565 เร่ือง ประกาศแตง่ ต้งั คณะทางานจดั ทาความคุม้ ครองขอ้ มลู ส่วนบุคคล บริษทั ไวส์ โลจิ
สติกส์ จากดั (ใหม้ ีการแตง่ ต้งั คณะทางานจดั ทาความคมุ้ ครองขอ้ มลู ส่วนบุคคล โดยมีคณะทางานและอานาจหนา้ ท่ี
ดงั ตอ่ ไปน้ี

Page | 2

คณะทางาน ชื่อ นามสกุล ตาแหน่ง
ท่ี คุณสมใจ ปรุ าชะโก หวั หนา้ คณะทางาน
1. คุณฐิติมา ตนั ติกุลสุนทร ที่ปรึกษา
2. คณุ สาวดี อศั วมานะ ท่ีปรึกษา
3. คุณอานาจ พวงรอด ผชู้ ่วยหวั หนา้ คณะทางาน
4. คณุ ชุรดา สวสั ด์ิโยธิน คณะทางาน
5. คุณชญานิศ อดิเทพสถิต คณะทางาน
6. คณุ ธนวฒั น์ กฐินทอง คณะทางาน
7. คณุ จีราณัฐ สุขเอม คณะทางาน
8. คุณสุนทรี พูลสมบตั ิ คณะทางาน
9. คณุ ธนิยา สกลุ หิรัญรักษ์ คณะทางาน
10. คุณธญั ชนก อษุ าสิริ คณะทางาน
11. คณุ นาพงศ์ ทองแคลว้ คณะทางาน
12.

เจา้ หนา้ ท่ีฝ่ายไอที
เนื่องจากขอ้ มลู ส่วนบคุ คลท่ีใชง้ านในปัจจุบนั ส่วนมากแลว้ เป็นขอ้ มูลท่ีถกู จดั เกบ็ ในรูปแบบดิจิทลั ซ่ึงกระบวนการ
และเทคโนโลยที ี่ใชจ้ ดั เก็บน้นั มกั มีหน่วยงานไอทีเป็นผูด้ ูแลท้งั ในเร่ืองของการติดต้งั การจดั ซ้ือจดั จา้ ง ตลอดจน
มาตรการการรักษาความปลอดภยั เช่น ระบบการควบคุมการเขา้ ถึง การเขา้ รหสั ขอ้ มูล การจดั เกบ็ ขอ้ มูล Log เป็นตน้
หน่วยงานไอทีจึงจาเป็นตอ้ งเป็นส่วนหน่ึงของทีมงาน PDPA เพ่อื ใหข้ อ้ มลู เชิงเทคนิคเก่ียวกบั ระบบที่มีการใชข้ อ้ มูล
ส่วนบุคคลและมาตรการการรักษาความปลอดภยั รวมถึงการส่งขอ้ มูลไปยงั หน่วยงานภายนอก เช่น ผใู้ หบ้ ริการ
ระบบคลาวด์ หรือ Software as a Service (SaaS) เป็นตน้

ผบู้ ริหารที่มีอานาจในการออกนโยบายหรือตวั แทนจากฝ่ายกากบั ดูแล
เน่ืองจากการทา PDPA น้นั จะมีการออกกฎระเบียบของบริษทั เพ่ือบงั คบั ใชแ้ ก่พนกั งาน การท่ีมีตวั แทนจากฝ่าย
กากบั ดูแลหรือฝ่ายบริหารเขา้ ร่วมจะช่วยลดระยะเวลาในการออกนโยบาย ท้งั น้ี ผบู้ ริหารควรเขา้ ใจเก่ียวกบั การใช้
ขอ้ มลู ส่วนบุคคลเพื่อใหก้ ารกาหนดทิศทางขององคก์ รในอนาคตสอดรับกบั การใหค้ วามสาคญั ในการคมุ้ ครอง
ขอ้ มูลส่วนบคุ คล

Page | 3

ตวั แทนจากฝ่ายที่มีการใชข้ อ้ มูลส่วนบุคคล (Champion)
นอกจากบุคลากรหลกั ท้งั 4 ขอ้ ดา้ นบนแลว้ ทีมงานควรมีการประสานงานฝ่ายต่าง ๆ ที่มีการใชข้ อ้ มลู ส่วนบุคคลใน
การดาเนินงาน เพ่อื ขอตวั แทนจากแต่ละฝ่ายในการทาหนา้ ท่ีใหข้ อ้ มลู เก่ียวกบั การใชข้ อ้ มลู ส่วนบุคคลตลอดจน
ประสานงานในดา้ นต่าง ๆ โดยทว่ั ไปแลว้ ฝ่ายที่มีการใชง้ านขอ้ มลู ส่วนบุคคลมกั ประกอบดว้ ย

