กฎหมายลูก PDPA สำคัญที่องค์กรต้องรู้!

1. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

ชื่อเต็ม: ประกาศคณะกรรมการฯ เรื่องมาตรการรักษาความมั่นคงปลอดภัยฯ

สิ่งที่กำหนด:

• ต้องมีมาตรการ ทั้งด้านองค์กร เทคนิค และกายภาพ
• มีการจำกัดสิทธิ์เข้าถึงข้อมูล (Access Control)
• การใช้รหัสผ่าน การเข้ารหัส (Encryption)
• การจัดเก็บบันทึก log และตรวจสอบระบบ
• มีการประเมินความเสี่ยงด้านความปลอดภัยของข้อมูลอย่างสม่ำเสมอ

2. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification)

ชื่อเต็ม: ประกาศฯ เรื่องหลักเกณฑ์และวิธีการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

สิ่งที่กำหนด:

• ต้องแจ้งสำนักงาน PDPC ภายใน 72 ชั่วโมง หลังทราบเหตุ
• ถ้าการละเมิดเสี่ยงต่อสิทธิ/เสรีภาพ ต้องแจ้งเจ้าของข้อมูลด้วย
• การแจ้งต้องมีข้อมูลเช่น สาเหตุ รายละเอียดผลกระทบ และมาตรการเยียวยา

3. การจัดทำบันทึกกิจกรรมการประมวลผลข้อมูล (ROPA)

ชื่อเต็ม: ประกาศฯ เรื่องหลักเกณฑ์ในการจัดทำและเก็บรักษาบันทึกกิจกรรมฯ

สิ่งที่กำหนด:

• ต้องจัดทำ “Record of Processing Activities” (ROPA)
• ต้องมีรายละเอียดเกี่ยวกับ:
• วัตถุประสงค์
• ประเภทข้อมูล
• ระยะเวลาการเก็บ
• ผู้รับข้อมูล
• องค์กรขนาดเล็กบางประเภทอาจได้รับการยกเว้น

4. การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

ชื่อเต็ม: ประกาศฯ เรื่องหลักเกณฑ์เกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

สิ่งที่กำหนด:

• กำหนดคุณสมบัติของ DPO เช่น ต้องมีความรู้ด้านกฎหมาย/การประมวลผลข้อมูล
• DPO ต้องมี ความเป็นอิสระในการทำงาน
• DPO ต้องรายงานตรงต่อผู้บริหาร
• กำหนดหน้าที่ เช่น ตรวจสอบ ให้คำแนะนำ ติดตาม และเป็นจุดติดต่อกับสำนักงาน PDPC

5. การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

ชื่อเต็ม: ประกาศฯ เรื่องหลักเกณฑ์การคุ้มครองข้อมูลกรณีส่งไปต่างประเทศ

สิ่งที่กำหนด:

• ต้องส่งไปยังประเทศที่มี “มาตรการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอ”
• ถ้าไม่เข้าเกณฑ์ ต้องมี:
• สัญญา ที่มีมาตรการคุ้มครอง
• หรือ ความยินยอมจากเจ้าของข้อมูล
• หรือ ข้อยกเว้นตามกฎหมาย เช่น จำเป็นต่อการปฏิบัติตามสัญญา

กฎหมายลูก PDPA ช่วยให้องค์กรมีกรอบปฏิบัติที่ชัดเจน ในการ จัดเก็บ ปกป้อง แจ้งเหตุ และบริหารจัดการข้อมูลส่วนบุคคล อย่างเป็นระบบ และลดความเสี่ยงทางกฎหมาย