Author name: admin

สิทธิของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล DPO ต้องได้รับความคุ้มครอง และควรมีมาตรการเพื่อให้ การปฏิบัติหน้าที่ของ DPO เป็นไปโดยอิสระ การให้ออกหรือเลิกจ้างเพราะเหตุที่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะทำมิได้ เป็นการฝ่าฝืน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท (มาตรา 82) DPO จะต้องได้รับการสนับสนุนการทำงาน และได้รับการอำนวยความสะดวกอย่างเพียงพอต่อการทำงาน เช่น การสนับสนุนจากฝ่ายอื่นๆ การให้เวลาเพียงพอในการทำงานของ DPO การจัดหาทรัพยากรในการทำงานให้เพียงพอแก่การทำงาน ไม่ว่าจะในลักษณะของเงิน โครงสร้างพื้นฐาน และพนักงานสนับสนุน การสื่อสารองค์กร การเข้าถึงบริการอื่นๆ ของกิจการเพื่อ สนับสนุนการปฏิบัติหน้าที่ของ DPO การฝึกอบรมอย่างต่อเนื่อง หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องจัดการ นโยบายภายใน และต้องประเมินว่ากิจกรรมนั้นขององค์กรมีความเหมาะสมปลอดภัยหรือไม่ ถ้ามีความเสี่ยงแล้วจะต้องเพิ่มมาตรการใดให้สอดคล้องกับกฎหมาย การติดตามอย่างสม่ำเสมอ ต้องจัดการ ข้อร้องเรียน หรือการร้องขอ และต้องรายงาน ความล้มเหลว ตรวจสอบการ ปฏิบัติตามกฎหมายคุ้มครองข้อมูล และให้ความร่วมมือ กับหน่วยงานกำกับดูแลต้องแจ้ง และให้คำแนะนำบริษัท ตามมาตรฐาน และวิธีการเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูล ต้องประสาน และตรวจสอบ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 42 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้ (1) ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้ง ลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติ ตามพระราชบัญญัตินี้ (2) ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล  รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับ การเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัตินี้ (3) ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติ ตามพระราชบัญญัตินี้ (4) รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ ตามพระราชบัญญัตินี้ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องสนับสนุนการปฏิบัติหน้าที่ ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวย ความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจะให้เจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ ตามพระราชบัญญัตินี้ไม่ได้ ทั้งนี้ ในกรณีที่มีปัญหาในการปฏิบัติหน้าที่ เจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลต้องสามารถรายงานไปยังผู้บริหารสูงสุดของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคลโดยตรงได้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจปฏิบัติหน้าที่หรือภารกิจอื่นได้ แต่ผู้ควบคุมข้อมูล ส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับรองกับสำนักงานว่าหน้าที่หรือภารกิจดังกล่าว ต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ จากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 42 DPO จึงต้องเข้าใจธุรกิจขององค์กร และต้องตอบคำถามเหล่านี้ได้ สามารถบอกได้ว่าว่าองค์กรมีลักษณะการทำงานยังไง แต่ละแผนก แต่ละฝ่ายทำกิจกรรมอะไรบ้าง มีความรู้เกี่ยวกับ กิจกรรมขององค์กร แต่ละกิจกรรมนั้น ทำให้องค์กรอยู่ในฐานะใด เช่น ในฐานะเป็นผู้ควบคุมข้อมูล

