ไขเทคนิคทำ PDPA ของ
ธนาคารเพื่อการส่งออกและนำเข้าแห่งประเทศไทย (EXIM BANK)
จากงานสัมมนา “PDPA Executive Practices Sharing”
EXIM BANK คือ สถาบันการเงินเฉพาะกิจของรัฐภายใต้การกำกับดูแลของกระทรวงการคลัง ทำหน้าที่ส่งเสริมและสนับสนุนการส่งออก การนำเข้า และการลงทุน นับเป็นองค์กรแรก ๆ ที่หันมาใส่ใจและเริ่มต้นทำ PDPA อย่างจริงจัง โดยมีเป้าหมายเพื่อดูแลข้อมูลส่วนบุคคลของลูกค้า เสมือนข้อมูลส่วนบุคคลของตัวเอง
4 Steps PDPA ในแบบของ EXIM BANK
STEP 1 สำรวจข้อมูลที่มี ต้อง ‘เก็บ’ หรือ ‘ทิ้ง’ ?
- พิจารณาความจำเป็น ซึ่งมีหลักการง่าย ๆ คือ ข้อมูลที่ต้องเก็บ = ข้อมูลที่องค์กรจำเป็นต้องใช้
- ข้อมูลต้องมีที่มาที่ไป โดยพิจารณาจากฐานการประมวลผลของข้อมูลที่จะเก็บ รวมถึงการอ้างอิงตามข้อกฎหมายต่าง ๆ
- ข้อมูลทางการตลาดเก็บได้หรือไม่ ? เนื่องจากข้อมูลที่ใช้ทำการตลาดไม่สามารถอ้างอิงข้อกฎหมายได้ หากต้องการใช้ องค์กรจึงต้องขอคำยินยอม (consent) จากเจ้าของข้อมูลเสียก่อน
STEP 2 การออกแบบและสื่อสารหลักเกณฑ์
- ออกแบบหลักเกณฑ์ภายในให้ดูเป็นเรื่องธรรมดา พยายามให้สอดคล้องกับวัฒนธรรมขององค์กร ทั้ง นโยบาย ระเบียบ คู่มือ เหมือนกับกฎเกณฑ์อื่น ๆ ทั่วไปที่พนักงานต้องปฏิบัติตาม
- สื่อสารให้ชัดเจน ทั้งการสื่อสารภายในและภายนอก เพื่อให้ทุกคนทราบถึงแนวทางการจัดการข้อมูลส่วนบุคคลขององค์กร เช่น องค์กรเก็บ/ไม่เก็บข้อมูลอะไรบ้าง ดำเนินการอย่างไร และใครเป็นผู้รับผิดชอบ
STEP 3 เตรียมความพร้อมพนักงาน
- อบรมให้ความรู้ โดยเฉพาะในด้านข้อกฎหมาย และหลักเกณฑ์ต่าง ๆ
- จัดทำคู่มือปฏิบัติงานให้สามารถเข้าถึงได้ โดยระบุถึงรายละเอียดให้ชัดเจน อาทิ การไหลของข้อมูล (Data Flow) แนวทางการเก็บรักษาข้อมูล ข้อห้ามต่าง ๆ รวมถึงรายชื่อผู้ดูแลในแต่ละส่วน
- สอบทบทวนความรู้ ซึ่งจะจัดให้มีการสอบวัดความเข้าใจของพนักงานทุกระดับในทุก 2 ปี
STEP 4 DPO ต้องทำอะไรบ้าง ?
- ควบคุมดูแลข้อมูล ทั้งความปลอดภัย วิธีการเก็บ วิธีการรับมือหากมีข้อมูลรั่วไหล
- ประเมินความเสี่ยงของคู่สัญญาภายนอก ก่อนว่าจ้างหรือนำส่งข้อมูลออกไปยังภายนอกองค์กร
- ปฏิบัติตามคู่มืออย่างเคร่งครัด หากมีการเปลี่ยนแปลงรายละเอียดสัญญาใด ๆ ต้องมีการส่งให้ฝ่ายกฎหมายตรวจสอบก่อน
…………..
ข้อคิดการทำ PDPA จาก EXIM BANK
ถ้าไม่อยากให้ใครทำอะไรกับข้อมูลส่วนบุคคลของเรา เราก็ต้องไม่ทำสิ่งนั้นกับข้อมูลส่วนบุคคลของคนอื่น
…………..
การทำ PDPA แม้จะดูเหมือนจะยากและซับซ้อน แต่หากองค์กรสามารถวางระบบการจัดการข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพตั้งแต่ต้น ก็จะลดความวุ่นวายในการจัดเก็บและดูแลรักษาข้อมูลส่วนบุคคลในอนาคต รวมถึงสร้างความเชื่อมั่นให้แก่ลูกค้าหรือผู้ใช้บริการได้อย่างแน่นอน
ที่มา : งานสัมมนา PDPA Executive Practices Sharing เผยกลยุทธ์ความสำเร็จการจัดการข้อมูลส่วนบุคคลขององค์กรชั้นนำ หัวข้อ Learn from the Best ทำ PDPA อย่างไร ให้ตอบโจทย์ธุรกิจ กับ ธนาคารเพื่อการส่งออกและนำเข้าแห่งประเทศไทย (EXIM BANK) โดย คุณเข็มจริยา ธีรพงษ์ ผู้อำนวยการฝ่ายกำกับการปฏิบัติงาน และ DPO
…………..
ดูข้อมูลเพิ่มเติม
PDPA Compliance and Implementation![](https://www.ftpi.or.th/wp-content/uploads/2021/10/1-1-1-e1636470521530.png)
หลักสูตรแนะนำ
PDPA Compliance Implementation with NIST Privacy Framework