เพราะอะไร ? ธุรกิจควรเตรียมความพร้อม PDPA กับนักกฎหมายผู้เชี่ยวชาญ

สิ่งที่จำเป็นกับองค์กรก่อนที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยหรือ PDPA ที่จะเริ่มบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 นี้ คือการเตรียมความพร้อม PDPA ทั้งการเตรียมนโยบายและวางมาตรการควบคุมเพื่อคุ้มครองข้อมูลส่วนบุคคลทั้งของลูกค้าและพนักงาน ถือว่าเป็นการเตรียมพร้อมทั้งบุคลากร การป้องกันข้อมูลที่องค์กรดูแลรั่วไหล ลดความเสี่ยงการกระทำผิดตามกฎหมาย PDPA ที่มีทั้งการเสียเงินชดใช้ค่าเสียหาย โทษปรับ โทษทางอาญาและโทษทางปกครอง นับได้ว่าองค์กรไหนพร้อมกว่า ถือว่าได้เปรียบกว่าองค์กรอื่น

เตรียมความพร้อม PDPA ฉบับมือโปร

นอกจากการกำหนดนโยบายองค์กรให้สอดคล้องกับกฎหมายแล้ว กฎหมาย PDPA กำหนดว่าเมื่อองค์กรได้ข้อมูลส่วนบุคคลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสมด้วย เพื่อให้ข้อมูลถูกเก็บรวบรวมไว้อย่างปลอดภัย และยังต้องมีการประเมินผลเกี่ยวกับข้อมูลส่วนบุคคล ทั้งลักษณะการเดินทาง จำนวนปริมาณของข้อมูลส่วนบุคคล รวมถึงให้เจ้าของข้อมูลมีสิทธิที่จะเข้าถึง แก้ไข ลบ จำกัดการประมวลผล ถ่ายโอน ไปจนถึงทำลายข้อมูล รวมถึงการขอให้องค์กรเปิดเผยถึงการได้มาของข้อมูลส่วนบุคคล และมีสิทธิที่จะปฏิเสธการใช้ข้อมูลนั้นได้

Checklist PDPA ช่วยเตรียมความพร้อม PDPA

ขั้นตอนสำคัญที่องค์กรต้องมีเพื่อเตรียมความพร้อม PDPA มีดังนี้

1. ตรวจสอบว่าองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลอะไรบ้าง
2. จัดทำบันทึกรายละเอียดการจัดเก็บข้อมูล ว่ามีวัตถุประสงค์เพื่ออะไร และมีใครที่เกี่ยวข้องบ้าง
3. จัดทำเอกสารทางกฎหมายเพื่อลดความเสี่ยงในการเกิดข้อพิพาทจากการไม่ปฏิบัติให้เป็นไปตาม PDPA เช่น การจัดทำ Privacy Policy หรือการแจ้งขอ Consent ผ่าน Privacy Notice ด้วยแบบฟอร์มการขอใช้สิทธิ เป็นต้น
4. บริหารจัดการข้อมูลภายในองค์กร โดยวางระบบจัดการและขั้นตอนการใช้ข้อมูลส่วนบุคคลภายในองค์กร
5. สร้างความตระหนักและความรู้ให้บุคลากรภายในองค์กร
6. แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO

การจัดทำ PDPA ให้สอดคล้องตามกฎหมายในปัจจุบันก็มีตัวช่วยเพื่อเตรียมความพร้อม PDPA ในหลายรูปแบบ ไม่ว่าจะเป็น Compliance Tool โปรแกรมสำเร็จรูป หรือ Checklist ต่างๆ ซึ่งก็ถือว่าเป็นวิธีที่สะดวก รวดเร็ว ใช้งานง่าย แต่การได้ผู้เชี่ยวชาญอย่างนักกฎหมายมาช่วยจัดทำ PDPA ด้วย จะช่วยให้องค์กรได้ประโยชน์มากขึ้น มีนโยบายสอดคล้องกับ PDPA สามารถให้คำแนะนำ แก้ไขได้ตรงประเด็น ประหยัดเวลา ครบจบในคราวเดียว

การทำ PDPA กับนักกฎหมายดีอย่างไร?

การทำ PDPA ตาม Checklist เป็นสิ่งที่ดี และสะดวกกับองค์กร แต่หากมองลึกลงไปในรายละเอียดของเนื้อหาแล้ว พบว่าการปฏิบัติตาม Checklist อาจทำให้องค์กรยังปฏิบัติไม่สอดคล้องกับกฎหมาย PDPA ในบางประเด็น และในบางกรณี การดำเนินการกับข้อมูลส่วนบุคคลสามารถใช้ฐานกฎหมายอื่นได้ โดยไม่จำเป็นต้องขอ Consent จากเจ้าของข้อมูลตาม Checklist ทุกครั้ง

1. วิเคราะห์ตามฐานกฎหมาย ลงลึกถึงรายละเอียดการใช้ข้อมูล

นักกฎหมายสามารถวิเคราะห์การใช้ข้อมูลส่วนบุคคลตามฐานกฎหมายได้ โดยความยินยอม (Consent) ถือว่าเป็นหัวใจสำคัญสำหรับการจัดเก็บข้อมูลส่วนบุคคล ตัวอย่างที่เห็นได้ชัดคือการจัดเก็บข้อมูลส่วนบุคคลเพื่อทำการตลาด

