PDPA เลื่อน!

PDPA Postpone

ตามที่มีประกาศเลื่อนการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ออกไปอีก 1 ปี โดยมีผลบังคับใช้ในวันที่ 1 มิถุนายน พ.ศ. 2564 นั้น หลายหน่วยงานคงจะคิดว่ายังพอมีเวลาในการ implement PDPA เหลือเฟือ ค่อยไปเริ่มทำตอนต้นปีหน้าก็ได้ หากองค์กรหรือหน่วยงานของคุณคิดว่ายังรอได้ ขอบอกเลยว่า คุณกำลังคิดผิด!!

ขนาดประเทศฟากยุโรปที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลอยู่แล้ว ตอนที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ General Data Protection Regulation หรือ GDPR ออกมาในปี 2016 ยังมีการให้เวลาในการเตรียมความพร้อมถึง 2 ปี โดยให้มีผลบังคับใช้จริงในปี 2018 แล้วสำหรับประเทศไทยที่ไม่ได้มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลมาก่อน คุณคิดว่าจะต้องใช้เวลาในการเตรียมตัวนานขนาดไหน?

คำตอบคือ ยิ่งเตรียมตัวเร็ว ก็ยิ่งได้เปรียบ

หนึ่งในหัวใจสำคัญของ PDPA คือการคุ้มครองสิทธิของเจ้าของข้อมูลไม่ให้ถูกละเมิดจากการใช้ประโยชน์จากข้อมูลส่วนบุคคลของตนเอง ซึ่งการจะปกป้องคุ้มครองข้อมูลส่วนบุคคลดังกล่าวได้ สิ่งที่คุณต้องมี คือมาตรการและระบบรักษาความปลอดภัยของข้อมูลที่เหมาะสม แล้วเราจะเริ่มต้นกำหนดมาตรการและระบบรักษาความปลอดภัยที่เหมาะสมได้ยังไงนะ ?
 
ก่อนอื่น เราต้องรู้เส้นทางของข้อมูลตั้งแต่จุดเริ่มต้นไปจนถึงจุดสิ้นสุด หรือ data journey ก่อนว่า เราเก็บข้อมูลอะไรมา และเก็บไว้ที่ไหน เราใช้ข้อมูลไปทำอะไร เราเก็บข้อมูลไว้นานแค่ไหน และเราทำลายข้อมูลหรือไม่ อย่างไร เป็นต้น ซึ่งคำถามเหล่านี้สามารถตอบได้โดยการทำ data mapping ไม่มีระยะเวลาในการทำ data mapping ที่ตายตัว ขึ้นอยู่กับขนาดขององค์กรหรือหน่วยงานนั้นๆ หากบริษัทของคุณมีขนาดไม่ใหญ่ มีพนักงานหลักสิบคน มีการจัดเก็บและใช้ข้อมูลของลูกค้าหลักร้อยราย อาจจะใช้เวลาทำ data mapping ไม่นาน แต่หากบริษัทของคุณมีขนาดใหญ่ ลำพังพนักงานก็ปาเข้าไปหลักร้อยหลักพันแล้วล่ะก็ การทำ data mapping อาจกินเวลาหลายเดือนได้
 
ขั้นตอนการทำ data mapping นี้ หากบริษัทของคุณมีงบน้อย ก็อาจจะต้องทำแบบ manual โดย project team จะต้องเรียกตัวแทนของฝ่ายงานต่างๆ เข้ามาคุยกัน อาจจะทำในรูปของ workshop เพื่ออธิบายคอนเซ็ปต์ของการทำ data mapping โดยให้แต่ละหน่วยงานทำ data flow ของตนเองออกมา เริ่มตั้งแต่การเก็บข้อมูลเข้ามา โดยทำเป็นรายกิจกรรม และควรต้องมีข้อมูลอย่างน้อยดังนี้
     • ประเภทของข้อมูลที่เก็บมา
     • วัตถุประสงค์ในการเก็บข้อมูลมา
     • ระยะเวลาในการเก็บรักษาข้อมูล
     • สถานที่หรือระบบที่ใช้เก็บข้อมูล
     • บุคคลและประเทศที่มีการส่งข้อมูลออกไป (กรณีเป็นการส่งข้อมูลไปต่างประเทศ)
     • มาตรการในการส่งข้อมูลไปยังต่างประเทศ
     • ฐานการประมวลผลข้อมูลตามกฎหมาย หรือเรียกง่ายๆ ว่าเหตุผลที่ใช้อ้างในการประมวลผลข้อมูล
 

ยกตัวอย่าง สาขาของธนาคารแห่งหนึ่ง มีกิจกรรมหลักเป็นการให้บริการเปิดบัญชีเงินฝาก ก็จะต้องเขียน data flow ของการเปิดบัญชีเงินฝาก เช่น มีการเก็บข้อมูลชื่อ-นามสกุล หมายเลขบัตรประจำตัวประชาชน ของลูกค้ามาเพื่อใช้ในการยืนยันตัวตนก่อนการเปิดบัญชี และจัดเก็บเอกสารหลักฐานต่างๆ ในตู้เก็บเอกสารหรือสแกนเข้าระบบ โดยเก็บเป็นระยะเวลา 10 ปีนับตั้งแต่ลูกค้าปิดบัญชี เป็นต้น จะเห็นว่า แค่กิจกรรมเดียว ก็ต้องแตกรายละเอียดออกมาเยอะแยะแล้ว ถ้าแผนกมี 10 กิจกรรม คงไม่ต้องคิด ว่าจะปวดหัวแค่ไหนเวลาที่เอาข้อมูลมารวมกัน

แต่ถ้าหากบริษัทของคุณอู้ฟู่ ก็ไม่ต้องมานั่งทำ data mapping แบบ manual ให้เมื่อยตุ้ม คุณสามารถใช้เงินแก้ปัญหาโดยการไปซื้อ software มาใช้ ก็จะประหยัดเวลาและความยุ่งยากไปได้แบบสวยๆ

แต่!! ต่อให้คุณใช้ software เข้ามาช่วย ก็ไม่ใช่ว่าคุณจะไม่ต้องมีการสื่อสาร จัดประชุม จัด workshop นะ คุณก็ยังต้องทำอยู่ และต้องเตรียมตอบคำถามจำนวนมหาศาลที่มาจากฝ่าย operation ทั้งหลายอยู่ อย่าลืมว่านี่คือเรื่องใหม่ ไม่มีใครเข้าใจมันแบบทะลุปรุโปร่ง

รู้แบบนี้แล้ว รออะไรล่ะ ติดต่อ RULER DPO เป็นที่ปรึกษาให้ธุรกิจของคุณ!

 
 
 
 
บริการของเรา
Languages »