Check list การเตรียมความพร้อม PDPA ของหน่วยงาน

ขา่ วสารเศรษฐกจิ

Check list การเตรยี มความพร้อม PDPA ของหนว่ ยงาน

พระราชบัญญัติคุ้มครองขอ้ มูลส่วนบคุ คล พ.ศ. 2562 มีรายละเอยี ดหลายประการที่องค์กรจะต้อง
จดั เตรียม ทั้งในดา้ นของเอกสารและกระบวนการ บทความนไ้ี ด้รวบรวมขอ้ สรปุ เบอื้ งต้นในการตรวจสอบความพร้อม

องคก์ รสามารถนำข้อสรุปเบื้องต้นน้ไี ปพิจารณาประกอบ เพอ่ื ให้การคุ้มครองขอ้ มลู สว่ นบุคคลขององค์กร
เป็นไปอย่างมีประสิทธิภาพ และสอดคล้องกบั บทบัญญัตขิ องกฎหมาย ผูเ้ ขยี นจำแนกเป็น 2 ส่วนคือ ข้อกำหนด
ตามกฎหมายทใี่ ห้องคต์ ้องจัดทำและตัวอยา่ งแนวปฏบิ ัติท่ีดีภายในองคก์ ร

ตาม พ.ร.บ.คุ้มครองข้อมลู ส่วนบุคคลฯ มขี อ้ กำหนดตามกฎหมายให้องค์กรในฐานะผคู้ วบคุมขอ้ มลู ปฏิบตั ิ
หลายหลายประการ อาทิ

(1) การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) กฎหมายกำหนดให้
ผู้ควบคมุ ขอ้ มูลสว่ นบคุ คลหรอื ผ้ปู ระมวลผลข้อมลู ส่วนบคุ คลอาจจะต้องแตง่ ต้ังเจา้ หน้าทคี่ มุ้ ครองข้อมูลส่วนบุคคล
ในกรณตี ามที่กำหนดไว้ในมาตรา 41 ซง่ึ อาจแตง่ ต้ังจากพนักงานภายในองคก์ รหรือแต่งตงั้ ผรู้ ับจา้ งให้บริการตามสัญญา

(2) การจดั ทำประกาศความเปน็ ความส่วนตัว หรอื ทคี่ ้นุ เคยกนั ในชื่อของ Privacy Notice ซง่ึ เป็นการแจ้ง
เจ้าของข้อมูลส่วนบคุ คลเพือ่ ใหท้ ราบเกย่ี วกบั รายละเอยี ด วธิ กี าร การดำเนนิ การตา่ ง ๆ เก่ียวกบั ขอ้ มลู ส่วนบุคคล
โดยกฎหมายกำหนดใหผ้ ูค้ วบคุมขอ้ มูลสว่ นบุคคลมีหนา้ ที่ตอ้ งแจง้ ใหเ้ จ้าของขอ้ มลู ทราบถึงรายละเอีย ดก่อนหรือ
ขณะเก็บรวบรวมขอ้ มลู ส่วนบุคคล ตามมาตรา 23

(3) การจดั ทำบนั ทึกรายการกจิ กรรมการประมวลผล (Records of Processing Activities) พ.ร.บ.คมุ้ ครอง
ข้อมลู สว่ นบุคคลฯ กำหนดให้องคก์ รมีหน้าที่ในการจดั ให้มีบนั ทกึ รายการกจิ กรรมอยา่ งน้อยตามทีร่ ะบไุ ว้ในมาตรา 39
เพ่ือให้เจา้ ของข้อมลู สว่ นบคุ คลและสำนกั งานฯสามารถตรวจสอบได้

(4) การจดั ทำแบบคำขอความยนิ ยอม (Consent Form) ในกรณที ีม่ คี วามจำเป็นต้องใชค้ วามยินยอมเป็นฐาน
ทางกฎหมายในการประมวลผล หลักเกณฑ์ในการขอความยินยอมตอ้ งเปน็ ไปตามมาตรา 19 ประกอบมาตรา 20
เชน่ ตอ้ งแยกสว่ นออกจากข้อความอ่ืนอยา่ งชัดเจน มแี บบหรือข้อความท่เี ขา้ ถึงไดง้ า่ ยและเขา้ ใจได้ รวมถึงตอ้ งคำนงึ ถงึ
อยา่ งท่ีสุดในความเปน็ อสิ ระของเจา้ ของขอ้ มลู สว่ นบคุ คล

