PDPA ฉบับรวบรัด

ตอบกลับโพส
siri
โพสต์: 1524
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

PDPA ฉบับรวบรัด

โพสต์ โดย siri » ศุกร์ ธ.ค. 04, 2020 11:19 pm

https://techsauce.co/tech-and-biz/pdpa- ... BHoOuekOoI

PDPA ฉบับรวบรัด รวมทุกอย่างที่ธุรกิจต้องมี
พฤศจิกายน 30, 2020 | By Techsauce Team

หาก Data คือหัวใจสำคัญสำหรับธุรกิจในปัจจุบัน และอนาคต PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก็คือหัวใจสำคัญในการเก็บ ใช้ และปกป้องความปลอดภัยของ Data ที่ทุกธุรกิจต้องรู้ และเตรียมตัวรับมือ โดยสำหรับหมวดที่เกี่ยวข้องกับภาคธุรกิจกำลังจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2564 ในบทความนี้เราจะขอนำทุกท่านไปทำความเข้าใจ PDPA อย่างรวบรัด และสรุปสิ่งที่ทุกธุรกิจต้องมีเพื่อให้สอดคล้องกับข้อกำหนดทางกฏหมายทั้งหมด

PDPA คืออะไร
PDPA ( Personal Data Protection Act ) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้ไปเมื่อวันที่ 28 พฤษภาคม 2562 แต่ในหมวดที่เกี่ยวข้องกับภาคธุรกิจถูกเลื่อนไปให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2564 โดย พ.ร.บ. นี้มีขึ้นมาเพื่อช่วยคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกละเมิด มีผลกับทั้งบุคคลธรรมดา และนิติบุคคลที่อยู่ในไทย และในต่างประเทศที่มีการเก็บ ใช้ เปิดเผย หรือถ่ายโอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทย โดยสำหรับผู้ที่ละเมิดข้อกฏหมายดังกล่าวอาจจะได้รับบทลงโทษทั้งในทางแพ่ง อาญา หรือโทษปรับทางปกครองสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี รวมถึงต้องจ่ายค่าสินไหมทดแทน

“ข้อมูลส่วนบุคคล” และ “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” และ “สิทธิของเจ้าของข้อมูล”


ข้อมูลใด ๆ ก็ตามที่สามารถระบุตัวตนของเจ้าของข้อมูล (Data Subject) ได้ทั้งในทางตรง และทางอ้อม ทั้งที่เก็บแบบออนไลน์และออฟไลน์ ล้วนคือ “ข้อมูลส่วนบุคคล” เช่น ชื่อ-นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, รูปถ่าย เป็นต้น PDPA ยังคุ้มครองไปจนถึง “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” (Sensitive Personal Data) เช่น เชื้อชาติ, ความคิดเห็นทางการเมือง, ศาสนา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม หรือข้อมูลสุขภาพ

โดย PDPA ได้ให้สิทธิกับเจ้าของข้อมูลอย่างครอบคลุม เช่น การได้รับแจ้งว่าจะมีการเก็บข้อมูล สามารถแก้ไข คัดค้านการจัดเก็บ การระงับใช้ ไปจนถึงการขอลบข้อมูล โดย PDPA กำหนดระยะในการทำตามคำร้องขอใช้สิทธิจากเจ้าของข้อมูลภายใน 30 วัน

5 เอกสารและแบบฟอร์มต่างๆ ที่ทุกธุรกิจต้องเตรียม
องค์กรที่ต้องการเก็บหรือใช้ประโยชน์ใดๆ จากข้อมูลส่วนบุคคล จำเป็นต้องดำเนินการตามหลักของ PDPA โดยควรมีเอกสารและแบบฟอร์มต่างๆ เพื่อแจ้งวัตถุประสงค์ ขอความยินยอมการเก็บข้อมูลจากเจ้าของข้อมูล (Consent) รวมไปถึงเตรียมช่องทางให้เจ้าของข้อมูลสามารถใช้สิทธิตาม PDPA ได้ โดยเอกสารและแบบฟอร์มเหล่านี้จะสามารถทำผ่านกระดาษหรือระบบออนไลน์ก็ได้ สิ่งสำคัญคือการต้องทำให้อ่านเข้าใจได้ง่าย ไม่ก่อให้เกิดความเข้าใจผิด และปราศจากนัยแอบแฝงโดยเงื่อนไขอื่นๆ แบบฟอร์มต่างๆ ที่ควรต้องเตรียมมีดังต่อไปนี้1. บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ Record of Processing (ROP)
บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล เป็นเอกสารที่จะบอกว่าองค์กรหรือบริษัทจัดเก็บข้อมูลส่วนบุคคลที่ไหนอย่างไร นำไปประมวลผลอย่างไรบ้าง วัตถุประสงค์คืออะไร ใครคือผู้เกี่ยวข้องบ้าง นอกจากเป็นข้อกำหนดของ พ.ร.บ. เพื่อการตรวจสอบแล้ว การทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ ROP จะช่วยให้องค์เห็นภาพรวมของกระบวนการในการประมวลผลข้อมูลทั้งหมด สามารถปรับปรุงพัฒนาการนำข้อมูลไปใช้ได้อย่างมีประสิทธิภาพมากขึ้น

2. แบบฟอร์มการขอใช้สิทธิสำหรับเจ้าของข้อมูล
ตามที่ PDPA ได้กำหนดสิทธิเพื่อคุ้มครองข้อมูลส่วนบุคคลสำหรับเจ้าของข้อมูลนั้น บริษัทหรือผู้ให้บริการมีหน้าที่ในการจัดเตรียมช่องทางให้เจ้าของข้อมูลสามารถยื่นคำร้องขอใช้สิทธิดังกล่าวได้ไม่ว่าจะเป็นช่องทางใด ๆ ก็ตาม โดยองค์กรหรือผู้ให้บริการมีหน้าที่ต้องดำเนินการตามคำร้องขอภายใน 30 วันหลังจากได้รับคำขอ

สำหรับธุรกิจที่ให้บริการผ่านช่องทางเว็บไซต์ควรสร้างแบบฟอร์มการขอใช้สิทธิบนเว็บไซต์ให้ผู้ใช้บริการซึ่งเป็นเจ้าของข้อมูลสามารถมากรอกข้อมูลเพื่อยื่นคำร้องได้ แบบฟอร์มควรจะมีข้อมูลส่วนบุคคลเบื้องต้น เช่น ชื่อ-นามสกุล เอกสารยืนยันตัวตน ระบุความสัมพันธ์กับบริษัทซึ่งเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) ไปจนถึงให้ระบุสิทธิที่ต้องการใช้

เมื่อได้รับคำขอใช้สิทธิ องค์กรสามารถพิจารณาว่าจะยอมรับแล้วดำเนินการตามคำร้อง หรือจะปฏิเสธคำขอโดยระบุเหตุผลที่ปฏิเสธไว้ในคำขอด้วย หากบริษัทปฏิเสธคำร้อง เจ้าของข้อมูลก็มีสิทธิยื่นเรื่องให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายพิจารณา

3. แบนเนอร์ขอความยินยอมการใช้คุกกี้ หรือ Cookie Consent Banner
สำหรับเว็บไซต์ที่ต้องการจัดเก็บข้อมูลส่วนบุคคลจากผู้ที่เข้ามาใช้งาน จำเป็นที่จะต้องมี แบนเนอร์ขอความยินยอมการใช้คุกกี้ หรือ Cookie Consent Banner เพื่อเป็นช่องทางในการขอความยินยอมการเก็บข้อมูลส่วนบุคคลจากผู้ใช้งาน ตั้งแต่ข้อมูลพื้นฐาน เช่น ชื่อบัญชีผู้ใช้ ไปจนถึงการติดตามประวัติ หรือพฤติกรรมผู้ใช้งานเพื่อนำไปประมวลผลตามวัตถุประสงค์ต่าง ๆ โดยต้องแจ้งผู้ใช้งานทราบตั้งแต่เว็บไซต์มีการใช้ Cookies เพื่อเก็บข้อมูล แจ้งวัตถุประสงค์ และประเภทข้อมูลที่จัดเก็บ ไปจนถึงให้สิทธิผู้ใช้งานในการตัดสินใจที่จะยินยอมให้เก็บข้อมูลส่วนใดบ้าง

