Detail :
ข้อมูลส่วนบุคคลต่างๆ ที่องค์กรได้เก็บรวบรวมจากลูกค้าหรือพนักงานไว้เพื่อใช้ประโยชน์ในทางธุรกิจนั้นได้รับความคุ้มครองตามกฏหมายไม่ว่าจะเป็นกฏหมายของไทยหรือกฏหมายของต่างประเทศก็ตาม ดังนั้นในการเก็บรวบรวมและการประมวลผลข้อมูลส่วนบุคคลเหล่านี้จึงจำเป็นต้องดำเนินการให้สอดคล้องกับกฏหมายอย่างเคร่งครัด หากข้อมูลรั่วไหลหรือถูกนำไปใช้โดยมิชอบก็อาจทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลเหล่านั้นและตามกฏหมายแล้วองค์กรที่ครอบครองข้อมูลจะต้องเป็นผู้รับผิดชอบต่อความเสียหายที่เกิดขึ้นซึ่งสำหรับกฏหมายของไทยก็มีทั้งโทษทางแพ่ง ทางอาญาและทางปกครอง สำหรับองค์กรที่เก็บรวบรวมข้อมูลของชาวต่างชาติด้วย อาทิ พลเมืองจากสหภาพยุโรปซึ่งได้รับการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย General Data Protection Regulation หรือ GDPR ก็ต้องรับผิดชอบตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปด้วย เป็นต้น ซึ่งก็มีโทษปรับเป็นเงินจำนวนมาก นอกจากโทษตามกฏหมายแล้วยังก่อให้เกิดความเสียหายต่อภาพพจน์ชื่อเสียงขององค์กรและความเชื่อมั่นของลูกค้าอีกด้วย ซึ่งจะส่งผลกระทบต่อการดำเนินธุรกิจและความอยู่รอดขององค์กรต่อไปในอนาคตอีกด้วย ในการออกแบบระบบการป้องกันข้อมูลให้สอดคล้องกับมาตรฐานและกฎหมายคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าจะเป็นกฏหมายของไทยหรือกฏหมายของต่างชาติก็ตาม มีขั้นตอนและรายละเอียดมากมายตั้งแต่การสำรวจข้อมูลว่าถูกเก็บอยู่ที่ใดบ้าง การจัดระดับความสำคัญข้อมูล การประเมินความเสี่ยงข้อมูล การออกแบบเทคโนโลยีในการป้องกันที่เหมาะสม รวมไปถึงการพัฒนาระบบการจัดการข้อมูลส่วนบุคคลให้สามารถตอบสนองต่อความต้องการทางธุรกิจขององค์กรได้อย่างมีประสิทธิภาพนั้น เรามีทีมพัฒนาที่จะช่วยให้ท่านสามารถพัฒนาระบบการจัดการข้อมูลส่วนบุคคลและการป้องกันข้อมูลที่มีความทันสมัย มีประสิทธิภาพ สอดคล้องกับมาตรฐานสากลในการปกป้องข้อมูลและกฏหมายคุ้มครองข้อมูลส่วนบุคคลที่สำคัญที่มีประกาศใช้อยู่ทั้งในปัจจุบันและอนาคต
โดยการพัฒนาระบบบริหารจัดการข้อมูลส่วนบุคคลเพื่อการดำเนินการขององค์กรที่สอดคล้องตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะถูกแบ่งออกเป็น 3 ระยะ ดังนี้
[ระยะที่ 1] การจัดการคำขอความยินยอมและสิทธิของเจ้าของข้อมูลส่วนบุคคล
เป็นระบบที่ใช้ปะติสัมพันธ์ระหว่างเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลในการขอความยินยอมและการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เพื่อให้ธุรกิจสามารถดำเนินได้อย่างต่อเนื่องเมื่อมีการบังคับใช้กฎหมายที่เกี่ยวข้องอย่างเต็มรูปแบบ ส่วนนี้ประกอบด้วย
- Website scanning and cookie consent: สร้างระบบการจัดการขอความยินยอมในการเก็บ Cookie บนเว็บไซต์ที่กำหนด
- Application Consent: สร้างระบบการจัดการขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลผ่าน Mobile Application ที่กำหนด
- Universal Consent Management: สร้างระบบการจัดการขอความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลจากจุดรวบรวมข้อมูลที่ถูกตั้งไว้เพื่อรับข้อมูลส่วนบุคคลในบริการต่าง ๆ
- Data Subject Rights Management: สร้างระบบจัดการคำร้องขอใช้สิทธิของเจ้าของข้อมูลตามกฎหมาย ตั้งแต่รับคำร้องขอใช้สิทธิ จัดการการไหลของคำขอใข้สิทธิในองค์กร ทั้งในแบบอัตโนมัติและแบบอาศัยพนักงานเป็นผู้ดำเนินการ จนถึงการตอบกลับคำขอใช้สิทธิดังกล่าวกลับไปยังเจ้าของข้อมูลส่วนบุคคล
- Privacy & Notice Management: พัฒนานโยบายต่างๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลขององค์กร ดังนี้
- นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
- นโยบายการแบ่งชั้นความลับของข้อมูล (Data Classification Policy)
- นโยบายการเก็บรักษาและทำลายข้อมูล (Data Retention and Disposal Policy)
- ปรับปรุงต้นแบบสัญญา/ข้อตกลงในการเก็บรวบรวม ใช้ และเปิดเผยกับผู้ประมวลผลข้อมูล (Contract and Agreement Improvement)
- นโยบายและข้อปฏิบัติเพื่อรับมือกับเหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach Policy and Procedure)
[ระยะที่ 2] กิจกรรมการฝึกอบรมให้ความรู้และทักษะในด้านกฎหมาย พรบ. คุ้มครองข้อมูลส่วนบุคคล
