Q&A
1
PDPA - Set Up
QData Protection Officer (DPO) ควรมีควรรู้และเชี่ยวชาญด้านไหน
Aเพื่อสามารถให้คำแนะนำแก่ผู้ประมวลผล ผู้ควบคุมข้อมูล และบุคคลต่างๆในองค์กร DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ควรมีความรู้และความเชี่ยวชาญ
> ด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล
> พื้นฐานเกี่ยวกับด้านไอทีในการป้องกันข้อมูล เกี่ยวกับการปฏิบัติตาม พ.ร.บ.  
Q&A
PDPA - Set Up
Qจำเป็นต้องใช้ระบบไอทีเพื่อสนับสนุนการทำ PDPA หรือไม่
Aตามกฎหมายไม่ได้ระบุว่าองค์กรจะต้องใช้ระบบไอทีเสมอไป แต่ก่อนตัดสินใจที่จะวางระบบไอที องค์กรควร
  1. ทำความเข้าใจกระบวนการและบริบทของตัวเอง
  2. มีการจัดทำ Data Flow เพื่อดูและแยกแยะข้อมูลในกระบวนการว่าข้อมูลไหนคือสิ่งจำเป็นจริง ๆ เช่น ถ้าข้อมูลมีปริมาณที่ไม่เยอะมาก และไม่ได้มีการ Active ตลอดเวลา ข้อมูลในส่วนนี้ก็สามารถทำทะเบียนแบบสมุดหรือคู่มือได้
Q&A
1
PDPA - Consent
Qทำ Consent เผื่อไว้โดยไม่จำเป็น ส่งผลเสียอะไรบ้าง
Aหลักการ PDPA  “ไม่ให้ทำเผื่อ ให้ทำเท่าที่จำเป็น” แต่สามารถปรับปรุงให้ทันสมัย หรือเพิ่มได้
ผลเสีย
  1. หากมีการขอเปลี่ยน Consent ในภายหลัง จะเกิดความยุ่งยาก ซึ่งในทางปฏิบัติก็ทำได้ยาก องค์กรจึงควรทำให้เรียบร้อยตั้งแต่ครั้งแรกและต้องมีกลไกที่ชัดเจน
  2. เจ้าของข้อมูลต้องการขอให้ลบข้อมูล แต่เราไม่สามารถลบให้ได้ เพราะข้อมูลไปผูกอยู่กับเรื่องอื่นที่จำเป็นต้องใช้ ซึ่งเกิดจากการที่อ้างฐานผิด ทำให้เสี่ยงกับการหยุดชะงักแล้วไม่สามารถดำเนินการต่อได้
แนวทางป้องกัน Record of Processing หรือ ROP การทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล จะช่วยให้องค์กรเห็นภาพรวมทั้งหมด และนำข้อมูลไปใช้ได้อย่างมีประสิทธิภาพ

Q&A
Data Subject Right
Qกรณีเกิดการรั่วไหลของข้อมูลส่วนบุคคล องค์กรควรทำอย่างไร
Aกรณีมีการรั่วไหลของข้อมูลส่วนบุคคล ควรปฏิบัติตามขั้นตอน ดังนี้
1. ต้องตรวจสอบรายละเอียดของสถานการณ์ที่เกิดขึ้นทั้งหมด
2. ตรวจเช็คข้อมูลที่รั่วไหล ว่ามีข้อมูลประเภทไหน และจำนวนเท่าไรบ้าง
3. ประเมินผลกระทบขององค์กรที่อาจจะเกิดขึ้น
4. ระบุมาตรการในการเยียวยาเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย
เมื่อปฏิบัติตามขั้นตอนแล้ว จึงแจ้งรายละเอียดทั้งหมดต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูลต่อไป
Q&A
Data Subject Right
