Search
  • Admin

บันทึกที่ Compliance และ IT ต้องส่งให้ CEO เพื่อเตรียมตัวให้พร้อมกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล


.

.

.

เรียนท่านประธานเจ้าหน้าที่บริหาร


ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒


มาตรา ๗๙ ระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา ๒๘ อันเก่ียวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยประการที่น่าจะทำให้ ผู้อื่นเกิดความเสียหาย เสียช่ือเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษ จำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ


ซึ่งองค์กรของเรามีบทบาทเป็นผู้ควบคุมข้อมูล ดังนั้นเราจำเป็นต้องดำเนินการตาม 15 ข้อดังนี้

.

1.ศึกษาและวิเคราะห์ว่า บทบาทขององค์กร เป็นฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งหนึ่งองค์กรเป็นได้ทั้งสองบทบาท เช่น ผู้ควบคุมข้อมูลส่วนบุคคลของข้อมูลส่วนบุคคลของพนักงานและเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ในกรณีที่ไปเป็นผู้ให้บริการกับลูกค้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

.

2.ศึกษาและวิเคราะห์กระบวนการและกิจกรรมทางธุรกิจ เพื่อระบุ “ข้อมูลส่วนบุคคล” และข้อมูลที่เป็นข้อมูลส่วนบุคคลอ่อนไหว ที่ต้องดำเนินการตามกฎหมาย

.

3.ศึกษาและวิเคราะห์กฎหมายที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย หรือการดำเนินธุรกิจขององค์กร เพื่อกำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights) ผลกระทบของการใช้สิทธิ และนโยบายและระยะเวลาการเก็บข้อมูลส่วนบุคคล (Data Retention Policy)

.

4.จัดทำ “Personal Data Flow Diagram”, “Data Inventory” และฐานทางกฎหมาย “Lawful Basis” สำหรับกิจกรรมการรับ จัดเก็บ และใช้งานหรือประมวลผลข้อมูลส่วนบุคคล

.

5.จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) และขั้นตอนปฏิบัติหรือคู่มือการปฏิบัติงาน ในการคุ้มครองข้อมูลส่วนบุคคล

.

6.ทบทวนและแก้ไขหนังสือยินยอม (Consent) สัญญา (Contract) หรือข้อตกลง (Agreement) และขั้นตอนการขอความยินยอม ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

.

7.จัดทำแนวปฏิบัติต่อคำขอของเจ้าของข้อมูล(Data Subject Request Procedure) เพื่อให้เจ้าของข้อมูลส่วนบุคคลแจ้งความประสงค์ ขอใช้สิทธิ์ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ Data Subject Access Request (DSAR)

.

8.จัดทำคู่มือขั้นตอนการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Management Procedure) เพื่อแจ้งเหตุการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงาน และ/หรือเจ้าของข้อมูลส่วนบุคคล

.

9.จัดทำนโยบายหรือแนวปฏิบัติในการ เปิดเผย ข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก หรือการส่งหรือโอนข้อมูลส่วนบุคคลไปหน่วยงานในต่างประเทศ(Third Parties / Cross Border Data Transfer Policy)

.

10.จัดทำนโยบายหรือแนวปฏิบัติในการจัดจ้าง และแนวทางในการกำกับดูแล บุคคลหรือนิติบุคคลภายนอกที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Outsource)

.

11.สร้างความตระหนัก และเสริมสร้างความรู้ให้กับกรรมการ ผู้บริหาร ผู้ปฏิบัติงานและผู้ที่เกี่ยวข้อง

.

12.แต่งตั้ง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (DPO) และหมอบหมายหน้าที่ ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจเป็บบุคลากรภายในหรือ Outsource https://www.facebook.com/113901013716219/posts/148658413573812/?extid=0&d=n

.

13.จัดเตรียม วางแผน และพัฒนามาตรการรักษาความมั่นคงปลอดภัย ทั้งด้าน บุคลากร กระบวนการ และเทคโนโลยี เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมลูส่วนบคุคล พ.ศ. ๒๕๖๓

.

14.เผยแพร่นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) บนเว็บไซต์และกำหนดให้มี Cookies consent https://www.facebook.com/113901013716219/posts/143143730791947/?extid=0&d=n

.

15.จัดทำคู่มือวิธีการประเมินผลกระทบและการประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment and Risk Assessment Methodology)


ซึ่งหากเราไม่ดำเนินการดังข้างต้น ตาม มาตรา ๘๑ ระบุว่า ในกรณีท่ีผู้กระทำความผิดตามพระราชบัญญัตินี้เป็นนิติบุคคล ถ้าการกระทำ ความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการหรือผู้จัดการ หรือบุคคลใด ซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลน้ัน หรือในกรณีที่บุคคลดังกล่าวมีหน้าท่ีต้องสั่งการหรือ กระทำการและละเว้นไม่ส่ังการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้น้ันต้องรับโทษ ตามท่ีบัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย


ฝ่าย Compliance และฝ่าย IT ซึ่งเป็นผู้รับผิดชอบเรื่องนี้โดยตรง ได้เสนอสิ่งที่ต้องดำเนินการเพื่อเตรียมตัวปฏิบัติตามกฎหมายให้ท่านทราบแล้ว จึงขอความกรุณาสั่งการให้เราได้ดำเนินการต่อไป


ด้วยความเป็นห่วง

Compliance & IT


#GDPR#PDPA#เตรียมตัว PDPA


PrivacyNote ให้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยตามกฎหมาย PDPA โดยที่ปรึกษามืออาชีพ


Line : https://lin.ee/NHIYt0k

081-714-6016

182 views0 comments