1. ฝ่ายทรัพยากรบุคคล
2. ฝ่ายขายและการตลาด
3. ฝ่ายไอที
4. ฝ่ายการเงิน
5. ฝ่ายปฏิบตั ิการ
6. ฝ่ายตรวจสอบภายใน
7. ตวั แทนบริษทั ในกลมุ่

Training

หลงั จาก Setup ทีมงานและใหค้ วามรู้เก่ียวกบั กฎหมายคมุ้ ครองขอ้ มลู ส่วนบุคคลกนั เป็นที่เรียบร้อยแลว้ ข้นั ตอน
ตอ่ ไปคือ การรวบรวมขอ้ มูล (Explore) เนื่องจากในองคก์ รส่วนมากมกั มีการใชข้ อ้ มลู ส่วนบุคคลกนั ในหลาย
วตั ถุประสงคแ์ ยกกนั ไปตามลกั ษณะงานของแตล่ ะฝ่าย มีท้งั กรณีที่ใชข้ อ้ มลู จากแหล่งเดียวกนั และแบง่ ปันกนั
ระหวา่ งฝ่ายตา่ ง ๆ หรือเก็บรวบรวมข้ึนมาใหม่เองภายในฝ่าย ในจุดน้ีการท่ีไม่เห็นภาพรวมของการใชข้ อ้ มลู ส่วน
บคุ คลในองคก์ รน้นั จะทาใหก้ ารคมุ้ ครองขอ้ มูลส่วนบคุ คลลม้ เหลว และมีโอกาสที่มีการใชข้ อ้ มลู ส่วนบุคคลโดยท่ี
เจา้ หนา้ ที่ DPO ไม่รับทราบ ซ่ึงอาจนามาสู่การใชข้ อ้ มูลอยา่ งไม่ถกู ตอ้ งตามกฎหมาย ดว้ ยเหตุน้ีก่อนการดาเนินการ
ใด ๆ สิ่งแรกท่ีควรทานนั่ คือการเกบ็ รวบรวมการใชง้ านขอ้ มูลส่วนบุคคลของท้งั บริษทั ใหค้ รบถว้ นเสียก่อนดว้ ยการ

Page | 4

ทา Personal Data Assessment ซ่ึงการทา Personal Data Assessment น้นั จะเป็นการรวบรวมการใชข้ อ้ มูลส่วนบคุ คล
ในลกั ษณะของรายการกิจกรรมและบนั ทึกกิจกรรมท้งั หมดในรูปแบบของบนั ทึกกิจกรรมการประมวลผลขอ้ มูล
ส่วนบุคคล (Record of Processing Activity – ROPA) ตวั อยา่ งเช่น การรับสมคั รพนกั งาน ถือเป็นกิจกรรมหน่ึงมีท่ีมี
การใชข้ อ้ มลู ส่วนบุคคลของผสู้ มคั รงาน, การเกบ็ ขอ้ มูลสมาชิกลกู คา้ ถือเป็นอีกกิจกรรมที่มีการใชข้ อ้ มลู ส่วนบคุ คล
แต่เป็นขอ้ มูลของลกู คา้ เป็นตน้
ตามประกาศที่ 10/2565 เรื่อง แตง่ ต้งั เจา้ หนา้ ท่ีคมุ้ ครองขอ้ มูลส่วนบุคคล (Data Protection Officer : DPO)
บริษทั ไวส์ โลจิสติกส์ จากดั (มหาชน) และบริษทั ในกลมุ่
อาศยั อานาจตามความในมาตรา 41 และมาตรา 42 แห่งพระราชบญั ญตั ิคุม้ ครองขอ้ มูลส่วนบคุ คล พ.ศ. 2562
ประกอบกบั คาสง่ั คณะกรรมการ บริษทั ไวส์ โลจิสติกส์ จากดั (มหาชน) ประกาศที่ 09/2565 จึงมีคาสั่งใหแ้ ต่งต้งั
เจา้ หนา้ ท่ีให้ดารงตาแหน่งเจา้ หนา้ ท่ีคมุ้ ครองขอ้ มูลส่วนบุคคล ดงั น้ี

1. คุณอานาจ พวงรอด ประธานกรรมการ
2. คณุ ชุรดา สวสั ด์ิโยธิน กรรมการ
3. คณุ ชญานิศ อดิเทพสถิต กรรมการ

