Professional Documents
Culture Documents
PDPA Final Call by Prinya ACIS - Tax0522-Cover Story
PDPA Final Call by Prinya ACIS - Tax0522-Cover Story
ทาไมเราต้องให้ความสาคัญกับเรื่องข้อมูลส่วนบุคคลและความเป็ นส่วนตัวของข้อมูล
ในปั จจุบันเราได้ยินข่าว “ข้อมูลรั่วไหล” หรือข้อมูลส่วนบุคคลหลุด ออกไปสู่ สาธารณะหรื อ ไปอยู่ในมื อ ของ
มิจฉาชีพ ทาให้เกิดความเดือดร้อนต่อเจ้าของข้อมูลส่วนบุคคลไม่เว้นเเต่ละวัน โดยมีอัตราการเกิดความเสียหายอย่าง
ต่อเนื่อง สาเหตุท่ที าให้เราต้องให้ความสาคัญกับข้อมูลส่วนบุคคล ก็คือ เมื่อข้อมูลส่วนบุคคลอยู่กบั ตัวเราโดยที่เราสามารถ
ข้อมูลส่วนบุคคลรั่วไหลจากช่องทางไหนได้บ้าง ?
ในปั จจุบนั ปั ญหาข้อมูลส่วนบุคคลรั่วไหลกลายเป็ นปั ญหาระดับโลกที่แก้ไม่ตกและเกิดขึน้ อย่างมีนยั ยะ สาคัญ
ต่อเนื่อง มีแนวโน้มที่จะเพิ่มขึน้ ทุกวัน ไม่ว่าจะเกิดจากแฮกเกอร์ มิจฉาชีพ หรือพนักงานในองค์กรเอง แม้กระทั่งเกิดจาก
การที่ผใู้ ห้บริการ Cloud/Social Media ทาข้อมูลรั่วไหลเสียเองก็มีความเป็ นไปได้ทงั้ สิน้ ปั ญหาข้อมูลส่วนบุคคลรั่วไหลเป็ น
ปั ญหาที่เราต้องเปลี่ยน Mindset จาก “IF” เป็ น “WHEN” เนื่องจากข้อมูลส่วนบุคคลอาจรั่วไหลได้ผ่านทางช่องทางที่
หลากหลายไม่ว่าจะเป็ นอิเล็กทรอนิกส์เมล โปรแกรม Chat ยอดนิยมต่าง ๆ ไม่ว่าจะเป็ น LINE, WhatsApp, Facebook
Messenger การรั่ว ไหลผ่ า นทางเว็ บ ไซต์ และ Cloud Drive ต่ า ง ๆ ไม่ ว่ า จะเป็ น OneDrive, Google Drive, Dropbox
แม้กระทั่งการรั่วไหลจากเครื่อง PC, Notebook, Smartphone ไปจนถึงการรั่วไหลด้านกายภาพจากการถูกขโมยหรือสูญ
หาย
ดั ง นั้ น การเตรี ย มความพร้ อ มในเรื่ อ งปั ญ หาข้ อ มู ล ส่ ว นบุ ค คลรั่ ว ไหลทั้ ง ส่ ว นตั ว และองค์ก รจึ ง มี
ความสาคัญอย่างยิ่ง เนื่องจากความเสี่ยงและอุบัติการณ์ทข่ี ้อมูลส่วนบุคคลรั่วไหลสามารถเกิดขึน้ ได้กับทุกคน
ทุกองค์กร ทุกที่ และทุกเวลา ไม่ได้ขนึ้ กับขนาดของธุรกิจแต่อย่างใด
เมื่อข้อมูลส่วนบุคคลรั่วไหลเราควรทาอย่างไร?
จากหลากหลายช่องทางที่ขอ้ มูลส่วนตัวสามารถรั่วไหลได้ การป้องกันไม่ให้ขอ้ มูลส่วนตัวของเรารั่วไหลแบบ
100% จึงเป็ นไปได้ยากมาก ดังนัน้ เราควรมีการเตรียมการไว้ล่วงหน้า เช่น ไม่เก็บข้อมูลสาคัญไว้ใน Cloud Drive หรือทา
การเข้ารหัสข้อมูลและสาหรับสารองข้อมูลไว้ก่อนที่จะเกิดเหตุการณ์ไม่พึงประสงค์ เมื่อข้อมูลรั่วไหลจะได้ไม่เกิดผลกระทบ
กับ ตัว เรามากนัก และเมื่ อ ข้อ มูลได้ร่ ัว ไหลไปแล้ว ก็ ต ้อ งกลับ มาตั้ง สติ ป ฏิ บัติ ต ามขั้น ตอนที่ เ ราได้ท าการศึก ษาและ
เตรียมการไว้ล่วงหน้าในการกูข้ อ้ มูลกับคืนมาใช้งานได้ตามปกติ
เมื่อข้อมูลส่วนบุคคลรั่วไหล องค์กรควรทาอย่างไร?
