PDPA One-pager

PDPA One-pager

กฎหมายใหม่ รายละเอียดมากมาย องค์กรจะต้องทำอะไรบ้าง ให้ทัน 1 มิ.ย. 65 สรุปไว้(เกือบ)ทั้งหมด จบในหน้าเดียว

ที่มา

หลังจากที่มีการเลื่อนการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 
(Personal Data Protection Act) เพื่อให้องค์กรต่าง ๆ ที่มีการประมวลผลข้อมูลส่วนบุคคล มีเวลาเตรียมกระบวนการทำงานในองค์กรให้พร้อม ก่อนที่กฎหมายจะมีผลบังคับใช้ทั้งฉบับ วันที่ 1 มิถุนายน 2565 นี้

เป็นที่แน่นอนว่า องค์กรต้องให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล แต่ก็ปฏิเสธไม่ได้ว่า พ.ร.บ.นี้ มีรายละเอียดที่ต้องศึกษาไม่น้อยเลย โดย PDPA มีถึง 96 มาตรา และยังมีประกาศที่จะตามมารวมถึงกฎหมายอื่นที่เกี่ยวข้องอีก

คณะแพทยศาสตร์ศิริราชพยาบาล ก็เป็นองค์กรหนึ่งที่จะต้องดำเนินการตาม PDPA เพื่อให้การทำงานตามกฎหมายนี้ที่ศิริราช เป็นระเบียบ สื่อสาร ถ่ายทอดได้เข้าใจตรงกัน ทีม SiData+ จึงได้ทำการศึกษาและสรุปการทำงานเกือบทั้งหมดไว้ใน 1 หน้า

Privacy Program Framework

เนื่องจากว่า Data Privacy เป็นประเด็นที่ได้รับความสนใจในระดับสากล หลาย ๆ ประเทศมีกฎหมายบังคับใช้แล้ว จึงมีต้นแบบการจัดการ Data Privacy Programs/Standards ให้เรานำมาเป็นตัวอย่างการ implement ในองค์กรได้ เช่น

ซึ่งศิริราชเลือกใช้ IAPP CIPM Privacy Program Framework มาเป็นแนวทางใน implement PDPA ขององค์กร ซึ่งแบ่งออกเป็น 4 Phases กิจกรรม ดังนี้

  1. Assess: ประเมินสถานะ
  2. Protect: ปฏิบัติงานคุ้มครอง
  3. Sustain: สร้างความต่อเนื่อง
  4. Respond: จัดการและตอบสนอง

อ่านภาพสรุปนี้อย่างไร

pdpa-one-pager-v.2.2.0 Download Full Size Image

อาจจะเริ่มจากด้านซ้ายบน ลงล่าง ไปขวา ขึ้นบน

ทางด้านซ้าย ยกตัวอย่าง กลุ่มเจ้าของข้อมูลส่วนบุคคล (Data Subject Types) ซึ่งข้อมูลของแต่ละกลุ่มก็อาจจะอยู่ใน Data Formats ต่าง ๆ เมื่อนำมาประกอบกันจึงเป็นข้อมูลส่วนบุคคล (Personal Data)

การพิจารณาตามกฎหมาย (Unit of Analysis) ให้นำ Data และวัตถุประสงค์การใช้ Data นั้น (Purpose) มาพิจารณาประกอบกัน ซึ่ง 1 ชุด Data อาจมีหลาย Purposes ก็พิจารณาเป็น Unit of Analysis แยกกัน

แน่นอนว่า เมื่อมีการนำ Data มาประมวลผลในองค์กร ก็จะต้องมีการจัดการความปลอดภัย (Security Measures) ตามพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 เปรียบเสมือนรั้วขององค์กร

กลับมาที่ Unit of Analysis องค์กรก็จะต้องพิจารณากฎหมายที่เกี่ยวข้อง และฐานทางกฎหมาย (Lawful Bases) 7 ฐาน ที่ PDPA ให้ใช้ในการประมวลผลข้อมูล เปรียบเสมือนฐานของบ้าน ก่อนจะทำนำข้อมูลไปใช้ได้

มาที่ชั้นล่างของบ้าน สรุปกิจกรรมที่องค์กรต้องทำ 4 หมวดตาม IAPP CIPM Privacy Program Framework ซึ่งจะมีรายการกิจกรรมย่อย ๆ ที่องค์กรต้องจัดให้มี ตามที่กฎหมายกำหนดไว้ ถ้าหากองค์กรไม่ทำก็อาจได้รับโทษทางปกครอง ทางอาญา ทางแพ่ง ได้

ขึ้นที่ชั้นบนของบ้าน สรุปกิจกรรมที่คนในองค์กรและผู้ใดที่ได้รับมอบหมายให้ประมวลผลข้อมูลขององค์กร จะต้องทำตาม Data Life Cycle 5 ระยะ ตั้งแต่ เก็บรวบรวม จนถึง ทำลาย

การจะทำให้เกิด Operational Compliance ในองค์กรได้ก็จะต้องมีการกำหนดนโยบาย โครสร้างการบริหารจัดการ (Governance Structure) และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) หากองค์กรเข้าเงื่อนไขตามกฎหมาย

หลักการที่สำคัญที่ต้องคำนึงถึงเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Data Protection/Privacy Principles) มีอยู่ 7 ประการ ที่มีต้นแบบมาจาก GDPR ตามที่ปรากฎในหลังคาบ้าน

และสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights) ตามที่ปรากฎในกระดาษทางด้านขวาสุดของภาพ

Version มีมาตรากฎหมายประกอบ

pdpa-one-pager-v.2.2.0-with-articles Download Full Size Image

แถมอีก 1 version ระบุมาตราตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 
(Personal Data Protection Act) ใช้สำหรับอ้างอิงและอ่านรายละเอียดเพิ่มเติมได้

หวังว่าสรุปนี้จะเป็นประโยชน์ในการเตรียมความพร้อม PDPA ในองค์กรของท่านนะครับ 😄