Personal Data Assessment

วิธีการในการสารวจขอ้ มูลส่วนบุคคลที่ใชภ้ ายในองคก์ รน้นั ควรเริ่มจากการส่งแบบสารวจเพือ่ ใหก้ รอกขอ้ มูล โดย
การใหต้ วั แทนจากฝ่ายต่าง ๆ เป็นผกู้ รอกขอ้ มูลกิจกรรมของฝ่ายตนเองที่มีการใชข้ อ้ มูลส่วนบคุ คลลงในแบบสารวจ
และบนั ทึกในรูปแบบของ ROPA จะทาใหแ้ ต่ละฝ่ายท่ีเก่ียวขอ้ งมีบนั ทึก ROPA ของฝ่ายตนเอง จากน้นั นาขอ้ มูลมา

Page | 5

รวมกนั เพื่อจดั ทาเป็น ROPA ของบริษทั เพื่อใหเ้ จา้ หนา้ ที่ DPO สามารถมองเห็นภาพรวมของการประมวลผลขอ้ มลู

ส่วนบคุ คลของท้งั องคก์ รได้

หลงั จากเก็บรวบรวมขอ้ มูลจากฝ่ายตา่ ง ๆ และทาการบนั ทึกกิจกรรมท้งั หมดลงในรูปแบบของ ROPA แลว้ ส่ิงที่

ทีมงานตอ้ งดาเนินการตอ่ มาคอื การพิจารณาถึงกิจกรรมการประมวลผลขอ้ มลู ส่วนบุคคลท่ีอยใู่ น ROPA เพื่อ

ออกแบบแผนการดาเนินการในการคุม้ ครองขอ้ มูลส่วนบุคคล โดยแผนการในการบริหารจดั การมีดงั น้ี

1. การลดปริมาณการใชข้ อ้ มูลส่วนบุคคล (Data Minimization)

ในหลายคร้ังท่ีผลจากการทา ROPA พบวา่ มีหลายฝ่ ายท่ีจดั เก็บขอ้ มลู ส่วนบุคคลที่ไมจ่ าเป็นตอ้ งใช้ เช่น เช้ือ

ชาติ, หมูโ่ ลหิต ซ่ึงการจดั เก็บขอ้ มลู ดงั กลา่ วนอกจากจะไม่เป็นประโยชนต์ ่อองคก์ รแลว้ ยงั เป็นการเพ่ิมความเส่ียงท่ี

จะถกู เรียกคา่ เสียหายและผดิ ต่อกฎหมายคมุ้ ครองขอ้ มลู ส่วนบคุ คลอีกดว้ ย การยกเลิกการเกบ็ และการทาลายขอ้ มูลท่ี

ไมไ่ ดใ้ ชง้ านจึงเป็นสิ่งแรกท่ีควรดาเนินการพิจารณาก่อนการออกแบบคายนิ ยอมหรือการเพม่ิ มาตรการความ

ปลอดภยั ใด ๆ โดยในบางหน่วยงานอาจมีการทา Data Protection Impact Assessment (DPIA) เพื่อเป็นการประเมิน

ความเส่ียงของขอ้ มูลส่วนบคุ คลท่ีจดั เกบ็ อยู่ โดยหากพิจารณาแลว้ วา่ คา่ ความเส่ียงไมเ่ หมาะสมตอ่ ประโยชนใ์ นการ

ใชข้ อ้ มูลก็ควรดาเนินการยกเลิกกิจกรรมการใชข้ อ้ มูลและการจดั เกบ็ ขอ้ มลู ดงั กล่าว เป็นตน้

2. การตรวจสอบคายนิ ยอมตามกฎหมาย

หลงั จากทาการตดั ขอ้ มูลที่ไม่จาเป็นออกเป็นท่ีเรียบร้อยแลว้ ขอ้ มูลที่ยงั คงหลงเหลืออยคู่ อื ขอ้ มูลที่ถูกพจิ ารณา

แลว้ วา่ เป็นประโยชน์ต่อองคก์ รมากกวา่ ความเสี่ยงที่อาจเกิดข้นึ หรือมีวธิ ีการในการบริหารจดั การความเสี่ยงท่ีคุม้ ค่า

ต่อประโยชน์ที่ไดร้ ับ ตอ่ มาคือการตรวจสอบวา่ ขอ้ มูลส่วนบคุ คลเหล่าน้ีสามารถอา้ งอิงขอ้ ยกเวน้ ตาม

