ตามกฏหมายคุ้มครองข้อมูลส่วนบุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (Personal Data Protection Act) กำหนดให้เจ้าของข้อมูลมีสิทธิที่จะดำเนินการตามกฏหมายในฐานะเจ้าของข้อมูล ในกรณีที่ผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) นำข้อมูลส่วนบุคคลของเราไปใช้ในทางที่ผิดวัตถุประสงค์ เรามีสิทธิที่จะร้องเรียนได้หรือไม่ ? ทีม WhiteFact จึงอยากให้บทความนี้ช่วยทุกท่านให้ทราบสิทธิของตนเองในการเรียกร้องสิทธิตามกฏหมายได้ มาดูกันค่ะว่า “สิทธิเจ้าของข้อมูล”สามารถทำอะไรได้บ้าง 1.สิทธิที่จะได้รับการแจ้งให้ทราบ (Right to be informed) • คุณมีสิทธิทราบว่าองค์กรเก็บข้อมูลส่วนบุคคลจากที่ไหน และการเก็บรวบรวม การนำไปใช้ข้อมูลส่วนบุคคล มีอะไรบ้าง • องค์กรมีหน้าที่แจ้งให้คุณทราบ 💡ตัวอย่าง : คุณมีสิทธิ์ทราบว่าธนาคารได้ข้อมูลส่วนบุคคลของคุณมาจากไหน เช่น จากตัวคุณเอง จากเว็บไซต์ธนาคาร ฯลฯ 📢 สิทธิที่เจ้าของข้อมูลจะได้รับโดยไม่ต้องร้องขอ เนื่องจากโดยปกติแล้วองค์กรจะมีการแจ้งให้ทราบถึงวัตถุประสงค์ของการเก็บรวบรวมและการนำไปใช้ผ่าน Privacy Notice 2. สิทธิในการเข้าถึงข้อมูล (Right of access) •… Continue reading รู้หรือไม่ ? สิทธิของเจ้าของข้อมูล(Data Subject Rights) ทำอะไรได้บ้าง
Category: Blog
PDPA คืออะไร ? ฉบับย่อยง่าย!
หลังจากที่ได้มีการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรามักจะเรียกกันสั้นๆ ว่า PDPA มีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 ซึ่งนับตั้งแต่วันที่มีการบังคับใช้ก็เป็นเวลา 2 ปีแล้ว ซึ่งบางองค์กรหรือผู้อ่านเองก็อาจจะยังไม่เข้าใจในตัวกฏหมายนี้เองอย่างจริงจัง วันนี้ทีมงาน WhiteFact มีคำตอบที่จะมาช่วยทุกท่านไขข้อสงสัย เกี่ยวกับกฎหมาย PDPA ซึ่งเกี่ยวข้องกับทุกคนแบบเข้าใจง่ายมาให้ได้อ่านกันค่ะ 📖 💡PDPA คืออะไร ? “ถ้าจะให้อธิบายง่ายๆ ก็คือ กฎหมายที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของเรา ไม่ให้ถูกนำไปใช้โดยไม่ได้รับอนุญาต เปรียบเสมือนเกราะป้องกันข้อมูลส่วนตัวของเรา ให้ปลอดภัยจากมิจฉาชีพ หรือการนำไปใช้ในทางที่ผิด” แล้วทำไมองค์กรต้องทำ PDPA? เพราะกฎหมายนี้กำหนดให้หน่วยงานหรือองค์กรต่างๆ ที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเราในฐานะ ผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) ต้องปฏิบัติตามหลักเกณฑ์ที่กำหนดไว้ เพื่อให้มั่นใจว่าข้อมูลของเราในฐานะเจ้าของข้อมูล (Data Subject) จะถูกใช้อย่างถูกต้อง โปร่งใส และปลอดภัย องค์กรมีหน้าที่อะไรบ้างตาม PDPA🔍 • ขอความยินยอมจากเจ้าของข้อมูล… Continue reading PDPA คืออะไร ? ฉบับย่อยง่าย!
