Chinese (Simplified)EnglishThai

Chinese (Simplified)EnglishThai

Chinese (Simplified)EnglishThai

การเก็บรักษาข้อมูล PDPA การประมวลผลข้อมูลส่วนบุคคล

การเก็บรักษาข้อมูล PDPA ผู้ประกอบการหลายรายโดยเฉพาะอย่างยิ่งผู้ให้บริการในด้านซอฟต์แวร์ (Software-as-a-Service, SaaS) ที่ให้บริการหรือรับดำเนินโครงการต่าง ๆ ให้กับหน่วยงานของรัฐที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (“การประมวลผลข้อมูลส่วนบุคคล”) อาจมีคำถามที่เกิดขึ้นตามมาว่าการประมวลผลข้อมูลส่วนบุคคลของตนในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการในนามของรัฐนั้นจะอยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือไม่ และหากการประมวลผลข้อมูลส่วนบุคคลดังกล่าวตกอยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ ผู้ประกอบการที่มีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล จะต้องเตรียมพร้อม ดำเนินการ และมีหน้าที่อย่างไรบ้างตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​

สิทธิของเจ้าของข้อมูลส่วนบุคคลที่ถูกประมวลผลโดยผู้ควบคุมข้อมูลส่วนบุคคลที่อาศัยฐานภารกิจของรัฐ​นั้นจะมีความต่างจากการประมวลผลโดยผู้ควบคุมข้อมูลส่วนบุคคลที่อาศัยฐานความชอบด้วยกฎหมายอื่นกล่าวคือ เจ้าของข้อมูลส่วนบุคคลจะมีสิทธิเพียงการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตน (มาตรา 32) แต่เจ้าของข้อมูลไม่สามารถใช้สิทธิในการขอลบ และโอนย้าย ข้อมูลส่วนบุคคลของตนต่อผู้ควบคุมข้อมูลส่วนบุคคลได้

ด้วยเหตุนี้ เอกชนที่เข้าไปร่วมกับหน่วยงานรัฐในฐานะผู้ควบคุมข้อมูลส่วนบุคคลร่วมหรือผู้ประมวลผลข้อมูลส่วนบุคคลจึงมีหน้าที่ต้องตรวจสอบและสอบทานฐานความชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลของตนเองเสมอว่ามีฐานโดยชอบด้วยกฎหมายหรือไม่ และฐานนั้น ๆ มีข้อจำกัดและเงื่อนไขอย่างไร และที่เชื่อว่าหน่วยงานของรัฐมีอำนาจตามกฎหมายทำอะไรก็ได้นั้น ประสบการณ์การบังคับใช้กฎหมายในต่างประเทศบอกให้รู้ว่า ไม่จริงครับ

ก่อนที่จะพิจารณาถึงหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ ได้นั้นจำต้องพิจารณาก่อนว่าการประมวลผลข้อมูลส่วนบุคคลของหน่วยงานรัฐที่ผู้ประกอบการเข้าไปให้บริการหรือจัดทำโครงการให้นั้นได้รับการยกเว้นให้ไม่ต้องอยู่ภายใต้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ​หรือไม่ อย่างไร PDPA การเก็บรักษาข้อมูล

5 ขั้นตอนสำคัญเพื่อพัฒนานโยบาย การเก็บรักษาข้อมูล (ส่วนบุคคล) ของคุณ
ฟอร์มทีมพัฒนานโยบาย
การจัดตั้งทีมพัฒนานโยบายการเก็บรักษาข้อมูล นอกเหนือจากมีนักกฎหมายเป็นสมาชิกหลัก ควรประกอบไปด้วยตัวแทนจากบุคลากรทุกภาคส่วน ไม่ว่าจะเป็นฝ่ายขาย การตลาด บัญชี ทรัพยากรมนุษย์ หรือแผนกอื่น ๆ ที่เกี่ยวข้องกับข้อมูลในองค์กร (อันที่จริงอาจกล่าวได้ว่าแทบทุกแผนกเกี่ยวข้องกับข้อมูลส่วนบุคคลไม่ทางใดก็ทางหนึ่ง) เพราะนักกฎหมายฝ่ายเดียวอาจมองเห็นภาพไม่ชัดเจน การฟอร์มทีมจากทุกส่วนขององค์กรแบบนี้จะช่วยให้การพัฒนานโยบายเป็นไปอย่างครอบคลุมมากที่สุดนั่นเองครับ

