the coronation of king rama x
email Webmasster contact's email   phone to ETDA  0-2123-1234
TH | EN


เผยแพร่ 17.05.2018 (1 ปีที่ผ่านมา) | แก้ไขล่าสุด 19.05.2019 | อ่าน 3704

12 ขั้นตอนเตรียมความพร้อมรับ GDPR



12 ขั้นตอนเตรียมความพร้อมรับ GDPR
       Information Commissioner’s Office (ICO) แห่งสหราชอาณาจักร ได้ให้แนวทางในการปรับตัวเพื่อเตรียมพร้อมรับความเปลี่ยนแปลงที่จะเกิดขึ้น จากการเริ่มใช้ GDPR ซึ่งจะมีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม พ.ศ. 2561
1.    Awareness การสร้างความตระหนัก
       เริ่มจากผู้มีอำนาจในการตัดสินใจและบุคคลสำคัญในองค์กร ต้องทราบถึงข้อกฎหมายที่เปลี่ยนแปลงไป เพื่อรับมือกับ GDPR เพราะเป็นกลุ่มที่จะต้องประเมินผลกระทบที่อาจเกิดขึ้นและทางออกหากเกิดปัญหาเรื่องการปฏิบัติตามข้อกำหนดใหม่
2.    Information you hold ใส่ใจกับข้อมูลที่มีอยู่
       ควรมีการบันทึกว่าข้อมูลส่วนบุคคลที่เก็บไว้ มีที่มาจากที่ใดและผู้ที่สามารถเข้าถึงข้อมูล โดยจะต้องสามารถตรวจสอบ
3.    Communicating privacy information การสื่อสารข้อมูลส่วนบุคคล
       ต้องพิจารณาแผน Privacy Information ในปัจจุบัน และวางแผนเพื่อรับเปลี่ยนแปลงให้ทันท่วงทีก่อน GDPR เริ่มมีผลบังคับใช้  
4.    Individuals’ rights สิทธิส่วนบุคคล
       ต้องตรวจสอบขั้นตอนการทำงานเพื่อให้แน่ใจว่าครอบคลุมกับสิทธิส่วนบุคคลที่พึงมีทุกประการ รวมถึงวิธีการลบข้อมูลส่วนบุคคล และการส่งต่อข้อมูลในรูปแบบอิเล็กทรอนิกส์ ซึ่งประกอบไปด้วย

  • สิทธิที่จะได้รับแจ้ง
  • สิทธิ์ในการเข้าถึง
  • สิทธิในการแก้ไข
  • สิทธิในการลบล้าง
  • สิทธิในการจำกัดการประมวลผลข้อมูล
  • สิทธิในการถ่ายโอนข้อมูล
  • สิทธิในการปฎิเสธไม่ให้ใช้ข้อมูล  
  • สิทธิที่จะไม่ใช้การตัดสินใจโดยอัตโนมัติในการประมวลผลข้อมูล

5.    Subject access requests การขอเข้าถึงข้อมูล
       ต้องปรับปรุงวิธีการทำงานให้สอดคล้องกับสถานการณ์ในปัจจุบัน และวางแผนในการดำเนินการ เพื่อพร้อมรับคำร้องขอต่างๆ ภายในระยะเวลาที่กำหนดขึ้นมาใหม่ โดยมีเงื่อนไข ดังนี้

  • ไม่สามารถเรียกเก็บค่าธรรมเนียม
  • มีเวลาหนึ่งเดือนในการปฏิบัติตามข้อกำหนด ซึ่งสั้นกว่าในปัจจุบันที่กำหนดให้ 40 วัน
  • สามารถปฏิเสธหรือเรียกเก็บเงินสำหรับคำขอที่ไร้เหตุผลอย่างชัดเจน หรือเกินความจำเป็น
  • ในกรณีที่ปฏิเสธคำขอต้องระบุเหตุผล ผู้ที่ถูกปฎิเสธมีสิทธิร้องเรียนต่อหน่วยงานกำกับดูแลและกระบวนการยุติธรรม

6.    Lawful basis for processing personal data หลักการเบื้องต้นทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
       ต้องระบุหลักการเบื้องต้นทางกฎหมาย สำหรับกิจกรรมการประมวลผลใน GDPR ทั้งด้านเอกสารและปรับปรุงคำชี้แจงเกี่ยวกับข้อมูลส่วนบุคคลให้เป็นปัจจุบัน  
7.    Consent ความยินยอม
       ต้องรายงานวิธีการจัดเก็บและจัดการกับข้อมูล ว่าได้รับความยินยอมจากเจ้าของข้อมูล และอาจจะต้องทำการเปลี่ยนแปลงเงื่อนไขการจัดการข้อมูลที่มีอยู้ให้เป็นไปตามมาตรฐานของ GDPR
8.    Children เยาวชน
       ต้องเริ่มคำนึงถึงการจัดการระบบในการยืนยันตัวตนและได้รับความยินยอมจากพ่อแม่ หรือผู้ปกครองสำหรับกิจกรรมการประมวลผลข้อมูลใด ๆที่เกิดขึ้นกับข้อมูลของเยาวชน
9.    Data breaches การละเมิดข้อมูล
       ต้องตรวจสอบให้แน่ใจว่ามีขั้นตอนที่เหมาะสมในการตรวจหา รายงานและตรวจสอบการละเมิดข้อมูลส่วนบุคคลที่อาจเกิดขึ้น องค์กรบางแห่งต้องแจ้ง ICO (และหน่วยงานอื่น ๆ ) เมื่อตรวจพบการละเมิดข้อมูลส่วนบุคคล  
10.  Data Protection by Design and Data Protection Impact Assessments การป้องกันข้อมูลด้วยการออกแบบและการปกป้องข้อมูล
        ควรเริ่มประเมินสถานการณ์ที่จะเกิดขึ้น เพื่อทำความเข้าใจกับคำแนะนำของ ICO พร้อมคำแนะนำจากมาตรา 29 และหาแนวทางในการนำไปใช้ในองค์กร  
11.  Data Protection Officers เจ้าหน้าที่คุ้มครองข้อมูล
       ต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ Data Protection Officers (DPO) จากเดิมที่องค์กรต้องแจ้งกิจกรรมการประมวลผลข้อมูลต่อหน่วยงานท้องถิ่น (Local Data Protection Authority) ที่เป็นข้อบังคับตามกฎหมายเดิม (Data Protection Act 1998) ภายใต้กฎ GDPR นี้ไม่ต้องแจ้งแล้ว แต่ต้องจ้างเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO เข้ามาในบริษัท
12.  International การทำงานระดับสากล
       หากองค์กรต้องทำงานร่วมกับประเทศสมาชิกสหภาพยุโรปมากกว่าหนึ่งประเทศ (เช่น มีการโอนย้ายข้อมูลข้ามพรมแดน) ต้องตรวจสอบข้อมูลนำของคุณหน่วยงานกำกับดูแลการป้องกัน มาตรา 29 เพื่อเป็นแนวทางในการดำเนินงาน


ที่มา : https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf

ติดตามข้อมูลข่าวสารเรื่องการคุ้มครองข้อมูลส่วนบุคคล อีกมากมายที่ https://www.etda.or.th/dpkc

Tags: GDPR