Qหากองค์กรปฏิเสธคำร้องขอใช้สิทธิ์จากเจ้าของข้อมูล เจ้าของข้อมูลควรทำอย่างไร
Aหากพนักงานยื่นคำร้องขอใช้สิทธิ์ในการเป็นเจ้าของข้อมูลส่วนบุคคล แต่ถูกองค์กรปฏิเสธ พนักงานควรขอเหตุผลจากองค์กรว่าเพราะอะไรถึงปฏิเสธคำร้องขอ หากไม่ได้เหตุผลที่ชัดเจน หรือเห็นสมควร ให้พนักงานดำเนินการยื่นเรื่องให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายพิจารณา
Q&A
PDPA - HR
Qกรณีบุคคลภายนอกต้องการตรวจสอบข้อมูลพนักงานในองค์กรท่าน ควรทำอย่างไร
A
1. องค์กรต้องพิจารณาว่าเป็นข้อมูลประเภทไหน เป็นข้อมูลอ่อนไหวหรือไม่
2. หากผู้ร้องขอเป็นเจ้าหน้าที่ของรัฐ จะต้องมีการทำหนังสือขอตรวจสอบข้อมูลอย่างเป็นทางการ

Q&A
PDPA - HR
Qรูปใบหน้าและลายนิ้วมือที่ใช้ลงเวลาเข้างานของพนักงานที่มีใช้มาก่อนกฎหมายบังคับ ถือว่าเป็นข้อมูลส่วนบุคคลหรือไม่
Aถือเป็นข้อมูลส่วนบุคคล จะต้องขอความยินยอมหรือ Consent จากพนักงาน ในการจัดเก็บข้อมูลให้ปลอดภัยไม่ให้ข้อมูลรั่วไหล
Q&A
PDPA - HR
Qประเด็นสำคัญที่ควรระบุในเอกสารสัญญาจ้างมีอะไรบ้าง
A
เนื่องจากเอกสารในสัญญาจ้างถือเป็นข้อมูลที่มีความอ่อนไหว ฉะนั้นสิ่งสำคัญที่ควรระบุในสัญญา นอกจากข้อความทั่วไป นั่นคือ สิทธิของเจ้าของข้อมูลทั้ง 9 ข้อ ได้แก่
1. สิทธิได้รับการแจ้งให้ทราบ
2. สิทธิในการขอเข้าถึงหรือขอรับสำเนาข้อมูล
3. สิทธิในการได้รับและโอนถ่ายข้อมูล
4. สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
5. สิทธิในการขอให้ลบหรือทำลายข้อมูล
6. สิทธิในการเพิกถอนความยินยอม
7. สิทธิในการขอระงับการใช้ข้อมูล
8. สิทธิในการแก้ไขข้อมูล
9. สิทธิในการร้องเรียน รวมถึงช่องทางในการติดต่อเพื่อใช้สิทธิดังกล่าว
Q&A
PDPA - HR
Qรหัสพนักงาน เป็นข้อมูลที่องค์กรควรระวังอย่างไร
Aรหัสพนักงานเป็นเพียงข้อมูลส่วนบุคคลทั่วไป เหมือนกับอีเมล์ของบริษัท แต่เมื่อพนักงานลาออก รหัส หรืออีเมลนั้น ก็จะไม่ใช่ข้อมูลของพนักงานอีกต่อไป

Q&A
PDPA - Set Up
Qทำอย่างไรจึงจะให้ผู้บริหารเห็นความสำคัญในการทำ PDPA ในองค์กร
Aควรชี้แจงให้ผู้บริหารทราบและเข้าใจถึงความสำคัญของการจัดการข้อมูลส่วนบุคคลว่า ถ้าหากคนในองค์กรไม่มีความรู้ความเข้าใจที่ถูกต้อง และไม่ปฏิบัติตามกฎหมายอย่างเคร่งครัดอาจจะนำไปสู่บทลงโทษที่รุนแรงทำให้องค์กรเกิดความเสียหายได้
Q&A
PDPA - Impact
Qหาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ แต่องค์กรยังดำเนินการในเรื่องที่เกี่ยวข้องไม่แล้วเสร็จ จะส่งผลอย่างไรกับองค์กร
