บทความ/คลังความรู้/แบบทดสอบ

   เรื่องเล่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กับการเตรียมความพร้อมเข้าสู่ยุคที่ข้อมูลส่วนบุคคลต้องถูกปกป้อง ดูแล 

   ในปี 2565 ประเทศไทยได้บังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่มีผลกระทบต่อหน่วยงาน องค์กร บริษัท และผู้ประกอบการที่มีการจัดการข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการร้องขอ จัดเก็บ รวบรวม ประมวลผล ทำลาย หรือเปิดเผยข้อมูล ทั้งจากภายนอกและภายในองค์กร องค์กรที่ได้รับการรับรองมาตรฐานสากล เช่น ISO 9001 จะต้องมีกระบวนการที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด การจัดการข้อมูลส่วนบุคคลจึงต้องถูกทบทวนและกำหนดแนวทางให้ถูกต้อง การคุ้มครองข้อมูลส่วนบุคคลต้องทำความเข้าใจเพื่อคัดแยกข้อมูลที่เป็นข้อมูลส่วนบุคคล และกำหนดแนวทางในการจัดการข้อมูล การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเป็นกิจกรรมที่สำคัญ และหากมีการรั่วไหลของข้อมูล องค์กรต้องประเมินความเสี่ยงและกำหนดแนวทางในการดำเนินงานเพื่อป้องกัน โดยอ้างอิงจากบริบทของแต่ละองค์กร เพื่อกำหนดเกณฑ์การประเมินความเสี่ยง และพิจารณาความเสี่ยงที่จะกระทบต่อสิทธิและความเป็นส่วนตัวของเจ้าของข้อมูล
   หาก DPO ท่านได้ หรือหน่วยงานใดต้องการตัวอย่างแนวทางการประเมินความเสี่ยง การจัดทำ RoPA การประเมินความเสี่ยงฯ สามารถแจ้งได้ในช่องทาง ติดต่อเรา ทางบริษัทฯ จะจัดส่งข้อมูลให้ โดยไม่คิดค่าใช้จ่าย หรือเป็นการละเมิดลิขสิทธิ์ใดๆ 
 
  ตัวอย่างการพิจารณาระดับผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล
   

 มาตรา 

สาระของสิทธิและเสรีภาพ ข้อมูลส่วนบุคคล ระดับของความสำคัญ

25

สิทธิและเสรีภาพในการกระทำการใดๆ ที่ไม่ขัดต่อกฎหมายและรัฐธรรมนูญ

ชื่อ-นามสกุล, ที่อยู่

สูง

27

สิทธิและเสรีภาพในความเสมอภาคกันในกฎหมาย

เชื้อชาติ, เพศ, ศาสนา

สูงมาก

28

สิทธิและเสรีภาพในชีวิตและร่างกาย              

ข้อมูลทางสุขภาพ, สถานะทางอาญา

สูงมาก

29

สิทธิในการไม่ต้องรับโทษทางอาญาเว้นแต่การกระทำที่กฎหมายถือว่าผิด    

ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับคดีอาญา

สูง

30

สิทธิในการไม่ถูกเกณฑ์แรงงานเว้นแต่กฎหมายอนุญาต

ข้อมูลการทำงาน, สถานะการจ้างงาน           

ปานกลาง

31

เสรีภาพในการถือศาสนาและปฏิบัติตามหลักศาสนา

ศาสนา

สูงมาก

32

สิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว

ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, เลขที่บัตรประชาชน                 

สูงมาก

 
  
 
    โฆษิต (อ.บัฟ) 
    B. Training
   081 781 7773
 

           EP:02 เตรียมตัวให้พร้อมเข้าสู่การรักษาข้อมูลส่วนบุคคล พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล 2562 