พระราชบญั ญตั ิคุม้ ครองขอ้ มูลส่วนบคุ คล มาตรา 24 และมาตรา 26 ในการประมวลผลขอ้ มลู หรือไม่ และทาการแบ่ง

กิจกรรมการประมวลผลขอ้ มูลส่วนบคุ คลออกเป็นสองกลุ่มนน่ั คอื

2.1 กลมุ่ ที่ไดร้ ับการยกเวน้ ตามมาตรา 24 และ 26 – กิจกรรมที่ไดร้ ับการยกเวน้ ตามมาตรา 24 และ 26 คือ

กิจกรรมท่ีการประมวลผลขอ้ มลู ส่วนบุคคลน้นั ไม่จาเป็นตอ้ งขอคายนิ ยอม (Consent) แตย่ งั คงจาเป็นตอ้ งมีการแจง้

ใหเ้ จา้ ของขอ้ มลู ส่วนบุคคลรับทราบถึงวตั ถุประสงคใ์ นการประมวลผลขอ้ มูล, ประเภทขอ้ มลู ท่ีถกู ประมวลผล,

ระยะเวลาการจดั เกบ็ , มาตรฐานความปลอดภยั , การเปิ ดเผยขอ้ มลู ไปยงั หน่วยงานภายนอก และช่องทางการติดต่อ

หากเจา้ ของขอ้ มลู ตอ้ งการใชส้ ิทธิตามกฎหมาย ผา่ นการประกาศในนโยบายความเป็นส่วนตวั (Privacy Notice) โดย

ทีมงานตอ้ งทาการสรุปกิจกรรมท่ีไดจ้ ากการทา ROPA และนามาประกาศใน Privacy Notice อยา่ งครบถว้ นตาม

กิจกรรมที่บริษทั ดาเนินการ โดยสามารถทาเป็น Privacy Notice ฉบบั เดียวท่ีรวมทุกกิจกรรม, แยกออกตามประเภท

ของเจา้ ของขอ้ มูล (พนกั งาน/ลูกคา้ ) หรือแยกออกตามความเหมาะสมของประกาศกไ็ ด้ เช่น Notice บนเวบ็ ไซตห์ นา้

สมคั รสมาชิก, เอกสารแนบใบสมคั รงาน, สติ๊กเกอร์แสดง Notice การใชก้ ลอ้ งวงจรปิ ด เป็นตน้

2.2 กลุ่มท่ีจาเป็นตอ้ งขอคายนิ ยอม สาหรับกิจกรรมการประมวลผลท่ีไมส่ ามารถอา้ งอิงฐานกฎหมายตาม

ขอ้ ยกเวน้ มาตรา 24 และ 26 ไดน้ ้นั ส่ิงที่จาเป็นตอ้ งดาเนินการเพิ่มเติมคือการขอคายนิ ยอม (Consent) จากเจา้ ของ

Page | 6

ขอ้ มูล ซ่ึงโดยส่วนมากแลว้ จะเป็นกิจกรรมการประมวลผลขอ้ มูลส่วนบคุ คลที่เพ่ิมเติมจากความจาเป็นในการ
ใหบ้ ริการทว่ั ไป เช่น การส่งขอ้ มลู ขา่ วสารทางการตลาด, การวิเคราะหพ์ ฤติกรรมการใชบ้ ริการ, การติดตอ่ เพอ่ื
นาเสนอสินคา้ และบริการ เป็นตน้ ทีมงานจึงจาเป็นตอ้ งออกแบบคายนิ ยอมสาหรับกิจกรรมเหล่าน้ี โดยอาจเป็นการ
สร้างตวั เลือกใหแ้ ก่เจา้ ของขอ้ มูล ณ จุดที่กรอกขอ้ มูล เช่น มีช่อง Checkbox ใหย้ นิ ยอมในการใหต้ ิดต่อเพื่อเสนอขาย
สินคา้ และบริการ เป็นตน้ โดยองคก์ รมีหนา้ ที่ตอ้ งเก็บคายนิ ยอมเอาไวเ้ ป็นหลกั ฐานและมีช่องทางใหเ้ จา้ ของขอ้ มูล
สามารถถอนคายนิ ยอมดงั กล่าวไดใ้ นอนาคตอีกดว้ ย