4. แบบฟอร์มแจ้งเตือนกรณีเกิดการรั่วไหลของข้อมูลส่วนบุคคล
หากเกิดการรั่วไหลของข้อมูลส่วนตัว องค์กรหรือบริษัทจำเป็นจะต้องแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูล โดยต้องแจ้งรายละเอียดสถานการณ์ที่เกิดขึ้นทั้งหมด ไม่ว่าจะเป็นจำนวนข้อมูลที่รั่วไหล ประเภทของข้อมูล ประเมินผลกระทบที่อาจจะเกิดขึ้น ไปจนถึงระบุมาตรการในการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย

5. นโยบายความเป็นส่วนตัว หรือ Privacy Policy
ผู้ให้บริการต้องแจ้ง Privacy Policy หรือนโยบายความเป็นส่วนตัวให้กับเจ้าของข้อมูลที่เข้ามาใช้บริการ ระบุรายละเอียด และเงื่อนไขทั้งหมดว่าจะเก็บข้อมูลอะไรบ้าง จะนำไปประมวลผลใช้งานอย่างไรบ้าง ระยะเวลาในการจัดเก็บ มาตรการด้านความปลอดภัยในการจัดเก็บข้อมูล ไปจนถึงช่องทางติดต่อบริษัท ซึ่งเป็น "ผู้ควบคุมข้อมูล" (Data Controller) และ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (Data Protection Officer)

บริการแพลตฟอร์มสร้าง PDPA ทางเลือกที่ง่าย และจบสำหรับทุกธุรกิจ
เมื่อจัดเตรียมเอกสารและแบบฟอร์มสำหรับการทำ PDPA สิ่งที่ต้องคำนึงถึงด้วยคือปัจจัยด้านการเปลี่ยนแปลงของข้อกำหนดทางกฏหมายที่จำเป็นต้องติดตาม และปรับตัวให้เท่าทันตลอดเวลา แต่อาจจะเป็นเรื่องลำบากสำหรับธุรกิจขนาดเล็กไปจนถึงขนาดกลางที่ไม่มีทีมดูแลด้านกฏหมายเป็นของตัวเอง

อีกปัจจัยคือเรื่องของภาษา ในกรณีที่ผู้ใช้งานที่เป็นเจ้าของข้อมูลใช้ภาษาอื่นๆ ซึ่งต้องแปลแบบฟอร์มเป็นภาษานั้น ๆ ให้ถูกต้องตามหลักภาษาทางกฏหมาย

สุดท้ายคือเรื่องของ User Experience โดยเฉพาะธุรกิจที่ให้บริการผ่านช่องทางออนไลน์ จะทำอย่างไรให้ขั้นตอนการขอ Consent ต่างๆ ซึ่งมีรายละเอียดจำนวนมาก และซับซ้อน ให้เป็นมิตรกับผู้ใช้งาน ผ่านการออกแบบให้เข้าใจง่าย ใช้งานง่าย และใช้ได้อย่างสะดวกในทุกแพลตฟอร์ม

ทางเลือกที่น่าสนใจ และตอบโจทย์ปัจจัยประเด็นที่กล่าวมาข้างต้นคือการเลือกใช้แพลตฟอร์มที่เปิดให้เข้าไปสร้างแบบฟอร์ม PDPA อย่างบริการของ PDPA Pro https://pdpa.pro ที่สามารถสร้าง Privacy Policy ให้กับเว็บไซต์ของคุณอย่างง่ายและฟรี ครอบคลุมการอัพเดทรายละเอียดกฏหมายที่อาจจะมีเพิ่มเติมในอนาคต ได้ทั้ง Privacy Policy ฉบับภาษาไทย และภาษาอังกฤษผ่านการทำเพียงครั้งเดียว ซึ่งนอกจากในส่วนของเงื่อนไข PDPA สำหรับธุรกิจที่เข้าเงื่อนไขกฏหมายคุ้มครองข้อมูลส่วนบุคคลในต่างประเทศอย่าง CCPA ของรัฐแคลิฟอร์เนีย หรือ GDPR ของยุโรป ซึ่งจะมีทั้งเงื่อนไขที่เหมือนและแตกต่างจาก PDPA ของไทย ก็สามารถใช้บริการเสริมจาก PDPA Pro ในการสร้างแบบฟอร์มที่สอดคล้องกับกฏหมายนั้น ๆ ได้เช่นกัน ไปจนถึงบริการ สร้าง Cookie บนเว็บไซต์ที่สอดคล้องกับข้อกำหนดของ PDPA ง่ายๆ https://cookiewow.com และ สร้างแบบฟอร์มการขอใช้สิทธิสำหรับเจ้าของข้อมูลตาม PDPA บนเว็บไซต์ https://pdpaform.comทั้งหมดนี้คือประเด็น PDPA ฉบับรวบรัด รวมไปถึงเรื่องของเอกสารแบบฟอร์มต่างๆ ที่ทุกธุรกิจควรต้องมี อีกปัจจัยสำคัญคือการเตรียมคนในองค์กรให้พร้อมสำหรับความเปลี่ยนแปลงที่จะมาถึง เพราะต่อให้องค์กรมีการกำหนดข้อปฏิบัติตาม PDPA ครบถ้วน แต่หากคนในองค์กรไม่มีความรู้ความเข้าใจที่ถูกต้อง และไม่ปฏิบัติตามอย่างเคร่งครัดก็อาจจะทำให้เกิดการละเมิดข้อกฏหมายนำไปสู่บทลงโทษที่รุนแรงได้

ทั้งนี้ Mindset ที่สำคัญที่ผู้บริหารไปจนถึงพนักงานทุกระดับควรมีคือไม่มุ่งเน้นประเด็นว่า PDPA เป็นอุปสรรคต่อการดำเนินธุรกิจ แต่เป็นสิทธิในการปกป้องข้อมูลส่วนบุคคลที่เจ้าของข้อมูลทุกคนควรได้รับ และเป็นหลักปฏิบัติตามมาตรฐานระดับสากลที่จะทำให้องค์กร และภาพรวมเศรษฐกิจประเทศไทยมีมาตรฐานในการทำธุรกิจร่วมกับนานาชาติได้อย่างเท่าทันความเปลี่ยนแปลงของยุคสมัย

หากต้องการทราบข้อมูลหรือรายละเอียดบริการตัวช่วยในการทำ PDPA เพิ่มเติม ติดต่อได้ที่ https://www.facebook.com/pdpapro/

siri
โพสต์: 1524
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

Re: PDPA ฉบับรวบรัด

โพสต์ โดย siri » พุธ ต.ค. 13, 2021 3:41 pm

สรุป PDPA คืออะไร ฉบับเข้าใจง่าย พร้อมแนะแนว
February 15, 2021
https://pdpa.pro/blogs/in-summary-what-is-pdpa

Share

สรุป PDPA คืออะไร ฉบับเข้าใจง่าย พร้อมแนะแนว


กลางปีนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA ที่ย่อมาจาก Personal Data Protection Act จะเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิ.ย. 2565 กฎหมาย PDPA นี้ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้

ที่มาของ PDPA
กฎหมาย PDPA เรียกได้ว่าถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล

เตรียมความพร้อมตาม PDPA
บุคคลที่สำคัญตามกฎหมาย PDPA คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ควบคุมข้อมูลส่วนบุคคลเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ ตัวอย่างเช่น เว็บไซต์ขายของออนไลน์ ตัวผู้จัดทำเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย

STEP 1 การเก็บรวบรวมข้อมูลส่วนบุคคล
1. จัดทำ Privacy Policy แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ

องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย

แจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ
ข้อความอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม คลิก PDPA Pro เพื่อสร้าง Privacy Policy ที่ถูกต้องตาม PDPA
2. การจัดการเว็บไซต์ แอปพลิเคชัน และ Third-party

