อัปเดตกฎหมายลูก PDPA: มีการเปลี่ยนแปลงอะไรที่องค์กรต้องปรับตัวบ้าง?

จากที่กฎหมาย PDPA เริ่มบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 นับจนถึงปัจจุบัน (1 เมษายน 2567) ถือเป็นระยะเวลาเกือบ 2 ปีเต็ม ตั้งแต่ปี 2565 ถึงปี 2567 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้ออกประกาศกฎหมายลำดับรองของกฎหมาย PDPA เพิ่มเติมอีกหลายฉบับตามมา เพื่อยกระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพยิ่งขึ้น เรามาดูกันว่ามีอะไรเปลี่ยนแปลง แล้วองค์กรควรต้องปรับตัวอย่างไรบ้าง

เนื้อหาตามประกาศหลัก ๆ ที่สำคัญมีดังนี้

1.) Security Measures of Data Controller: มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล

กำหนดแนวทางปฏิบัติสำหรับผู้ควบคุมข้อมูลส่วนบุคคล ในการจัดทำมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการเข้าถึง แก้ไข หรือทำลายข้อมูลโดยมิชอบ รวมถึงสร้างการตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย ดังนั้นผู้ควบคุมข้อมูลส่วนบุคคลต้องหมั่นทบทวนมาตรการรักษาความมั่นคงปลอดภัย เพื่อที่จะเท่าทันเทคโนโลยีที่เปลี่ยนแปลงอยู่ตลอดเวลาและรักษาความมั่นคงปลอดภัยให้ได้อย่างมีประสิทธิภาพ โดยคำนึงถึงระดับความเสี่ยงตามปัจจัยที่จำเป็นในด้านต่าง ๆ เช่น บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับของหน่วยงาน

2.) Record of Processing Activities (ROPA): บันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA)

กำหนดวิธีการจัดทำและเก็บรักษาบันทึกรายละเอียดเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ในรูปแบบเอกสารเป็นลายลักษณ์อักษร (โดยจัดทำในรูปแบบหนังสือหรือเอกสารอิเล็กทรอนิกส์ก็ได้) และจัดทำภาพรวมของขั้นตอนการประมวลผลข้อมูลส่วนบุคคล แบ่งเนื้อหาออกเป็น 2 ส่วน ได้แก่

2.1 หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล

โดยผู้ประมวลผลข้อมูลส่วนบุคคลตามประกาศฯ ฉบับนี้ ได้แก่ บริษัท ห้างหุ้นส่วนทั้งที่เป็นนิติบุคคลหรือไม่เป็นนิติบุคคล และผู้ประกอบธุรกิจฟรีแลนซ์รายบุคคลที่รับจ้างหรือให้บริการประมวลผลข้อมูลให้ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งประกาศฉบับนี้ กำหนดให้ผู้ประกอบการที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล มีรายละเอียดดังนี้

• ชื่อและข้อมูลเกี่ยวกับผู้ประมวลผลข้อมูลส่วนบุคคล
• ชื่อและข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลส่วนบุคคลรับจ้างดำเนินการให้
• ชื่อและข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของผู้ประมวลผลข้อมูลส่วนบุคคล (ถ้ามี)
• ประเภทหรือลักษณะของกิจกรรมการประมวลผล รวมถึงข้อมูลส่วนบุคคลและวัตถุประสงค์ของกิจกรรมการประมวลผลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล
• ประเภทของหน่วยงานที่ได้รับข้อมูล ในกรณีที่มีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
• คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย

2.2 การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก

ผู้ควบคุมข้อมูลส่วนบุคคลที่เป็นกิจการขนาดเล็กและมีลักษณะตามที่กำหนดไว้ในประกาศฯ ได้รับข้อยกเว้น ไม่ต้องจัดทำ “บันทึกรายการ” ได้แก่