           ในช่วงที่ผ่านมาผมได้รับคำถามบ่อยครั้งจากผู้ประกอบการเรื่อง พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล 2562 ที่ประเทศไทยกำลังจะบังคับใช้ในปี 2564 นี้ (คาดว่า มิถุนายน นี้)  ว่ามีความเกี่ยวข้องกับผู้ประกอบการหรือไม่ แล้วถ้าเกี่ยวข้องต้องเริ่มต้นยังไง สิ่งที่ผมตอบเสมอคือ พ.ร.บ ฉบับนี้ เกี่ยวข้องแทบทุกองค์กร และมีประโยชน์กับทั้งองค์กร และบุคลากรที่เกี่ยวข้องกับองค์กร ที่มีการนำข้อมูลส่วนบุคคลไปใช้งาน การเริ่มต้นที่ดี ควรเริ่มต้นจากการศึกษา หาข้อมูลและทำความเข้าใจในการนำไปใช้ สำหรับตัวผมเองแนะนำให้เริ่มจากการทำผังการไหลของข้อมูล (Data Flow) เพื่อให้เห็นข้อมูลที่เกี่ยวข้องกับกระบวนการทำงานในองค์กร หรือสถานประกอบการ เหมือนเราได้เห็นภาพของข้อมูลจากตัวอักษรเป็นแผนภาพ ก็จะทำให้เราเข้าใจถึงข้อมูลได้ง่ายขึ้น แล้วทำการแยกแยะทำความเข้าใจการใช้ข้อมูลภายในองค์กร หลักสำคัญคือใช้ข้อมูลเท่าที่จำเป็น ตรงนี้คือส่วนสำคัญที่องค์กรต้องทำความเข้าใจว่า จำเป็นต้องเป็นมุมมองขององค์กรว่าจำเป็นเพราะต้องใช้งานจริงๆ เพื่อให้องค์กรมีการจัดการข้อมูลฯ ได้อย่างมีประสิทธิภาพ หลังจากตรงนี้จะเป็นส่วนของเทคนิค วิธีการ หรือระบบการจัดการขององค์กรที่มีอยู่ว่าจะสามารถพัฒนาให้สอดคล้องกับที่องค์กรมีอยู่ได้อย่างไร 
 
   หากท่านใดต้องการสอบถาม ฝึกอบรม หรือที่ปรึกษาในการจัดการข้อมูลส่วนบุคคล สามารถติดต่อสอบถามได้ช่องทาง ติดต่อเรา นะครับ
 
 
    โฆษิต (อ.บัฟ) 
    B. Training
   081 781 7773
 

         EP:03 การจัดการข้อมูลส่วนบุคคล ตามแนวคิดระบบการจัดการมาตรฐาน ISO 9001

         จากที่ผ่านมา ผมได้เข้าไปช่วยผู้ประกอบการที่ต้องปฏิบัติตาม พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล ผมได้นำแนวคิดเรื่องการบริหารเชิงกระบวนการ ซึ่งเป็นหนึ่งในหลักการของ QMS มาประยุกต์ใช้ สรุปให้พอเข้าใจง่ายว่า การที่องค์กรจะนำข้อมูลส่วนบุคคลมาใช้งาน มีความเกี่ยวข้องกับกิจกรรม/กระบวนการทำงานตามผังธุรกิจ (Business Flow) ซึ่งองค์กรสามารถพิจารณาการใช้ข้อมูลได้จากปัจจัยนำเข้าของกระบวนการ (Input) การจัดเก็บและส่งต่อข้อมูลส่วนบุคคล สามารถพิจารณาได้จากข้อมูลหรือบันทึกที่ได้จากกระบวนการ (Output) รวมไปถึงการจัดการข้อมูลที่ต้องจัดเก็บ (Data Inventory) และหากองค์กรมีการกำหนดวัตถุประสงค์ของกระบวนการไว้ในคู่มือปฏิบัติงาน วิธีการทำงาน องค์กรก็ยังสามารถนำมาใช้เป็นวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคลเพื่อแจ้งไปยังเจ้าของข้อมูลส่วนบุคคลได้
        ซึ่งการนำหลักการดังกล่าวนี้มาใช้ในการจัดข้อมูลส่วนบุคคล จะทำให้องค์กรสามารถบูรณาการระบบการจัดการมาตรฐานสากล ISO 9001 มาใช้เป็นแนวทางในการประยุกต์ใช้กับ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล ได้อย่างมีประสิทธิภาพ เป็นการลดขั้นตอนหรือสร้างมาตรฐานในการจัดการข้อมูลส่วนบุคคลขององค์กรได้อย่างดี
 