นอกจากการจัดทำ Privacy Policy ผ่านเว็บไซต์หรือแอปพลิเคชันแล้ว การขอจัดเก็บ Cookie ก็จะต้องแจ้งเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งานด้วย ซึ่งที่เราพบเห็นได้ทั่วไป มักแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ทางด้านล่างเว็บไซต์ คลิก Cookiewow เพื่อจัดทำ Cookie Consent Banner เพียงไม่กี่นาที ส่วน Third Party ที่เก็บข้อมูลส่วนบุคคล เช่น เว็บไซต์โฆษณาที่ทำการตลาด ก็ต้องระบุวัตถุประสงค์และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วย

3.การเก็บข้อมูลพนักงาน

สำหรับการเก็บข้อมูลส่วนบุคคลของพนักงานนั้นก็ต้องจัดทำนโยบายความเป็นส่วนตัวสำหรับพนักงานหรือ HR Privacy Policy เพื่อแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของพนักงานเช่นเดียวกัน แนะนำว่าสำหรับพนักงานเก่า ให้แจ้ง Privacy Policy เป็นเอกสารใหม่ ส่วนพนักงานใหม่ ให้แจ้งในใบสมัคร 1 ครั้ง และแจ้งในสัญญาจ้าง 1 ครั้ง คลิก PDPA Pro เพื่อสร้าง Privacy Policy สร้าง HR Privacy Policy ถูกต้องตาม PDPA

STEP 2 การใช้หรือประมวลผลข้อมูลส่วนบุคคล
แต่ละฝ่ายในองค์กรควรร่วมกำหนดแนวทางหรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) และบันทึกรายการข้อมูลส่วนบุคคลที่มีการเก็บหรือใช้ (Records of Processing Activity: ROPA) ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูลเอกสารที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (face ID, ลายนิ้วมือ) รวมถึงห้ามเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่ไม่มีความรับผิดชอบโดยตรง

1. สิ่งที่ควรทำ

แอด line เจ้าของข้อมูลส่วนบุคคล หลังจากขออนุญาตแล้ว
ส่ง Direct Marketing ให้ลูกค้าหลังจากที่ลูกค้ายินยอมแล้ว
ส่งข้อมูลลูกค้าจาก Cookie ไป Target Advertising ต่อ หลังจากที่ลูกค้ายินยอมแล้ว
ส่งข้อมูลให้ Vendor หลังจากบริษัทได้ทำความตกลงกับ Vendor ที่มีข้อกำหนดเรื่องความคุ้มครองข้อมูลส่วนบุคคลแล้ว
การให้บริการที่ต้องวิเคราะห์ข้อมูลส่วนบุคคลจำนวนมากหรือใช้ Sensitive Personal Data เช่น การสแกนใบหน้า จะต้องขอความยินยอมก่อน
รวบรวมสถิติลูกค้าเพื่อพัฒนาบริการ โดยไม่ใช้ข้อมูลส่วนบุคคลของลูกค้า
STEP 3 มาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล
กำหนดแนวทางอย่างน้อยตามมาตรฐานขั้นต่ำด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล (Minimum Security Requirements) ได้แก่ การรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
กำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล (Data Rentention)
มีกระบวนการ Breach Notification Protocol ซึ่งเป็นระบบแจ้งเตือนเพื่อปกป้องข้อมูลจากการโจมตีจากผู้ไม่หวังดี
STEP 4 การส่งหรือเปิดเผยข้อมูลส่วนบุคคล
ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานกฎหมาย PDPA
ในกรณีโอนข้อมูลไปต่างประเทศ ให้ทำสัญญากับบริษัทปลายทางเพื่อคุ้มครองข้อมูลตามมาตรฐาน PDPA
มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง Chat หรือส่งอีเมลก็ได้
STEP 5 การกำกับดูแลข้อมูลส่วนบุคคล
ในประเทศไทย มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดย PDPA กำหนดให้องค์กรต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมายPDPA ด้านเทคโนโลยี และเข้าใจบริบทขององค์กรมีหน้าที่ให้คำปรึกษากับองค์กร และดูแลการดำเนินการให้เป็นไปตามกฎหมาย ยิ่งไปกว่านั้น องค์กรควรจัดอบรมแนวปฏิบัติหรือข้อกฎหมาย PDPA เพื่อสร้างความตระหนักรู้ และให้พนักงานมีความรู้ความเข้าใจในการปฏิบัติงานได้อย่างถูกต้อง

ถึงเวลาปฏิบัติตาม PDPA แล้ว จะเห็นได้ว่าถ้าศึกษารายละเอียดของกฎหมายให้เข้าใจ องค์กรของคุณก็สามารถปฏิบัติตาม PDPA ได้ไม่ยาก ทั้งนี้ก็มีผู้เชี่ยวชาญที่จะช่วยสร้างนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าให้เกิดความปลอดภัย และที่สำคัญหากผู้ควบคุมข้อมูลส่วนบุคคลและบุคลากรในองค์กรมีความรู้ความเข้าใจและปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลตาม PDPA แล้ว ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ซึ่งจะสร้างความเชื่อมั่นต่อองค์กรให้กับผู้ใช้งานได้เป็นอย่างดี

siri
โพสต์: 1524
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

Re: PDPA ฉบับรวบรัด

โพสต์ โดย siri » พุธ ต.ค. 13, 2021 3:41 pm

11 สิ่ง Cyber Security ที่คุณควรรู้สำหรับ PDPA
March 19, 2021


Share

11 สิ่ง Cyber Security ที่คุณควรรู้สำหรับ PDPA
องค์กรที่ใช้หรือเก็บรวบรวมข้อมูลจำเป็นต้องจัดให้มีมาตรการที่เก็บรักษาข้อมูลให้เป็นความลับ (confidentiality) มีความถูกต้องสมบูรณ์ (integrity) และความมั่นคงปลอดภัย (security) ซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative) ด้านเทคนิค (technical) และทางกายภาพ (physical) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) เพื่อให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA มาตรา 37 องค์กรจะต้องมีแนวปฏิบัติที่ดีเพื่อปกป้องรักษาระบบ IT ให้ปลอดภัย โดยมีคำแนะนำสำหรับ cyber security ดังนี้

1. Perimeter protection
บริษัทจะต้องรักษาระบบ IT ให้ปลอดภัยโดยคุ้มครองข้อมูลส่วนบุคคลที่ลูกจ้างเก็บรวมรวมหรือใช้ โดยใช้ Firewall ซึ่งเป็นวิธีที่ง่าย firewall เปรียบเสมือนกำแพงความปลอดภัยและเป็นตัวกรอง traffic ทางอินเตอร์เน็ตก่อนที่จะเข้าสู่ระบบคอมพิวเตอร์หรือเครือข่ายภายในบริษัท firewall ที่ตั้งค่าดีจะป้องกันองค์กรจากอันตรายจากการเข้าถึงที่ไม่ได้รับอนุญาตทางอินเตอร์เน็ตได้

2. Identity
cyber security ที่สำคัญอีกอย่างคือ การระบุตัวตน (identity) เพื่อการจำกัดการเข้าถึงข้อมูลสำคัญ และอนุญาตให้บุคคลที่ไว้วางใจเข้าถึงข้อมูลนั้นได้ ดังนั้น พนักงานในองค์กรจะต้องได้รับอนุญาตในการเข้าใช้งานก่อน จึงจะเข้าถึงข้อมูลดังกล่าวได้

3. Access
แนวปฏิบัติที่ดีสำหรับการรักษาความมั่นคงปลอดภัยของข้อมูลต่อมาคือ การเข้าถึงข้อมูลไม่ควรให้ใช้ account ร่วมกัน โดยแต่ละคนควรมี account, username, password ที่แยกออกจากกัน เพื่อให้สามารถติดตามหาสาเหตุจาก log ได้ในกรณีที่ข้อมูลถูกละเมิด

