PDPA One-pager
Max Natthawut Adulyanukosol
ที่มา
หลังจากที่มีการเลื่อนการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act) เพื่อให้องค์กรต่าง ๆ ที่มีการประมวลผลข้อมูลส่วนบุคคล มีเวลาเตรียมกระบวนการทำงานในองค์กรให้พร้อม ก่อนที่กฎหมายจะมีผลบังคับใช้ทั้งฉบับ วันที่ 1 มิถุนายน 2565 นี้
เป็นที่แน่นอนว่า องค์กรต้องให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล แต่ก็ปฏิเสธไม่ได้ว่า พ.ร.บ.นี้ มีรายละเอียดที่ต้องศึกษาไม่น้อยเลย โดย PDPA มีถึง 96 มาตรา และยังมีประกาศที่จะตามมารวมถึงกฎหมายอื่นที่เกี่ยวข้องอีก
คณะแพทยศาสตร์ศิริราชพยาบาล ก็เป็นองค์กรหนึ่งที่จะต้องดำเนินการตาม PDPA เพื่อให้การทำงานตามกฎหมายนี้ที่ศิริราช เป็นระเบียบ สื่อสาร ถ่ายทอดได้เข้าใจตรงกัน ทีม SiData+ จึงได้ทำการศึกษาและสรุปการทำงานเกือบทั้งหมดไว้ใน 1 หน้า
Privacy Program Framework
เนื่องจากว่า Data Privacy เป็นประเด็นที่ได้รับความสนใจในระดับสากล หลาย ๆ ประเทศมีกฎหมายบังคับใช้แล้ว จึงมีต้นแบบการจัดการ Data Privacy Programs/Standards ให้เรานำมาเป็นตัวอย่างการ implement ในองค์กรได้ เช่น
- NIST Privacy Framework และ Crosswalks เปรียบเทียบกับ Frameworks อื่น ๆ
- ISO 27701
- TrustArc Privacy & Data Governance Accountability Framework
- International Association of Privacy Professional (IAPP) Certified Information Privacy Manager (CIPM) Privacy Program Framework
ซึ่งศิริราชเลือกใช้ IAPP CIPM Privacy Program Framework มาเป็นแนวทางใน implement PDPA ขององค์กร ซึ่งแบ่งออกเป็น 4 Phases กิจกรรม ดังนี้
- Assess: ประเมินสถานะ
- Protect: ปฏิบัติงานคุ้มครอง
- Sustain: สร้างความต่อเนื่อง
- Respond: จัดการและตอบสนอง
อ่านภาพสรุปนี้อย่างไร
อาจจะเริ่มจากด้านซ้ายบน ลงล่าง ไปขวา ขึ้นบน
ทางด้านซ้าย ยกตัวอย่าง กลุ่มเจ้าของข้อมูลส่วนบุคคล (Data Subject Types) ซึ่งข้อมูลของแต่ละกลุ่มก็อาจจะอยู่ใน Data Formats ต่าง ๆ เมื่อนำมาประกอบกันจึงเป็นข้อมูลส่วนบุคคล (Personal Data)
การพิจารณาตามกฎหมาย (Unit of Analysis) ให้นำ Data และวัตถุประสงค์การใช้ Data นั้น (Purpose) มาพิจารณาประกอบกัน ซึ่ง 1 ชุด Data อาจมีหลาย Purposes ก็พิจารณาเป็น Unit of Analysis แยกกัน
แน่นอนว่า เมื่อมีการนำ Data มาประมวลผลในองค์กร ก็จะต้องมีการจัดการความปลอดภัย (Security Measures) ตามพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 เปรียบเสมือนรั้วขององค์กร
กลับมาที่ Unit of Analysis องค์กรก็จะต้องพิจารณากฎหมายที่เกี่ยวข้อง และฐานทางกฎหมาย (Lawful Bases) 7 ฐาน ที่ PDPA ให้ใช้ในการประมวลผลข้อมูล เปรียบเสมือนฐานของบ้าน ก่อนจะทำนำข้อมูลไปใช้ได้
มาที่ชั้นล่างของบ้าน สรุปกิจกรรมที่องค์กรต้องทำ 4 หมวดตาม IAPP CIPM Privacy Program Framework ซึ่งจะมีรายการกิจกรรมย่อย ๆ ที่องค์กรต้องจัดให้มี ตามที่กฎหมายกำหนดไว้ ถ้าหากองค์กรไม่ทำก็อาจได้รับโทษทางปกครอง ทางอาญา ทางแพ่ง ได้
ขึ้นที่ชั้นบนของบ้าน สรุปกิจกรรมที่คนในองค์กรและผู้ใดที่ได้รับมอบหมายให้ประมวลผลข้อมูลขององค์กร จะต้องทำตาม Data Life Cycle 5 ระยะ ตั้งแต่ เก็บรวบรวม จนถึง ทำลาย
การจะทำให้เกิด Operational Compliance ในองค์กรได้ก็จะต้องมีการกำหนดนโยบาย โครสร้างการบริหารจัดการ (Governance Structure) และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) หากองค์กรเข้าเงื่อนไขตามกฎหมาย
หลักการที่สำคัญที่ต้องคำนึงถึงเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Data Protection/Privacy Principles) มีอยู่ 7 ประการ ที่มีต้นแบบมาจาก GDPR ตามที่ปรากฎในหลังคาบ้าน
และสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights) ตามที่ปรากฎในกระดาษทางด้านขวาสุดของภาพ
Version มีมาตรากฎหมายประกอบ
แถมอีก 1 version ระบุมาตราตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act) ใช้สำหรับอ้างอิงและอ่านรายละเอียดเพิ่มเติมได้
หวังว่าสรุปนี้จะเป็นประโยชน์ในการเตรียมความพร้อม PDPA ในองค์กรของท่านนะครับ 😄
Subscribe to my newsletter
Read articles from Max Natthawut Adulyanukosol directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by
Max Natthawut Adulyanukosol
Max Natthawut Adulyanukosol
MSc (cand.scient.), BA Hons (Cantab), CIPM Deputy Director of Siriraj Informatics and Data Innovation Center (SiData+)