จากที่กลา่ วมาจะเห็นไดว้ า่ ในกรณีที่ไม่สามารถอา้ งอิงฐานกฎหมายในการใช้ขอ้ มลู ส่วนบคุ คลไดน้ ้นั การนา
ขอ้ มูลส่วนบคุ คลไปใชจ้ าเป็นตอ้ งมีกระบวนการในการจดั เก็บและรักษาคายนิ ยอม เพราะฉะน้นั จากแนวคิดที่วา่ “มี
ขอ้ มูลเกบ็ มาก ๆ ไวก้ ่อน ใชห้ รือไมใ่ ชค้ ่อยวา่ กนั ” น้นั อาจจะไมเ่ หมาะอีกต่อไปในยคุ ท่ีมีการคมุ้ ครองขอ้ มูลส่วน
บุคคล กลบั กนั การพจิ ารณาว่ากิจกรรมดงั กลา่ วคุม้ ค่าต่อการดูแลรักษาคายนิ ยอมและความเส่ียงท่ีอาจเกิดข้ึนในกรณี
ที่ขอ้ มูลร่ัวไหลหรือไม่ ? จะเป็นส่ิงท่ีควรพิจารณาก่อนการใชข้ อ้ มูลส่วนบุคคล

Design Execution Plan

หลงั จากทาการลดปริมาณการใชข้ อ้ มลู และดาเนินการแบ่งประเภทของขอ้ มลู ตามฐานกฎหมายแลว้ ข้นั ตอนต่อไป
คอื การวางแผนสาหรับดาเนินการกากบั ดูแลขอ้ มูลส่วนบุคคลโดยส่ิงท่ีตอ้ งดาเนินการในการปฏิบตั ิตามกฎหมาย
คุม้ ครองขอ้ มูลส่วนบคุ คลจะประกอบดว้ ยการจดั ทาเอกสารและกระบวนการตา่ ง ๆ ดังต่อไปน้ี
จดั เตรียมนโยบายความเป็นส่วนตวั (Privacy Notice)

นโยบายความเป็นส่วนตวั หรือ Privacy Notice น้นั คอื การประกาศใหเ้ จา้ ของขอ้ มลู ไมว่ า่ จะเป็นคคู่ า้ , ลูกคา้ ,
พนกั งาน หรือผเู้ กี่ยวขอ้ งใด ๆ กต็ ามที่องคก์ รไดม้ ีการเก็บรวบรวม ใช้ หรือเปิ ดเผยขอ้ มูลส่วนบคุ คล ใหร้ ับทราบถึง
วตั ถุประสงคใ์ นการประมวลผลขอ้ มลู ส่วนบคุ คล โดยนโยบายความเป็นส่วนตวั น้นั ตอ้ งประกาศในที่ ๆ เจา้ ของ

Page | 7

ขอ้ มลู สามารถเขา้ ถึงไดโ้ ดยง่าย มีความชดั เจนในภาษา และครอบคลุมการใชข้ อ้ มูลส่วนบคุ คลในองคก์ ร โดยเน้ือหา
ท่ีควรระบุในนโยบายความเป็นส่วนตวั มีดงั น้ี

1. วตั ถุประสงคก์ ารใชง้ านขอ้ มูลส่วนบคุ คลและฐานกฎหมายท่ีรองรับ
2. ประเภทของขอ้ มลู ส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิ ดเผย
3. แหล่งที่มาของขอ้ มลู ส่วนบุคคล
4. ระยะเวลาในการจดั เก็บ
5. การส่งตอ่ ไปยงั หน่วยงานภายนอกและการส่งตอ่ ไปยงั ต่างประเทศ
6. มาตรการในการรักษาความปลอดภยั ของขอ้ มลู ส่วนบคุ คล
7. สิทธิของเจา้ ของขอ้ มูลส่วนบุคคล
8. สิทธิของเจา้ ของขอ้ มูลส่วนบุคคล
9. ช่องทางการติดต่อ

จัดเตรียมนโยบายค้มุ ครองข้อมูลส่วนบคุ คล (Privacy Policy)
นโยบายคมุ้ ครองขอ้ มูลส่วนบคุ คลหรือ Privacy Policy น้นั เป็นเอกสารนโยบายขององคก์ รในเร่ืองเก่ียวกบั