4. Password
องค์กรควรมีนโยบายให้พนักงานตั้ง password ที่คาดเดาได้ยาก โดยให้ประกอบด้วยตัวอักษร ตัวเลข และสัญลักษณ์ เพื่อป้องกันไม่ให้มีการเข้าถึงโดยไม่ได้รับอนุญาตและให้ปลอดภัยจากการใช้โปรแกรมเดาสุ่ม password (brute force attacks) องค์กรควรจำกัดอัตราการล็อคอินที่ไม่สำเร็จ ซึ่งถ้าพยายามล็อคอินเกินจำนวนที่กำหนด account ก็จะโดนล็อค และใช้ two-factor authentication ในการเข้าถึงข้อมูลสำคัญอย่าง online banking หรือโปรแกรม password manager นอกจากนี้ เมื่อพนักงานหมดสถานะลูกจ้างหรือลาระยะยาว ก็ควรระงับการใช้ user และ password โดยทันทีด้วย

5. Endpoint security
เป็นการรักษาความปลอดภัยแบบภาพรวม โดยใช้วิธีการรักษาความปลอดภัยเบื้องต้นอย่างการใช้โปรแกรมแอนตี้ไวรัส องค์กรควรใช้โปรแกรมสแกนเครือข่ายเพื่อตรวจหามัลแวร์และประเมินผลเป็นประจำ นอกจากการใช้โปรแกรมแล้ว สิ่งสำคัญที่ควรทำคือการวิเคราะห์การแจ้งเตือนและแก้ปัญหาการถูกบุกรุกข้อมูล ซึ่งในบางครั้ง เราอาจไม่สนใจการแจ้งเตือนจากโปรแกรมแอนตี้ไวรัส และเมื่อรู้อีกทีว่าข้อมูลรั่วไหลก็สายไปแล้ว จากผลการศึกษามูลค่าความเสียหายจากข้อมูลที่รั่วไหลของ IBM พบว่าใช้เวลาเฉลี่ยถึง 280 วันเพื่อแยกแยะและเรียกคืนข้อมูลที่รั่วไหลกลับมา

6. Patch management
การจัดการแพตช์ คือ การอัพเดทซอฟต์แวร์ในองค์กรให้ทันสมัยอยู่เสมอ หรือหากซอฟต์แวร์ยังเป็นเวอร์ชั่นเก่า ก็ให้ตรวจสอบและประเมินว่าซอฟต์แวร์ที่ใช้อยู่มีความปลอดภัยเพียงพอหรือไม่

7. Vulnerability management
การบริหารความเสี่ยงโดยให้องค์กรพิจารณาการทำ Penetration test เพื่อตรวจสอบช่องโหว่ในระบบกับทำ security updates เพื่อให้แน่ใจว่าระบบยังใช้การได้ดีอยู่ และทำ vulnerability management โดยทดสอบระบบ OS และแอปพลิเคชั่น เพื่อปิดช่องโหว่ในระบบ

8. Backup management
องค์ประกอบความมั่นคงปลอดภัยของข้อมูล (CIA) ได้แก่ Confidential คือ สิทธิและการเข้าถึงข้อมูล, Integrity คือ ความถูกต้องของข้อมูล และ Availability คือ ความพร้อมใช้งานข้อมูล เมื่อข้อมูลได้รับผลกระทบหรือถูกบุกรุก จึงขาด Availability ไป เพื่อป้องกันไม่ให้เกิดการสูญเสียข้อมูลทั้งจากภัยธรรมชาติ มัลแวร์หรือจากแฮกเกอร์ องค์กรจะต้องมีการสำรองและกู้คืนข้อมูลได้ มิฉะนั้น จะมีโทษตามกฎหมาย PDPA การสำรองข้อมูลทำได้ด้วยการเก็บข้อมูลสำรองทั้งหมดอย่างน้อย 1 ชุดไว้นอกเครือข่าย ข้อมูลเหล่านี้จะถูก encrypted ไว้หรือสามารถลบทำลายได้

9. การฝึกอบรมพนักงานด้าน Cyber security
นโยบายรักษาข้อมูลส่วนบุคคลอีกวิธีคือการฝึกอบรมให้พนักงานในองค์กรรู้วิธีรับมือกับปัญหาทาง cyber security อย่างสม่ำเสมอ พนักงานในองค์กรอาจมีความรู้จำกัดเกี่ยวกับภัยคุกคามทางไซเบอร์ ซึ่งข้อผิดพลาดของมนุษย์อาจทำให้ข้อมูลส่วนบุคคลรั่วไหลได้ เช่น การส่งอีเมลที่มีข้อมูลส่วนบุคคลไปที่ผู้รับผิดคน หรือเปิดอีเมลไวรัส ดังนั้น พนักงานทุกระดับจะต้องรู้หน้าที่ มีความรับผิดชอบและควรเรียนรู้ แยกแยะความแตกต่างของภัยคุกคามแต่ละประเภท เช่น อีเมลฟิชชิ่ง หรือรับรู้ถึงความเสี่ยงที่เกี่ยวข้องกับการเผยแพร่ข้อมูลทางธุรกิจผ่านช่องทางโซเชียลมีเดีย

10. Data encryption
การเข้ารหัสข้อมูล (encryption) เป็นวิธีการรักษาความมั่นคงปลอดภัยเพื่อให้ปฏิบัติตามกฎหมาย PDPA การ เข้ารหัสข้อมูลส่วนบุคคลทั้ง data at rest และ data in transit จะช่วยป้องกันข้อมูลให้ปลอดภัยจากอาชญากรรมไซเบอร์ นอกจากนี้ ยังแนะนำให้ใช้ https certificates เพื่อเพิ่มความปลอดภัยทางออนไลน์อีกด้วย

11. Data minimization
คือ การจัดเก็บข้อมูลเท่าที่จำเป็น เพื่อเป็นการปฏิบัติตามกฎหมาย PDPA องค์กรจะต้องเก็บรวบรวมข้อมูลส่วนบุคคลให้ถูกต้องแม่นยำและไม่เกินระยะเวลาที่ขอความยินยอมไว้ ซึ่งในบางองค์กรอาจเก็บรวบรวมข้อมูลส่วนบุคคลจำนวนมากที่ไม่จำเป็นต้องใช้แล้ว ถ้าข้อมูลยังอยู่ในช่วงเวลาที่ใช้ได้หรืออยู่ในระยะเวลาการเก็บรักษา ก็จะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม หากไม่จำเป็นต้องใช้ข้อมูลนั้นแล้ว ก็ควรลบทำลายข้อมูลตามนโยบายการเก็บรักษาข้อมูลขององค์กร

การจัดให้มีสิ่งแวดล้อมด้าน IT ที่มั่นคงปลอดภัยนับว่าเป็นภารกิจที่ท้าทายอย่างยิ่ง อย่างไรก็ตาม คำแนะนำที่กล่าวมาถือเป็นจุดเริ่มต้นที่ดีที่จะทำให้องค์กรของคุณปฏิบัติตาม PDPA ได้อย่างถูกต้อง

siri
โพสต์: 1524
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

Re: PDPA ฉบับรวบรัด

โพสต์ โดย siri » พุธ ต.ค. 13, 2021 3:42 pm

สิ่งที่นายจ้างต้องทำเมื่อกฎหมาย PDPA บังคับใช้
March 12, 2021


Share

สิ่งที่นายจ้างต้องทำเมื่อกฎหมาย PDPA บังคับใช้
กฎหมาย PDPA กำหนดให้นายจ้างสามารถประมวลผลข้อมูลส่วนบุคคลของลูกจ้างภายใต้เงื่อนไขบางประการได้ ซึ่งการประมวลผลข้อมูลส่วนบุคคลควรมีความยุติธรรมและโปร่งใส และใช้ข้อมูลตามวัตถุประสงค์ที่ได้แจ้งไว้ให้ชัดเจนและตามความจำเป็นเท่านั้น ข้อปฏิบัติที่นายจ้างต้องทำตามกฎหมาย PDPA ที่ควรทำมีดังนี้