• กิจการขนาดกลางและขนาดย่อม (SMEs) ในประเภทกิจการผลิตสินค้า ที่มีพนักงาน น้อยกว่าหรือเท่ากับ 200 คน รายได้น้อยกว่าหรือเท่ากับ 500 ล้านบาท ส่วนประเภทกิจการให้บริการ / ค้าส่ง / ค้าปลีก ที่มีพนักงานน้อยกว่าหรือเท่ากับ 100 คน รายได้น้อยกว่าหรือเท่ากับ 300 ล้านบาท
• วิสาหกิจชุมชนหรือเครือข่ายวิสาหกิจชุมชน
• วิสาหกิจเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม
• สหกรณ์ ชุมนุมสหกรณ์ หรือกลุ่มเกษตรกร
• มูลนิธิ สมาคม องค์กรศาสนา หรือองค์กรที่ไม่แสวงหากำไร
• กิจการในครัวเรือนหรือกิจการอื่นในลักษณะเดียวกัน

ข้อพึงระวัง! แม้การดำเนินกิจการของท่านในฐานะผู้ควบคุมข้อมูลส่วนบบุคลจะเข้าข่ายกิจการขนาดเล็กตามที่ระบุข้างต้น หากแต่รูปแบบการประมวลผลข้อมูลส่วนบุคคลภายในองค์กรของท่านเป็นไปในลักษณะดังต่อไปนี้ จะไม่ถือว่ากิจการขนาดเล็กของท่านเข้าข้อยกเว้น ซึ่งหมายความว่าผู้ควบคุมข้อมูลส่วนบุคคลนั้นยังคงมีหน้าที่ต้องจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) เฉกเช่นเดิม

• ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กที่ได้รับยกเว้น ต้องไม่เป็นผู้ให้บริการที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ตามกฎหมายว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ เว้นแต่จะเป็นผู้ให้บริการร้านอินเทอร์เน็ต

• ข้อยกเว้นดังกล่าวข้างต้น ไม่ครอบคลุมผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือประมวลผลข้อมูลส่วนบุคคลเป็นประจำอย่างเป็นระบบ หรือประมวลผลข้อมูลส่วนบุคคลอ่อนไหว

3.) Data Breach Notification: การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

กำหนดแนวทางการประเมินความเสี่ยงและความร้ายแรงของผลกระทบ วิธีการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) และเจ้าของข้อมูลส่วนบุคคล และมาตรการเยียวยาความเสียหาย เมื่อผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดมาตรการรักษาความมั่นคงปลอดภัย ที่ทำให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยน แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ (Data Breach) ดังต่อไปนี้

• การละเมิดความลับของข้อมูลส่วนบุคคล (Confidentiality Breach) ซึ่งมีการเข้าถึงหรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ หรือเกิดจากข้อผิดพลาดบกพร่องหรืออุบัติเหตุ
• การละเมิดความถูกต้องครบถ้วนของข้อมูลส่วนบุคคล (Integrity Breach) ซึ่งมีการเปลี่ยนแปลง แก้ไขข้อมูลส่วนบุคคลให้ไม่ถูกต้อง ไม่สมบูรณ์ หรือไม่ครบถ้วน โดยปราศจากอำนาจหรือโดยมิชอบ หรือเกิดจากข้อผิดพลาดบกพร่องหรืออุบัติเหตุ
• การละเมิดความพร้อมใช้งานของข้อมูลส่วนบุคคล (Availability Breach) ซึ่งทำให้ไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ หรือมีการทำลายข้อมูลส่วนบุคคล ทำให้ข้อมูลส่วนบุคคลไม่อยู่ในสภาพที่พร้อมใช้งานได้ตามปกติ

องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขที่กฎหมายกำหนด (Data Breach Notification) เนื่องจากกฎหมายคุ้มครองข้อมูลส่วนบุคคล ถือว่าเมื่อองค์กรเก็บรวบรวมและใช้ประโยชน์จากข้อมูลส่วนบุคคล องค์กรต้องดูแลรักษาข้อมูลส่วนบุคคลนั้นอย่างเหมาะสมเพื่อปกป้องความเป็นส่วนตัวและความปลอดภัยให้กับเจ้าของข้อมูลส่วนบุคคล และเมื่อไม่สามารถดูแลได้จนนำมาซึ่งการเกิดเหตุการละเมิดข้อมูลส่วนบุคคล องค์กรมีหน้าที่ต้องดำเนินการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามเงื่อนไขของกฎหมายทันที เพื่อให้มีการประเมิน พิจารณาความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล รวมถึงระงับผลกระทบและเยียวยาเจ้าของข้อมูลส่วนบุคคลโดยเร็ว

4.) Data Protection Officer: เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

