Personal Data Protection Act (PDPA) & Security
- เนื่องจากปัจจุบันความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้โดยง่าย ทำให้เกิดการละเมิดสิทธิความเป็นส่วนตัว หรือการนำไปใช้ข้อมูลส่วนบุคคลที่ผิดจุดประสงค์ สร้างความเดือดร้อนและความเสียหายแก่เจ้าของข้อมูล
- องค์กร บริษัทถือเป็นผู้ควบคุมข้อมูล (Data Controller) ที่มีส่วนในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล จึงมีส่วนรับผิดชอบสำคัญในข้อมูลส่วนบุคคล
- องค์กร บริษัทจึงจำเป็นต้องมีการจัดเก็บข้อมูลอย่างมีประสิทธิภาพ
- ต้องมีการแจ้งขอความยินยอมต่อเจ้าของข้อมูลส่วนบุคคลก่อนการเก็บรวบรวม ใช้ หรือเปิดเผย
- หากไม่มีการปฏิบัติตามกฎหมาย PDPA ย่อมมีบทลงโทษตามกฎหมาย
- โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท
- โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
- โทษทางปกครองปรับไม่เกิน 5 ล้านบาท
PDPA คือ
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA : Personal Data Protection Act) เป็นบัญญัติกฏหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคลของ “บุคคลธรรมดา” ให้สิทธิในการแก้ไข, เข้าถึง หรือแจ้งลบข้อมูลที่ให้ไว้กับองค์กรเป็นต้น ถูกประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 จะเริ่มบังคับใช้ในวันที่ 1 มิถุนายน 2565 หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามย่อมมีบทลงโทษตามกฎหมายตามมา
ดังนั้นองค์กร บริษัท ห้างร้านที่มีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้า รวมไปถึงข้อมูลบุคลากรภายในองค์กรเองก็ตามต้องมึการตระหนัก และให้ความสำคัญ เตรียมพร้อมสำหรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่จะถูกบังคับใช้ในอนาคตซึ่งหลีกเลี่ยงไม่ได้
องค์กรมีส่วนเกี่ยวข้องอย่างไรกับข้อมูลส่วนบุคคล ?
บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
- เจ้าของข้อมูลส่วนบุคคล (Data Subject)
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
บริษัท องค์กร ห้างร้านที่ทำการจัดเก็บรวบรวม ใช้ เปิดเผยข้อมูลเหล่านี้ถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ธุรกิจไหนบ้างที่ต้องปรับตัวโดยเร็ว?
ธุรกิจที่จำเป็นต้องเริ่มทำ PDPA หลักๆก็คือ ธุรกิจที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลของลูกค้าเป็นจำนวนมาก เช่น ธุรกิจที่ทำ Big Data, ประกัน, รถยนต์, อสังหาริมทรัพย์, ท่องเที่ยว, เครื่องใช้ไฟฟ้า และกลุ่มที่ทำ E-Commerce หรือแม้แต่ธุรกิจภาครัฐเองก็เช่นกัน เช่น โรงเรียน, โรงพยาบาล ที่มีการเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก เป็นต้น
ธุรกิจต้องเตรียมตัวอย่างไร?
- ตรวจสอบ ทบทวน ข้อมูลส่วนบุคคลที่องค์กรของท่านเก็บ รวบรวม ใช้ ประมวลผล เปิดเผย ในปัจจุบัน ว่ามีการเก็บข้อมูลประเภทใดบ้าง ทั้ง Personal Data และ Sensitive Data
- สอบวัตถุประสงค์ที่แท้จริงในการเก็บ รวบรวม ใช้ ประมวลผล เปิดเผยข้อมูลส่วนบุคคล และเลือกกลุ่มข้อมูลเท่าที่จำเป็นเท่านั้น
- กำหนดนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร ทั้งนโยบายในการคุ้มครองข้อมูลและนโยบายด้านการรักษาความปลอดภัยของข้อมูล
- จัดเตรียม เอกสาร แบบฟอร์ม ประกาศ ข้อตกลง สำหรับลูกค้า ลูกจ้าง พัรธมิตรทางธุรกิจ คู่ค้า ตัวแทน สำหรับการดำเนินการตามกฎหมายและนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคล
