5 สิ่งที่ผู้ประกอบการควรรู้ เก็บรักษาข้อมูลส่วนบุคคลอย่างไร ? ให้ถูกต้องตามหลัก PDPA

August 21, 2022

5 สิ่งที่ผู้ประกอบการควรรู้ เก็บรักษาข้อมูลส่วนบุคคลอย่างไร ? ให้ถูกต้องตามหลัก PDPA

การเก็บรักษาข้อมูลส่วนบุคคลของผู้ใช้งานให้ปลอดภัย นับเป็นสิ่งที่องค์กรควรให้ความสำคัญอย่างยิ่ง เพื่อป้องกันไม่ให้ข้อมูลเกิดการรั่วไหล ที่อาจสร้างความเสียหายทั้งต่อผู้ใช้งานและองค์กรตามมาในภายหลัง โดยองค์กรที่มีการเก็บข้อมูลส่วนบุคคลนั้น จำเป็นจะต้องมีมาตรการในการเก็บรักษาและคุ้มครองข้อมูลส่วนบุคคลที่ครอบคลุม และศึกษารายละเอียดของการจัดเก็บข้อมูลที่ชัดเจน เพื่อให้การเก็บรักษาข้อมูลส่วนบุคคลมีประสิทธิภาพมากที่สุด

โดยในบทความนี้ PDPA Core จะพาทุกคนไปทำความเข้าใจถึงขั้นตอนการดูแลรักษาข้อมูลส่วนบุคคล พร้อมทั้งบอกสิ่งที่ผู้ประกอบการควรรู้ เพื่อปรับองค์กรให้พร้อมต่อการเก็บรักษาข้อมูลส่วนบุคคลตามหลัก PDPA ส่วนจะมีขั้นตอนอย่างไรบ้างนั้นต้องติดตาม

การเก็บรักษาข้อมูล คือ อะไร ?

สำหรับการเก็บรักษาข้อมูลที่จะกล่าวถึงในที่นี้ เป็นการเก็บรักษาข้อมูลส่วนบุคคลที่สามารถระบุถึงตัวเจ้าของข้อมูลได้ ไม่ว่าจะเป็นรูปแบบออนไลน์หรือออฟไลน์ก็ตาม ซึ่งการเก็บรักษาข้อมูลนั้น จำเป็นที่จะต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ให้ครบถ้วน

โดยองค์กรจำเป็นที่จะต้องเตรียมความพร้อมในด้านต่าง ๆ เพื่อไม่ให้เกิดผลกระทบต่อทั้งตัวบริษัทและผู้ใช้งานที่ถูกจัดเก็บข้อมูลส่วนบุคคล รวมถึงจะต้องมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคลให้กับเจ้าของข้อมูลทราบและยินยอม โดยจะต้องเก็บข้อมูลเท่าที่จำเป็น มีการทำลายเมื่อครบกำหนดระยะเวลา อีกทั้งต้องเก็บข้อมูลส่วนบุคคลจากเจ้าของข้อมูลเท่านั้น ไม่สามารถรวบรวมจากแหล่งอื่นได้

นอกจากนี้การเก็บรักษาข้อมูลส่วนบุคคล จำเป็นจะต้องมีนโยบายที่ชัดเจน เพื่อสร้างความมั่นใจให้กับเจ้าของข้อมูลส่วนบุคคลว่า ข้อมูลเหล่านั้นจะไม่ถูกนำไปใช้เกินกว่าที่ได้มีการแจ้งให้ทราบและให้ความยินยอมเอาไว้

การเก็บรักษาข้อมูลส่วนบุคคล ควรจะต้องเตรียมตัวอย่างไรบ้าง

จัดตั้งทีมที่สามารถช่วยพัฒนานโยบายการเก็บรักษาข้อมูลส่วนบุคคลให้มีประสิทธิภาพ

การจัดตั้งทีมเพื่อพัฒนานโยบายการเก็บรักษาข้อมูลส่วนบุคคล เป็นสิ่งที่มีความสำคัญมากต่อองค์กร เพราะนอกเหนือจากนักกฎหมายแล้ว ทีมที่มีหน้าที่รับผิดชอบและเกี่ยวข้องกับข้อมูลภายในองค์กรโดยเฉพาะข้อมูลส่วนบุคคล จะสามารถช่วยในการจัดเก็บข้อมูลจากแผนกต่าง ๆ ให้เกิดประสิทธิภาพมากที่สุด ทั้งแผนกทรัพยากรมนุษย์ ฝ่ายขาย การตลาด บัญชี ไปจนถึงแผนกอื่น ๆ ที่เกี่ยวข้องกับข้อมูล เพื่อช่วยในการพัฒนานโยบายเกิดความครอบคลุมมากที่สุด

