PDPA
องค์กรที่ต้องปฏิบัติตามตามมาตรฐาน PDPA
กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA กำหนดให้ องค์กรทุกประเภท ที่มีการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ของบุคคลอื่น จะต้องปฏิบัติตามกฎหมายนี้ องค์กรที่ต้อง Compliance กับ PDPA แบ่งออกเป็น 2 ประเภทหลักๆ ดังนี้
1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
หมายถึง องค์กรที่กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคล เช่น
- บริษัทเอกชน
- หน่วยงานรัฐ
- องค์กรไม่แสวงหาผลกำไร
2. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
หมายถึง องค์กรที่ประมวลผลข้อมูลส่วนบุคคล แทน ผู้ควบคุมข้อมูลส่วนบุคคล เช่น
- บริษัทรับจ้างเก็บรวบรวมข้อมูล
- บริษัทรับจ้างวิเคราะห์ข้อมูล
- บริษัทรับจ้างจัดส่งสินค้า
องค์กรเหล่านี้ต้องดำเนินการดังนี้
- จัดทำนโยบายความเป็นส่วนตัว อธิบายวิธีการที่องค์กรจะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
- แจ้งให้เจ้าของข้อมูลทราบ เกี่ยวกับสิทธิ์ของพวกเขาในการเข้าถึง แก้ไข ลบ หรือคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตน
- ขอความยินยอม จากเจ้าของข้อมูลก่อนที่จะประมวลผลข้อมูลส่วนบุคคลของพวกเขาในบางกรณี
- ใช้มาตรการรักษาความปลอดภัย ที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลจากการสูญเสีย การล่วงละเมิด หรือการใช้ในทางที่ผิด
- แต่งตั้งผู้ดูแลข้อมูลส่วนบุคคล (Data Protection Officer – DPO) ในบางกรณี
นอกจากนี้ องค์กรยังต้อง
- ฝึกอบรมพนักงาน เกี่ยวกับ PDPA
- จัดทำเอกสาร เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
- ตรวจสอบระบบและกระบวนการ ของตนเป็นประจำเพื่อให้แน่ใจว่าสอดคล้องกับ PDPA
- รายงานต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ก.ก.ค.) เกี่ยวกับเหตุการณ์การละเมิดข้อมูลส่วนบุคคลที่ร้ายแรง