พิจารณาเกณฑ์ที่บังคับ
ทีมพัฒนานโยบายฯ ควรพิจารณาว่ามีกฎหมายหรือระเบียบบังคับจากองค์กรกำกับดูแลใดบ้างที่มีขอบเขตเกี่ยวข้องกับระยะเวลาในการเก็บรักษาข้อมูลและการลบหรือทำลายข้อมูล โดยหลัก ๆ แล้ว สำหรับกิจการที่ประมวลผลข้อมูลภายในประเทศไทยจะต้องปฏิบัติตามมาตรการ/แนวทางของ การเก็บรักษาข้อมูล PDPA ที่วางโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ปัจจุบันยังไม่มีมาตรการออกมาอย่างเป็นทางการ) หรือหากมีกิจการในประเทศอื่น/ประมวลผลข้อมูลของบุคคลต่างชาติอาจต้องศึกษาและดำเนินการตามข้อบังคับของท้องถิ่นนั้น เช่น หากคุณเก็บรักษาข้อมูลของชาวยุโรปจะต้องดำเนินการเก็บรักษา และลบหรือทำลายข้อมูลตาม GDPR ซึ่งมีขอบเขตบังคับใช้ภายในสหภาพยุโรป

นอกจากนั้น เกณฑ์ข้อบังคับที่เกี่ยวข้องกับแนวทางการเก็บรักษาและลบหรือทำลายข้อมูล อาจพิจารณาใช้ตามระเบียบ/มาตรฐาน/บรรทัดฐานของแต่วงการร่วมด้วย เช่น การเก็บรักษาผลประเมินการทำงานของบุคลากรในองค์กรที่ฝ่าย HR เก็บรักษาเอาไว้เพียง 3 ปีหลังการประเมินเสร็จสมบูรณ์ การเก็บรักษาบัญชีและเอกสารที่ใช้ประกอบการลงบัญชี (ซึ่งมีส่วนหนึ่งเป็นข้อมูลส่วนบุคคล) ที่ต้องเก็บรักษาไม่น้อยกว่า 5 ปี เพื่อประโยชน์ในการตรวจสอบ หรือการเก็บรักษาเวชระเบียนทางการแพทย์หรือข้อมูลสุขภาพของผู้ป่วยซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหว ที่จะถูกลบทำลายเมื่อผู้ป่วยขาดการติดต่อกับโรงพยาบาลเกิน 5 ปี เป็นต้น

กำหนดประเภทข้อมูลที่คุ้มครองภายใต้นโยบาย
ก่อนดำเนินการเขียน Data Retention Policy ทางทีมฯ ต้องสำรวจภายในองค์กรให้ถี่ถ้วน คัดเลือก และจัดทำลิสต์ออกมาว่ามีข้อมูลใดบ้างที่เข้าข่ายเป็นข้อมูล/ข้อมูลส่วนบุคคลที่จำเป็นต้องเก็บรักษาต่อไป เพื่อเขียนระบุไว้ในนโยบายในเชิงรายละเอียดให้มีความครอบคลุม (ส่วนข้อมูลบางประเภทที่ไม่จำเป็นต้องเก็บรักษาเอาไว้ก็ควรลบหรือทำลายทิ้งเสีย เพื่อไม่ให้เป็นภาระในอนาคต)