ร่างเกณฑ์ในการบังคับตามแนวทางของ PDPA

หลังจากที่มีการพัฒนานโยบายการเก็บรักษาข้อมูลส่วนบุคคลแล้ว สิ่งต่อมาที่จำเป็นจะต้องพิจารณาก็คือ การปฏิบัติตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่มีการกำหนดกฎระเบียบและข้อบังคับเกี่ยวกับการเก็บรักษาข้อมูลนั้น ทั้งเรื่องระยะเวลาในการเก็บรักษาข้อมูล การลบหรือทำลายข้อมูลตามกำหนดระยะเวลา และถ้าหากมีกิจกรรมในประเทศอื่น หรือมีการประมวลผลข้อมูลของชาวต่างชาติ ก็จำเป็นที่จะต้องศึกษาและดำเนินการตามข้อบังคับของแต่ละประเทศให้เหมาะสมด้วยเช่นกัน

กำหนดระยะเวลาในการเก็บข้อมูล

การกำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลนั้น ขึ้นอยู่กับนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของแต่ละองค์กร เนื่องจากแต่ละที่จะมีนโยบายที่แตกต่างกันออกไป ไม่ว่าจะเป็นข้อมูลส่วนบุคคลหรือข้อมูลที่มีความอ่อนไหวก็ตาม ซึ่งข้อกำหนดนั้น จำเป็นจะต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลอย่างรัดกุม เพื่อป้องกันไม่ให้เกิดปัญหาทางกฎหมายตามมาในภายหลัง

แจกแจงประเภทข้อมูลที่คุ้มครองภายใต้นโยบาย

ก่อนที่จะเริ่มเขียนและกำหนดวัตถุประสงค์ของการจัดเก็บข้อมูลส่วนบุคคล ต้องมีการแจกแจงและคัดเลือกข้อมูลว่า มีข้อมูลใดบ้างที่เข้าข่ายเป็นข้อมูลส่วนบุคคลและต้องเก็บรักษา เพื่อนำไประบุถึงรายละเอียดและวัตถุประสงค์ของการจัดเก็บข้อมูลส่วนบุคคลนั้น ๆ

เขียนรายละเอียดและวัตถุประสงค์ให้ชัดเจน

การเขียนรายละเอียดและวัตถุประสงค์ของการเก็บรักษาข้อมูลให้ออกมาอย่างชัดเจนประกอบด้วย

  • วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลที่เกี่ยวกับการเก็บรักษาข้อมูล
  • การศึกษาข้อกฎหมายต่าง ๆ ที่เกี่ยวข้องเพื่อนำมาปรับใช้ให้เหมาะสม
  • ระยะเวลาในการเก็บรักษาข้อมูล และกำหนดระยะเวลาในการลบหรือทำลายข้อมูล
  • การวางแผนเพื่อป้องกันการดำเนินคดีทางกฎหมาย
  • การปรับปรุงนโยบายการเก็บรักษาข้อมูลให้มีความทันสมัยอยู่ตลอดเวลา
  • แจ้งให้เจ้าของข้อมูลทราบ


จะเห็นได้ว่าการเตรียมความพร้อมในการเก็บรักษาข้อมูลส่วนบุคคล ประกอบไปด้วยขั้นตอนทางกฎหมายที่มีความซับซ้อน โดยเฉพาะการจัดทำนโยบายการเก็บรักษาข้อมูล ซึ่งในแต่ละองค์กรอาจมีรายละเอียดเชิงนโยบายที่ไม่เหมือนกัน ตามลักษณะของธุรกิจและวิธีการเก็บรักษาข้อมูลภายในที่แตกต่างกันไป

สำหรับผู้ประกอบท่านใดที่มีข้อสงสัยว่า นโยบายการเก็บรักษาข้อมูลส่วนบุคคลที่องค์กรได้จัดทำสอดคล้องกับหลักกฎหมาย PDPA หรือไม่ และกำลังมองหาที่ปรึกษาทางกฎหมายผู้ให้บริการด้าน PDPA อย่างครบวงจร PDPA Core มาพร้อมกับ PDPA Advisory บริการให้คำปรึกษาด้าน PDPA กับทีมนักกฏหมายผู้เชี่ยวชาญ ที่จะให้ PDPA Consulting เป็นการส่วนตัว หากสนใจเข้ารับบริการสามารถติดต่อได้ที่ PDPA Core

  • PDPA Implementation
  • PDPA Advisory
  • Data Collection
  • Business

ให้คำปรึกษาและดำเนินการ

ให้ธุรกิจของคุณ สอดคล้องกับ PDPA

ดูข้อมูลเพิ่มเติม

บทความที่เกี่ยวข้อง


บริษัท เดต้า ว้าว จำกัด

1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย

โทร: 02-024-5560

sales@datawow.io

ISO