การคมุ้ ครองขอ้ มลู ส่วนบคุ คล โดยมีรูปแบบเป็นเหมือนกบั นโยบายทวั่ ไปของบริษทั เช่น นโยบายในการเขา้ งาน,
นโยบายความปลอดภยั ในการทางาน เป็นตน้ ซ่ึงมีความแตกต่างจากนโยบายความเป็นส่วนตวั ตรงท่ีนโยบายความ
เป็นส่วนตวั น้นั ออกแบบมาเพ่อื ประกาศและส่ือสารกบั เจา้ ของขอ้ มลู ในขณะท่ีนโยบายคุม้ ครองขอ้ มลู ส่วนบุคคล
เป็นนโยบายที่ตอ้ งใหก้ ารพนกั งานภายในองคก์ รรับทราบและปฏิบตั ิตามเกี่ยวกบั การคุม้ ครองขอ้ มลู ส่วนบุคคล ซ่ึง
เน้ือหาจะแตกตา่ งไปกนั ตามรูปแบบการออกนโยบายของแตล่ ะองคก์ ร ซ่ึงโดยส่วนมากจะมีเน้ือหาดงั น้ี

1. วตั ถปุ ระสงคข์ องการประกาศนโยบาย
2. ขอบเขตการบงั คบั ใช้
3. คานิยาม
4. รายละเอียดเกี่ยวกบั ขอ้ มลู ส่วนบคุ คลที่มีการประมวลผลภายในองคก์ ร
5. เน้ือหานโยบาย

โดยนโยบายการคมุ้ ครองขอ้ มูลส่วนบคุ คลน้นั อาจใชส้ ่ือสารเฉพาะภายในองคก์ รหรือประกาศเป็นสาธารณะ
ข้ึนอยกู่ บั ความเหมาะสมและการพิจารณาขององคก์ ร ตา่ งจากนโยบายความเป็นส่วนตวั ที่กฎหมายบงั คบั ให้
จาเป็นตอ้ งประกาศอยา่ งชดั เจน

Page | 8

จัดเตรียมระบบและกระบวนการในการจัดเก็บคายินยอม (Consent)
ส่ิงตอ่ มาท่ีตอ้ งวางแผนในการดาเนินการคือการจดั ทาคายนิ ยอมหรือ Consent โดยในกรณีที่เราทาการตดั

ขอ้ มูลท่ีไมจ่ าเป็นออกจากองคก์ รและตรวจสอบฐานกฎหมายแลว้ พบวา่ มีบางกิจกรรมท่ีจาเป็นตอ้ งขอคายนิ ยอม
เช่น การใชข้ อ้ มูลเพื่อวตั ถุประสงคท์ างการตลาด, การใชข้ อ้ มูลเพอื่ การวิเคราะหพ์ ฤติกรรมการใชบ้ ริการ, การเก็บ
รวบรวมขอ้ มลู ท่ีเป็นขอ้ มูลประเภทขอ้ มูลออ่ นไหว เป็นตน้ กิจกรรมต่าง ๆ เหล่าน้ีจาเป็นตอ้ งมีการขอคายนิ ยอมจาก
เจา้ ของขอ้ มลู ส่วนบุคคลที่ชดั เจนโดยอาจเป็นช่องทางอิเลก็ ทรอนิกส์หรือเอกสาร ก็ข้ึนอยกู่ บั ความเหมาะสม ซ่ึงโดย
ส่วนมากจะสอดคลอ้ งกบั ช่องทางในการเก็บรวบรวมขอ้ มูล เช่น ในหนา้ สมคั รสมาชิกเวบ็ ไซตม์ กั มีช่องใหค้ า
ยนิ ยอมในการจดั ส่งขอ้ มูลขา่ วสารแยกออกจากเงื่อนไขการใชบ้ ริการและการยอมรับนโยบายความเป็นส่วนตวั ตรง
น้ีเองคือ Consent

โดยส่ิงท่ีองคก์ รตอ้ งดาเนินการคอื การจดั เตรียมช่องทางในการขอคายนิ ยอมและจดั เก็บคายนิ ยอมเพื่อเป็น
หลกั ฐาน อีกท้งั องคก์ รจาเป็นตอ้ งมีวธิ ีการในการแยกแยะระหวา่ งเจา้ ของขอ้ มูลท่ีใหค้ ายนิ ยอมและไม่ใหค้ ายนิ ยอม
เพอื่ ไมใ่ หเ้ กิดการใชข้ อ้ มูลส่วนบคุ คลโดยไมไ่ ดร้ ับคายนิ ยอม

จัดเตรียมระบบและกระบวนการในการบริหารจดั การคาร้องขอใช้สิทธิของเจ้าของข้อมูล (Data Subject Rights)
นอกจากการขอคายนิ ยอมแลว้ สิ่งท่ีองคก์ รจาเป็นตอ้ งจดั เตรียมต่อมาคือการจดั ทากระบวนการในการรองรับ