แต่ทั้งนีค้ ณะกรรมการคุ้มครองข้อมูลส่วนบคุ คล (คณะกรรมการฯ) อาจกำหนดแบบและขอ้ ความในการ
ขอความยินยอมไดใ้ นอนาคต อยา่ งไรก็ตาม ในกจิ กรรมการประมวลผลใดบา้ งที่ อาจจะต้องใช้ “ความยินยอม”
ผู้ควบคุมขอ้ มูลสว่ นบคุ คลมหี น้าที่ตรวจสอบและสอบทานให้สอดคล้องกับข้อกฎหมาย ลักษณะของกิจกรรมการ
ประมวลผล และความสมั พันธร์ ะหว่างองคก์ รกบั เจา้ ของขอ้ มลู ส่วนบคุ คล

(5) การจัดทำขอ้ ตกลงการประมวลผล (Data Processing Agreement) โดยขอ้ ตกลงดังกลา่ วเป็นข้อตกลง
ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อควบคุมการดำเนินการตามหน้าท่ี
ของผู้ประมวลผลข้อมลู สว่ นบุคคลตามมาตรา 40 วรรคสาม ซ่งึ รายละเอียดของข้อสญั ญาและข้อตกลงอนื่ ๆ เปน็ เรอ่ื ง
ที่คู่สัญญาควรตกลงกันให้สอดคล้องกับกิจกรรมการประมวลผลและความเสี่ยงที่เก่ียวข้อง แต่อย่างน้อยสัญญา
ตอ้ งมีเงอื่ นไขตามท่ีกำหนดไวใ้ นมาตรา 40 วรรคหนง่ึ

อนึ่ง นอกจากกรณีที่กล่าวมาข้างต้น องค์กรยังมีเอกสารอื่นตามกฎหมายท่ีอาจจัดเตรียมอีกดว้ ย
อาทิ มาตรการเมอ่ื เกิดเหตุการละเมดิ ขอ้ มูลสว่ นบุคคลและกระบวนการแจ้ง แบบการแจ้งเหตกุ ารละเมดิ ขอ้ มูลส่วน
บุคคลตอ่ เจ้าของข้อมูลส่วนบุคคล รายละเอยี ดภาระงานของ DPO แบบฟอร์มขอใชส้ ิทธิของเจ้าของข้อมลู ส่วนบคุ คล
แบบประเมนิ ความเสี่ยงผลกระทบต่อสิทธิและเสรีภาพของบคุ คล หรือรายงานผลกระทบด้านการคุ้มครองข้อมูล
สว่ นบุคคล นโยบายระยะเวลาการจัดเก็บขอ้ มูล นโยบายการทำลายข้อมลู เป็นต้น

อย่างไรกต็ าม รายละเอยี ดเอกสารข้างตน้ เปน็ เพียงตัวอยา่ งให้ท่านเปน็ แนวทางในการจัดเตรียมเอกสาร
องคก์ รอาจมกี ารปรบั เปลี่ยนไดต้ ามความเหมาะสมของลักษณะกจิ การหรือขนาดของกจิ การ

สำหรบั การเตรียมความพร้อมขององค์กรท่ีเปน็ แนวปฏบิ ัติทดี่ ี (Best Practices) เนอ่ื งจากอาจขึ้นอยู่กับ
รูปแบบขององค์กรหรอื ระบบการบริหารจัดการภายใน ซ่งึ กรณดี ังต่อไปนเ้ี ปน็ เพยี งตวั อย่างให้ท่านสามารถนำไป
พจิ ารณาเปน็ แนวทางเบื้องต้น

(1) การจัดตั้งคณะทำงาน PDPA ภายในหน่วยงาน (PDPA Working Team) เนื่องจากกฎหมายไม่ได้
เก่ยี วข้องเฉพาะกับแผนกใดแผนกหน่งึ ในองค์กรเท่านน้ั อาจมหี ลายฝ่ายท่ีเกย่ี วขอ้ งกับขอ้ มลู สว่ นบคุ คล การจัดต้ัง
เปน็ คณะทำงาน PDPA จึงจะทำให้องค์กรสามารถบริหารจัดการขอ้ มลู สว่ นบคุ คลไดม้ ปี ระสิทธภิ าพมากขึน้

