PDPA Personal Data Protection Act คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษา และมีผลบังคับใช้เต็มรูปแบบเมื่อวันที่ 27 พฤษภาคม 2563
เรามาดูกันว่าถ้าจะเริ่มต้นในการจัดการข้อมูลส่วนบุคคลในบริษัทตามกฎหมาย PDPA เราต้องรู้อะไรบ้าง
อย่างแรกข้อมูลส่วนบุคคลคืออะไร และใครเป็นเจ้าของข้อมูล
ข้อมูลส่วนบุคคลแบ่งเป็น 2 ประเภท
Personal Data ได้แก่ ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน
Sensitive Personal Data
ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น
เรื่องถัดไปที่เราต้องรู้ใครมีหน้าที่ในการดูแล เก็บรักษาและใช้งานข้อมูลส่วนบุคคล
ตามกฎหมาย บริษัทต้องจัดให้มีบุคคลากรที่มีความรับผิดชอบในการดูแล เก็บรักษา การเข้าถึงและใช้งานข้อมูลส่วนบุคคล ให้ถูกต้องตามกฎหมาย โดยแบ่งเป็น
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” โดยมีข้อแม้ว่าต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
เมื่อเรารู้แล้วว่า ใคร ในบริษัท มีหน้าที่อย่างไรเกี่ยวกับข้อมูลส่วนบุคคล สิ่งต่อไปที่เราต้องคำนึงถึงคือ ข้อมูลอะไรในบริษัทที่ถือเป็นข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลแบ่งให้ชัดเจนอีกนิด คือ ข้อมูลบุคคลภายในบริษัท และข้อมูลบุคคลภายนอกบริษัท
ข้อมูลภายในบริษัท คือ ข้อมูลของพนักงานในบริษัททุกคน ที่ฝ่ายบุคคลเก็บไว้ตั้งแต่วันแรกที่เราสมัครงานจนถึงวันสุดท้ายที่เราทำงานให้บริษัท ซึ่งมีได้ทั้ง Personal Data และ Sensitive Data
ข้อมูลบุคคลภายนอกบริษัท ถือเป็นข้อมูลสำคัญมากของบริษัท เช่น ข้อมูลลูกค้า ข้อมูล Supplier ซึ่งส่วนใหญ่จะเป็น Personal Data แต่ถ้าเป็นกลุ่มบริษัทประกันภัย โรงพยาบาล ข้อมูลลูกค้าที่เก็บจะรวมไปถึง Sensitive Data ด้วย
เมื่อเรารู้แล้วว่าข้อมูลออะไรในบริษัทเป็นข้อมูลส่วนบุคคล สิ่งต่อไปที่เราต้องรู้คือ ข้อมูลเหล่านั้นเก็บอยู่ที่ไหน และอยู่ในรูปแบบใด
ข้อมูลพนักงานอาจจะอยู่ในรูปเอกสารใส่แฟ้ม หรือรูปแบบอีเมล์ ข้อมูลลูกค้าถูกเก็บในระบบฐานข้อมูลเป็นต้น
จากนั้นก็มาถึงขั้นตอนการวางแผนการทำงานเพื่อให้สามารถผ่านตามข้อกฎหมายข้อมูลส่วนบุคคล ซึ่งต้องออกแบบขั้นตอนตั้งแต่การขอความยินยอมจากเจ้าของข้อมูลและแจ้งให้ทราบว่าข้อมูลจะถูกเก็บหรือใช้อย่างไร ข้อมูลบางอย่างสามารถปรับขั้นตอนการทำงานเล็ก ๆ น้อย ๆ ได้ เช่น การลงประกาศรับสมัครพนักงาน ต้องเพิ่มข้อความยินยอมในการใช้ข้อมูลในจดหมายสมัครงานเพื่อประโยชน์ของเจ้าของข้อมูลและใช้ภายในบริษัทเท่านั้น แต่ข้อมูลบางอย่างเราก็ต้องเลือกเทคโนโลยีมาช่วยในการปฏิบัติตามกฎหมายอย่างถูกต้องและครบถ้วน การส่งต่อข้อมูลให้บุคคลอื่นจะต้องทำด้วยวิธีการใด ถึงจะตรงตามกฎหมายที่สุด เช่น มาตรา 28 ในการรับส่งข้อมูลไปต่างประเทศ ต้องมีมาตรฐานคุ้มครอง ต้องเลือกเทคโนโลยี Encryption, File Transfer ที่สามารถทำตามข้อกำหนดได้
แต่ถ้ามันจะยุ่งยากขนาดนั้น ก็โทรหาเราที่ 097-345-2431 หรือ add line : 1essales
ให้วัน เอ็นเตอร์ไพรส์ โซลูชั่น ดูแลแก้ปัญหาทางด้านไอทีให้คุณ ง่ายกว่ากันเยอะ