Personal Data Protection Act: PDPA

[PlAwAnSaI]

• ข้อมูลส่วนบุคคลเป็นรากฐานของความเป็นส่วนตัวอันเป็นสิทธิขั้นพื้นฐานของประชาชนและมีกฎหมาย PDPA บัญญัติขึ้นเพื่อคุ้มครองสิทธิดังกล่าวด้วย
  
  
• ข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือ ข้อมูลอะไรก็ตามที่สามารถระบุตัวตนของบุคคลได้
  
  
• กระบวนการทำงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น การนำข้อมูลของลูกค้าไปทำกิจกรรมส่งเสริมการดลาด, การนำข้อมูลสุขภาพของพนักงาน เพื่อวิเคราะห์และจัดทำสวัสดิการให้กับพนักงาน
  
  
• เมื่อมีการจัดทำหรือแก้ไขกระบวนการทำงานหรือโครงการที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ผู้ปฏิบัติงานต้องติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO พร้อมกับเตรียมข้อมูลเกี่ยวกับกระบวนการทำงานหรือโครงการเบื้องต้นเพื่อปรึกษาหารือด้านการคุ้มครองข้อมูลส่วนบุคคล
  
  
• การดูแลข้อมูลส่วนบุคคลให้ปลอดภัย ต้องจัดเก็บเอกสารที่มีข้อมูลส่วนบุคคลในตู้เอกสารที่มีความแข็งแรง มีกุญเจล็อค และวางในบริเวณที่มิดชิดบุคคลภายนอกเข้าถึงได้ยาก, ตรวจสอบข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นต้องใช้แล้วอย่างสม่ำเสมอ และลบหรือทำลายอย่างเหมาะสม, จำกัดให้ผู้ที่เกี่ยวข้องเท่านั้นสามารถเข้าถึงข้อมูลส่วนบุคคลได้ เช่น กำหนด Username และ Password ในอุปกรณ์และ Program ทุกชนิดที่จัดเก็บข้อมูลส่วนบุคคล
  
  
• ตัวอย่างการละเมิดข้อมูลส่วนบุคคล:
  • ระบที่จัดเก็บข้อมูลล์ส่วนบุคลไม่สามารถใช้ได้ และได้รับ Email เรียกค่าไถ่
  • Flash Drive ที่บรรจุข้อมูลส่วนบุคคลสูญหายระหว่างส่งไปรษณีย์
  • ข้อมูลบัญชีธนาคารของคู่ค้าถูกแก้ไขเปลี่ยนแปลง โดยบุคคลที่ไม่มีสิทธิ์
    .
• เมื่อพบเจอหรือทราบเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ผู้พบเห็นควรแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทันที
  
  
• โทษของการไม่ปฏิบัติดามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อาจต้องชดใช้ค่าเสียหายกับผู้เสียหาย ถูกปรับ และ/หรือจำคุก
  
  
• บริษัท กรรมการ ผู้สั่งการ หรือผู้ปฏิบัติงาน อาจต้องรับผิดกรณีไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  
  
• ข้อมูลลูกค้าเป็นข้อมูลส่วนบุคล ซึ่งในกำหนดลำดับชั้นความลับของข้อมูลนี้ จะต้องพิจารณาองค์ประกอบของข้อมูลว่าประกอบไปด้วยข้อมูลที่มีความละเอียดอ่อน เช่น มีข้อมูลวันเดือนปีเกิด ศาสนา หรือไม่
  • หากเป็นข้อมูลส่วนบุคคลทั่วไปจะกำหนดลำดับชั้นความลับเป็น Confidential
  • หากเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว จะกำหนดลำดับชั้นความลับเป็น Secret
    .
• องค์ประกอบของ 3 เสาหลักของพื้นฐานการรักษาความปลอดภัยของข้อมูล
  • Confidentiality: การรักษาความลับและการเข้าถึงของข้อมูล
  • Integrity: การรักษาความถูกต้องและความสมบูรณ์ของข้อมูล
  • Availability: การรักษาความพร้อมใช้งานของข้อมูล
    .
• เอกสารสัญญาที่มีรายละเอียดของข้อตกลงการดำเนินงาน และการรับผิดชอบในกรณีต่างๆ เป็นเอกสารที่มีลำดับชั้นความลับของข้อมูลเป็น Confidential เนื่องจากหากข้อมูลนี้ถูกเปิดเผยต่อสาธารณะโดยไม่ได้รับอนุญาต อาจส่งผลให้เกิดผลกระทบที่สำคัญ สูญเสียทางการเงิน/ผิดกฏ PDPA/กระทบการดำเนินงาน/กระทบชื่อเสียง ต่อบริษัทได้