รู้ได้อย่างไร ? ธุรกิจคุณ Comply PDPA หรือยัง
ในยุคดิจิทัลที่ข้อมูลเป็นสินทรัพย์สำคัญ การปกป้องข้อมูลส่วนบุคคลไม่เพียงแต่เป็นหน้าที่ทางกฎหมาย แต่ยังสร้างความไว้วางใจให้กับลูกค้าอีกด้วย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ไม่ใช่เรื่องยาก แต่ต้องมีการตรวจสอบและดำเนินการอย่างรอบคอบ โดยเรามี Checklist ง่ายๆ ให้ธุรกิจของคุณ ตรวจสอบว่าพร้อมหรือไม่ มาเริ่มกันเลย ✨ 1. การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO: Data Protection Officer) มาตรา 41 DPO คือเจ้าหน้าที่ที่ได้รับการแต่งตั้งเพื่อดูแลและตรวจสอบการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลขององค์กรให้เป็นไปตามข้อกำหนดของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล) โดยมีบทบาทสำคัญในการป้องกันและจัดการความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล สรุป 💡: การมี DPO ที่มีความรู้และความเชี่ยวชาญไม่เพียงแต่ช่วยให้ธุรกิจปฏิบัติตามข้อกำหนดของกฎหมาย แต่ยังเสริมสร้างความน่าเชื่อถือและความไว้วางใจจากลูกค้าอีกด้วย 2. การจัดทำเอกสารบันทึกการประมวลผลข้อมูลส่วนบุคคล (RoPA:Record of Proccessing) มาตรา 39 เอกสารที่บันทึกข้อมูลเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลขององค์กรเปรียบเสมือนคู่มือที่บอกเราว่า องค์กรเก็บข้อมูลอะไรบ้าง เก็บไว้ทำไม เก็บไว้นานแค่ไหน และนำข้อมูลไปใช้ทำอะไรบ้าง และเราจะมีการทำลายอย่างไร ซึ่งวิธีการจัดทำจะเป็นเอกสาร หรือใช้ระบบอิเล็กทรอนิกส์ก็ได้ ทำไมองค์กรต้องให้ความสำคัญในการจัดทำ RoPA ? เพื่อให้เจ้าของข้อมูลและสำนักงานคณะกรรมคุ้มครองข้อมูลส่วนบุคคลสคสตรวจสอบได้ และเป็นหลักฐานสำคัญว่าองค์กรปฏิบัติตามกฏหมาย เพื่อช่วยให้องค์กรบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ และแสดงให้เห็นถึงความโปร่งใส และความรับผิดชอบต่อข้อมูล เพื่อประเมินและป้องกันความเสี่ยงที่อาจเกิดขึ้นจากการประมวลผลข้อมูลส่วนบุคคล… Continue reading รู้ได้อย่างไร ? ธุรกิจคุณ Comply PDPA หรือยัง
เปลี่ยน ซอฟแวร์ PDPAต่างชาติเป็น Whitefact สามารถลดต้นทุนการจัดการ PDPA จากแพลตฟอร์มเดิมได้มากกว่า 30%
Challenges ปัจจุบันทุกองค์กรจะต้องปฏิบัติตาม พรบ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งมีผลบังคับใช้เป็นระยะเวลากว่า 1 ปีที่ผ่านมา หลากหลายองค์กร โดยเฉพาะองค์กรขนาดใหญ่ที่มีข้อมูลมหาศาล จำเป็นที่จะต้องใช้เครื่องมือที่สามารถบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ โดยในขณะนั้นมีแต่แพลตฟอร์มที่ปฏิบัติตามข้อกฏหมาย GDPR จากต่างประเทศที่พร้อมใช้งานและสามารถปรับปรุงให้เข้ากับกฏหมายไทยได้เร็วที่สุด แต่ก็มาพร้อมกับค่าใช้จ่ายในการใช้บริการที่สูง ทั้งจากลิขสิทธิการใช้ซอฟต์แวร์ และการปรับแต่งให้เข้ากับกฏหมายไทย ด้วยเหตุนี้ เราจึงได้พัฒนา Whitefact แพลตฟอร์มที่ทำให้องค์กรทั้งรายใหญ่และรายย่อยสามารถดำเนินการตาม พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้อย่างรวดเร็ว