Aหากองค์กรยังดำเนินการไม่แล้วเสร็จ อาจทำให้มีความเสี่ยงจากการละเมิดสิทธิข้อมูลส่วนบุคคล อาทิ กรณีที่ข้อมูลส่วนบุคคลรั่วไหลและเกิดความเสียหายต่อเจ้าของข้อมูล ส่งผลให้เจ้าของข้อมูลร้องเรียน ทำให้เกิดความเสียหายต่อองค์กรได้
Q&A
PDPA - Impact
Qเพราะเหตุใดองค์กรยังคงต้องให้ความสำคัญกับการทำ PDPA แม้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะประกาศเลื่อนบังคับใช้ออกไปอีก 1 ปี
Aเพราะกระบวนการทำ PDPA ให้ได้มาตรฐานนั้นมีหลายขั้นตอน อาทิ
1. องค์กรต้องเตรียมความพร้อมในการจัดการข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย เพื่อสร้างความเชื่อมั่นให้กับผู้ใช้บริการ
2. รายละเอียดในการรับคำยินยอม หรือ consent มีเนื้อหาค่อนข้างเยอะ การเลื่อนบังคับใช้ออกไปจะช่วยให้ผู้บริโภคมีระยะเวลาในการศึกษาข้อมูลได้อย่างครบถ้วน แต่หากทุกองค์กรไปทำพร้อมกันทั้งหมดในปีหน้า ผู้บริโภคอาจจะไม่มีเวลาอ่านข้อความอย่างละเอียด
3. องค์กรมีเวลาทบทวนเพื่อสร้างประสบการณ์ที่ดีที่สุดแก่ลูกค้า (Optimize User Experience) ทำให้ลูกค้าเกิดความพึงพอใจ และทำให้การขอข้อมูลลูกค้ามีประสิทธิภาพ

Q&A
PDPA - Consent
Qถ้าผู้รับบริการไม่ยินยอมให้ข้อมูลส่วนบุคคล เช่นการทำธุรกรรมกับธนาคาร ผู้ให้บริการมีสิทธิ์ปฏิเสธการให้บริการหรือไม่
Aกรณีเป็นบริการหลัก เช่น เปิดบัญชี ผู้ให้บริการ (ในกรณีนี้คือธนาคาร) สามารถใช้ฐานสัญญาได้ไม่ต้องขอความยินยอม กรณีที่มาขอยินยอมอาจเป็นส่วนเสริมเช่นการแจ้งข่าวสารบริการของธนาคาร,โปรโมชัน,การวิเคราะห์เพื่อปรับปรุงบริการ ฯลฯ ซึ่งเจ้าของข้อมูลไม่ยินยอมได้ ผู้ให้บริการต้องแจ้งว่าถ้าไม่ยินยอมจะกระทบอย่างไร (เช่น ไม่ได้รับรู้โปรโมชันหรือแคมเปญพิเศษ)
Q&A
PDPA - Consent
Qกลัวโดนฟ้องจากความผิดตามกฎหมาย จึงให้ความสำคัญกับการทำ Consent ถือว่าเพียงพอหรือไม่?
Aการทำ Consent หรือการให้การยินยอม เป็นเพียงส่วนหนึ่งของการจัดการข้อมูล ที่ลูกค้าสัมผัสได้ ทำให้มีโอกาสที่จะเกิดการหลุดรอดในเรื่องการจัดการข้อมูลให้มีประสิทธิภาพ
Q&A
Data Subject Right
Qเมื่อพบว่ามีเหตุละเมิดข้อมูลส่วนบุคคล ต้องแจ้งสำนักงานคุ้มครองข้อมูลส่วนบุคคล ภายในระยะเวลาเท่าไร
Aภายใน 72 ชม. ถ้าแจ้งเกินเวลาที่กำหนดถือว่าไม่สอดคล้องตามกฎหมาย และหากมีผลกระทบรุนแรงจากการแจ้งล่าช้า ก็เป็นเหตุสนับสนุนให้กรรมการผู้เชี่ยวชาญกำหนดบทลงโทษเพิ่มขึ้นได้