ก่อนที่จะเริ่มเก็บข้อมูลส่วนบุคคลจากบุคคลในองค์กรหรือขององค์กรเอง องค์กรจะต้องแจ้งรายละเอียดการเก็บข้อมูลและวัตถุประสงค์เพื่อขอความยินยอมโดยชัดแจ้งก่อน ถึงจะเริ่มทำการตลาดได้ และเมื่อได้รับ Consent ในครั้งแรกแล้ว ถ้าจะทำการตลาดในคราวต่อๆ ไป โดยใช้ข้อมูลชุดเดียวกันเพื่อวัตถุประสงค์เดียวกันตามที่ขอ Consent ไปตอนแรก องค์กรก็ไม่จำเป็นต้องขอ Consent อีก แต่อาศัยฐานผลประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) แทนได้ เพื่อใช้ข้อมูลนั้นทำการตลาดต่อไปได้เลย แต่ในกรณีที่องค์กรต้องการใช้ข้อมูลชุดเดียวกัน แต่ใช้เพื่อวัตถุประสงค์อื่น การขอ Consent ก็จะต้องขอแยกกับการขอใช้ข้อมูลตามวัตถุประสงค์หลักให้ชัดเจน

2. จัดทำ Gap Analysis ตามความเหมาะสมกับธุรกิจให้สอดคล้องกับ PDPA

นักกฎหมายจะช่วยองค์กรวิเคราะห์การดำเนินธุรกิจให้สอดคล้องและถูกต้องตามกฎหมาย PDPA​ ซึ่งจะช่วยวิเคราะห์โครงสร้างและกระบวนการภายในของบริษัทที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคลทั้งหมด ด้วยการจัดทำ Gap Analysis เพื่อพิจารณาช่องว่างกับข้อกฎหมายอย่างละเอียด ลงลึกถึงเนื้อหา พิจารณารอบด้านทั้งด้าน PDPA Compliance และ Business Transaction ของลูกค้า

3. Training อย่างถูกต้อง ตรงกับประเภทธุรกิจ

การเสริมสร้างความรู้เบื้องต้น PDPA ให้กับพนักงานในองค์กรกับนักฎหมาย จะครอบคลุมตามความต้องการกับลักษณะธุรกิจของลูกค้า สามารถให้คำแนะนำเกี่ยวกับแนวปฏิบัติและข้อสงสัยต่างๆ รวมถึงการสร้าง Awareness ให้กับผู้บริหารและพนักงาน และจดทำบันทึกหลักฐานในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะช่วยลดความเสี่ยงจาก Human Error ในกระบวนการทำงานที่จะนำไปสู่การละเมิดข้อมูลส่วนบุคคล

4. ให้คำปรึกษาตลอดการจัดทำ PDPA

สามารถให้คำปรึกษาเป็นการส่วนตัว เหมาะสำหรับธุรกิจที่ยังต้องการคำแนะนำเกี่ยวกับแนวปฏิบัติเพิ่มจากผู้เชี่ยวชาญตามความต้องการและวัตถุประสงค์ของธุรกิจ รวมถึงงบประมาณที่แตกต่างของแต่ละบริษัท นักกฎหมายจะช่วยสร้างความเข้าใจและแนะแนวทางในการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอย่างละเอียด รวมทั้งช่วยสร้างความมั่นใจว่าองค์กรปฏิบัติถูกต้องตามข้อกฎหมายในปัจจุบัน อีกทั้งยังมีข้อดีคือ ช่วยลดการต้องเสียค่าใช้จ่ายซ้ำซ้อนหากไม่ผ่านการตรวจสอบ PDPA

เตรียมความพร้อม PDPA กับบริการจากนักกฎหมายที่เชี่ยวชาญ

ภาคธุรกิจสามารถเลือกใช้บริการที่หลากหลายโดยทีมนักกฎหมายที่มีประสบการณ์ทางภาคธุรกิจ เพื่อให้สามารถเลือกสิ่งที่เหมาะสมตามความต้องการที่แตกต่างตามวัตถุประสงค์ของธุรกิจและงบประมาณ โดยไม่จำเป็นต้องเสียค่าใช้จ่ายส่วนเกินเพิ่มเติม

บริการ PDPA Implementation โดยผู้เชี่ยวชาญเฉพาะด้านกฎหมายมากประสบการณ์ที่ช่วยองค์กรวิเคราะห์การดำเนินธุรกิจให้สอดคล้องและถูกต้องตามกฎหมาย PDPA​ ซึ่งจะช่วยวิเคราะห์โครงสร้างและกระบวนการภายในของบริษัทที่เกี่ยวกับการจัดการข้อมูลส่วนบุคคลทั้งหมด ด้วยวิธีการที่สอดคล้องกับกฎหมาย ด้วยการจัดทำ Gap Analysis เอกสารทางกฎหมาย บันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing หรือ ROP) Data Mapping เพื่อประเมินช่องว่างทางกฎหมาย พร้อมให้คำแนะนำในการปฏิบัติตามข้อกำหนดของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล อย่างใกล้ชิด โดยนักกฎหมายทุกขั้นตอน

นอกจากบริการจากนักกฎหมายแล้ว PDPA Core ยังมีตัวช่วยอย่าง Software พร้อมรับบริการ Cookie Consent Management และ DSAR Management ที่ช่วยดำเนินการข้อมูลส่วนบุคคลของภาคธุรกิจให้สอดคล้องกับกฎหมาย PDPA หากคุณกำลังมองหาผู้ช่วยในการจัดการองค์กรและธุรกิจให้ดำเนินสอดคล้องตามหลัก PDPA อย่างถูกต้อง PDPA Core พร้อมดูแลธุรกิจของคุณอย่างมืออาชีพแบบครบวงจรโดยนักกฎหมายผู้เชี่ยวชาญ พร้อมเครื่องมือและซอฟต์แวร์ด้าน PDPA ครบครัน ที่จะช่วยให้องค์กรประหยัดทั้งทรัพยากรบุคคลและเวลา จึงมั่นใจได้ว่าองค์กรของคุณจะปฏิบัติตาม PDPA ได้อย่างถูกต้องแน่นอน