PDPA One-pager
กฎหมายใหม่ รายละเอียดมากมาย องค์กรจะต้องทำอะไรบ้าง ให้ทัน 1 มิ.ย. 65 สรุปไว้(เกือบ)ทั้งหมด จบในหน้าเดียว
ที่มา
หลังจากที่มีการเลื่อนการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act) เพื่อให้องค์กรต่าง ๆ ที่มีการประมวลผลข้อมูลส่วนบุคคล มีเวลาเตรียมกระบวนการทำงานในองค์กรให้พร้อม ก่อนที่กฎหมายจะมีผลบังคับใช้ทั้งฉบับ วันที่ 1 มิถุนายน 2565 นี้
เป็นที่แน่นอนว่า องค์กรต้องให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล แต่ก็ปฏิเสธไม่ได้ว่า พ.ร.บ.นี้ มีรายละเอียดที่ต้องศึกษาไม่น้อยเลย โดย PDPA มีถึง 96 มาตรา และยังมีประกาศที่จะตามมารวมถึงกฎหมายอื่นที่เกี่ยวข้องอีก
คณะแพทยศาสตร์ศิริราชพยาบาล ก็เป็นองค์กรหนึ่งที่จะต้องดำเนินการตาม PDPA เพื่อให้การทำงานตามกฎหมายนี้ที่ศิริราช เป็นระเบียบ สื่อสาร ถ่ายทอดได้เข้าใจตรงกัน ทีม SiData+ จึงได้ทำการศึกษาและสรุปการทำงานเกือบทั้งหมดไว้ใน 1 หน้า
Privacy Program Framework
เนื่องจากว่า Data Privacy เป็นประเด็นที่ได้รับความสนใจในระดับสากล หลาย ๆ ประเทศมีกฎหมายบังคับใช้แล้ว จึงมีต้นแบบการจัดการ Data Privacy Programs/Standards ให้เรานำมาเป็นตัวอย่างการ implement ในองค์กรได้ เช่น
- NIST Privacy Framework และ Crosswalks เปรียบเทียบกับ Frameworks อื่น ๆ
- ISO 27701
- TrustArc Privacy & Data Governance Accountability Framework
- International Association of Privacy Professional (IAPP) Certified Information Privacy Manager (CIPM) Privacy Program Framework
ซึ่งศิริราชเลือกใช้ IAPP CIPM Privacy Program Framework มาเป็นแนวทางใน implement PDPA ขององค์กร ซึ่งแบ่งออกเป็น 4 Phases กิจกรรม ดังนี้
- Assess: ประเมินสถานะ
- Protect: ปฏิบัติงานคุ้มครอง
- Sustain: สร้างความต่อเนื่อง
- Respond: จัดการและตอบสนอง
อ่านภาพสรุปนี้อย่างไร
อาจจะเริ่มจากด้านซ้ายบน ลงล่าง ไปขวา ขึ้นบน
ทางด้านซ้าย ยกตัวอย่าง กลุ่มเจ้าของข้อมูลส่วนบุคคล (Data Subject Types) ซึ่งข้อมูลของแต่ละกลุ่มก็อาจจะอยู่ใน Data Formats ต่าง ๆ เมื่อนำมาประกอบกันจึงเป็นข้อมูลส่วนบุคคล (Personal Data)
การพิจารณาตามกฎหมาย (Unit of Analysis) ให้นำ Data และวัตถุประสงค์การใช้ Data นั้น (Purpose) มาพิจารณาประกอบกัน ซึ่ง 1 ชุด Data อาจมีหลาย Purposes ก็พิจารณาเป็น Unit of Analysis แยกกัน
แน่นอนว่า เมื่อมีการนำ Data มาประมวลผลในองค์กร ก็จะต้องมีการจัดการความปลอดภัย (Security Measures) ตามพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 เปรียบเสมือนรั้วขององค์กร
กลับมาที่ Unit of Analysis องค์กรก็จะต้องพิจารณากฎหมายที่เกี่ยวข้อง และฐานทางกฎหมาย (Lawful Bases) 7 ฐาน ที่ PDPA ให้ใช้ในการประมวลผลข้อมูล เปรียบเสมือนฐานของบ้าน ก่อนจะทำนำข้อมูลไปใช้ได้
มาที่ชั้นล่างของบ้าน สรุปกิจกรรมที่องค์กรต้องทำ 4 หมวดตาม IAPP CIPM Privacy Program Framework ซึ่งจะมีรายการกิจกรรมย่อย ๆ ที่องค์กรต้องจัดให้มี ตามที่กฎหมายกำหนดไว้ ถ้าหากองค์กรไม่ทำก็อาจได้รับโทษทางปกครอง ทางอาญา ทางแพ่ง ได้
ขึ้นที่ชั้นบนของบ้าน สรุปกิจกรรมที่คนในองค์กรและผู้ใดที่ได้รับมอบหมายให้ประมวลผลข้อมูลขององค์กร จะต้องทำตาม Data Life Cycle 5 ระยะ ตั้งแต่ เก็บรวบรวม จนถึง ทำลาย
การจะทำให้เกิด Operational Compliance ในองค์กรได้ก็จะต้องมีการกำหนดนโยบาย โครสร้างการบริหารจัดการ (Governance Structure) และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) หากองค์กรเข้าเงื่อนไขตามกฎหมาย
หลักการที่สำคัญที่ต้องคำนึงถึงเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Data Protection/Privacy Principles) มีอยู่ 7 ประการ ที่มีต้นแบบมาจาก GDPR ตามที่ปรากฎในหลังคาบ้าน
และสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights) ตามที่ปรากฎในกระดาษทางด้านขวาสุดของภาพ
Version มีมาตรากฎหมายประกอบ
แถมอีก 1 version ระบุมาตราตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act) ใช้สำหรับอ้างอิงและอ่านรายละเอียดเพิ่มเติมได้
หวังว่าสรุปนี้จะเป็นประโยชน์ในการเตรียมความพร้อม PDPA ในองค์กรของท่านนะครับ 😄