นายจ้างรายใดที่อยู่ภายใต้กฎหมาย PDPA ?
องค์กรที่มีที่ตั้งอยู่ในประเทศไทย จะต้องปฏิบัติตามกฎหมาย PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สำหรับการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างในองค์กร กฎหมาย PDPA ไม่ได้กล่าวถึงการตรวจสอบข้อมูลหรือภูมิหลังจากบุคคลที่สามก่อนการจ้างงาน เนื่องจากอาจก่อให้เกิดความเสี่ยงหรือผลกระทบกับองค์กร รวมถึงการล่วงล้ำความเป็นส่วนตัวของผู้สมัครงานได้ แต่ PDPA ครอบคลุมถึงการตรวจสอบข้อมูลเอกสารก่อนการจ้างงาน การติดตามกิจกรรมและการปฏิบัติงานของลูกจ้างในแต่ละวันตามปกติ ส่วนใหญ่นายจ้างจะดำเนินการในส่วนที่เกี่ยวกับลูกจ้างของตนเพื่อดำเนินการทางวินัย หรือการปฏิบัติงานอื่นๆ ที่เกี่ยวข้องกับการจ้างงาน

การที่นายจ้างและลูกจ้างใช้เทคโนโลยีเป็นส่วนหนึ่งในการทำงาน ทำให้ขอบเขตการทำงานขยายออกไปมากกว่าการทำงาน ณ ที่ตั้งขององค์กรในประเทศไทย แม้ว่าที่ตั้งของสำนักงานจะไม่ได้ตั้งอยู่ในประเทศไทย แต่องค์กรจะต้องปฏิบัติตามกฎหมาย PDPA ในส่วนที่เกี่ยวข้องกับลูกจ้าง

นายจ้างต้องทำอะไรบ้าง ?
PDPA กำหนดให้นายจ้างมีหน้าที่ทั้งก่อนและขณะประมวลผลข้อมูลส่วนบุคคลของลูกจ้าง ดังนี้

รวบรวมข้อมูลส่วนบุคคลของลูกจ้างตามวัตถุประสงค์ที่แจ้งไว้อย่างชัดเจน เท่าที่จำเป็นและถูกต้องตามกฎหมาย
แจ้งรายละเอียดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลแก่ลูกจ้างให้ชัดเจน และแจ้งว่าจะมีการเก็บรวบรวมข้อมูลในรูปแบบใด ระยะเวลาเท่าใด
อนุญาตให้ลูกจ้างใช้สิทธิบางประการกับข้อมูลส่วนบุคคลของตน เช่น สิทธิในการขอสำเนาข้อมูล สิทธิในการเข้าถึงข้อมูล สิทธิในการแก้ไขเปลี่ยนแปลงข้อมูล สิทธิในการเพิกถอนความยินยอม และสิทธิในการมีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของตน
ต้องมีฐานกฎหมายรองรับการประมวลผลข้อมูลส่วนบุคคลของลูกจ้าง
มีมาตรการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลอย่างเพียงพอ เมื่อมีการส่งหรือโอนข้อมูลส่วนบุคคลของลูกจ้างไปยังต่างประเทศหรือองค์การระหว่างประเทศ
แจ้งเตือนลูกจ้างหากการละเมิดข้อมูลส่วนบุคคลมีความเสี่ยงสูงต่อการละเมิดสิทธิและเสรีภาพของเจ้าของข้อมูล
แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่มีความรู้ความเข้าใจกฎหมาย PDPA และมาตรการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลขององค์กร
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากเกิดการละเมิดข้อมูลส่วนบุคคลโดยเร็วที่สุด และให้ผู้มีหน้าที่รับผิดชอบระงับเหตุโดยใช้มาตรการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคลที่เหมาะสมทันที
ลบหรือทำลายข้อมูลส่วนบุคคลของลูกจ้างที่ไม่ได้เป็นลูกจ้างขององค์กรแล้ว อาจมีการเก็บรักษาข้อมูลที่จำเป็นไว้บางส่วนตามระยะเวลาอายุความตามกฎหมาย เพื่อเป็นประโยชน์หากเกิดกรณีฟ้องร้อง
นายจ้างใช้ฐานความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างได้หรือไม่ ?
ก่อนที่กฎหมาย PDPA จะมีผลบังคับใช้ องค์กรจำนวนมากต้องอาศัยความยินยอมของลูกจ้างในการประมวลผลข้อมูลส่วนบุคคล และความยินยอมนี้มักเป็นส่วนหนึ่งในสัญญาจ้างงาน อย่างไรก็ตาม PDPA ระบุให้นายจ้างต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลให้ชัดเจนและเท่าที่จำเป็น การให้ความยินยอมจะต้องให้โดยอิสระ ไม่มีข้อผูกมัดหรือเงื่อนไข และมีสิทธิเพิกถอนความยินยอมได้ อย่างไรก็ตาม สภาพของไม่เท่าเทียมกันระหว่างนายจ้างกับลูกจ้าง อาจทำให้ลูกจ้างไม่กล้าปฏิเสธที่จะให้ความยินยอมเพราะเกรงว่าจะมีผลร้ายกับตนเนื่องจากการปฏิเสธที่จะให้ความยินยอมแก่นายจ้าง ทำให้ลูกจ้างขาดความเป็นอิสระในการให้ความยินยอม ดังนั้น ในทางปฏิบัติ จึงเป็นเรื่องยากที่นายจ้างจะใช้ฐานความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของลูกจ้าง

นายจ้างควรทำอย่างไรหากไม่มีความยินยอมของลูกจ้าง ?
ความยินยอม (Consent) เป็นเพียงการประมวลผลข้อมูลของลูกจ้างตามฐานกฎหมายหนึ่งเท่านั้น ซึ่งนายจ้างสามารถอ้างอิงฐานการประมวลผลข้อมูลตามกฎหมายได้ดังนี้

1. ฐานการปฏิบัติตามสัญญา (Contract)

การจ้างงานในทางปฏิบัติ มักอาศัยฐานการปฏิบัติตามสัญญาเป็นฐานกฎหมายหลัก กล่าวคือ ใช้การประมวลผลข้อมูลส่วนบุคคลของลูกจ้างตามสัญญาจ้างงานซึ่งครอบคลุมทั้ง ข้อมูลที่อยู่ เบอร์โทรศัพท์ ข้อมูลบัญชีธนาคารของลูกจ้างซึ่งนายจ้างกำหนดให้จ่ายเงินให้กับลูกจ้างตามที่กฎหมายกำหนด

2. ฐานประโยชน์อันชอบด้วยกฎหมาย (Legitimate interest)

เป็นการใช้ฐานประมวลผลข้อมูลส่วนบุคคลที่ไม่เกินความคาดหมายของเจ้าของข้อมูลหรือลูกจ้าง และไม่ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของลูกจ้าง เช่น การประเมินผลและการขึ้นเงินเดือนของลูกจ้าง การรวบรวมสถิติอุบัติเหตุที่เกิดขึ้นขณะปฏิบัติงานประจำปีโดยไม่ใช้ข้อมูลที่บ่งชี้ตัวตนของเจ้าของข้อมูล การทำสถิติเพื่อพัฒนาคุณภาพบริการ เป็นต้น

3. ฐานหน้าที่ตามกฎหมาย (Legal obligation)

เป็นการประมวลผลข้อมูลที่มีกฎหมายรองรับไว้เป็นการเฉพาะ ตัวอย่างฐานการประมวลผลข้อมูลนี้ เช่น การขอข้อมูลสุขภาพเพื่อให้สิทธิลาป่วย ให้ลูกจ้างได้รับค่าจ้างขณะลาป่วย และให้สิทธิเบิกค่ารักษาพยาบาล แม้ว่าข้อมูลสุขภาพเป็นข้อมูลส่วนบุคคลที่อ่อนไหวก็ตาม แต่นายจ้างก็มีสิทธิขอข้อมูลนี้ได้ เนื่องจากนายจ้างปฏิบัติหน้าที่ตามกฎหมายแรงงาน และกฎหมายประกันสังคม

4. ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest)

