รีบดู พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ก่อนบังคับใช้ พ.ค.นี้

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลบังคับใช้ในวันที่ 28 พฤษภาคม 2563 นี้ พรบ.ฉบับนี้จะเข้ามาเปลี่ยนแปลงและเป็นตัวแปรสำคัญที่จะส่งผลกระทบต่อกระบวนการทำงานด้านการวิเคราะห์ข้อมูล (Data Analytics) นับตั้งแต่ขั้นตอนจัดเก็บข้อมูล ไปจนถึงการนำไปใช้งาน

ปัจจุบันข้อมูลถือเป็น “สินทรัพย์” สำคัญสำหรับองค์กรที่สามารถนำมาสร้างเป็น Insight ช่วยให้หลายองค์กรรู้จักตัวเองและลูกค้าอย่างถ่องแท้ นำไปสู่การนำเสนอสินค้าและบริการได้อย่างตรงใจ อีกทั้งข้อมูลส่วนบุคคลถือเป็น “หัวใจ” สำคัญ สำหรับการทำ Big Data Analytics เพื่อหาสิ่งเชื่อมโยงของข้อมูลเหล่านั้นไว้ด้วยกัน นำไปค้นหาแนวโน้มทางการตลาด หาความต้องการของลูกค้า รวมทั้งข้อมูลอื่น ๆ ที่เป็นประโยชน์ต่อธุรกิจ

ไม่พลาดทุกข้อมูล ข่าวสารที่น่าสนใจ อย่าลืมกดไลก์ Facebook bangkokbanksme 

เมื่อถึงวันที่ พ.ร.บ. ดังกล่าวจะถูกบังคับใช้โดยกฎหมาย องค์กรจะต้องดำเนินการจัดเก็บและใช้ข้อมูลส่วนบุคคลให้ถูกต้องและรัดกุม โดยมีเรื่องที่ต้องศึกษาและทำความเข้าใจ 4 หัวข้อหลักด้วยกัน คือ

1. การขอความยินยอมจากเจ้าของข้อมูล เริ่มตั้งแต่การเก็บรวบรวม การใช้งาน หรือการเปิดเผยข้อมูลต่อบุคคลอื่น ต้องได้รับการยินยอมเป็นลายลักษณ์อักษร และต้องไม่กระทำเกินกว่าที่ขอความยินยอมไว้

2. การแจ้งวัตถุประสงค์ในการใช้ข้อมูลต่อเจ้าของข้อมูล ต้องชัดเจนและเข้าใจได้โดยง่าย ระบุระยะเวลาการจัดเก็บข้อมูลที่ชัดเจน

3. การรักษาความปลอดภัยของข้อมูล (Data Security) ต้องได้มาตรฐาน

4. สิทธิของเจ้าของข้อมูล ต้องมีการกำหนดสิทธิการเข้าถึง ส่งผลให้องค์กรต้องมีระบบในการรองรับสิทธิของเจ้าของข้อมูล เช่นกรณีที่เจ้าของข้อมูลขอให้องค์กรลบข้อมูลส่วนบุคคลของตนเอง องค์กรจะต้องดำเนินการลบข้อมูลเหล่านั้นออก “ทั้งระบบ” เป็นต้น

ทั้งนี้เพื่อเตรียมความพร้อมขององค์กร บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik) ที่ปรึกษาด้านกลยุทธ์ และการจัดการนวัตกรรมและเทคโนโลยี แนะเตรียมพร้อมองค์กรให้เข้ากับหลักเกณฑ์ พ.ร.บ. ดังกล่าว มี 3 ขั้นตอน ดังนี้

1. ขั้นต้นน้ำ  องค์กรควรประเมินขีดความสามารถและความพร้อมของระบบต่างๆ ในองค์กร อาทิ โครงสร้างและระบบด้านไอที (IT Infrastructure) เพื่อหาช่องว่างที่ต้องปรับปรุงให้สามารถรองรับการดำเนินงานตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล รวมทั้งประเมินกระบวนการทำงาน (Process) โดยจะต้องดูตั้งแต่ขั้นตอนการขอความยินยอมจากเจ้าของข้อมูล (Consent) การจัดเก็บและบริหารจัดการข้อมูลและต้องมีแผนว่าจะจัดเก็บข้อมูลในอนาคตอย่างไร

2. ขั้นกลางน้ำ  องค์กรควรวางแผนในการจัดทำธรรมาภิบาลข้อมูล (Data Governance)  ตั้งแต่การจำแนกข้อมูล (Data Classification) ไปจนถึงการกำหนดมาตรการในการปกป้องข้อมูลต่างๆ การวางแผนและการคัดเลือกเครื่องมือในการปกป้องข้อมูล เช่น เครื่องมือในการทำ Data Masking (การปกปิดข้อมูลส่วนบุคคลบางอย่างที่ปรากฏอยู่ในฐานข้อมูล) Data Encryption  (การรักษาความปลอดภัยด้านข้อมูลผ่านการเข้ารหัสข้อมูล) เป็นต้น รวมทั้งการวางแผนวางระบบไอทีที่ต้องสอดคล้องกับ พ.ร.บ.คุ้มครองส่วนบุคคล

3. ขั้นปลายน้ำ  องค์กรควรมีทีมงานเฉพาะกิจในการวางแผนและบริหารจัดการ เพื่อผลักดันให้การปฏิบัติตามกฎหมาย (Implementation) เป็นไปอย่างถูกต้องและมีประสิทธิภาพ โดยคณะทำงานนี้ควรเป็นมาจากตัวแทนที่เหมาะสมจากแต่ละฝ่ายงานที่เกี่ยวข้อง เพื่อให้มั่นใจได้ว่าการบริหารจัดการข้อมูลสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลรวมทั้งเป็นไปตามเป้าหมายเชิงยุทธศาสตร์ได้   

องค์กรธุรกิจจะต้องเตรียมความพร้อมเพื่อรับมือกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยต้องประเมินทั้งในเชิงนโยบาย กระบวนการทำงานและเทคโนโลยีขององค์กร ดำเนินการให้สอดคล้องกับกฎหมายเพื่อสร้างความน่าเชื่อถือขององค์กรและแบรนด์ในอนาคต

สมัครสินเชื่อ >>สินเชื่อธุรกิจบัวหลวง SMEs ดีแน่นอน<< 

6 กฎหมายดิจิทัลที่ผู้ค้าออนไลน์ต้องเตรียมรับมือ

ธุรกิจเตรียมพร้อมรับมือ กฏหมายคุ้มครองข้อมูลส่วนบุคคล