มีประสิทธิภาพ ด้วยแพลตฟอร์มที่พัฒนามาโดยเฉพาะ ตามข้อกฏหมายและความต้องการของธุรกิจในประเทศไทย รวมถึงมีค่าใช้จ่ายที่เหมาะสม ไม่ว่าจะเป็นองค์กรที่ยังไม่เริ่มจัดทำโครงการ PDPA หรือองค์กรที่ต้องการทดแทนซอฟต์แวร์จากต่างชาติ โดยสามารถลดต้นทุนการจัดการโดยรวมได้มากกว่า 30% Whitefact solution “PDPA Platform ที่เข้าใจคนไทยมากกว่า” ด้วยประสบการณ์การให้บริการด้านเทคโนโลยีให้แก่องค์กรขนาดใหญ่ในทุกอุสาหกรรมมากว่า 28 ปี ประสบการณ์การจัดทำโครงการ พรบ. ข้อมูลส่วนบุคคล รวมถึงผู้เชื่ยวชาญด้านกฏหมายและการจัดการข้อมูล จึงทำให้เราเข้าใจบริบทและความท้าทายของแต่ละธุรกิจในประเทศไทย ทำให้เราสามารถพัฒนาแพลตฟอร์ม PDPA ที่เข้าใจองค์กรในไทยและครอบคลุมระเบียบ พรบ.ของไทยได้มากกว่า ย้ายข้อมูลจากแพลตฟอร์มเดิมสู่ Whitefact ได้อย่างง่ายดาย… Continue reading เปลี่ยน ซอฟแวร์ PDPAต่างชาติเป็น Whitefact สามารถลดต้นทุนการจัดการ PDPA จากแพลตฟอร์มเดิมได้มากกว่า 30%
รู้ก่อนทำ PDPA คืออะไร? ฉบับเข้าใจง่าย
สิ่งที่ควรรู้! บทบาทของผู้ประกอบการในการทำ PDPA
บทบาทของผู้ที่เกี่ยวข้องกับกฎหมาย PDPA 1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลส่วนบุคคลสามารถระบุไปถึงได้ ตัวอย่างเช่นลูกค้า พนักงาน คู่ค้า 2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บริษัทต่าง ๆ ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บริษัทซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคค หน้าที่ผู้ที่เกี่ยวข้องกับกฎหมาย PDPA Data Subject จะมีหน้าที่เข้าใจสิทธิของเจ้าของข้อมูลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และศึกษานโยบายของบริษัทที่เราจะเข้าไปให้บริการ สิทธิได้รับการแจ้งให้ทราบ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งรายละเอียดให้เจ้าของข้อมูลส่วนบุคคลทราบ ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล โดยมีรายละเอียดการแจ้งให้ทราบ เช่น เก็บข้อมูลส่วนบุคคลอะไรบ้าง, วัตถุประสงค์การเก็บข้อมูล, การนำไปใช้หรือส่งต่อไปมีให้ใครบ้าง สิทธิขอเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงสามารถขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าว สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ยกเว้นมีเหตุอันควรทางกฎหมายที่สำคัญจริงๆ… Continue reading สิ่งที่ควรรู้! บทบาทของผู้ประกอบการในการทำ PDPA
ธุรกิจที่มีความต้องการทำ PDPA จะเริ่มได้อย่างไร
“>”>ธุรกิจที่มีความต้องการทำ PDPA จะเริ่มได้อย่างไร การทำ PDPA แบ่งได้เป็น 3 Phase Educate > Implement > Manage Phase ที่ 1 Educate คือการที่บริษัทเตรียมความพร้อมของคนในองค์กรให้มีความรู้ความเข้าใจของ PDPA ให้เห็นถึงความสำคัญ รวมไปถึงความเข้าใจในหน้าที่ โดยการจัดการฝึกอบรมให้กับบุคลากรภายในองค์กร เราขอแนะนำ Expert Consult ของ WhiteFact ที่ช่วยให้ความรู้ สามารถให้คำแนะนำ และช่วยบริษัทจัดทำ PDPA Phase ที่ 2 Implement คือการรวบรวมกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ไม่ว่าจะเป็น 1. Data flow – แผนภาพการไหลของข้อมูล เพื่อให้เข้าใจกระบวนการทำงานทั้งหมดขององค์กร 2. RoPA – รายการกิจกรรมของแต่ละแผนก ว่าแผนกไหนทำอะไรบ้าง ทำด้วยวัตถุประสงค์อะไร 3. Risk Assessment – ทำแบบประเมินความเสี่ยง และกำหนดวิธีรับมือกับเหตุที่อาจจะเกิดขึ้น… Continue reading ธุรกิจที่มีความต้องการทำ PDPA จะเริ่มได้อย่างไร
ตัวอย่างการทำ Data Flow ของ PDPA
“>”>ตัวอย่างการทำ Data Flow ของ PDPA Data Flow Mapping คือแผนผังการไหลเวียนข้อมูลของแต่ละแผนกอย่างละเอียดว่า ข้อมูลใดเป็นข้อมูลส่วนบุคคล ถูกส่งผ่านและเก็บไว้ที่ไหน ใครเกี่ยวข้องข้อมูลนี้ นอกจากนี้ช่วยให้องค์กรเห็นภาพรวมเพื่อวิเคราะห์ช่องว่างทางกฎหมายต่อการเก็บ รวบรวม ใช้ ข้อมูลส่วนบุคคลให้มีประสิทธิภาพยิ่งขึ้น เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือผู้สมัครงานหรือนักศึกษาฝึกงาน และผู้ควบคุม – ประมวลข้อมูลส่วนบุคคล (Data Controller & Processer) คือแผนก HR เมื่อข้อมูลส่วนบุคคลของผู้สมัครถูกส่งจาก HR ไปยังแผนกที่เปิดรับตำแหน่ง ก็จะเข้าสู่การสัมภาษณ์ หากสัมภาษณ์ผ่านข้อมูลส่วนบุคคลดังกล่าวก็จะส่งต่อไปยังกรมสรรพากร และสำนักงานประกันสังคม โดย HR จะเก็บข้อมูลส่วนบุคคลข้างต้นไว้ในแหล่งจัดเก็บข้อมูลขององค์กรต่อไปนั้นเอง ในความเป็นจริง การทำ PDPA ไม่ได้จบที่แผนก HR เพียงอย่างเดียว องค์กรต้องทำ Data Flow Mapping ที่มีกระบวนการแตกต่างกันออกสำหรับแต่แผนก ถึงจะเป็นการเตรียมความพร้อมได้อย่างครอบคลุมสำหรับองค์กรไหนที่กำลังมองหาผู้ช่วยจัดการ PDPA อย่างเป็นระบบในที่เดียว เราขอแนะนำครอบคลุมตั้งแต่ระบบการจัดเก็บ เผยแพร่ ประมวลผล… Continue reading ตัวอย่างการทำ Data Flow ของ PDPA
บริษัทเราควรจะมีที่ปรึกษาช่วยทำ PDPA ไหม
บริษัทเราควรจะมีที่ปรึกษาช่วยทำ PDPA ไหม มีหลายบริษัทที่ต้องการทำ PDPA แต่ไม่รู้จะเริ่มอย่างไร บางบริษัทมีการไปเอา Policy ของบริษัทอื่นแล้วไปเปลี่ยนข้อมูลให้เป็นชื่อบริษัทตัวเอง ไม่การจัดทำนโยบายที่เป็นของตัวเอง และการเตรียมงานส่วนอื่นๆของ PDPA อย่างเช่น Data Flow, RoPA เราขอแนะนำ Expert Consult ของ WhiteFact ผู้ให้คำปรึกษา พร้อมช่วยจัดทำ PDPA ครบวงจรExpert Consult ของ WhiteFact คือผู้เชี่ยวชาญด้านกฎหมาย PDPA และมีประสบการณ์การทำโปรเจ็คต์มากมาย หากใครที่กำลังมองหาผู้เชี่ยวชาญ Expert Consult ของ WhiteFact สามารภช่วยคุณในการเตรียมตัวบริษัทให้ปฏิบัติตาม PDPA ด้วยการให้คำปรึกษาแก่ คณะกรรมการบริหารบริษัท และคณะทำงานการคุ้มครองข้อมูลส่วนบุคคล ด้วยการเทรนนิ่งวิเคราะห์ และจัดทำภาพการไหลของข้อมูล Data Flow จัดทำรายการกิจกรรมของแต่ละแผนก RoPA ประเมินช่องว่างระดับของความเสี่ยง พร้อมคำแนะนำ Risk Assessmentออกแบบเอกสารมาตรฐานความเป็นส่วนตัว เช่น แบบฟอร์ม ประกาศเกี่ยวกับความเป็นส่วนตัว แบบฟอร์มคำยินยอม… Continue reading บริษัทเราควรจะมีที่ปรึกษาช่วยทำ PDPA ไหม