แม้ว่าข้อมูลสุขภาพถือเป็นข้อมูลส่วนบุคคลที่อ่อนไหวก็ตาม แต่ก็เป็นข้อยกเว้นให้นายจ้างใช้ฐานการประมวลผลนี้ได้ เช่น ลูกจ้างหมดสติหรือเกิดอุบัติเหตุร้ายแรงทำให้ลูกจ้างไม่มีสภาวะที่จะให้ความยินยอมการให้ข้อมูลสุขภาพได้ นายจ้างก็สามารถใช้ฐานการประมวลผลนี้ให้ข้อมูลสุขภาพที่จำเป็นต่อแพทย์เพื่อใช้เป็นประโยชน์กับการรักษาได้อย่างทันท่วงที

5. ฐานภารกิจของรัฐ (Public task) ฐานการประมวลผลนี้มี 2 ลักษณะ กล่าวคือ นายจ้างมีความจำเป็นเพื่อดำเนินการเพื่อประโยชน์สาธารณะ เช่น การแจ้งข้อมูลหรือประวัติการเดินทางของลูกจ้างเพื่อป้องกันหรือยับยั้งโรคระบาดร้ายแรงที่ส่งผลกระทบต่อระบบสาธารณสุข หรืออีกกรณีคือ ทั้งนายจ้างและลูกจ้างได้รับอำนาจจากรัฐให้ปฏิบัติหน้าที่เฉพาะเจาะจง เช่น หน่วยงานเป็นโรงเรียนสอนขับรถเอกชน โดยกรมขนส่งทางบกได้ให้อำนาจให้สามารถจัดสอบและอบรมผู้สมัครสอบใบอนุญาตขับขี่รถยนต์ได้

ดังนั้น หากไม่มีฐานกฎหมายใดรองรับการประมวลผลข้อมูลส่วนบุคคลแล้ว นายจ้างจึงจำเป็นต้องขอความยินยอม (consent) กับลูกจ้าง

นายจ้างควรปฏิบัติตามขั้นตอนใดบ้างเพื่อให้สอดคล้องกับ PDPA ? องค์กรควรทบทวนเอกสารของลูกจ้างใหม่และลูกจ้างปัจจุบัน เช่น สัญญาจ้างงาน และความยินยอมในการประมวลผลข้อมูลของลูกจ้างที่ให้ไว้โดยอิสระ องค์กรควรเปลี่ยนถ้อยคำจากการขอความยินยอมในสัญญา เป็นการใช้ฐานการประมวลผลข้อมูลส่วนบุคคลตามฐานต่างๆ เช่น ฐานการปฏิบัติตามสัญญาจ้างงาน หรือฐานหน้าที่ตามกฎหมายแรงงาน หรือกฎหมายประกันสังคม สำหรับลูกจ้างปัจจุบัน องค์กรควรแจ้งต่อลูกจ้างว่าจะมีการเปลี่ยนการประมวลผลข้อมูลจากฐานความยินยอมเป็นฐานทางกฎหมายอื่นๆ

ถ้าไม่ปฏิบัติตาม PDPA จะได้รับโทษอะไรบ้าง ? การไม่ปฏิบัติตาม PDPA มีโทษทางแพ่ง ทางอาญาและทางปกครอง โดยความรับผิดทางแพ่ง องค์กรจะต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคลหรือลูกจ้าง แม้ว่าการฝ่าฝืนกฎหมายนั้นจะจงใจหรือประมาทเลินเล่อก็ตาม สำหรับความรับผิดทางอาญา มีโทษสูงถึงจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ ส่วนความรับผิดทางปกครอง อาจมีโทษปรับสูงถึง 5,000,000 บาท

เพียงคลิก PDPA Pro เพื่อสร้างนโยบายรักษาข้อมูลส่วนบุคคล (Privacy policy) สำหรับการจัดเก็บและการประมวลผลข้อมูลส่วนบุคคลของลูกจ้าง หมดกังวลกับ PDPA เพราะเรามีผู้เชี่ยวชาญด้านกฎหมายคอยแนะนำทุกข้อสงสัยของคุณ

เว็บไซต์อ้างอิง: https://www.cooleygo.com/gdpr-a-guide-for-employers/ https://www.lexology.com/library/detail ... eaece4b446

siri
โพสต์: 1524
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

Re: PDPA ฉบับรวบรัด

โพสต์ โดย siri » พุธ ต.ค. 13, 2021 3:43 pm

การเก็บข้อมูลลูกค้าต้องคำนึงถึงอะไรบ้าง ตามกฎหมาย PDPA
February 5, 2021


Share

การเก็บข้อมูลลูกค้าต้องคำนึงถึงอะไรบ้าง ตามกฎหมาย PDPA


ทำไมเราจึงต้องมีล็อคเกอร์ ใส่กุญแจไว้เก็บของสำคัญไม่ให้สูญหายหรือโดนขโมย ข้อมูลที่สำคัญก็เหมือนกันที่ต้องมีมาตรการการเก็บรักษาให้ปลอดภัย อาจใช้การใส่รหัสไว้ส่วนตัว หรือเป็นการเข้ารหัสจากตัวระบบเอง วัตถุประสงค์ก็เพื่อไม่ให้เกิดการละเมิดข้อมูลตามมา ซึ่งจะส่งผลให้เกิดความเสียหายได้

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งไทยได้บังคับใช้บางส่วนมื่อปีที่ผ่านมา กล่าวถึงรายละเอียดการเก็บรวบรวมข้อมูลส่วนบุคคลไว้ โดยข้อมูลส่วนบุคคลเป็นข้อมูลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งรูปแบบออนไลน์และออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ ลายนิ้วมือ เป็นต้น ในส่วนของกฎหมาย GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปก็มีการกล่าวถึงกำหนดระยะเวลาของการเก็บรักษาข้อมูล (Data Retention) ไว้เช่นกัน วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลเพื่อข่มขู่หวังผลประโยชน์จากทั้งตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล

ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นบุคคลที่มีหน้าที่ตัดสินใจในการเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูล มีหน้าที่ต่อเจ้าของข้อมูลส่วนบุคคลดังนี้

แจ้งวัตถุประสงค์ที่จะเก็บจากเจ้าของข้อมูลก่อนให้ชัดเจน
ในกรณีที่ต้องขอความยินยอมต้องให้อิสระเจ้าของข้อมูลในการเลือกให้ความยินยอม
ต้องเก็บข้อมูลเท่าที่จำเป็น และลบทำลายข้อมูลเมื่อครบกำหนดระยะเวลาที่ได้แจ้งไว้
แจ้งสถานที่ติดต่อและผู้ดูแลหรือผู้ประสานงาน
ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ไม่สามารถเก็บข้อมูลจากแหล่งอื่นได้ เช่น จะซื้อข้อมูลต่อจากที่อื่น หรือใช้ข้อมูลจากแหล่งอื่นไม่ได้ แต่ถ้าจำเป็นต้องใช้ข้อมูลจากแหล่งอื่น ก็ต้องขอความยินยอมจากเจ้าของข้อมูลโดยเร็ว หรือภายใน 30 วัน
อาจไม่ต้องขอความยินยอมก็ได้ เช่น เป็นกรณีเจ้าของข้อมูลเคยให้ความยินยอมไว้อยู่แล้ว หรือ กรณีเร่งด่วนจำเป็น เจ้าของข้อมูลเกิดอุบัติเหตุต้องเข้ารับการรักษาฉุกเฉิน แพทย์ก็อาจใช้ข้อมูลได้ ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องพิจารณาเป็นรายกรณีไป และศึกษาข้อยกเว้นที่ไม่ต้องขอความยินยอมให้ละเอียดครบถ้วน เพราะหากพลาดพลั้งไป ก็มีความเสี่ยงที่จะทำผิด PDPA และมีโทษตามกฎหมายได้
องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล คงจะทำงานเพียงคนเดียวไม่ได้ ถ้าองค์กรไม่กำหนดนโยบายให้ชัดเจน ในทางปฏิบัติควรให้ทุกฝ่ายในองค์กรทั้ง IT, HR, Marketing, Customer service, Compliance, Sales, กฎหมาย, บัญชี ประชุมร่วมกัน

