TIP
PDPA : แนวทางการจัดการข้อมูลส่วนบุคคล
1. Data Policy : จำแนกประเภทข้อมูลบุคคลขององค์กรออกเป็น 3 กลุ่ม คือ ลูกค้า พนักงาน และพาร์เนอร์ (3rd Parties) กำหนดสิทธิ์และนโยบายในการเข้าถึงข้อมูล
2. Data Subject Right : เตรียมช่องทางในการติดต่อกับ Data Subject ภายใต้นโยบายความเป็นส่วนบุคคลที่กำหนด รวมไปถึงการออกแบบและบริการจัดการ Cookie & Consent และ Data Subject Access Request (DSAR)
3. Access Control : กำหนดสิทธิในการเข้าถึงและใช้ข้อมูลของบุคคลแต่ละประเภท อย่างเหมาะสมสอดคล้องตามความยินยอมที่เจ้าของข้อมูลให้ไว้กับองค์กร
4. Data Protection : ออกแบบเครื่องมือเพื่อปกป้องและรักษาความปลอดภัยของข้อมูล ไม่ว่าข้อมูลเหล่านั้นจะอยู่ภายใน, ภายนอก หรือ บน Cloud
5. Data Breach Detection : ตรวจจับพฤติกรรมที่ผิดปกติหรือไม่พึงประสงค์ที่อาจก่อให้เกิดเหตุการรั่วไหลของข้อมูล รวมถึงการรับมือและฟื้นฟูระบบให้กลับคืนสู่สภาวะปกติได้อย่างรวดเร็วและทันเวลา
6. Data Usage Monitoring : ติดตามและเฝ้าระวัง เพื่อให้มั่นใจว่าข้อมูลถูกใช้อย่างเหมาะสม ภายใต้นโยบายความเป็นส่วนบุคคลของข้อมูลและการยินยอมจากเจ้าของข้อมูล กรณีเกิดเหตุผิดปกติ สามารถเก็บหลักฐานและจัดทำรายงานส่งให้หน่วยงานกำกับดูแลที่เกี่ยวข้องได้
TIP
8 จุดเด่น ที่ระบบจัดเก็บข้อมูลแบบเสียงต้องมี เมื่อ PDPA เริ่มบังคับใช้
1.สามารถจัดเก็บข้อมูลทั้ง Voice และ None Voice
2.มีความยืดหยุ่น สามารถปรับตั้งค่า ปรับเปลี่ยนระยะเวลาการจัดเก็บข้อมูลได้ตามต้องการ
3.มีระบบกำหนดสิทธิ์การเข้าถึงของพนักงาน
4.มีระบบค้นหาข้อมูล ที่แม่นยำและใช้งานง่าย
5.ตรวจสอบคุณภาพและแจ้งเตือนต่อผู้ดูแลระบบทันที หากพบการละเมิดกฎด้านความปลอดภัย
6.มีหน้าจอแดชบอร์ด เพื่อติดตามและตรวจสอบภาพรวมการทำงานได้อย่างสะดวก
7.รองรับการเข้าใช้งานด้วยมาตรฐานของ Microsoft ADFS (Active Directory Federation Services)
8.ภาพรวมของระบบ ต้องสอดรับกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA)

TIP
เอกสารและแบบฟอร์มต่างๆ ที่องค์กรต้องเตรียม เพื่อขอความยินยอมการเก็บข้อมูลจากเจ้าของข้อมูล (Consent)
1. บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ Record of Processing (ROP) : ระบุรายละเอียดการจัดการข้อมูลส่วนบุคคลขององค์กร ครอบคลุมตั้งแต่วัตถุประสงค์การจัดเก็บข้อมูล การประมวลผลข้อมูล วิธีการจัดเก็บข้อมูล และผู้เกี่ยวข้องข้อมูล
2.แบบฟอร์มการขอใช้สิทธิสำหรับเจ้าของข้อมูล : เพื่อให้เจ้าของข้อมูลใช้ยื่นคำร้องขอใช้สิทธิดังกล่าว โดยผู้ให้บริการต้องดำเนินการตามคำร้องขอให้แล้วเสร็จภายใน 30 วันหลังจากได้รับคำขอ
3.แบนเนอร์ขอความยินยอมการใช้คุกกี้ หรือ Cookie Consent Banner : ช่องทางในการขอความยินยอมการเก็บข้อมูลส่วนบุคคลจากผู้ใช้งานผ่านเว็บไซต์ โดยต้องแจ้งให้ผู้ใช้งานทราบตั้งแต่เว็บไซต์เริ่มมีการใช้ Cookies เพื่อเก็บข้อมูล แจ้งวัตถุประสงค์ และประเภทข้อมูลที่จัดเก็บ รวมถึงให้สิทธิผู้ใช้งานในการตัดสินใจที่จะยินยอมให้เก็บข้อมูลส่วนใดบ้าง
4.แบบฟอร์มแจ้งเตือนกรณีเกิดการรั่วไหลของข้อมูลส่วนบุคคล : หากเกิดการรั่วไหลของข้อมูลส่วนตัว องค์กรจำเป็นจะต้องแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูล
5. นโยบายความเป็นส่วนตัว หรือ Privacy Policy : หน่วยงานต้องแจ้งนโยบายความเป็นส่วนตัวให้กับเจ้าของข้อมูลที่เข้ามาใช้บริการทราบ โดยระบุรายละเอียด และเงื่อนไขเกี่ยวกับการจัดการข้อมูลทั้งหมด อาทิ ข้อมูลที่จัดเก็บ การประมวลผล ระยะเวลาในการจัดเก็บ มาตรการด้านความปลอดภัยในการจัดเก็บข้อมูล รวมถึงช่องทางติดต่อ
TIP
3
พรบ.คุ้มครองข้อมูลส่วนบุคคล พระราชบัญญัตินี้ ไม่ใช้บังคับกับกิจกรรมใดบ้าง
1. การเก็บรวบรวม ใช้ หรือเปิดเผย เพื่อประโยชน์ส่วนตน หรือ เพื่อกิจกรรมในครอบครัวของบุคคลนั้น
 
