บทความ/คลังความรู้/แบบทดสอบ

เรื่องเล่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กับการเตรียมความพร้อมเข้าสู่ยุคที่ข้อมูลส่วนบุคคลต้องถูกปกป้อง ดูแล EP.1

ในปี 2565 ประเทศไทยจะมีการบังคับใช้ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล ซึ่งจะมีผลบังคับใช้กับหน่วยงาน องค์กร บริษัท ผู้ประกอบการ ที่มีการร้องขอ จัดเก็บรวบรวมเท่าที่จำเป็น การประมวลผล การทำลาย หรือเปิดเผยข้อมูลส่วนบุคคล ทั้งที่เป็นข้อมูลจากภายนอกและภายในองค์กร เช่น ชื่อ นามสกุล เพศ เชื้อชาติ ของบุคลากรทั้งภายในและภายนอก ที่ พ.ร.บ ฉบับนี้จะมีผลกระทบกับการจัดการข้อมูลดังกล่าว

องค์กรที่มีการจัดทำระบบการจัดการมาตรฐานสากล เช่น ISO 9001 จะมีกระบวนการที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น การร้องขอประวัติการทำงาน สำเนาบัตรประชาชนในกระบวนการสรรหาบุคลากร กระบวนการควบคุมเอกสารข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล การจัดทำทะเบียนผู้ขาย (AVL) การจัดทำ e-mail ที่มีการจัดทำขึ้นเพื่อใช้ในองค์กร ข้อมูลเหล่านี้ต้องถูกจัดการ ถูกควบคุม ให้ถูกต้องตามที่กฎหมายกำหนด จึงจำเป็นอย่างยิ่งที่องค์กรต้องมีการทบทวนและกำหนดแนวทางในการจัดการข้อมูลส่วนบุคคลดังกล่าวให้ครบถ้วน ถูกต้อง

แนวทางในการจัดการคุ้มครองข้อมูลส่วนบุคคล เราจำเป็นต้องทำความเข้าใจ เพื่อคัดแยก ข้อมูลที่เป็นข้อมูลส่วนบุคคลที่เข้าข่าย พ.ร.บ. ฉบับนี้กำหนดไว้ เพื่อกำหนดแนวทางในการจัดการข้อมูล การสร้างความเข้าใจในเจตนารมณ์ของ พ.ร.บ ฉบับนี้ การกำหนดทรัพยากร งบประมาณที่ต้องใช้ การกำหนด ผู้ควบคุมข้อมูลส่วนบุคคลขององค์กร (DPO) ผู้ประมวลผลข้อมูลส่วนบุคคล เป็นต้น

สิ่งเหล่านี้ทำให้บุคลากรขององค์กรที่มีหน้าที่ หรือเกี่ยวข้องกับข้อมูลส่วนบุคคล ต้องสร้างความเข้าใจและแนวทางการจัดการที่เหมาะสมกับองค์กร เราพร้อมที่เปลี่ยนแปลงกับสิ่งที่จะเกิดขึ้นในโลกที่ข้อมูลส่วนบุคคลเป็นสิ่งที่ต้องปกป้องและดูแลแล้วหรือยัง

ที่มาข้อมูล:http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

โฆษิต (อ.บัฟ)

ผู้เขียนบทความ

EP:02 เตรียมตัวให้พร้อมเข้าสู่การรักษาข้อมูลส่วนบุคคล พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล 2562