การเตรียมการเรื่อง “Breach Response” เป็ นส่วนหนึ่งในหน้าที่ของผูค้ วบคุมข้อมูลส่วนบุคคล
• ต้องปฏิบตั ิตามกฎหมายเมื่อมีเหตุการณ์ไม่พึงประสงค์เกิดขึน้ กับข้อมูลที่มีความเสี่ยง
• ต้องรีบแจ้งให้กับสานักงานคณะกรรมการคุม้ ครองข้อมูลส่วนบุคคลให้ทราบภายใน 72 ชั่วโมง ตาม
มาตรา 37 (4) และข้อมูลที่มีความเสี่ยงสูงต้องแจ้งกับเจ้าของข้อมูลส่วนบุคคลโดยไม่ชกั ช้าอีกด้วย
• การแต่ ง ตั้ง โฆษกประจ าองค์ก รที่ มี ห น้า ที่ ชี ้แ จงกั บ นั ก ข่ า วก็ เ ป็ น เรื่ อ งส าคั ญ ในการท า “Crisis
Management” เพื่อไม่ให้เกิดผลกระทบต่อชื่อเสียงและภาพลักษณ์ขององค์กร
• การเตรียมการก่อนการเกิดเหตุการณ์ไม่พึงประสงค์กบั ข้อมูลส่วนบุคคล ก็เป็ นเรื่องสาคัญไม่ว่าจะเป็ น
การทา “Data Pseudonymization” หรือ “Data Encryption” ก็เป็ นเรื่องที่องค์กรควรจัดเตรียมการให้
พร้อมต่อการถูกโจมตีโดยผูไ้ ม่หวังดีท่อี าจเกิดขึน้ ได้ทกุ เวลา
ทาความเข้าใจในบทบาทหน้าทีข่ อง DPO
หลายคนอาจสงสัย ว่ า อาชี พ ใหม่ ท่ี ก าลัง มาแรงในขณะนี ้ ได้แ ก่ อาชี พ “เจ้า หน้า ที่ คุ้ม ครองข้อ มูล ” หรื อ Data
Protection Officer มีหน้าที่ตามมาตรา 42 พ.ร.บ.คุม้ ครองข้อมูลส่วนบุคคล อย่างไร ?
หน้าทีห่ ลักของ DPO มี 4 ข้อดังนี้
1. ให้คาแนะนาแก่ผคู้ วบคุมข้อมูลส่วนบุคคลหรือผูป้ ระมวลผลข้อมูลส่วนบุคคลที่เกี่ยวกับการปฏิบตั ิตาม
พ.ร.บ. คุม้ ครองข้อมูลส่วนบุคคล
2. ประสานงานและให้ความร่วมมือกับสานักงาน ในกรณีท่ีมีปัญหาเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือ
เปิ ดเผยข้อมูลส่วนบุคคลของผูค้ วบคุมข้อมูลส่วนบุคคลหรือผูป้ ระมวลผลผลข้อมูลส่วนบุคคล
3. ตรวจสอบการดาเนินงานของผูค้ วบคุมข้อมูลส่วนบุคคลหรือผูป้ ระมวลผลข้อมูลส่วนบุคคล
4. รักษาความลับของข้อมูลส่วนบุคคลที่ล่วงรูห้ รือได้มาจากการปฏิบตั ิหน้าที่ DPO
การปฏิบตั ิหน้าที่ DPO สามารถเป็ นได้ทงั้ พนักงานของผูค้ วบคุมข้อมูลส่ วนบุคคลหรือผูป้ ระมวลผลข้อมูลส่วนบุคคล
อีกทัง้ ยังสามารถ Outsource ให้บริษัทที่ให้บริการ DPO ภายนอกสามารถปฏิบตั ิหน้าที่ DPO ได้เช่นกัน โดยเป็ นผูร้ บั จ้าง
ให้บริการตามสัญญากับผูค้ วบคุมข้อมูลส่วนบุคคลหรือผูป้ ระมวลผลข้อมูลส่วนบุคคล
แนวทางจั ด ท าบั น ทึ ก รายการกิ จ กรรมการประมวลผลข้ อ มู ล ส่ ว นบุ ค คล ROPA (Records of Processing
Activities)
เราได้ยินคาว่า “ROPA” กันบ่อยครัง้ ในช่วงหลายเดือนที่ ผ่านมาว่าเป็ นเรื่ องที่ องค์กรต้องปฏิบัติตาม PDPA
มาตรา 39 โดย ROPA ย่อมาจาก Records of Processing Activities หมายถึง การบันทึกกิจกรรมการประมวลผลของ