- ทบทวนระบบ IT และ Software ที่เกี่ยวข้องกับการบริหารจัดการ จัดเก็บ ประมวลผลข้อมูลส่วนบุคคลทั้งหมดภายในองค์กร
- ให้ความรู้ความเข้าใจเรื่อง กฎหมายคุ้มครองข้อมูลส่วนบุคคล กับกลุ่มบุคลากรที่จะต้องมีหน้าที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลภายในองค์กร
- จัดตั้งคณะทำงาน หรือ บุคคล ทำหน้าที่ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” ประจำองค์กร หรือพิจารณาจัดจ้าง Outsources ที่มีความเชี่ยวชาญเข้ามาทำหน้าที่ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” ขององค์กร (Data Protection Officer : DPO)
Solution
- PDPA Consulting โดยบริษัทกฎหมายชั้นนำ ที่พร้อมช่วยเตรียมความพร้อมให้ท่านแบบครบวงจร ตรวจสอบ ทบทวน รวบรวมข้อมูล กำหนดนโยบาย ทบทวนระบบ IT จัดเตรียมเอกสาร
- Software ให้ความสะดวกไม่ว่าจะเป็นการทำ Data Discovory เพื่อตรวจสอบว่ามีการเก็บข้อมูลประเภทใดไว้ที่ไหนบ้าง, Data Map : แผนผังข้อมูล คือ เครื่องมือที่จะช่วยให้องค์กรของคุณดำเนินการสำรวจข้อมูล และมองเห็นภาพรวมของข้อมูลที่มีอยู่ภายในองค์กรได้อย่างสะดวกและเป็นโครงสร้างที่ชัดเจน
- Consent Management เป็น Software tools ช่วยในการแจ้งขอความยินยอมจากเจ้าขอข้อมูล หรือ tools ช่วยให้เจ้าของข้อมูลแจ้งขอแก้ไข, เปลี่ยนแปลง, ลบ ข้อมูลนั้นๆได้โดยง่าย ตามสิทธิที่กฎหมายระบุ เช่น Cookie Consent
- Hardware และ Software ช่วยป้องป้อง ransomware หรือการโจมตีข้อมูลในรูปแบบอื่นๆ
- Backup tools สำรองและกู้คืนข้อมูลจากการถูกโจมตีโดยเร็วเพื่อให้เกิดความเสียหายน้อยที่สุด
ทั้งหมดที่กล่าวมานี้ WTC สามารถจัดหาให้ท่านได้อย่างครบวงจร เพื่อให้องค์กรของท่านเตรียมตัวให้พร้อมกับกฎหมาย PDPA ที่กำลังจะปรับใช้ในวันที่ 1 มิถุนายน 2565 อย่างทันท่วงที
ประโยชน์ที่ได้รับ
- มั่นใจได้ว่าสามารถตอบสนองต่อกฎหมาย PDPA ได้
- Tools ช่วยลดภาระงานที่ไม่จำเป็นแต่สำคัญให้กับบุคลากร
- ครบครันทั้งแนวป้องกัน และตั้งรับ
- หลีกเลี่ยงค่าปรับจากการกระทำความผิดที่เกี่ยวข้อง
- เลือกได้ตามความต้องการและเหมาะสมกับธุรกิจ
ทั้งหมดนี้แต่ละองค์กร ห้างร้าน บริษัทแต่ละที่อาจมีการดำเนินการมากน้อยแตกต่างกันไปตามบริบทของบริษัท แล้วจะรู้ได้อย่างไรว่าบริษัทเราจำเป็นต้องใช้หรือไม่ใช้สิ่งใด โดยผ่านจากผู้ให้คำปรึกษาด้านกฎหมาย PDPA โดยจะมีการ Consult ให้กับทางบริษัทเพื่อหาวิธีจัดการกับระบบให้สอดคล้องกับกฎหมาย
สนใจศึกษาข้อกฏหมาย PDPA แบบฉบับเต็มสามารถคลิกเข้าไปอ่านได้ที่นี่ : https://bit.ly/2MjRWc1
หากท่านกำลังมองหาเครื่องมือที่ช่วยปรับเปลี่ยนให้องค์กรดำเนินการสอดคล้องตามกฎหมาย PDPA ให้ WTC Computer เข้านำเสนอ PDPA Solutions แบบครบวงจรให้กับองค์กรของท่าน
อย่างไรก็ตามก่อนปรับองค์กรให้สอดคล้องกับกฎหมาย PDPA ซึ่งถือเป็นเรื่องของการจัดการข้อมูลนั้น แน่นอนว่าการป้องกันที่ดีถือเป็น First Priority ที่องค์กรต้องใส่ใจ ไปพร้อมๆ กับการตอบสนองต่อ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วยโซลูชันแพ็คเกจสำหรับองค์กรจาก Cisco ที่สามารถเข้ามาช่วยได้อย่างครอบคลุม ทั้ง Network, Endpoint, Cloud และ Apps โดยใช้ NIST Cybersecurity Framework เป็น Guidelines
Cisco Security Solution Package
Package 1
- Duo package MFA
- Cisco Umbrella
Package 2
- Firepower 1010
- CES Premium
- Duo package Access
Package 3
- Firepower 1010
- CES Premium
- Duo package Access
- Umbrella DNS Advantage