กำหนดลักษณะขององค์กรที่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กล่าวคือ การประมวลผลข้อมูลส่วนบุคคลถือเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) ขององค์กรนั้น ไม่ว่าในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล และการประมวลผลข้อมูลส่วนบุคคลนั้นมีความจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ เนื่องจากว่ามีการใช้ข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale)

5.) Security Measures for Historical Research for Public Task: มาตรการปกป้องข้อมูลส่วนบุคคลสำหรับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ

กำหนดแนวทางปฏิบัติสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางประวัติศาสตร์ ซึ่งในประกาศได้กำหนดนิยาม “วัตถุประสงค์ในการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ” ให้หมายความว่า การดำเนินการเพื่อรักษาความมีอยู่ของบันทึกเหตุการณ์ เรื่องราว เอกสาร หลักฐาน หรือข้อมูล ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยให้เหมาะสมกับความเสี่ยงที่มีต่อสิทธิและเสรีภาพของบุคคล ดังนี้

5.1 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการเชิงองค์กร และมาตรการเชิงเทคนิคที่เหมาะสมซึ่งอาจรวมถึงมาตรการทางกายภาพที่จำเป็นด้วย เพื่อควบคุมให้การเก็บรวบรวมข้อมูลส่วนบุคคลเป็นไปเท่าที่จำเป็นภายใต้วัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ

5.2 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยให้เหมาะสมกับความเสี่ยงที่มีต่อสิทธิและเสรีภาพของบุคคล กล่าวคือ การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยน แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้เกิดประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลอาจพิจารณาดำเนินการทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หรือมีการแฝงข้อมูล (pseudonymization) เพื่อลดความเสี่ยงในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล หรือมีการเข้ารหัสข้อมูล (encryption)

6.) Security Measures for Scientific Research and Statistical Purposes: มาตรการที่เหมาะสมสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ

กำหนดมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล โดยแบ่งความเข้มงวดของมาตรการปกป้องข้อมูลออกเป็น 2 ลักษณะ โดยแบ่งตามชนิดของข้อมูลส่วนบุคคล กล่าวคือ

6.1 ข้อมูลส่วนบุคคลทั่วไป

มาตรการปกป้องที่เหมาะสมซึ่งผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องจัดให้มี คือ มาตรการเชิงองค์กรและมาตรการเชิงเทคนิคที่เหมาะสม รวมถึงมาตรการทางกายภาพที่จำเป็นด้วย เพื่อควบคุมให้การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว เป็นไปเท่าที่จำเป็นภายใต้วัตุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยคำนึงถึงหลักการทางวิชาการที่เกี่ยวข้อง และเป็นไปตามมาตรฐานทางจริยธรรม โดยไม่ขัดต่อกฎหมาย

6.2 ข้อมูลส่วนบุคคลอ่อนไหว

6.2.1. ผู้ควบคุมข้อมูลส่วนบุคคลต้องพิจารณาถึง “ความจำเป็น” ในการเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะ ซึ่งอาจเป็นความจำเป็นตามกฎหมาย ความจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือเพื่อปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้รับมอบหมาย ความจำเป็นเพื่อประโยชน์ในการได้มาซึ่งความรู้ใหม่หรือหลักการทางวิชาการในสาขาวิชาที่เกี่ยวข้อง รวมถึงการเผยแพร่ความรู้หรือหลักการทางวิชาการนั้น ความจำเป็นในการพัฒนาเทคโนโลยีและนวัตกรรมจากความรู้หรือหลักการทางวิชาการดังกล่าว หรือความจำเป็นในการดำเนินงานทางสถิติเพื่อประโยชน์อย่างใดอย่างหนึ่งก็ได้

6.2.2. มาตรการปกป้องที่เหมาะสมซึ่งผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องจัดให้มี คือ มาตรการเชิงองค์กรและมาตรการเชิงเทคนิคที่เหมาะสม รวมถึงมาตรการทางกายภาพที่จำเป็นด้วย เพื่อควบคุมให้การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว เป็นไปเท่าที่จำเป็นภายใต้วัตุประสงค์ที่เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น โดยคำนึงถึงหลักการทางวิชาการที่เกี่ยวข้องด้วย

