5 สิ่งที่ผู้ประกอบการควรรู้ เก็บรักษาข้อมูลส่วนบุคคลอย่างไร ? ให้ถูกต้องตามหลัก PDPA

August 22, 2022

5 สิ่งที่ผู้ประกอบการควรรู้ เก็บรักษาข้อมูลส่วนบุคคลอย่างไร ? ให้ถูกต้องตามหลัก PDPA

การเก็บรักษาข้อมูลส่วนบุคคลของผู้ใช้งานให้ปลอดภัย นับเป็นสิ่งที่องค์กรควรให้ความสำคัญอย่างยิ่ง เพื่อป้องกันไม่ให้ข้อมูลเกิดการรั่วไหล ที่อาจสร้างความเสียหายทั้งต่อผู้ใช้งานและองค์กรตามมาในภายหลัง โดยองค์กรที่มีการเก็บข้อมูลส่วนบุคคลนั้น จำเป็นจะต้องมีมาตรการในการเก็บรักษาและคุ้มครองข้อมูลส่วนบุคคลที่ครอบคลุม และศึกษารายละเอียดของการจัดเก็บข้อมูลที่ชัดเจน เพื่อให้การเก็บรักษาข้อมูลส่วนบุคคลมีประสิทธิภาพมากที่สุด

โดยในบทความนี้ PDPA Core จะพาทุกคนไปทำความเข้าใจถึงขั้นตอนการดูแลรักษาข้อมูลส่วนบุคคล พร้อมทั้งบอกสิ่งที่ผู้ประกอบการควรรู้ เพื่อปรับองค์กรให้พร้อมต่อการเก็บรักษาข้อมูลส่วนบุคคลตามหลัก PDPA ส่วนจะมีขั้นตอนอย่างไรบ้างนั้นต้องติดตาม

การเก็บรักษาข้อมูล คือ อะไร ?

สำหรับการเก็บรักษาข้อมูลที่จะกล่าวถึงในที่นี้ เป็นการเก็บรักษาข้อมูลส่วนบุคคลที่สามารถระบุถึงตัวเจ้าของข้อมูลได้ ไม่ว่าจะเป็นรูปแบบออนไลน์หรือออฟไลน์ก็ตาม ซึ่งการเก็บรักษาข้อมูลนั้น จำเป็นที่จะต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ให้ครบถ้วน

โดยองค์กรจำเป็นที่จะต้องเตรียมความพร้อมในด้านต่าง ๆ เพื่อไม่ให้เกิดผลกระทบต่อทั้งตัวบริษัทและผู้ใช้งานที่ถูกจัดเก็บข้อมูลส่วนบุคคล รวมถึงจะต้องมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลส่วนบุคคลให้กับเจ้าของข้อมูลทราบและยินยอม โดยจะต้องเก็บข้อมูลเท่าที่จำเป็น มีการทำลายเมื่อครบกำหนดระยะเวลา อีกทั้งต้องเก็บข้อมูลส่วนบุคคลจากเจ้าของข้อมูลเท่านั้น ไม่สามารถรวบรวมจากแหล่งอื่นได้

นอกจากนี้การเก็บรักษาข้อมูลส่วนบุคคล จำเป็นจะต้องมีนโยบายที่ชัดเจน เพื่อสร้างความมั่นใจให้กับเจ้าของข้อมูลส่วนบุคคลว่า ข้อมูลเหล่านั้นจะไม่ถูกนำไปใช้เกินกว่าที่ได้มีการแจ้งให้ทราบและให้ความยินยอมเอาไว้

การเก็บรักษาข้อมูลส่วนบุคคล ควรจะต้องเตรียมตัวอย่างไรบ้าง

จัดตั้งทีมที่สามารถช่วยพัฒนานโยบายการเก็บรักษาข้อมูลส่วนบุคคลให้มีประสิทธิภาพ

การจัดตั้งทีมเพื่อพัฒนานโยบายการเก็บรักษาข้อมูลส่วนบุคคล เป็นสิ่งที่มีความสำคัญมากต่อองค์กร เพราะนอกเหนือจากนักกฎหมายแล้ว ทีมที่มีหน้าที่รับผิดชอบและเกี่ยวข้องกับข้อมูลภายในองค์กรโดยเฉพาะข้อมูลส่วนบุคคล จะสามารถช่วยในการจัดเก็บข้อมูลจากแผนกต่าง ๆ ให้เกิดประสิทธิภาพมากที่สุด ทั้งแผนกทรัพยากรมนุษย์ ฝ่ายขาย การตลาด บัญชี ไปจนถึงแผนกอื่น ๆ ที่เกี่ยวข้องกับข้อมูล เพื่อช่วยในการพัฒนานโยบายเกิดความครอบคลุมมากที่สุด