การใชส้ ิทธิของเจา้ ของขอ้ มูล โดยอาจเป็นช่องทางการติดต่อหรือแบบฟอร์มบนหนา้ เวบ็ ไซตท์ ่ีใหเ้ จา้ ของขอ้ มลู
แสดงความประสงคต์ ามสิทธิที่กฎหมายกาหนด และมีกระบวนการในการส่งต่อคาร้องขอดงั กลา่ วไปยงั หน่วยงาน
ที่มีการประมวลผลขอ้ มลู ส่วนบุคคลเพอื่ ใหต้ อบสนองต่อคาร้องของเจา้ ของขอ้ มลู

จัดเตรียมกระบวนการในการบนั ทกึ กจิ กรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA)
จากข้นั ตอนการ Personal Data Assessment ขอ้ มูลในข้นั ตอนก่อนหนา้ ทาใหท้ ีมงานสามารถบนั ทึกกิจกรรม

การประมวลผลขอ้ มูลส่วนบุคคลภายในองคก์ รไดท้ ้งั หมด แต่อยา่ งไรกต็ ามกิจกรรมการประมวลผลขอ้ มลู ส่วน
บคุ คลน้นั อาจมีการปรับเปล่ียนไดจ้ ากการดาเนินธุรกิจ ดงั น้นั จึงจาเป็นตอ้ งมีการออกแบบกระบวนการใหม้ ีการ
ปรับปรุงกิจกรรมการประมวลผลขอ้ มูลส่วนบุคคลอยา่ งสม่าเสมอ โดยอาจมีการนดั ประชุมระหวา่ งทีมงาน เพ่ือ
ปรับเปลี่ยนขอ้ มลู ใน ROPA ใหเ้ ป็นปัจจุบนั

จดั เตรียมข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement)
การกาหนดนโยบายคุม้ ครองขอ้ มลู ส่วนบคุ คลเป็นการกากบั ใหบ้ คุ ลากรภายในองคก์ รรับทราบและใชข้ อ้ มูล

อยา่ งถกู ตอ้ งตามกฎหมาย แต่ขอ้ มูลส่วนบคุ คลบางส่วนน้นั อาจมีความจาเป็นตอ้ งส่งต่อไปยงั หน่วยงานภายนอก

Page | 9

เช่น บริษทั Outsource, ผใู้ หบ้ ริการที่รับฝากขอ้ มูล, ค่คู า้ ตา่ ง ๆ เป็นตน้ ดว้ ยเหตุน้ีองคก์ รจึงจาเป็นตอ้ งจดั เตรียม
เอกสารท่ีเรียกวา่ ขอ้ ตกลงการประมวลผลขอ้ มลู ส่วนบุคคลหรือ Data Processing Agreement โดยเอกสารดงั กล่าวจะ
มีลกั ษณะคลา้ ยกบั เอกสารรักษาความลบั หรือ Non-Disclosure Agreement (NDA) แตเ่ นน้ ไปท่ีการปกป้องขอ้ มูล
ส่วนบุคคล โดยควรมีเน้ือหาอยา่ งนอ้ ยดงั น้ี

1. วตั ถปุ ระสงคใ์ นการส่งต่อขอ้ มลู
2. ประเภทของขอ้ มลู ส่วนบคุ คลท่ีมีการส่งตอ่
3. เงื่อนไขการประมวลผลขอ้ มูล
4. ระยะเวลาในการเกบ็ รักษา
5. มาตรฐานความปลอดภยั
ความรับผดิ ชอบหากเกิดเหตุขอ้ มลู ร่ัวไหล

ซ่ึงขอ้ ตกลงการประมวลผลขอ้ มูลส่วนบคุ คลน้ีควรถูกใส่ไวเ้ ป็นกระบวนการในการจดั ซ้ือจดั จา้ งใด ๆ กต็ ามที่
มีบริษทั มีความจาเป็นตอ้ งจดั ส่งขอ้ มูลส่วนบุคคลไปยงั หน่วยงานภายนอก และใหห้ น่วยงานภายนอกดงั กล่าวลง
นามในฐานะผปู้ ระมวลผลขอ้ มลู ส่วนบคุ คล