2. การดำเนินการของหน่วยงานรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ความมั่นคงทางการคลังของรัฐ การรักษาความปลอดภัยของประชาชน การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ การรักษาความมั่นคงปลอดภัยทางไซเบอร์
 
3. การเก็บรวบรวมเพื่อกิจการสื่อสารมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพ หรือเป็นประโยชน์สาธารณะเท่านั้น
 
4. สภาผู้แทนราษฎร วุฒิสภา รัฐสภา คณะกรรมาธิการ ตามอำนาจและหน้าที่ของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา และคณะกรรมาธิการ
 
5. การพิจารณาพิพากษาคดีของศาล การดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี การวางทรัพย์ การดำเนินงานตามกระบวนการยุติธรรมทางอาญา
 
6. การดำเนินการกับข้อมูลของบริษัท ข้อมูลเครดิต และสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

TIP
ข้อมูลส่วนบุคคลของพนักงานที่สำคัญมีอะไรบ้าง ?
ข้อมูลอ่อนไหว (Sensitive Data) ในมาตรา 26 ได้กล่าวว่าข้อมูลเหล่านี้ห้ามประมวลผล ยกเว้นมีความจำเป็นจริง ๆ ได้แก่
• เชื้อชาติ เผ่าพันธุ์
• ความคิดเห็นทางการเมือง
• ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลสุขภาพ ความพิการ
• ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (ข้อมูล Biometrics เช่น สแกนลายนิ้วมือ สแกนใบหน้า)
• ข้อมูลสหภาพแรงงาน
• ข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคล แต่ไม่ได้ระบุไว้ข้างต้น
TIP
สิ่งที่ HR ต้องทำหลักๆ มีอะไรบ้าง ?
1. จัดหา / แต่งตั้ง DPO
2. ทบทวนข้อมูลในใบสมัคร เอาเท่าที่จำเป็น
3. ปรับ Procedure สรรหา เพราะสำหรับผู้สมัคร เราอาจยังไม่ต้องขอเอกสารก็ได้ เพื่อลดความเสี่ยง ในการเก็บข้อมูลอ่อนไหวที่ไม่จำเป็น
4. ทบทวนสัญญาจ้าง ถ้ายังไม่มีข้อที่กล่าวถึงการขอเอาไปจัดเก็บ ประมวลผล และทำลาย ตามสิทธิของเจ้าของข้อมูลก็ไปเพิ่มซะจะได้ครอบคลุม
5. จัดทำ HR privacy Policy เน้นเนื้อหาผู้ติดต่อ และสิทธิเจ้าของข้อมูลให้ครบถ้วนเป็นหลัก
6. สำรวจข้อมูลสุขภาพปีก่อนๆของพนักงานพร้อมกำหนดแนวทางเพื่อจัดการข้อมูลเหล่านั้นอย่างเป็นระบบ

TIP
PDPA Focus : แนวทางการขอการยินยอม (Consent)
เพื่อให้สอดคล้องตามกฎหมาย แบบฟอร์มการขอความยินยอม (Consent Form) จากเจ้าของข้อมูลส่วนบุคคลควรมีลักษณะดังต่อไปนี้
• ทำโดยชัดแจ้ง เป็นหนังสือหรือผ่านระบบ Electronic
• แจ้งวัตถุประสงค์ของการเก็บ รวบรวม ใช้ หรือ เปิดเผย ข้อมูลส่วนบุคคล
• Consent ต้องแยกส่วนจากข้อความอื่นชัดเจน
• ข้อความเข้าถึงและเข้าใจง่าย ไม่หลอกลวงหรือทำให้เข้าใจผิด
 
