1 พฤศจิกายน 2021

ไขเทคนิคทำ PDPA ของ
ธนาคารเพื่อการส่งออกและนำเข้าแห่งประเทศไทย (EXIM BANK)

จากงานสัมมนา “PDPA Executive Practices Sharing

EXIM BANK คือ สถาบันการเงินเฉพาะกิจของรัฐภายใต้การกำกับดูแลของกระทรวงการคลัง ทำหน้าที่ส่งเสริมและสนับสนุนการส่งออก การนำเข้า และการลงทุน นับเป็นองค์กรแรก ๆ ที่หันมาใส่ใจและเริ่มต้นทำ PDPA อย่างจริงจัง โดยมีเป้าหมายเพื่อดูแลข้อมูลส่วนบุคคลของลูกค้า เสมือนข้อมูลส่วนบุคคลของตัวเอง

 4 Steps PDPA ในแบบของ EXIM BANK

สำรวจข้อมูลที่มี ต้อง ‘เก็บ’ หรือ ‘ทิ้ง’ ? พิจารณาความจำเป็น ซึ่งมีหลักการง่าย ๆ คือ ข้อมูลที่ต้องเก็บ = ข้อมูลที่องค์กรจำเป็นต้องใช้ ข้อมูลต้องมีที่มาที่ไป โดยพิจารณาจากฐานการประมวลผลของข้อมูลที่จะเก็บ รวมถึงการอ้างอิงตามข้อกฎหมายต่าง ๆ ข้อมูลทางการตลาดเก็บได้หรือไม่ ? เนื่องจากข้อมูลที่ใช้ทำการตลาดไม่สามารถอ้างอิงข้อกฎหมายได้ หากต้องการใช้ องค์กรจึงต้องขอคำยินยอม (consent) จากเจ้าของข้อมูลเสียก่อน

STEP 1 สำรวจข้อมูลที่มี ต้อง ‘เก็บ’ หรือ ‘ทิ้ง’ ?

  • พิจารณาความจำเป็น ซึ่งมีหลักการง่าย ๆ คือ ข้อมูลที่ต้องเก็บ = ข้อมูลที่องค์กรจำเป็นต้องใช้
  • ข้อมูลต้องมีที่มาที่ไป โดยพิจารณาจากฐานการประมวลผลของข้อมูลที่จะเก็บ รวมถึงการอ้างอิงตามข้อกฎหมายต่าง ๆ
  • ข้อมูลทางการตลาดเก็บได้หรือไม่ ? เนื่องจากข้อมูลที่ใช้ทำการตลาดไม่สามารถอ้างอิงข้อกฎหมายได้ หากต้องการใช้ องค์กรจึงต้องขอคำยินยอม (consent) จากเจ้าของข้อมูลเสียก่อน

การออกแบบและสื่อสารหลักเกณฑ์ ออกแบบหลักเกณฑ์ภายในให้ดูเป็นเรื่องธรรมดา พยายามให้สอดคล้องกับวัฒนธรรมขององค์กร ทั้ง นโยบาย ระเบียบ คู่มือ เหมือนกับกฎเกณฑ์อื่น ๆ ทั่วไปที่พนักงานต้องปฏิบัติตาม สื่อสารให้ชัดเจน ทั้งการสื่อสารภายในและภายนอก เพื่อให้ทุกคนทราบถึงแนวทางการจัดการข้อมูลส่วนบุคคลขององค์กร เช่น องค์กรเก็บ/ไม่เก็บข้อมูลอะไรบ้าง ดำเนินการอย่างไร และใครเป็นผู้รับผิดชอบ

STEP 2 การออกแบบและสื่อสารหลักเกณฑ์

  • ออกแบบหลักเกณฑ์ภายในให้ดูเป็นเรื่องธรรมดา พยายามให้สอดคล้องกับวัฒนธรรมขององค์กร ทั้ง นโยบาย ระเบียบ คู่มือ เหมือนกับกฎเกณฑ์อื่น ๆ ทั่วไปที่พนักงานต้องปฏิบัติตาม
  • สื่อสารให้ชัดเจน ทั้งการสื่อสารภายในและภายนอก เพื่อให้ทุกคนทราบถึงแนวทางการจัดการข้อมูลส่วนบุคคลขององค์กร เช่น องค์กรเก็บ/ไม่เก็บข้อมูลอะไรบ้าง ดำเนินการอย่างไร และใครเป็นผู้รับผิดชอบ

