PDPA_dsar
August 16, 2022

รับมือกับกฏหมาย PDPA และ Request Data Subject ด้วย Microsoft

เนื่องจากกฏหมาย PDPA มีผลบังคับใช้แล้วในวันที่ 1 มิ.ย. เกือบทุกธุรกิจที่มีการเก็บข้อมูลลูกค้าล้วนต้องการนำ

สาระสำคัญของ PDPA นั้นไม่ได้ห้ามไม่ให้องค์กรต่างๆ ใช้ประโยชน์จากข้อมูลส่วนบุคคล เพียงแต่จะต้องอธิบายการใช้ข้อมูลได้ตามฐานทางกฎหมายและมีมาตรการในการรักษาความปลอดภัยกับข้อมูลดังกล่าวให้เพียงพอ

นอกจากกจะมีกําหนดหน้าที่หลายๆ อย่างไว้แล้ว PDPA ยังหนดอีกว่าองค์กรต่างๆ นั้นจะต้องปฏิบัติตามอย่างรวดเร็วภายในกรอบเวลลาที่หนดไว้  (ต้องจัดการตามคำร้องภายใน 30 วัน) บางองค์กรมีการแต่งตั้งตำแหน่ง DPO เจ้าหน้าที่ดูแลคุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)  เข้ามาดูแลเรื่องนี้ เพื่อให้การปฏิบัติตํามกฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงเป็นความท้าทายที่องค์กรจะต้องเตรียมความพร้อมทางด้านเทคโนโลยีเพื่อให้สามารถปฏิบัติตาม กฏหมาย PDPA ได้ เพื่อให้สามารถเห็นภาพรวมว่าเทคโนโลยีที่จะนำมาใช้ใน workflow PDPA มีอะไรบ้าง และทำหน้าที่ในด้านไหนตั้งแต่การค้นหาข้อมูล จัดการธรรมภิบาล จัดการด้านความปลอดภัย

 

4 Step จัดระเบียบข้อมูลในองค์กรให้พร้อมรับมือ

โดยทั่วไปแล้วผู้ประกอบการจัดเก็บข้อมูลต่างๆ ในองค์กร ซึ่งกระจัดกระจายแยกกันอยู่ ขึ้นอยู่กับงานของส่วนงานนั้นๆ เพื่อให้การทำงานง่ายขึ้นเราจึงควรมีขั้นตอนการจัดการข้อมูลส่วนบุคคลในองค์กร แบ่งเป็น 4 กระบวนการ ประกอบด้วย

1.  Discover การตรวจสอบและจําแนกประเภทข้อมูลส่วนบุคคลที่มีในองค์กร

ในขั้นตอนแรกของการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล กระบวนการส่วนค้นหาข้อมูล (Discover) ทำให้องค์กรเข้าใจและเห็นภาพรวมของข้อมูลต่างๆ ที่ได้ถูกรวบรวมไว้ตามกระบวนการธุรกิจ ไม่ว่าจะจัดเก็บอยู่ในรูปแบบใดๆ ก็ตาม จะเป็นแบบ Structured Data ในลักษณะของ Database ไฟล์ต่างๆ โดย Microsoft มี Tool ที่ช่วยตรวจสอบได้

2. Manage กําหนดกิจกรรมกํารประมวลผลข้อมูลส่วนบุคคลและจัดกํารด้านนโยบายการเข้าถึงข้อมูลส่วนบุคคล

การกำหนดกิจกรรมการประมวลผลข้อมูลส่วนบุคคล จึงเป็นพื้นฐานของการกำกับดูแลข้อมูลที่ดี และเป็น สิงที่จะต้องดำเนินการอย่างต่อเนื่อง องค์กรต่างๆ จะต้องมีการตรวจสอบและอัปเดตมาตรการต่างๆ ที่บังคับ ใช้อย่างสม่ำเสมอเป็นระยะ และมีการกำกับดูแลข้อมูลที่ดีนั้นสามารถช่วยสร้างความเชื่อใจให้กับผู้บริโภคหรือ บุคคลทั่วไปได้ และช่วยลดความเสี่ยงหรือความรับผิดชอบทางกฎหมายที่อาจเกิดขึ้นได้

3. Protect กําหนดมาตรการปกป้องและคุ้มครองข้อมูลส่วนบุคคล รวมไปถึงความปลอดภัยทํางไซเบอร์

ปัจจุบันเมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับแล้ว การ คุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องที่กฎหมายใช้บังคับ วิธีการปฏิบัติการให้เป็นไปตามที่กฎหมายใช้บังคับนั้น อาจแตกต่างกันขึ้นอยู่กับการพิจารณาความเหมาะสมโดยมีปัจจัยประกอบหลายข้อ โดยเฉพาะอย่างยิ่ง ความก้าวหน้าของเทคโนโลยี (state of the art) รายจ่าย (cost of implementation) ลักษณะ ขอบเขตและ วัตถุประสงค์ของการประมวลผล (nature, scope, and purpose of processing) ความเสี่ยงที่จะเกิดขึ้นต่อ เจ้าของข้อมูล

4. Report จัดการ ติดตามและทบทวนมาตรการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการดําเนินการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล

การเปิดเผยข้อมูลนั้นมีหลายลักษณะ ซึ่งอาจมีการเปิดเผยโดยทั้งวิธีการทางอิเล็กทรอนิกส์ โดยการส่งเป็นเอกสาร หรือทางวาจา และไม่ใช่ทางอิเล็กทรอนิกส์ เช่น การส่งไฟล์ผ่านระบบต่างๆ หรือการ ให้อนุญาตในการเข้าถึง (access) ผู้ควบคุมข้อมูลจึงต้องทำการบันทึก (record) การเปิดเผยข้อมูลต่างๆ ให้ รอบคอบ โดยอาจบันทึกเป็นเอกสารหรือรูปแบบอิเล็กทรอนิกส์ก็ได้ ในส่วนของการเปิดเผยทางอิเล็กทรอนิกส์ นั้น

โดยทางคู่มือการใช้เทคโนโลยี เหล่านี้ แต่ละองค์กรสามารถดาว์โหลดคู่มือเพื่อนำไปปรับใช้ตามความเหมาะสมขององค์กรได้จาก

หรือสนใจ Microsoft Solution อื่นๆ สามารถ ติดต่อ sales@mverge.co.th

Microsoft_solution_PDPA
เมื่อเกิดเหตุการณ์ต้องรับมือ กับ DSAR (Data Subject Action Request)

เพื่อเป็นการคุ้มครองสิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคล PDPA ได้กำหนดหน้าที่ต่างๆ กับองค์กรที่ใช้ ข้อมูลส่วนบุคคลเอาไว้หลายประการ เช่น การประมวลผลข้อมูลตามวัตถุประสงค์ที่ชัดเจน การใช้ข้อมูลเท่าที่ จำเป็น การดำเนินการตามคำขอของเจ้าของข้อมูล การขอสำเนาข้อมูลส่วนบุคคล การขอแก้ไขข้อมูลให้ถูกต้อง หรือการที่จะต้องแจ้งต่อหน่วยงานที่เกี่ยวข้องเมื่อมีการละเมิดข้อมูลส่วนบุคคล เป็นต้น ซึ่งมีมาตราที่เกี่ยวข้องตาม หลักการทั้งหมด 8 ประการต่อไปนี้

มาตรา 30: ขอเข้าถึงและขอสำเนาของตน (Right to be access)

มาตรา 30: ขอรับข้อมูลส่วนบุคคลของตน (Right to be inform)

มาตรา 31: ขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)

มาตรา 32: ขอคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน (Right to Object)

มาตรา 33: ขอลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลของตนที่ไม่สามารถระบุตัวแทนได้ (Right to erasure)

มาตรา 34: ขอระงับการใช้ข้อมูลส่วนบุคคล (Right to be restrict processing)

มาตรา 35/36: ขอดำเนินการให้ข้อมูลส่วนบุคคลถูกต้องเป็นปัจจุบัน (Right to rectification)

มาตรา 19: ขอเพิกถอนความยินยอม (Right to withdraw consent)

เพื่อไม่ให้ผิดกฏหมาย PDPA ซืงมีทั้งโทษทางอาญาและปกครอง ที่ต้องจ่ายค่าปรับ ซึ่งมีตั้งแต่ 1 ล้านบาทไปจนถึง 5 ล้านบาท ดังนั้น Workflow PDPA ต้องชัดเจนและต้องปฏิบัติตามอย่างรวดเร็วภายในกรอบเวลาที่หนดไว้  

Dsar_PDPA_data_subject

ผู้ควบคุมข้อมูลควรพิจารณาเลือกใช้ซอฟต์แวร์หรือระบบที่มีการบันทึกความเป็นไปของข้อมูล สามารถ ตรวจสอบได้ ซึ่งจะสามารถสนับสนุนการปฏิบัติตาม PDPA ให้เป็นไปอย่างรวดเร็วหรืออัตโนมัติได้

การนำระบบ DSAR365 เพื่อรับข้อมูลการร้องของจากเจ้าของข้อมูลส่วนบุคคลได้หลากหลายช่องทาง  เช่น

–     Form ที่สามารถปรับแต่งให้เหมาะสมกับการรับการร้องขอต่างๆ ได้

-กำหนดบทบาทหน้าที่ user เช่น DPO, Verifier, BPO  เพื่อดูแลข้อมูลตามสิทธิที่มีอยู่รองรับการเชื่อมต่อเพื่อส่งคำร้องขอผ่านทางช่องทาง API จาก website

-มีระบบ Workflow อนุมัติงาน  สามารถตรวจเช็คความคืบหน้า ของงาน รวมไปถึงผู้รับผิดชอบ งานด้วย ทำให้การทำงานของ DPO ง่ายขึ้น

-ระบบแจ้งเตือน ทางเมล และ MSTeam เพื่อให้ติดตามสถานะงาน เพื่อเปิด/ปิดเคสใน 30 วัน

-เพื่อช่วยตรวจสอบสิทธิที่เจ้าของข้อมูลได้ส่งคำร้องขอเพื่อประเมินว่าสามารถทำได้โดยไม่ขัดต่อกฏหมาย

-การกำหนดสิทธิในการเข้าถึงไฟล์เอกสารที่มีข้อมูลส่วนบุคคล Azure Information Protection

-สามารถ Export ข้อมูลการทำงาน เพื่อนำไปทำ Data virtualization

ทาง Mverge หวังว่าท่านสามารถใช้เป็น แนวทางในการนำเทคโนโลยีมาปรับใช้เพื่อให้องค์กรของท่านสามารถปฏิบัติตาม PDPA ได้

หากต้องการขอทราบข้อมูลเพิ่มสำหรับ Solutions สำหรับรับมือกับกระบวนการ PDPA

Dsar365

Solutions สำหรับรับมือกับกระบวนการ PDPA for Data subject request
อ่านรายละเอียด