โดยดำเนินการตาม 6 ขั้นตอน ดังต่อไปนี้

จัดทำนโยบายการเก็บรักษาข้อมูล สร้างมาตรฐานการรักษาความปลอดภัยของข้อมูลร่วมกัน เพื่อให้ทิศทางการเก็บข้อมูลในแต่ละฝ่ายเป็นไปในทิศทางเดียวกัน
ให้แต่ละฝ่ายระบุข้อมูลที่จำเป็นต้องเก็บ ระยะเวลาที่เก็บข้อมูล หากข้อมูลนั้นจำเป็นจะต้องเก็บ จะเก็บต่อเป็นระยะเวลาเท่าใด หรือถ้าไม่จำเป็นจะลบทำลายได้หรือไม่
จัดทำฐานการประมวลผลข้อมูล แบ่งประเภทข้อมูล ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูล hard copy ที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เพื่อจัดเก็บข้อมูลให้เป็นระเบียบ ทำให้มีหลักฐานพิสูจน์อำนาจในการจัดเก็บข้อมูลตามระยะเวลาที่กำหนดด้วย
ปฏิบัติตามนโยบายการเก็บรักษาข้อมูล โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบและยินยอมตามวัตถุประสงค์ของการขอเก็บข้อมูล โดยอาจเขียนรวมกับนโยบายความเป็นส่วนตัว (Privacy Policy) หรือจะเขียนแยกเพื่อให้ชัดเจนมากขึ้นก็ได้ สร้าง Privacy Policy สอดคล้อง PDPA ฟรี ! เก็บรักษาและลบทำลายข้อมูลตามระยะเวลาของนโยบายการเก็บรักษาข้อมูล เช่น หากลูกค้าไม่ได้ใช้บริการ ไม่ได้ซื้อสินค้ากับองค์กร หรือไม่ได้เป็นสมาชิกแล้ว ให้มีการลบทำลายข้อมูลลูกค้าและข้อมูลการใช้บริการภายใน 3 ปี การเก็บรักษาข้อมูลส่วนบุคคลของบุคลากรซึ่งมีทั้งข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหว (ลายนิ้วมือ ข้อมูลสุขภาพ) ให้ลบทำลายข้อมูลเมื่อพ้นสภาพพนักงานภายใน 1 ปี การเก็บรักษาเวชระเบียนทางการแพทย์หรือข้อมูลสุขภาพของผู้ป่วยซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหว เมื่อผู้ป่วยขาดการติดต่อกับโรงพยาบาลเกิน 5 ปี สามารถลบหรือทำลายข้อมูลนั้นได้ เป็นต้น การลบทำลายข้อมูลก็เพื่อให้องค์กรไม่ต้องดูแลหรือเสียค่าใช้จ่ายเพื่อเก็บรักษาข้อมูลที่ไม่จำเป็นอีกต่อไป
จ้างเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้เชี่ยวชาญกฎหมาย PDPA และ GDPR เพื่อขอคำปรึกษาหากไม่มั่นใจว่าองค์กรปฏิบัติถูกต้องหรือไม่ หรือถ้าเกิดเหตุข้อมูลลูกค้าถูกละเมิดจริง ก็เป็นผู้ประสานงานกับหน่วยงานรัฐที่เกี่ยวข้องได้
นโยบายการเก็บรักษาข้อมูลเป็นเครื่องมือที่สำคัญต่อความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้า ซึ่งหากผู้ควบคุมข้อมูลส่วนบุคคลและบุคลากรในองค์กร มีความรู้ความเข้าใจและปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลแล้ว ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ทำให้องค์กรเกิดความน่าเชื่อถือ และยกระดับมาตรฐานองค์กรในสายตาผู้บริโภคได้มากขึ้นอีกด้วย

siri
โพสต์: 1524
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

Re: PDPA ฉบับรวบรัด

โพสต์ โดย siri » พุธ ต.ค. 13, 2021 3:43 pm

ทำเว็บไซต์ให้สอดคล้องกฎหมาย PDPA ด้วย Cookie Wow
February 28, 2021


Share

ทำเว็บไซต์ให้สอดคล้องกฎหมาย PDPA ด้วย Cookie Wow


เว็บไซต์ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล นอกจากจะต้องจัดทำ Privacy Policy เพื่อแจ้งผู้ใช้งานแล้ว หากเว็บไซต์นั้น ๆ ใช้คุกกี้ ไม่ว่าจะเป็นคุกกี้เพื่อเก็บข้อมูลการล็อกอิน หรือคุกกี้จากผู้ให้บริการ Third-party เช่น Google Analytics ก็จะต้องทำป๊อปอัพคุกกี้ (หรือแบนเนอร์คุกกี้) เพื่อขอความยินยอมจากผู้ใช้งานตามกฎหมาย

วันนี้ PDPA Pro จะขอแนะนำแพลตฟอร์มสร้างป๊อปอัพคุกกี้ที่ครบที่สุด >> Cookie Wow เป็นแพลตฟอร์มสำหรับสร้างป๊อปอัพคุกกี้ที่สอดคล้องตาม PDPA และ GDPR ให้เจ้าของเว็บไซต์หมดห่วงเรื่องกฎหมาย

Cookie Wow ช่วยคุณได้อย่างไรบ้าง ?


รูปภาพ

🔧 สร้างป๊อปอัพคุกกี้ใน 2 นาที สอดคล้องตาม PDPA และ GDPR โดยได้รับคำแนะนำจากผู้เชี่ยวชาญด้านกฎหมายที่ได้รับการรับรอง

🎨 สามารถปรับแต่งป๊อปอัพให้เข้ากับเว็บไซต์ของคุณได้อย่างหลากหลาย ทั้งตำแหน่ง สี และข้อความ

🔍 สแกนและติดตามคุกกี้บนหน้าเว็บไซต์ของคุณอัตโนมัติ

❌ บล็อกคุกกี้และสคริปต์จนกว่าจะได้รับความยินยอมจากผู้เยี่ยมชมเว็บไซต์

🇹🇭 ป๊อปอัพคุกกี้มีทั้งแบบภาษาไทยและภาษาอังกฤษ

📝 มีระบบบันทึกความยินยอมอัตโนมัติ พร้อมแสดงสถิติการให้ความยินยอมในแพลตฟอร์ม

🔄 มีระบบที่ทำให้ผู้ใช้งานเว็บไซต์สามารถตั้งค่าการให้ความยินยอมคุกกี้อีกครั้งได้

💬 Live chat กับทีมงานคุณภาพได้ตลอดหากมีปัญหา


🤩 และฟีเจอร์เสริมอื่น ๆ อีกมากมายที่รอให้คุณได้ทดลองใช้


ทำให้เว็บไซต์ของคุณสอดคล้อง PDPA ได้ตั้งแต่วันนี้ เริ่มต้นฟรี ! ที่ Cookie Wow


บทความที่เกี่ยวข้อง

เจาะลึกการสร้าง Cookies Consent Banner ที่สอดคล้องตาม PDPA ทำอย่างไร
อะไรคือ Cookies Consent ทำไมเจ้าของเว็บไซต์ต้องมี

siri
โพสต์: 1524
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am

Re: PDPA ฉบับรวบรัด

โพสต์ โดย siri » พุธ ต.ค. 13, 2021 3:45 pm

นายจ้างต้องรู้! เก็บข้อมูลอย่างไรให้ถูกกฎหมายคุ้มครองข้อมูลส่วนบุคคล
September 20, 2021


Share

นายจ้างต้องรู้! เก็บข้อมูลอย่างไรให้ถูกกฎหมายคุ้มครองข้อมูลส่วนบุคคล


เมื่อพูดถึงข้อมูลส่วนบุคคลแล้ว เชื่อว่าหลายๆ คนเริ่มที่จะตื่นตัวและให้ความสนใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลกันมากขึ้น เพราะเป็นเรื่องของข้อบังคับใช้และบทลงโทษหากไม่ปฏิบัติตาม หรืออีกนัยยะหนึ่งคือการกระทำความผิดตามกฎหมายนั่นเอง