        หากท่านใดต้องการสอบถาม ฝึกอบรม หรือที่ปรึกษาในการจัดการข้อมูลส่วนบุคคล สามารถติดต่อสอบถามได้ช่องทาง ติดต่อเรา ตามนะครับ
        
      โฆษิต (อ.บัฟ) 
     B. Training
     081 781 7773
 

          การประยุกต์ใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)  EP.4

       หลังจากประเทศไทยมีการบังคับใช้ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล 2562 ตั้งแต่วันที่ 1 มิ.ย. 2565 ทั้งในส่วนของภาคประชาชน เอกชน และผู้ประกอบการก็เกิดการตื่นตัวทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคล บทความนี้ตั้งใจที่จะนำประสบการณ์ในการเป็นที่ปรึกษา PDPA มาบอกเล่าให้ผู้ที่สนใจทราบถึงแนวทางการประยุกต์ใช้ PDPA ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ว่าควรเริ่มต้นจากในการประยุกต์ใช้ PDPA อย่างไรในบริษัท 
       เริ่มต้นบริษัทควรจะระบุกระบวนการหรือกิจกรรมที่บริษัทมีการดำเนินการอยู่ว่ามีกิจกรรมอะไรบ้าง เพื่อนำมาพิจารณาว่ากระบวนการ กิจกรรมไหนบ้างที่มีการใช้ข้อมูลส่วนบุคคลอยู่โด ยบริษัทอาจดำเนินการกำหนดความรับผิดชอบให้หน่วยงานที่รับผิดชอบในการควบคุมกระบวนการ กิจกรรมดังกล่าวมาผิดชอบในการพิจารณาการประมวลผลข้อมูลส่วนบุคคลของหน่วยงานตนเองการที่หน่วยงานเป็นผู้พิจารณากระบวนการกิจกรรมเอง จะทำให้แต่ละหน่วยงานสามารถที่จะจัดทำ Record of Processing Activity : RoPA) ตามที่กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้ดำเนินการ (ไม่รวมถึงการได้รับการละเว้นบางประเภทกิจการ หน่วยงานที่ได้ประกาศการละเว้นหลัง พ.ร.บ. ประกาศเพิ่มเติม) การทำ RoPA บางที่เรียก RoPA จากประสบการณ์ของที่ได้ทำงานที่ปรึกษา PDPA มองว่าเป็นต้นน้ำหรือข้อมูลที่สำหรับสำหรับให้บริษัท ไปใช้ดำเนินการในประเด็นอื่นๆ ตามกฎหมาย PDPA ได้อีกหลายอย่าง เช่น การแจ้งเจ้าของข้อมูลส่วนบุคคล (Privacy Notice) การขอการยินยอม (Consent) เป็นต้น ซึ่งก็แนะนำให้บริษัทใช้โปรแกรม excell ในการจัดทำ RoPA ในช่วงแรกของการประยุกต์ใช้ แต่หากบริษัทไหนที่พอมีงบประมาณ อาจจะมองหา Application หรือ Softwear มาประยุกต์ใช้ สำหรับท่านผู้อ่านท่านไหนต้องการตัวอย่างแบบฟอร์ม RoPA หรือ สไลด์อธิบายแนวทางการประยุกต์ใช้ PDPA สามารถแจ้งความต้องการผ่านช่องทาง ติดต่อเรา ได้นะครับ ไม่คิดค่าใช้จ่ายครับ
                                                                                                                                                                              
    โฆษิต (อ.บัฟ) 
    B. Training
   081 781 7773
 
Visitors: 173,359