เป็นการฝึกอบรมให้ความรู้และทักษะในด้านกฎหมาย พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และขั้นตอนการดำเนินการเพื่อปรับปรุงองค์กรให้สอดคล้องกฎหมาย ดังนี้
- องค์ประกอบที่สำคัญในการป้องกันข้อมูลส่วนบุคคล
- หลักการป้องกันข้อมูลส่วนบุคคล (Data Protection Principles)
- ภาพรวมของกฎหมาย PDPA
- ขอบเขตและคำนิยามของกฎหมาย PDPA (Scope and Definitions)
- คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
- การคุ้มครองข้อมูลส่วนบุคคล
- การเก็บรวบรวมข้อมูลส่วนบุคคล
- การใช้หรือเปิดเผยข้อมูล
- สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights)
- หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller Responsibility)
- หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor Responsibility)
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)
- สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
- การร้องเรียน และ บทลงโทษ
- แนวทางการดำเนินการเพื่อให้องค์กรสอดคล้องกับกฎหมาย PDPA
[ระยะที่ 3] การประเมินและปรับปรุงกระบวนการ
ดำเนินการประเมินความพร้อมและความเสี่ยงขององค์กรเกี่ยวกับข้อกำหนดตามกฏหมาย รวมถึงปรับปรุงกิจกรรมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ให้สอดคล้องตามกฏหมาย ส่วนนี้ประกอบด้วย
- Gap Analysis: วิเคราะห์เปรียบเทียบระหว่างสิ่งที่การดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่องค์กรดำเนินการอยู่ในปัจจุบันเทียบกับข้อกำหนดตามกฎหมาย
- Data Mapping: รวบรวมข้อมูลและสร้างแผนภาพ Personal Data Flow ของบริการต่างๆขององค์กร ที่จะนำไปใช้ในขั้นตอนการประเมินต่อไป
- Legal Basis & Processing Activity Assessment: ประเมินฐานกฎหมายและกิจกรรมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลขององค์กรเทียบกับข้อกำหนดตามกฎหมาย (ขั้นตอนนี้จะต้องดำเนินการทำ Data Mapping ก่อน)
- Processing Activity Improvement: แก้ไขกระบวนการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเพื่อให้ถูกต้องตามวัตถุประสงค์ที่แจ้งให้กับเจ้าของข้อมูลส่วนบุคคลและสอดคล้องกับกฎหมาย
- Privacy Risk Assessment: ประเมินและให้ข้อเสนอแนะในการจัดการความเสี่ยงที่ส่งผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลที่มีต่อองค์กรและเจ้าของข้อมูลส่วนบุคคล
Development of Personal Data Protection and Management System
The personal information that the organization collects from customers or employees for business benefits is protected by law, whether it is Thai PDPA law or foreign law. Therefore, in collecting and processing these personal data, it is necessary to strictly comply with the law. If the information is leaked or misused, it may cause harm or damage to those personal data owners. In accordance with the law, organization that controls or processes the data shall be responsible for the damage that occurs. In addition, organizations that collect personal information of foreigners, such as citizens from the European Union that are protected by the General Data Protection Regulation (GDPR), they are also getting penalty from the GDPR. In addition to penalty, organization can lost their reputation and the confidence of customers. This will also impact to the business and the survival of the organization in the future as well. In designing data protection systems to comply with standards and personal data protection laws, whether Thai PDPA or foreign laws, there are a lot of thing to do such as data policies, data classification, data risk assessment as well as designing of the appropriate protection technology, including the development of personal data management systems to be able to meet the business needs. We have a development team to help you develop a modern and efficient data protection system to comply with data protection standards, including current and future personal data protection laws.