โดยเฉพาะในฝั่งของการดำเนินธุรกิจ องค์กรต่างๆ จำเป็นที่จะต้องปรับตัวให้ทันต่อทุกสถานการณ์ โดยเฉพาะการเตรียมตัวให้พร้อมก่อนที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลจะประกาศใช้อย่างเต็มรูปแบบในปี 2565 เพราะนอกจากที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลจะให้ความคุ้มครองกับข้อมูลส่วนบุคคลของลูกค้าและผู้ใช้งานแล้ว ยังรวมถึงเหล่าพนักงานบริษัท ที่นายจ้างและ HR (ฝ่ายบุคคล) ได้มีการเก็บข้อมูลส่วนบุคคลเอาไว้ ไม่ว่าจะเป็น ชื่อ ที่อยู่ หลักฐานด้านการศึกษา ข้อมูลทะเบียนบ้าน บัตรประชาชน สลิปเงินเดือน สัญญาจ้าง หรือแม้กระทั่งข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ก็ตาม ซึ่งถือว่าได้รับการคุ้มครองทั้งสิ้น

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) คืออะไร?
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) คือ ข้อมูลส่วนบุคคลที่สามารถระบุตัวบุคคลได้เฉพาะเจาะจง ไม่ว่าจะเป็นเรื่องของเชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ข้อมูลสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ลายนิ้วมือ, Face ID) ซึ่งข้อมูลเหล่านี้ถือว่าเป็นข้อมูลที่มีความละเอียดอ่อนสูง หากถูกนำไปใช้โดยที่ไม่ได้รับอนุญาต ก็อาจจะเป็นอันตรายต่อเจ้าของข้อมูลหรือถูกเลือกปฏิบัติอย่างไม่เป็นธรรมได้ ขั้นตอนในการจัดเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) คือ ผู้จัดเก็บขององค์กรหรือ HR ควรที่จะต้องขอความยินยอมอย่างชัดเจนจากเจ้าของข้อมูลซึ่งเป็นพนักงานขององค์กร โดยมีรายละเอียดที่เกี่ยวกับการนำข้อมูลเหล่านั้นไปใช้งาน ซึ่งข้อมูลที่มีความอ่อนไหวเหล่านี้ จะต้องถูกนำไปใช้งานเท่าที่จำเป็นตามที่กำหนดเอาไว้ขณะที่ขอความยินยอม และมีมาตรการในการจัดเก็บข้อมูลและรักษาความปลอดภัยอย่างเหมาะสม เพื่อคุ้มครองสิทธิของเจ้าของข้อมูลเป็นหลัก

เก็บข้อมูลแบบไหนที่นายจ้างมีความเสี่ยงต่อการทำผิด PDPA
สิ่งสำคัญสำหรับนายจ้างในการเก็บข้อมูลส่วนบุคคลของพนักงานในองค์กรก็คือการขอความยินยอมในการเก็บรวบรวม ใช้ และเผยแพร่ข้อมูลเหล่านั้น ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้กำหนดเอาไว้นั้น หลังจากที่นายจ้างพิจารณารับผู้สมัครงานเข้าทำงานแล้วจำเป็นจะต้องขอความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงาน หากนายจ้างไม่ได้ขอความยินยอมแล้วนำข้อมูลไปใช้โดยที่ลูกจ้างไม่ได้ให้ความยินยอม ก็จะถือว่ามีความผิดตามกฎหมายฉบับนี้ HR สามารถติดต่อเพื่อขอข้อมูลเพิ่มเติมของผู้สมัครงานจากบุคคลอ้างอิงได้ หากมีการระบุว่าให้ผู้สมัครขอความยินยอมกับบุคคลอ้างอิงในการติดต่อกลับเพื่อสอบถามข้อมูล พนักงานจะไม่สามารถปฏิเสธการให้ข้อมูลหรือลบข้อมูลส่วนบุคคลของตนได้ เนื่องจากเป็นการเก็บข้อมูลตามข้อบังคับของกฎหมาย หรือตามสัญญาจ้าง

แนวทางของบริษัทสำหรับการจัดเก็บข้อมูลส่วนบุคคลของพนักงาน
ด้านการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ในการจัดเก็บข้อมูลส่วนบุคคลของพนักงานนั้น บริษัทควรที่จะต้องเตรียมความพร้อมในด้านต่างๆ อย่างเหมาะสม ไม่ว่าจะเป็นเรื่องของการจัดเก็บและการนำข้อมูลไปใช้งาน ประมวลผล หรือเปิดเผยข้อมูลต่างๆ ให้ครอบคลุมและตรงตามที่กฎหมายได้กำหนดเอาไว้ ซึ่งตัวบริษัทเองจำเป็นที่จะต้องกำหนดนโยบาย แนวทางการปฏิบัติงาน และเตรียมพร้อมบุคลากรที่จำเป็นและเกี่ยวข้องต่อการจัดเก็บข้อมูลต่างๆ ให้สามารถปฏิบัติได้ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด

ด้านการจัดการข้อมูลส่วนบุคคลของพนักงาน
การจัดเก็บข้อมูลส่วนบุคคลของพนักงานภายในองค์กรจะต้องมีการจัดเก็บอย่างครอบคลุมและข้อมูลเหล่านั้นจะต้องเกี่ยวข้องกับการทำงาน ไม่ว่าจะเป็น ชื่อ ที่อยู่ หมายเลขบัตรประชาชน สำหรับการยื่นภาษีและประกันสังคม ชื่อ หมายเลขบัญชีธนาคาร สำหรับโอนเงินเดือน หรือเงินพิเศษต่างๆ ประวัติการศึกษา ประวัติการทำงาน ประวัติอาชญากรรม เพื่อประเมินความเหมาะสมในการจ้างงาน ข้อมูลการทำงานต่างๆ ทั้งประวัติการเข้าทำงาน แบบประเมินและการวัดผลต่างๆ เพื่อประเมินประสิทธิภาพในการทำงานของพนักงาน ข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น รูปถ่าย ลายนิ้วมือของพนักงาน (สำหรับการลงเวลาทำงาน หรือเข้า-ออก ประตู ซึ่งข้อมูลเหล่านี้จำเป็นจะต้องมีระบบจัดเก็บที่ดี มีการจัดการ วิเคราะห์ และดูแลอย่างมีมาตรฐาน รวมไปถึงการป้องกันการรั่วไหลของข้อมูลอีกด้วย ทั้งนี้ ควรที่จะต้องมีการดำเนินการเกี่ยวกับการให้ความยินยอมด้วยเช่นกัน ซึ่งเจ้าของข้อมูลที่เป็นพนักงานขององค์กรนั้นจำเป็นจะต้องให้ความยินยอมต่อการจัดเก็บ รวบรวมใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลส่วนบุคคลที่มีความอ่อนไหว ต้องมีการระบุวัตถุประสงค์และระยะเวลาของการนำข้อมูลส่วนบุคคลไปใช้งานเอาไว้อย่างชัดเจน

ด้านการป้องกันข้อมูลส่วนบุคคล
บริษัทควรที่จะต้องมีการป้องกันข้อมูลส่วนบุคคลของพนักงานไม่ให้รั่วไหล ถูกละเมิด หรือถูกโจมตี ทำให้บริษัทต้องมีการป้องกันอย่างครอบคลุมทั้งในเรื่องของระบบและบุคคล ไม่ต่างกับข้อมูลของลูกค้า

แม้ว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลจะยังไม่บังคับใช้อย่างเต็มรูปแบบ แต่องค์กรของคุณก็ควรที่จะต้องมีการจัดการเกี่ยวกับข้อมูลส่วนบุคคลของพนักงานภายในองค์กรให้ดี โดยเฉพาะการวางแผนสร้าง Privacy Policy ให้เหมาะกับองค์กร พร้อมด้วยการสร้างแบบฟอร์มรับคำขอสิทธิ์จากเจ้าของข้อมูลได้อย่างง่ายดายที่ PDPA Form นอกจากนี้คุณยังสามารถสร้างแบนเนอร์คุกกี้เพื่อขอความยินยอมในการใช้คุกกี้กับ Cookie Wow ได้อีกด้วย

ตอบกลับโพส

ย้อนกลับไปยัง “ไอที คอมพิวเตอร์ โปรแกรมมิ่ง โค้ดดิ่ง แอพพลิเคชั่น ML, AI, IOT, Microcontroller, Robot”