องค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล โดยจะต้องอยู่ในรูปแบบข้อความที่เป็ นลายลักษณ์อกั ษรหรืออิเล็กทรอนิกส์
ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดทาและเก็บรัก ษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
ประกอบด้วยประเภทกิจกรรมโดยมีรายละเอียดดังต่อไปนี ้
1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
3. ข้อมูลที่เกี่ยวกับผูค้ วบคุมข้อมูลส่วนบุคคล
4. ระยะเวลาในการเก็บรักษาและการลบข้อมูลส่วนบุคคล
5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล
6. การใช้หรือเปิ ดเผยข้อมูลที่ได้รบั การยกเว้นไม่ตอ้ งขอความยินยอม
7. การปฏิเสธคาขอหรือการคัดค้าน
8. อธิบายเกี่ยวกับมาตรการในการรักษาความมั่นคงปลอดภัยตามมาตรา 37 (1)
โดย ROPA ต้องทาให้สามารถเข้าถึงได้ง่าย และเมื่อมีการร้องขอ ผูค้ วบคุมข้อมูลส่วนบุคคลต้องสามารถแสดง
ให้เจ้าของข้อมูลส่วนบุคคลและสานักงานคณะกรรมการคุม้ ครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้
11 ข้อควรปฏิบัติสาหรับองค์กร2
1. แต่งตัง้ เจ้าหน้าที่คมุ้ ครองข้อมูลส่วนบุคคล DPO ให้เป็ นไปตามมาตรา 41 PDPA
2. จัดทาประกาศความเป็ นส่วนตัว (Privacy Notice) ให้เป็ นไปตามมาตรา 23 PDPA
3. จัดทาบันทึกรายการกิจกรรมการประมวลผล (ROPA) ให้เป็ นไปตามมาตรา 39 PDPA (ในกรณีท่ีเข้าข่าย
ต้องปฏิบตั ิตาม PDPA)
4. จัด ท าแบบขอความยิ นยอมในกรณี ท่ีมี ความจาเป็ น ต้องใช้ (Consent Form) ให้เ ป็ น ไปตามมาตรา 19
PDPA
5. จัด ท าข้อ ตกลงการประมวลผลในกรณี ท่ี มี ก ารจ้า งผู้ป ระมวลผลข้อ มูล ส่ ว นบุค คล (Data Processing
Agreement) ให้เป็ นไปตามมาตรา 40 PDPA
6. ควรจัดตัง้ คณะทางาน PDPA ภายในองค์กร
7. การสารวจข้อมูลภายในองค์กรและจัดทาผังวงจรชีวิตข้อมูลส่วนบุคคล (Data Inventory)
8. ควรจัดทานโยบายและแนวทางปฏิบัติ ขององค์กรในเรื่องการคุม้ ครองข้อมูลส่วนบุคคล (Privacy Policy
and Code of Practices)
9. ในกรณีท่ีมีการแบ่งปั นหรือแลกเปลี่ยนข้อมูลระหว่างองค์กร ควรจัดทาข้อตกลงการแลกเปลี่ยนข้อมูลส่วน
บุคคล (Data Sharing Agreement)
10. ควรสร้างความตระหนักรูแ้ ละฝึ กอบรมเรื่องการคุม้ ครองข้อมูลส่วนบุคคลให้แก่พนักงานและผูบ้ ริหารองค์กร
(Capacity Building and Awareness Raising)
11. ควรกากับดูแลและตรวจสอบอย่างสม่าเสมอ (Audit and Compliance)
จึงเห็นควรให้เจ้าของกิจการหรือผู้บริหารระดับสูงขององค์กรควรให้การสนับสนุ น การปฏิบัติตาม
PDPA ทัง้ นีเ้ พื่อความยั่งยืน (Sustainability) ขององค์กรในระยะยาวต่อไป
+++++++++++++++++++++++++++++++++++