.
.
.
เรียนท่านประธานเจ้าหน้าที่บริหาร
ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
มาตรา ๗๙ ระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา ๒๗ วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา ๒๘ อันเก่ียวกับข้อมูลส่วนบุคคลตามมาตรา ๒๖ โดยประการที่น่าจะทำให้ ผู้อื่นเกิดความเสียหาย เสียช่ือเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษ จำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ
ซึ่งองค์กรของเรามีบทบาทเป็นผู้ควบคุมข้อมูล ดังนั้นเราจำเป็นต้องดำเนินการตาม 15 ข้อดังนี้
.
1.ศึกษาและวิเคราะห์ว่า บทบาทขององค์กร เป็นฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งหนึ่งองค์กรเป็นได้ทั้งสองบทบาท เช่น ผู้ควบคุมข้อมูลส่วนบุคคลของข้อมูลส่วนบุคคลของพนักงานและเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ในกรณีที่ไปเป็นผู้ให้บริการกับลูกค้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
.
2.ศึกษาและวิเคราะห์กระบวนการและกิจกรรมทางธุรกิจ เพื่อระบุ “ข้อมูลส่วนบุคคล” และข้อมูลที่เป็นข้อมูลส่วนบุคคลอ่อนไหว ที่ต้องดำเนินการตามกฎหมาย
.
3.ศึกษาและวิเคราะห์กฎหมายที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย หรือการดำเนินธุรกิจขององค์กร เพื่อกำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights) ผลกระทบของการใช้สิทธิ และนโยบายและระยะเวลาการเก็บข้อมูลส่วนบุคคล (Data Retention Policy)
.
4.จัดทำ “Personal Data Flow Diagram”, “Data Inventory” และฐานทางกฎหมาย “Lawful Basis” สำหรับกิจกรรมการรับ จัดเก็บ และใช้งานหรือประมวลผลข้อมูลส่วนบุคคล
.
5.จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) และขั้นตอนปฏิบัติหรือคู่มือการปฏิบัติงาน ในการคุ้มครองข้อมูลส่วนบุคคล
.
6.ทบทวนและแก้ไขหนังสือยินยอม (Consent) สัญญา (Contract) หรือข้อตกลง (Agreement) และขั้นตอนการขอความยินยอม ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
.
7.จัดทำแนวปฏิบัติต่อคำขอของเจ้าของข้อมูล(Data Subject Request Procedure) เพื่อให้เจ้าของข้อมูลส่วนบุคคลแจ้งความประสงค์ ขอใช้สิทธิ์ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ Data Subject Access Request (DSAR)
.
8.จัดทำคู่มือขั้นตอนการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Management Procedure) เพื่อแจ้งเหตุการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงาน และ/หรือเจ้าของข้อมูลส่วนบุคคล
.
9.จัดทำนโยบายหรือแนวปฏิบัติในการ เปิดเผย ข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก หรือการส่งหรือโอนข้อมูลส่วนบุคคลไปหน่วยงานในต่างประเทศ(Third Parties / Cross Border Data Transfer Policy)
.
10.จัดทำนโยบายหรือแนวปฏิบัติในการจัดจ้าง และแนวทางในการกำกับดูแล บุคคลหรือนิติบุคคลภายนอกที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Outsource)
.
11.สร้างความตระหนัก และเสริมสร้างความรู้ให้กับกรรมการ ผู้บริหาร ผู้ปฏิบัติงานและผู้ที่เกี่ยวข้อง
.
12.แต่งตั้ง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (DPO) และหมอบหมายหน้าที่ ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจเป็บบุคลากรภายในหรือ Outsource https://www.facebook.com/113901013716219/posts/148658413573812/?extid=0&d=n
.
13.จัดเตรียม วางแผน และพัฒนามาตรการรักษาความมั่นคงปลอดภัย ทั้งด้าน บุคลากร กระบวนการ และเทคโนโลยี เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมลูส่วนบคุคล พ.ศ. ๒๕๖๓
.
14.เผยแพร่นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) บนเว็บไซต์และกำหนดให้มี Cookies consent https://www.facebook.com/113901013716219/posts/143143730791947/?extid=0&d=n
.
15.จัดทำคู่มือวิธีการประเมินผลกระทบและการประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment and Risk Assessment Methodology)
ซึ่งหากเราไม่ดำเนินการดังข้างต้น ตาม มาตรา ๘๑ ระบุว่า ในกรณีท่ีผู้กระทำความผิดตามพระราชบัญญัตินี้เป็นนิติบุคคล ถ้าการกระทำ ความผิดของนิติบุคคลนั้นเกิดจากการสั่งการหรือการกระทำของกรรมการหรือผู้จัดการ หรือบุคคลใด ซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลน้ัน หรือในกรณีที่บุคคลดังกล่าวมีหน้าท่ีต้องสั่งการหรือ กระทำการและละเว้นไม่ส่ังการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้น้ันต้องรับโทษ ตามท่ีบัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย
ฝ่าย Compliance และฝ่าย IT ซึ่งเป็นผู้รับผิดชอบเรื่องนี้โดยตรง ได้เสนอสิ่งที่ต้องดำเนินการเพื่อเตรียมตัวปฏิบัติตามกฎหมายให้ท่านทราบแล้ว จึงขอความกรุณาสั่งการให้เราได้ดำเนินการต่อไป
ด้วยความเป็นห่วง
Compliance & IT
#GDPR#PDPA#เตรียมตัว PDPA
PrivacyNote ให้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยตามกฎหมาย PDPA โดยที่ปรึกษามืออาชีพ
Line : https://lin.ee/NHIYt0k
081-714-6016