Check list ความพร้อมองค์กรกับ 5 ข้อสำคัญตามกรอบ PDPA

April 20, 2022

1 มิถุนายน 2565 เป็นต้นไป พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ในมาตราที่เลื่อนการบังคับใช้ออกมา 2 ปีจะเริ่มมีผล แม้จะเหลือเวลาอีกเพียงไม่กี่เดือน แต่ก็สามารถเร่งดำเนินการให้องค์กรปฏิบัติตาม พ.ร.บ. ได้ไม่ยาก

คุณกำพล ศรธนะรัตน์ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) และที่ปรึกษาด้าน Digital Transformation สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และประธานชมรม DPO ได้ให้หลักการ แนวทาง ตลอดจนขั้นตอนการปฏิบัติ ไว้ว่า หลักการสำคัญต่อการเตรียมความพร้อมขององค์กรเพื่อให้ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอ้างอิงตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม แนะนำ ประกอบด้วย 2 มิติหลัก คือ ข้อกำหนดในกฎหมาย และแนวปฏิบัติที่ดีหรือ Best Practices ซึ่งผู้บริหารองค์กรควรจะต้องรู้และปฏิบัติ ซึ่งข้อกำหนดในกฎหมายนั้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กำหนดบทลงโทษตามกฎหมาย ออกเป็น 3 ส่วนคือ ความรับผิดทางแพ่ง โทษทางปกครอง และโทษอาญา

โดยคุณกำพล แนะนำวิธีตรวจสอบความพร้อมองค์กร เพื่อให้รู้และเข้าใจประเด็นสำคัญ ว่า หากองค์กรใดยังดำเนินการไม่เสร็จสมบูรณ์ สิ่งสำคัญที่จะต้องเร่งทำก่อนกฎหมายมีผลบังคับใช้คือ 5 Check list ตามข้อกำหนดของกฎหมาย ประกอบด้วย แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)  , จัดทำ Privacy Notice, จัดทำบันทึกรายการประมวลผล (ROPA), จัดทำ Consent form และจัดทำ Data Processing Agreement ซึ่งทั้ง 5 เป็นข้อกำหนดในมาตรา 41, 23, 39, 19 และ 41 ตามลำดับ

ขณะที่คุณกำพล เน้นย้ำว่า หัวใจแห่งความสำเร็จของการจัดการ Data คือ ต้องจัดทำจัดเก็บ ระบุที่มา การใช้ข้อมูลให้ครบถ้วนทุกขั้นตอน และทุกส่วนที่มีข้อมูลส่วนบุคคล ซึ่งการจัดทำ Data Inventory ที่จะเป็นรากฐานสำคัญนำไปสู่การทำ ROPA หรือทะเบียนการประมวลผลข้อมูลในกิจกรรมต่างๆ โดย ROPA จะเชื่อมโยงกับการเก็บ Log รวมทั้งนำไปสู่การจัดทำ Data Flow

ทั้งหมดนี้เป็นข้อมูลที่จะช่วยคลายความกังวลให้แก่ผู้บริหารองค์กร และผู้คุ้มครองข้อมูลส่วนบุคคลได้บ้าง ซึ่งสามารถนำแผนปฏิบัติที่ดำเนินการอยู่มา Check list ให้สอดคล้องกับทั้งข้อกำหนดในกฎหมายที่จะต้องทำให้ครบ และแนวทางปฏิบัติ หรือ Best Practices ตลอดจนขั้นตอนการลงมือปฏิบัติ ซึ่งเชื่อว่าเป็นประโยชน์ต่อองค์กรเพื่อทำให้อยู่ในกรอบของกฎหมายได้ไม่ยาก

บทความนี้เป็นส่วนหนึ่งของบทความเรื่อง “ตรวจสอบความพร้อม 11 หลักการ 7 ขั้นตอน เตรียมองค์กรทำตามกรอบ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” จากเว็บไซต์ ICHI ซึ่งสามารถอ่านบทความฉบับเต็มต่อได้ที่ ICHI Website : https://bit.ly/3xeI2RO