เตรียมความพร้อมพนักงาน อบรมให้ความรู้ โดยเฉพาะในด้านข้อกฎหมาย และหลักเกณฑ์ต่าง ๆ จัดทำคู่มือปฏิบัติงานให้สามารถเข้าถึงได้ โดยระบุถึงรายละเอียดให้ชัดเจน อาทิ การไหลของข้อมูล (Data Flow) แนวทางการเก็บรักษาข้อมูล ข้อห้ามต่าง ๆ รวมถึงรายชื่อผู้ดูแลในแต่ละส่วน สอบทบทวนความรู้ ซึ่งจะจัดให้มีการสอบวัดความเข้าใจของพนักงานทุกระดับในทุก 2 ปี

STEP 3 เตรียมความพร้อมพนักงาน

  • อบรมให้ความรู้ โดยเฉพาะในด้านข้อกฎหมาย และหลักเกณฑ์ต่าง ๆ
  • จัดทำคู่มือปฏิบัติงานให้สามารถเข้าถึงได้ โดยระบุถึงรายละเอียดให้ชัดเจน อาทิ การไหลของข้อมูล (Data Flow) แนวทางการเก็บรักษาข้อมูล ข้อห้ามต่าง ๆ รวมถึงรายชื่อผู้ดูแลในแต่ละส่วน
  • สอบทบทวนความรู้ ซึ่งจะจัดให้มีการสอบวัดความเข้าใจของพนักงานทุกระดับในทุก 2 ปี

DPO ต้องทำอะไรบ้าง ? ควบคุมดูแลข้อมูล ทั้งความปลอดภัย วิธีการเก็บ วิธีการรับมือหากมีข้อมูลรั่วไหล ประเมินความเสี่ยงของคู่สัญญาภายนอก ก่อนว่าจ้างหรือนำส่งข้อมูลออกไปยังภายนอกองค์กร ปฏิบัติตามคู่มืออย่างเคร่งครัด หากมีการเปลี่ยนแปลงรายละเอียดสัญญาใด ๆ ต้องมีการส่งให้ฝ่ายกฎหมายตรวจสอบก่อน

STEP 4 DPO ต้องทำอะไรบ้าง ?

  • ควบคุมดูแลข้อมูล ทั้งความปลอดภัย วิธีการเก็บ วิธีการรับมือหากมีข้อมูลรั่วไหล
  • ประเมินความเสี่ยงของคู่สัญญาภายนอก ก่อนว่าจ้างหรือนำส่งข้อมูลออกไปยังภายนอกองค์กร
  • ปฏิบัติตามคู่มืออย่างเคร่งครัด หากมีการเปลี่ยนแปลงรายละเอียดสัญญาใด ๆ ต้องมีการส่งให้ฝ่ายกฎหมายตรวจสอบก่อน

 …………..

ข้อคิดการทำ PDPA จาก EXIM BANK
ถ้าไม่อยากให้ใครทำอะไรกับข้อมูลส่วนบุคคลของเรา เราก็ต้องไม่ทำสิ่งนั้นกับข้อมูลส่วนบุคคลของคนอื่น

…………..

การทำ PDPA แม้จะดูเหมือนจะยากและซับซ้อน แต่หากองค์กรสามารถวางระบบการจัดการข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพตั้งแต่ต้น ก็จะลดความวุ่นวายในการจัดเก็บและดูแลรักษาข้อมูลส่วนบุคคลในอนาคต รวมถึงสร้างความเชื่อมั่นให้แก่ลูกค้าหรือผู้ใช้บริการได้อย่างแน่นอน

 

ที่มา : งานสัมมนา PDPA Executive Practices Sharing เผยกลยุทธ์ความสำเร็จการจัดการข้อมูลส่วนบุคคลขององค์กรชั้นนำ หัวข้อ Learn from the Best ทำ PDPA อย่างไร ให้ตอบโจทย์ธุรกิจ กับ ธนาคารเพื่อการส่งออกและนำเข้าแห่งประเทศไทย (EXIM BANK) โดย คุณเข็มจริยา ธีรพงษ์ ผู้อำนวยการฝ่ายกำกับการปฏิบัติงาน และ DPO

…………..

ดูข้อมูลเพิ่มเติม
PDPA Compliance and Implementation

…………..

หลักสูตรแนะนำ 

 PDPA in Action for HR
(การรับมือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ในมุมมองนักทรัพยากรมนุษย์)

 

 

 


Tags:


Writer

ส่วนสื่อสารองค์กร

ฝ่ายกลยุทธ์และการตลาด
สถาบันเพิ่มผลผลิตแห่งชาติ