พระราชบัญญัติข้อมูลส่วนบุคคล เป็นกฎหมายให้สิทธิและคุ้มครองเจ้าของข้อมูลส่วนบุคคล ซึ่งข้อมูลส่วนบุคคลได้แก่ ข้อมูลที่สามารถระบุตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม กฎหมายฉบับนี้ได้กำหนดหน้าที่ของบริษัทฯ ซึ่งอาจมีฐานะเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) จะต้องรักษาความปลอดภัยและความมั่นคงของข้อมูลเก็บเป็นความลับ โดยไม่ให้มีการเปลี่ยนแปลงหรือเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล ซึ่งเรามีตัวอย่าง มาตรการรักษาความปลอดภัยของข้อมูล มาให้ทุกท่านรับทราบ ดังนี้ มาตราการป้องกันการสูญหายของข้อมูลส่วนบุคคล เช่น การสำรองข้อมูล และการทดสอบข้อมูลที่สำรองไว้ หรือการป้องกันไวรัส มัลแวร์ต่าง ๆ มาตรการป้องกันการเข้าถึงข้อมูลส่วนบุคคล การแยกลำดับ และจัดระบบชั้นของข้อมูลที่มีความสำคัญ รวมถึงข้อมูลที่มีความอ่อนไหว SENSITIVE มาตราการกำหนดแนวทางการจัดการสิทธิในการเข้าถึงข้อมูลส่วนบุคคล กำหนดสิทธิ ยกเลิก ทบทวน ตรวจสอบ ติดตาม และจัดให้มีระบบตรวจสอบการเข้าถึงข้อมูล และการละเมิดข้อมูลส่วนบุคคล มาตรการป้องกันการใช้ หรือแก้ไขข้อมูลโดยมิชอบ เช่น กำหนดสิทธิในการเรียกใช้ข้อมูล รวมถึงแจ้งวัตถุประสงค์ในการขอใช้ข้อมูล กําหนดสิทธิข้อจำกัดในการแก้ไขข้อมูลส่วนบุคคลโดยไม่รับอนุญาต มาตรการรักษาความปลอดภัยของข้อมูล เช่น การตั้งค่ารหัสข้อมูล DATA ENCRYPTION หรือมาตรการพิสูจน์ตัวตนหลายขั้น มีการจัดทำ AUDIT LOG เพื่อเก็บบันทึกการแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคล

โปรดอ่านในหัวข้อ ดังนี้ ขั้นตอนที่ 1 ธุรกิจของท่าน มีการจัดเก็บรวบรวม ใช้ หรือเผยแพร่ ข้อมูลบุคคลธรรมดา เช่น ข้อมูลพนักงาน ผู้สมัครงาน ผู้ฝึกงาน ข้อมูลผู้มาติดต่อ เข้าอาคาร ข้อมูลจากการติดตั้งกล้องวงจรปิดภายในและภายนอก ข้อมูลจากการถ่ายรูป อัดวีดีโอ ติดภาพบุคคลอื่นๆ ข้อมูลจากลูกค้า คู่ค้า ผู้ผลิต ผู้จัดจำหน่ายของท่านและบุคคลภายนอกที่ติดต่อทำธุรกิจกับท่าน ธุรกิจของท่าน มีการจัดเก็บรวบรวม ใช้ หรือเผยแพร่ ข้อมูลบุคคลธรรมดา ประเภท เชื้อชาติ ศาสนา ประวัติอาชญกรรม และสำเนาบัตรประจำตัวประชาชนหรือไม่? หากใช่ นั่นหมายความว่าท่านกำลังประมวลผลข้อมูลส่วนบุคคล โปรดอ่านในขั้นตอนต่อไป ขั้นตอนที่ 2 ท่านทราบหรือไม่ว่าท่านมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ท่านทราบหรือไม่ว่า กรณีใดบ้างที่ท่านต้องขอความยินยอม และ กรณีใดบ้างที่ท่านไม่ต้องขอความยินยอม ท่านทราบหรือไม่ว่าท่านมีหน้าที่ใดบ้างที่ต้องดำเนินการ ท่านทราบหรือไม่ว่าท่านมีเอกสารใดบ้างที่ท่านต้องปรับปรุง ท่านทราบหรือไม่ว่าท่านต้องกำหนดวิธีการจัดการข้อมูลส่วนบุคคลที่อยู่ในความดูแลของท่าน ไม่ว่าท่านจะส่งต่อทั้งภายในองค์กรหรือส่งต่อไปยังหน่วยงานภายนอกองค์กร ท่านกำหนดระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลไว้แล้วใช่หรือไม่ หากท่านไม่ทราบ นั่นหมายความว่า กฎหมายคุ้มครองข้อมูลมีส่วนเกี่ยวข้องกับบริษัทท่าน แต่ ท่านยังไม่ได้เตรียมความพร้อมอย่างเพียงพอในการรับมือกับกฎหมายนี้ เรายินดีให้คำปรึกษาเพื่อให้องค์กรของท่านมีความพร้อมในการดำเนินธุรกิจที่สอดคล้องกับ