บันทึกที่ Compliance และ IT ต้องส่งให้ CEO เพื่อเตรียมตัวให้พร้อมกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒

เรียนท่านประธานเจ้าหน้าที่บริหาร

ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒

มาตรา ๗๙ ระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา ๒๘ อันเก่ียวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยประการที่น่าจะทำให้ ผู้อื่นเกิดความเสียหาย เสียช่ือเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษ จำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ

ซึ่งองค์กรของเรามีบทบาทเป็นผู้ควบคุมข้อมูล ดังนั้นเราจำเป็นต้องดำเนินการตาม 15 ข้อดังนี้
.
1.ศึกษาและวิเคราะห์ว่า บทบาทขององค์กร เป็นฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งหนึ่งองค์กรเป็นได้ทั้งสองบทบาท เช่น ผู้ควบคุมข้อมูลส่วนบุคคลของข้อมูลส่วนบุคคลของพนักงานและเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ในกรณีที่ไปเป็นผู้ให้บริการกับลูกค้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล 
.
2.ศึกษาและวิเคราะห์กระบวนการและกิจกรรมทางธุรกิจ เพื่อระบุ “ข้อมูลส่วนบุคคล” และข้อมูลที่เป็นข้อมูลส่วนบุคคลอ่อนไหว ที่ต้องดำเนินการตามกฎหมาย
.
3.ศึกษาและวิเคราะห์กฎหมายที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย หรือการดำเนินธุรกิจขององค์กร เพื่อกำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights) ผลกระทบของการใช้สิทธิ และนโยบายและระยะเวลาการเก็บข้อมูลส่วนบุคคล (Data Retention Policy) 
.
4.จัดทำ “Personal Data Flow Diagram”, “Data Inventory” และฐานทางกฎหมาย “Lawful Basis” สำหรับกิจกรรมการรับ จัดเก็บ และใช้งานหรือประมวลผลข้อมูลส่วนบุคคล 
.
5.จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) และขั้นตอนปฏิบัติหรือคู่มือการปฏิบัติงาน ในการคุ้มครองข้อมูลส่วนบุคคล 
.
6.ทบทวนและแก้ไขหนังสือยินยอม (Consent) สัญญา (Contract) หรือข้อตกลง (Agreement) และขั้นตอนการขอความยินยอม ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 
.
7.จัดทำแนวปฏิบัติต่อคำขอของเจ้าของข้อมูล(Data Subject Request Procedure) เพื่อให้เจ้าของข้อมูลส่วนบุคคลแจ้งความประสงค์ ขอใช้สิทธิ์ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ Data Subject Access Request (DSAR) 
.
8.จัดทำคู่มือขั้นตอนการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Management Procedure) เพื่อแจ้งเหตุการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงาน และ/หรือเจ้าของข้อมูลส่วนบุคคล
.
9.จัดทำนโยบายหรือแนวปฏิบัติในการ เปิดเผย ข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก หรือการส่งหรือโอนข้อมูลส่วนบุคคลไปหน่วยงานในต่างประเทศ(Third Parties / Cross Border Data Transfer Policy)
.
10.จัดทำนโยบายหรือแนวปฏิบัติในการจัดจ้าง และแนวทางในการกำกับดูแล บุคคลหรือนิติบุคคลภายนอกที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Outsource)
.
11.สร้างความตระหนัก และเสริมสร้างความรู้ให้กับกรรมการ ผู้บริหาร ผู้ปฏิบัติงานและผู้ที่เกี่ยวข้อง
.
12.แต่งตั้ง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (DPO) และหมอบหมายหน้าที่ ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจเป็บบุคลากรภายในหรือ Outsource https://www.facebook.com/113901013716219/posts/148658413573812/?extid=0&d=n
.
13.จัดเตรียม วางแผน และพัฒนามาตรการรักษาความมั่นคงปลอดภัย ทั้งด้าน บุคลากร กระบวนการ และเทคโนโลยี เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมลูส่วนบคุคล พ.ศ. ๒๕๖๓
.
14.เผยแพร่นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) บนเว็บไซต์และกำหนดให้มี Cookies consent https://www.facebook.com/113901013716219/posts/143143730791947/?extid=0&d=n 
.
15.จัดทำคู่มือวิธีการประเมินผลกระทบและการประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment and Risk Assessment Methodology)

ซึ่งหากเราไม่ดำเนินการดังข้างต้น ตาม มาตรา ๘๑ ระบุว่า ในกรณีท่ีผู้กระทำความผิดตามพระราชบัญญัตินี้เป็นนิติบุคคล ถ้าการกระทำ ความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการหรือผู้จัดการ หรือบุคคลใด ซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลน้ัน หรือในกรณีที่บุคคลดังกล่าวมีหน้าท่ีต้องสั่งการหรือ กระทำการและละเว้นไม่ส่ังการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้น้ันต้องรับโทษ ตามท่ีบัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย

ฝ่าย Compliance และฝ่าย IT ซึ่งเป็นผู้รับผิดชอบเรื่องนี้โดยตรง ได้เสนอสิ่งที่ต้องดำเนินการเพื่อเตรียมตัวปฏิบัติตามกฎหมายให้ท่านทราบแล้ว จึงขอความกรุณาสั่งการให้เราได้ดำเนินการต่อไป

ด้วยความเป็นห่วง
Compliance & IT

#GDPR #PDPA #เตรียมตัว PDPA

PrivacyNote ให้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยตามกฎหมาย PDPA โดยที่ปรึกษามืออาชีพ

 Line : https://lin.ee/NHIYt0k
 081-714-6016

 

ALPHASEC

02-309-3559 Direct Line : 081-714-6016

บริษัท อัลฟ่าเซค จำกัด
เลขที่ 18 อาคาร ปาร์คเวนเชอร์ อีโคเพล็ก 57 ถนนวิทยุ แขวงลุมพินี เขต ปทุมวัน กรุงเทพฯ 10330

  • Facebook

©2018 by AlphaSec Co., Ltd.