ในช่วงที่ผ่านมาผมได้รับคำถามบ่อยครั้งจากผู็ประกอบการเรื่อง พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล 2562 ที่ประเทศไทยกำลังจะบังคับใช้ในปี 2564 นี้ (คาดว่า มิถุนายน นี้) ว่ามีความเกี่ยวข้องกับผู้ประกอบการหรือไม่ แล้วถ้าเกี่ยวข้องต้องเริ่มต้นยังไง สิ่งที่ผมตอบเสมอคือ พ.ร.บ ฉบับนี้ เกี่ยวข้องแทบทุกองค์กร และมีประโยชน์กับทั้งองค์กร และบุคลากรที่เกี่ยวข้องกับองค์กร ที่มีการนำข้อมูลส่วนบุคคลไปใช้งาน การเริ่มต้นที่ดี ควรเริ่มต้นจากการศึกษา หาข้อมูลและทำความเข้าใจในการนำไปใช้ สำหรับตัวผมเองแนะนำให้เริ่มจากการทำผังการไหลของข้อมูล (Data Flow) เพื่อให้เห็นข้อมูลที่เกี่ยวข้องกับกระบวนการทำงานในองค์กร หรือสถานประกอบการ เหมือนเราได้เห็นภาพของข้อมูลจากตัวอักษรเป็นแผนภาพ ก็จะทำให้เราเข้าใจถึงข้อมูลได้ง่ายขึ้น แล้วทำการแยกแยะทำความเข้าใจการใช้ข้อมูลภายในองค์กร หลักสำคัญคือใช้ข้อมูลเท่าที่จำเป็น ตรงนี้คือส่วนสำคัญที่องค์กรต้องทำความเข้าใจว่า จำเป็นต้องเป็นมุมมองขององค์กรว่าจำเป็นเพราะต้องใช้งานจริงๆ เพื่อให้องค์กรมีการจัดการข้อมูลฯ ได้อย่างมีประสิทธิภาพ หลังจากตรงนี้จะเป็นส่วนของเทคนิค วิธีการ หรือระบบการจัดการขององค์กรที่มีอยู่ว่าจะสามารถพัฒนาให้สอดคล้องกับที่องค์กรมีอยู่ได้อย่างไร

https://drive.google.com/drive/u/1/folders/1TtVmzay7BuFkTCnfWtG16_osy0PL2HaE

โฆษิต (อ.บัฟ)

ผู้เขียนบทความ

EP:03 การจัดการข้อมูลส่วนบุคคล ตามแนวคิดระบบการจัดการมาตรฐาน ISO 9001

จากที่ผ่านมา ผมได้เข้าไปช่วยผู้ประกอบการที่ต้องปฏิบัติตาม พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล ผมได้นำแนวคิดเรื่องการบริหารเชิงกระบวนการ ซึ่งเป็นหนึ่งในหลักการของ QMS มาประยุกต์ใช้ สรุปให้พอเข้าใจง่ายว่า การที่องค์กรจะนำข้อมูลส่วนบุคคลมาใช้งาน มีความเกี่ยวข้องกับกิจกรรม/กระบวนการทำงานตามผังธุรกิจ (Business Flow) ซึ่งองค์กรสามารถพิจารณาการใช้ข้อมูลได้จากปัจจัยนำเข้าของกระบวนการ (Input) การจัดเก็บและส่งต่อข้อมูลส่วนบุคคล สามารถพิจารณาได้จากข้อมูลหรือบันทึกที่ได้จากกระบวนการ (Output) รวมไปถึงการจัดการข้อมูที่ต้องจัดเก็บ (Data Inventory) และหากองค์กรมีการกำหนดวัตถุประสงค์ของกระบวนการไว้ในคู่มือปฏิบัติงาน วิธีการทำงาน องค์กรก็ยังสามารถนำมาใช้เป็นวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคลเพื่อแจ้งไปยังเจ้าของข้อมูลส่วนบุคคลได้

ซึ่งการนำหลักการดังกล่าวนี้มาใช้ในการจัดข้อมูลส่วนบุคคล จะทำให้องค์กรสามารถบูรณาการระบบการจัดการมาตรฐานสากล ISO 9001 มาใช้เป็นแนวทางในการประยุกต์ใช้กับ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล ได้อย่างมีประสิทธิภาพ เป็นการลดขั้นตอนหรือสร้างมาตรฐานในการจัดการข้อมูลส่วนบุคคลขององค์กรได้อย่างดี