ยกตัวอย่างประเภทของข้อมูล ได้แก่ เอกสารกระดาษ อีเมลและเอกสารอิเล็กทรอนิกส์อื่น ๆ บันทึกประวัติส่วนตัวลูกค้า ข้อมูลการโอนจ่ายเงิน สเปรดชีทการเงิน สัญญา ข้อความโต้ตอบระหว่างเจ้าหน้าที่และลูกค้า ข้อมูลคู่ค้าและซัพพลายเออร์ ข้อมูลยอดชำระ ใบแจ้งหนี้ ใบเสร็จรับเงิน เอกสารภาษีและบัญชี รายการทางการเงิน ข้อมูลสุขภาพของผู้ป่วย ข้อมูลผู้เรียน ฯลฯ

เขียนนโยบายให้ชัดเจน
เมื่อเตรียมการเกี่ยวกับประเภทของข้อมูล ตลอดจนฐานการประมวลผลและระยะเวลาที่เหมาะสมในการเก็บรักษาข้อมูลแต่ละประเภทแล้ว ก็ถึงเวลาลงมือจัดทำนโยบายการเก็บรักษาข้อมูล ซึ่งต้องประกอบไปด้วย:

วัตถุประสงค์ของการประมวลผลข้อมูล (ส่วนบุคคล) โดยเฉพาะการเก็บรักษาข้อมูล
กฎหมาย ข้อบังคับ นโยบาย ระเบียบ หรือบัญญัติอื่น ๆ ที่นำมาปรับใช้เพื่อเก็บรักษาข้อมูล
ระยะเวลาการเก็บรักษาข้อมูลและกำหนดการลบหรือทำลายข้อมูล
แผนการดำเนินคดี (เพื่อค้นหาและรวบรวมข้อมูลที่เกี่ยวข้องอย่างรวดเร็วและมีความสามารถในการป้องกันทางกฎหมาย)
เพื่อประโยชน์ในการดำเนินคดี)
กำหนดการอัปเดตนโยบายให้มีความทันสมัย
อัปเดตให้บุคลากรทราบ
การเก็บรักษาข้อมูล และการคุ้มครองข้อมูล เป็นประเด็นที่ทุกคนในองค์กรควรรับรู้ จึงควรประกาศแจ้งนโยบายที่เขียนขึ้น/จัดอบรมให้บุคลากรทราบโดยทั่วถึงและอยู่ใน Loop ของการพัฒนานโยบายให้ทันสมัยอยู่เสมอ โดยคุณอาจจัดการประชุมร่วมระหว่างตัวแทนจากส่วนงานต่าง ๆ เมื่อมีวาระการอัปเดตนโยบาย ซึ่งแต่ละหน่วยงานอาจพบปัญหาและมีคำแนะนำจากหลายมุมมอง เพื่อทีมงานจะได้มีความเข้าใจในสถานการณ์อย่างลึกซึ้งและพัฒนานโยบายการจัดเก็บข้อมูลได้อย่างมีประสิทธิภาพ

THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร

เพื่อให้องค์กรและบริษัท ทั้งภาครัฐและเอกชน จัดเตรียมบุคลากร กระบวนการ และเครื่องมือในการดำเนินการสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

แม้ว่ากฎหมายอาจจะยังไม่ได้ประกาศใช้ในขณะนี้ แต่เราเปิดให้คำปรึกษาและบริการปกป้องข้อมูลตาม พ.ร.บ.ฯ แบบครบวงจร เพราะควรเตรียมพร้อมในกระบวนการ การเก็บข้อมูลส่วนบุคคลให้เป็นไปอย่างถูกต้องและสอดคล้องกับ กฎหมายใหม่อีกจะประกาศใช้อย่างเป็นทางการในเดือน พฤษภาคม พ.ศ. 2564 เพื่อสิทธิในการเข้าถึงข้อมูลของสมาชิกในองค์กรและการจัดการข้อมูลของฝ่ายบริหารในองค์กรของคุณ

สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems

ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้

สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์  EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9

Related Articles