ร่างเกณฑ์ในการบังคับตามแนวทางของ PDPA

หลังจากที่มีการพัฒนานโยบายการเก็บรักษาข้อมูลส่วนบุคคลแล้ว สิ่งต่อมาที่จำเป็นจะต้องพิจารณาก็คือ การปฏิบัติตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่มีการกำหนดกฎระเบียบและข้อบังคับเกี่ยวกับการเก็บรักษาข้อมูลนั้น ทั้งเรื่องระยะเวลาในการเก็บรักษาข้อมูล การลบหรือทำลายข้อมูลตามกำหนดระยะเวลา และถ้าหากมีกิจกรรมในประเทศอื่น หรือมีการประมวลผลข้อมูลของชาวต่างชาติ ก็จำเป็นที่จะต้องศึกษาและดำเนินการตามข้อบังคับของแต่ละประเทศให้เหมาะสมด้วยเช่นกัน

กำหนดระยะเวลาในการเก็บข้อมูล

การกำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลนั้น ขึ้นอยู่กับนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของแต่ละองค์กร เนื่องจากแต่ละที่จะมีนโยบายที่แตกต่างกันออกไป ไม่ว่าจะเป็นข้อมูลส่วนบุคคลหรือข้อมูลที่มีความอ่อนไหวก็ตาม ซึ่งข้อกำหนดนั้น จำเป็นจะต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลอย่างรัดกุม เพื่อป้องกันไม่ให้เกิดปัญหาทางกฎหมายตามมาในภายหลัง

แจกแจงประเภทข้อมูลที่คุ้มครองภายใต้นโยบาย

ก่อนที่จะเริ่มเขียนและกำหนดวัตถุประสงค์ของการจัดเก็บข้อมูลส่วนบุคคล ต้องมีการแจกแจงและคัดเลือกข้อมูลว่า มีข้อมูลใดบ้างที่เข้าข่ายเป็นข้อมูลส่วนบุคคลและต้องเก็บรักษา เพื่อนำไประบุถึงรายละเอียดและวัตถุประสงค์ของการจัดเก็บข้อมูลส่วนบุคคลนั้น ๆ

เขียนรายละเอียดและวัตถุประสงค์ให้ชัดเจน

การเขียนรายละเอียดและวัตถุประสงค์ของการเก็บรักษาข้อมูลให้ออกมาอย่างชัดเจนประกอบด้วย

  • วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลที่เกี่ยวกับการเก็บรักษาข้อมูล
  • การศึกษาข้อกฎหมายต่าง ๆ ที่เกี่ยวข้องเพื่อนำมาปรับใช้ให้เหมาะสม
  • ระยะเวลาในการเก็บรักษาข้อมูล และกำหนดระยะเวลาในการลบหรือทำลายข้อมูล
  • การวางแผนเพื่อป้องกันการดำเนินคดีทางกฎหมาย
  • การปรับปรุงนโยบายการเก็บรักษาข้อมูลให้มีความทันสมัยอยู่ตลอดเวลา
  • แจ้งให้เจ้าของข้อมูลทราบ


จะเห็นได้ว่าการเตรียมความพร้อมในการเก็บรักษาข้อมูลส่วนบุคคล ประกอบไปด้วยขั้นตอนทางกฎหมายที่มีความซับซ้อน โดยเฉพาะการจัดทำนโยบายการเก็บรักษาข้อมูล ซึ่งในแต่ละองค์กรอาจมีรายละเอียดเชิงนโยบายที่ไม่เหมือนกัน ตามลักษณะของธุรกิจและวิธีการเก็บรักษาข้อมูลภายในที่แตกต่างกันไป

สำหรับผู้ประกอบท่านใดที่มีข้อสงสัยว่า นโยบายการเก็บรักษาข้อมูลส่วนบุคคลที่องค์กรได้จัดทำสอดคล้องกับหลักกฎหมาย PDPA หรือไม่ และกำลังมองหาที่ปรึกษาทางกฎหมายผู้ให้บริการด้าน PDPA อย่างครบวงจร PDPA Core มาพร้อมกับ PDPA Advisory บริการให้คำปรึกษาด้าน PDPA กับทีมนักกฏหมายผู้เชี่ยวชาญ ที่จะให้ PDPA Consulting เป็นการส่วนตัว หากสนใจเข้ารับบริการสามารถติดต่อได้ที่ PDPA Core

    ให้คำปรึกษาและดำเนินการ

    ให้ธุรกิจของคุณ สอดคล้องกับ PDPA

    ดูข้อมูลเพิ่มเติม

    บทความที่เกี่ยวข้อง


    บริษัท เดต้า ว้าว จำกัด

    1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย

    โทร: 02-024-5560

    sales@datawow.io

    ISO