6.2.3. ต้องมีคณะกรรมการจริยธรรมการศึกษาวิจัย ซึ่งไม่มีส่วนได้เสียในการศึกษาวิจัยเรื่องนั้น เป็นผู้พิจารณาอนุมัติหรือรับรองก่อนเริ่มการศึกษาวิจัยนั้น และควบคุมและกำกับดูแลการศึกษาวิจัยนั้นให้เป็นไปตามมาตรฐานทางจริยธรรมที่เกี่ยวข้อง

7.) Cross-Border Transfer: หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ

กำหนดแนวทางปฏิบัติสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยประเทศปลายทางต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ยกเว้นว่าการส่งหรือโอนข้อมูลส่วนบุคคล มีเงื่อนไขข้อจำกัดดังนี้

• เป็นการปฏิบัติตามกฎหมาย
• เป็นความจำเป็นเพื่อการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลส่วนบุคคล เป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล ก่อนเข้าทำสัญญานั้น
• ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยได้แจ้งให้เจ้าของข้อมูลส่วนบุคคล ทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศแล้ว
• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
• เพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

นอกจากนั้น หากการส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศปลายทางนั้นเป็นลักษณะการส่งหรือโอนไปยังผู้รับข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันตามที่กฎหมายกำหนด การดังกล่าวย่อมทำได้หากผู้ส่งหรือโอนข้อมูลและผู้รับข้อมูลมีการกำหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน (Binding Corporate Rules: BCR) เพื่อการประกอบกิจการร่วมกันหรือธุรกิจร่วมกันที่ได้รับการตรวจสอบและรับรองจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแล้ว

ทั้งนี้ ในกรณีที่ยังไม่มีคำวินิจัยเกี่ยวกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอของประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูล หรือยังไม่มีนโยบายในการคุ้มครองข้อมูลส่วนบุคคล (BCR) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศปลายทางได้ แต่ต้องจัดให้มีมาตรการคุ้มครองที่เหมาะสม (appropriate safeguards) ตามที่กฎหมายกำหนด

8.) Security Measures for Criminal Record: มาตรการคุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม

กำหนดแนวทางปฏิบัติสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม โดยประวัติอาชญากรรมจัดว่าเป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ซึ่งทางกฎหมายคุ้มครองข้อมูลส่วนบุคคลระบุว่าห้ามไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีบทบัญญัติของกฎหมายรองรับ ซึ่งตามประกาศนี้ ผู้ควบคุมข้อมูลส่วนบุคคลอาจใช้อำนาจตามที่กฎหมายรองรับ หรือขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก็ได้เพื่อทำการตรวจสอบประวัติอาชญากรรม ดังนั้นหากนายจ้างจำเป็นต้องขอตรวจสอบประวัติอาชญากรรม จะต้องตรวจสอบบทบัญญัติที่กฎหมายรองรับก่อน หรือขอความยินยอมโดยตรงจากเจ้าของข้อมูลในการเก็บรวบรวมเพื่อให้องค์กรตรวจสอบข้อมูลประวัติอาชญากรรม ซึ่งอาจเป็นสำเนาพร้อมกับลายเซ็นของเจ้าของข้อมูลเซ็นกำกับ และจะต้องดำเนินการภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมายอีกด้วย

ยกระดับมาตรฐานการปฏิบัติงานขององค์กร

องค์กรควรเตรียมความพร้อมในการปรับตัว และปรับปรุงระบบการจัดการข้อมูลส่วนบุคคลให้สอดคล้องอยู่เสมอ ดังนั้นสิ่งที่องค์กรต้องคำนึงคือการจัดฝึกอบรมด้าน PDPA เพื่อให้พนักงานได้เรียนรู้กฎหมายใหม่ และปฏิบัติตามกฎหมายอย่างถูกต้อง – PDPA Awareness Training ได้อัปเดตกฎหมายเพื่อองค์กรและธุรกิจ ซึ่งการฝึกอบรมนี้จะช่วยให้ผู้บริหารและพนักงานตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล สร้างความมั่นใจให้แก่ลูกค้าและคู่ค้า ป้องกันความเสี่ยงจากการละเมิดข้อมูลส่วนบุคคล ยกระดับองค์กรเพื่อการปฏิบัติงานแบบมืออาชีพ!

ติดต่อขอใบเสนอราคา PDPA Awareness Training ได้ที่ Email: sales@datawow.io หรือโทร: 02-024-5560