*ในบางกรณีที่การประมวลผลขอ้ มลู ส่วนบคุ คลอาจเป็นการแลกเปลี่ยนขอ้ มูลส่วนบคุ คลกนั ท้งั สองฝ่าย หรือมีการ
สร้างระบบจดั เกบ็ ขอ้ มูลใหม่ข้นึ มาเพื่อใชง้ านร่วมกนั ขอ้ ตกลงที่ใชอ้ าจเป็นขอ้ ตกลงการแลกเปล่ียนขอ้ มูลหรือ Data
Sharing Agreement แทนโดยคสู่ ัญญาท้งั สองฝ่ายจะถือเป็นผคู้ วบคุมขอ้ มลู ท้งั คู่ ตา่ งจากขอ้ ตกลงการประมวลผล
ขอ้ มลู ส่วนบคุ คลซ่ึงฝ่ายหน่ึงจะเป็นผคู้ วบคมุ ขอ้ มลู และอีกฝ่ายหน่ึงจะเป็นผปู้ ระมวลผล

EXECUTION
หลงั จากการเตรียมการในข้นั ตอน Explore ทีมงานจะสามารถมองเห็นภาพรวมของการใชข้ อ้ มลู ส่วนบคุ คล

ท้งั หมดในองคก์ รและมีแนวทางในการบริหารจดั การกิจกรรมการใชข้ อ้ มูลส่วนบคุ คลท้งั หมดแลว้ ข้นั ตอนสุดทา้ ย
จะเป็นการดาเนินการตามแผนท่ีออกแบบไว้ โดยมกั เป็นส่วนของการประสานงานกบั ฝ่ายที่มีการใชข้ อ้ มูลส่วน
บคุ คลผา่ นทาง Champion โดยการดาเนินการมกั แบ่งออกเป็นสองส่วนหลกั คอื การดาเนินการเกี่ยวกบั กระบวนการ
ภายใน และกระบวนการภายนอก

Page | 10

Internal Governance

การดาเนินการเก่ียวกบั กระบวนการภายในคือส่ิงที่สามารถดาเนินการไดภ้ ายในองคก์ รเองโดยมีกิจกรรมหลกั
ๆ ดงั น้ี

1. การประกาศนโยบายความเป็นส่วนตวั
2. การบงั คบั ใชน้ โยบายคมุ้ ครองขอ้ มลู ส่วนบคุ คล

2.1 นโยบายในการใชข้ อ้ มลู ส่วนบคุ คล
2.2 นโยบายในการเก็บรักษา
2.3 นโยบายในการเปิ ดเผยขอ้ มลู ส่วนบคุ คล
3. การจดั ทากระบวนการการจดั เกบ็ คายนิ ยอม
3.1 Web Form
3.2 Cookie
3.3 แบบฟอร์มเอกสาร
4. การจดั ทาช่องทางใหเ้ จา้ ของขอ้ มูลส่วนบุคคลสามารถใชส้ ิทธิได้

Page | 11

3rd Party Management

การดาเนินการเก่ียวกบั กระบวนการภายนอกคือสิ่งท่ีองคก์ รจาเป็นตอ้ งขอความร่วมมือจากหน่วยงาน
ภายนอกในการดาเนินการเพ่ือใหเ้ ป็นไปตามกฎหมาย โดยมีส่ิงที่ตอ้ งเตรียมการดงั ต่อไปน้ี

1. ขอ้ ตกลงการประมวลผลขอ้ มูลส่วนบุคคล
2. ขอ้ ตกลงการแบ่งปันขอ้ มลู ส่วนบคุ คล
3. การส่งต่อขอ้ มูลไปยงั ต่างประเทศ
IMPROVEMENT
หลงั จากดาเนินการครบท้งั 3E ตาม Framework จะทาใหอ้ งคก์ รสามารถใชข้ อ้ มูลส่วนบุคคลไดต้ รงตามท่ีกฎหมาย
กาหนด แต่ท้งั น้ีการคุม้ ครองขอ้ มลู ส่วนบคุ คลน้นั เป็นสิ่งท่ีตอ้ งดาเนินการอยา่ งต่อเน่ือง ท้งั การอพั เดทขอ้ มูล ROPA
ใหเ้ ป็นปัจจุบนั การจดั เกบ็ คายนิ ยอม การตอบสนองต่อคาร้องขอใชส้ ิทธิ การปรับปรุงมาตรฐานความปลอดภยั ของ
เทคโนโลยี และการติดตามการปรับปรุงกฎหมาย ทาใหจ้ าเป็นตอ้ งมีกระบวนการในการทบทวนนโยบายความเป็น
ส่วนตวั และนโยบายคมุ้ ครองขอ้ มลู ส่วนบุคคลอยา่ งสม่าเสมอท้งั ในส่วนของการดาเนินการภายในและภายนอก

Page | 12