อะไรบ้างที่ไม่ต้องขอ Consent
• เพื่อศึกษาและวิจัยเพื่อเป็นประโยชน์แก่สาธารณะและเก็บข้อมูลเป็นความลับ
• เพื่อป้องกัน/ระงับอันตรายต่อชีวิต
• เพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา
• จำเป็นเพื่อประโยชน์แก่สาธารณะ
• จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย
• เป็นการปฏิบัติตามกฎหมาย
TIP
PDPA Focus : แนวทางการจัดการข้อมูลส่วนบุคคล
วิธีการ :
1. เก็บได้เท่าที่จำเป็น
2. ต้องเก็บจากเจ้าของข้อมูลโดยตรง ยกเว้น
• แจ้งถึงการเก็บจากแหล่งอื่น น้อยกว่าหรือเท่ากับ 30 วัน นับแต่เก็บและได้รับ Consent
• การเก็บที่ได้รับยกเว้น โดยใช้ฐานประมวลผลที่ไม่ต้องขอ Consent
 
สิ่งที่ต้องแจ้งให้เจ้าของข้อมูลทราบ :
• วัตถุประสงค์ของการเก็บ
• กรณีที่ต้องให้ข้อมูลตามกฎหมายและผลกระทบของการไม่ให้ข้อมูล
• ข้อมูลและระยะเวลาที่เก็บ> บุคคลหรือหน่วยงานที่ข้อมูลอาจถูกเปิดเผย
• ข้อมูลติดต่อผู้ควบคุมส่วนบุคคล
• สิทธิของเจ้าของข้อมูล
 
ห้ามเก็บ :
Sensitive Data: ความเชื่อ / ศาสนา / เชื้อชาติ / ความเห็นทางการเมือง / ประวัติอาชญากรรม / เผ่าพันธุ์ / สุขภาพ / พฤติกรรมทางเพศ / อื่นๆ ตามที่ประกาศกำหนด
 
ยกเว้น:
• เพื่อป้องกัน/ระงับเหตุอันตรายต่อชีวิต
• เป็นกิจกรรมที่ชอบด้วยกฎหมาย
• ข้อมูลเปิดเผยต่อสาธารณะด้วยความยินยอม
• เพื่อก่อตั้งสิทธิเรียกร้อง
• เพื่อปฏิบัติตามกฎหมาย

TIP
ฐานกฎหมาย (Lawful Basis) 6 ข้อในการจัดการข้อมูลส่วนบุคคลที่ได้รับการยกเว้นให้ดำเนินการได้โดยไม่ต้องขอรับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
1. เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ (Scientific or research)
2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต (Vital Interest)
3. เพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล(Necessary for the performance of contracts)
4. เพื่อการดำเนินการอันเป็นประโยชน์สาธารณะของผู้ควบคุมข้อมูล (Public Task) หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้รับมอบหมายแก่ผู้ควบคุมข้อมูลส่วนบุคคล
5. เพื่อการดำเนินการอันเป็นผลประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูล แต่ต้องไม่ก่อให้เกิดการละเมินสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล (Legitimate Interest)
6. เพื่อเป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูล (Legal Obligation)
TIP
แนวทางการเตรียมตัวขององค์กรก่อน PDPA บังคับใช้เต็มรูปแบบ
1. ตั้งทีมงาน ซึ่งมีหน้าที่
1) ศึกษากฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล
2) สำรวจข้อมูลในองค์กร ว่ามีการเก็บข้อมูลในจุดบริการใด และจัดเก็บข้อมูลส่วนบุคคลอยู่ที่หน่วยงานใดบ้าง
3) พิจารณาว่าการจัดเก็บข้อมูลส่วนบุคคลมีความมั่นคงปลอดภัย (3 องค์ประกอบ การรักษาความลับ, การรักษาความถูกต้องของข้อมูล, ความพร้อมใช้งาน)
2. พิจารณาฐานกฎหมายที่อนุญาตให้ เก็บ/ใช้/เผยแพร่ ข้อมูลส่วนบุคคลทั้ง 6 ฐาน หากไม่เข้าเกณฑ์และจำเป็นต้องใช้ข้อมูลส่วนบุคคล จึงดำเนินการขอความยินยอม
3. จัดทำระบบรองรับสิทธิ์ของเจ้าของข้อมูล ได้แก่ การขอ (เข้าถึง/ขอรับข้อมูล/แก้ไข/ระงับการใช้/ลบหรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวตนได้)
4. ผู้บริหารต้องให้ความสำคัญอย่างเป็นรูปธรรม สนับสนุนทรัพยากร ส่งเสริมความรู้เรื่อง PDPA ให้กับคณะทำงานและพนักงาน