หากท่านใดต้องการสอบถาม ฝึกอบรม หรือที่ปรึกษาในการจัดการข้อมูลส่วนบุคคล สามารถติดต่อสอบถามได้ตามนะครับ

KISS (Keep It Simple and Simplify) Concept เพราะ ISO ทำได้ง่ายมากกว่าที่คิด

โฆษิต (อ.บัฟ)

ผู้เขียนบทความ

การประยุกต์ใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) EP.4

หลังจากประเทศไทยมีการบังคับใช้ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล 2562 ตั้งแต่วันที่ 1 มิ.ย. 2565 ทั้งในส่วนของภาคประชาชน เอกชน และผู้ประกอบการก็เกิดการตื่นตัวทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคล บทความนี้ตั้งใจที่จะนำประสบการณ์ในการเป็นที่ปรึกษา PDPA มาบอกเล่าให้ผู้ที่สนใจทราบถึงแนวทางการประยุกต์ใช้ PDPA ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ว่าควรเริ่มต้นจากในการประยุกต์ใช้ PDPA อย่างไรในบริษัท

เริ่มต้นบริษัทควรจะระบุกระบวนการหรือกิจกรรมที่บริษัทมีการดำเนินการอยู่ว่ามีกิจกรรมอะไรบ้าง เพื่อนำมาพิจารณาว่ากระบวนการ กิจกรรมไหนบ้างที่มีการใช้ข้อมูลส่วนบุคคลอยู่ โดยบริษัทอาจดำเนินการกำหนดความรับผิดชอบให้หน่วยงานที่รับผิดชอบในการควบคุมกระบวนการ กิจกรรมดังกล่าวมาผิดชอบในการพิจารณาการประมวลผลข้อมูลส่วนบุคคลของหน่วยงานตนเอง การที่หน่วยงานเป็นผู้พิจารณากระบวนการ กิจกรรมเอง จะทำให้แต่ละหน่วยงานสามารถที่จะจัดทำ Record of Processing Activity : RoP) ตามที่กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้ดำเนินการ (ไม่รวมถึงการได้รับการละเว้นบางประเภทกิจการ หน่วยงานที่ได้ประกาศการละเว้นหลัง พ.ร.บ. ประกาศเพิ่มเติม) การทำ RoP บางที่เรียก RoPA จากประสบการณ์ของที่ได้ทำงานที่ปรึกษา PDPA มองว่าเป็นต้นน้ำหรือข้อมูลที่สำหรับสำหรับให้บริษัท ไปใช้ดำเนินการในประเด็นอื่นๆ ตามกฎหมาย PDPA ได้อีกหลายอย่าง เช่น การแจ้งเจ้าของข้อมูลส่วนบุคคล (Privacy Notice) การขอการยินยอม (Consent) เป็นต้น ซึ่งก็แนะนำให้บริษัทใช้โปรแกรม exell ในการจัดทำ RoP ในช่วงแรกของการประยุกต์ใช้ แต่หากบริษัทไหนที่พอมีงบประมาณ อาจจะมองหา Application หรือ Softwear มาประยุกต์ใช้ สำหรับท่านผู้อ่านท่านไหนต้องการตัวอย่างแบบฟอร์ม RoP หรือ สไลด์อธิบายแนวทางการประยุกต์ใช้ PDPA สามารถแจ้งความต้องการผ่านช่องทาง ติดต่อเรา ได้นะครับ ไม่คิดค่าใช้จ่ายครับ

ใน EP ถัดไปเราจะเริ่มมาเรียนรู้จากประสบการณ์จริง ว่าทำยังไงถึงจะประยุกต์ใช้กฎหมาย PDPA ให้ง่ายแต่มีประสิทธิภาพ และที่สำคัญต้องสอดคล้องกับกฎหมายฉบับนี้

อ.บัฟ

B.TC