(2) การสำรวจขอ้ มูลภายในหนว่ ยงาน (Data Inventory) เพ่อื ประโยชน์ในการพิจารณากำหนดฐานการ
ประมวลผลหรือการจัดทำบนั ทึกรายการกิจกรรมการประมวลผล การสำรวจข้อมูลจะทำให้สามารถวางแผน
การคมุ้ ครองขอ้ มลู ส่วนบคุ คลและอธิบายถงึ เหตผุ ลความจำเปน็ ในการประมวลผลขอ้ มูลสว่ นบคุ คลนน้ั ได้

(3) การจัดทำนโยบายและแนวปฏิบัตขิ องหนว่ ยงาน (Privacy Policy and Codes of Practice) การจดั ทำ
นโยบายเปน็ การกำหนดทศิ ทางภายในองค์กรทีต่ อ้ งการจะส่ือสารกบั พนกั งานในการประมวลผลข้อมูลส่วนบุคคล
เพ่ือใหส้ อดคลอ้ งกบั หลกั การตามกฎหมาย ซ่งึ เป็นการกำหนดแนวทางในภาพรวม และสำหรบั รายละเอยี ดอาจกำหนด
เปน็ แนวปฏิบัตทิ ่ีมีเนอื้ หาชดั เจนอธบิ ายขนั้ ตอน หรือกระบวนการอย่างครอบคลมุ มากขึ้น

(4) การจัดทำขอ้ ตกลงการแลกเปลีย่ นขอ้ มูลสว่ นบคุ คล (Data Sharing Agreement) ในการดำเนนิ ธุรกิจ
อาจมกี ารแลกเปลี่ยนขอ้ มลู กันระหว่างองค์กร การจดั การความรับผิดหรอื ขอบเขตในการแลกเปลี่ยนขอ้ มูลระหวา่ งกนั
จึงเป็นส่ิงสำคญั ท่ีระหวา่ งผ้คู วบคุมขอ้ มลู สว่ นบคุ คลดว้ ยกันจะมแี นวปฏบิ ตั ิต่อกันอย่างไร ต้องใช้ข้อมูลส่วนบุคคล
ที่ได้รบั การเปิดเผยมาในขอบเขตอย่างไร

(5) การสร้างความตระหนักรู้และฝึกอบรม (Capacity Building and Awareness Raising) เนื่องจาก
PDPA เป็นกฎหมายใหม่ในสงั คมไทย ซึ่งองค์ความรูม้ ีการเปลีย่ นแปลงและพัฒนาอยู่ตลอด อีกท้ังเทคโนโลยี
ทม่ี คี วามก้าวหนา้ มากขนึ้ ดังนนั้ เพือ่ ให้พนักงานมีความรู้ความเข้าใจและปฏิบัติต่อข้อมลู สว่ นบุคคลอยา่ งถกู ต้องจงึ ตอ้ ง
มกี ารสรา้ งความตระหนกั รู้และฝึกอบรมอย่างตอ่ เนอ่ื งด้วย

(6) การกำกับดูแลและตรวจสอบอย่างสมำ่ เสมอ (Audit and Compliance) การคุม้ ครองข้อมลู สว่ นบุคคล
จะสมั ฤทธิผ์ ลตามความมงุ่ หวังของกฎหมายและสามารถคุม้ ครองสิทธขิ องเจ้าของข้อมูลไดอ้ ย่างเป็นรปู ธรรมข้ึนอยู่กบั
ความพร้อมขององค์กร ทงั้ ภาครัฐและเอกชนทต่ี ้องปฏบิ ตั ติ าม พ.ร.บ.คุ้มครองข้อมูลสว่ นบคุ คลฯ

ผเู้ ขียนเช่อื เปน็ อยา่ งยง่ิ วา่ กฎหมายไม่ใชอ่ ุปสรรคของธรุ กิจหรือการบรหิ ารภาครฐั หากแต่เปน็ กฎหมาย
เพ่อื สง่ เสรมิ ธรรมาภิบาลในการประมวลผลข้อมูลสว่ นบคุ คล สรา้ งความชอบธรรม โปร่งใส และตรวจสอบยอ้ นกลับได้
ในการเชอื่ มโยงและใชข้ อ้ มูลสว่ นบุคคลบนพ้นื ฐานของการคุ้มครองสทิ ธขิ องเจ้าของขอ้ มลู สว่ นบคุ คลอย่างเหมาะสม.

ทมี่ า : หนงั สอื พิมพ์กรงุ เทพธุรกิจ