9 ขั้นตอนในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)
นโยบายโดยผู้บริหาร
ผู้บริหารหรือผู้มีอำนาจจัดการขององค์กรต้องกำหนดนโยบายเกี่ยวกับการจัดการข้อมูลส่วนบุคคลภายในองค์กร ทั้งในส่วนของนโยบายการคุ้มครองข้อมูลและนโยบายการรักษาความปลอดภัยของข้อมูล
เจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer: DPO)
แต่งตั้ง "เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" ขององค์กร เพื่อทำหน้าที่ในการให้ความรู้ความเข้าใจเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แก่กลุ่มบุคลากรผู้มีหน้าที่ในการประมวลผลข้อมูลส่วนบุคคลภายในองค์กร ทั้งนี้ เจ้าหน้าที่คุ้มครองข้อมูลอาจเป็นได้ทั้งเจ้าหน้าที่จากภายในองค์กรหรือจากภายนอกองค์กรก็ได้
บันทึกกิจกรรมการประมวลผล
ตรวจสอบทบทวนการปฏิบัติการประมวลผลข้อมูลส่วนบุคคล เช่น การแสดงรายละเอียด การรวบรวมจัดเก็บ การใช้ การถ่ายโอน สิทธิของเจ้าของข้อมูล ประเภทของข้อมูลที่จัดเก็บ ไม่ว่าจะเป็นข้อมูลที่เป็นข้อมูลส่วนบุคคลหรือข้อมูลอ่อนไหว รวมถึงตรวจสอบทบทวนระบบเทคโนโลยีสารสนเทศและซอฟต์แวร์ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลทั้งหมดภายในองค์กร
การแจ้งสิทธิของเจ้าของข้อมูล
แจ้งให้เจ้าของข้อมูลทราบเกี่ยวกับการใช้ข้อมูลส่วนบุคคลทุกครั้งก่อนดำเนินการประมวลผลข้อมูลส่วนบุคคล รวมถึงแจ้งให้ทราบสิทธิต่าง ๆ ที่เจ้าของข้อมูลพึงมีตามที่กฎหมายกำหนดด้วย
ความยินยอม
ตรวจสอบการขอความยินยอมจากเจ้าของข้อมูล ในกรณีที่มีการประมวลผลข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว หรือเมื่อมีการใช้งานข้อมูลส่วนบุคคลที่เกินความจำเป็น ว่ามีการขอความยินยอมถูกต้องครบถ้วนหรือไม่
การถ่ายโอนข้อมูลระหว่างประเทศ
ดำเนินการตรวจสอบไปยังประเทศปลายทางที่จะถ่ายโอนข้อมูลส่วนบุคคลไปว่ามีการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายอย่างไร มีการกำหนดมาตรฐานการคุ้มครองเทียบเท่าหรือสูงกว่ามาตรฐานตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของประเทศไทยหรือไม่
ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล
จัดทำร่างข้อตกลงในการประมวลข้อมูล (Data Processing Agreement: DPA) เพื่อกำหนดสิทธิหน้าที่และความรับผิดเกี่ยวกับการประมวลผลข้อมูลระหว่างผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล
การแจ้งเหตุการละเมิดข้อมูล
ดำเนินการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Commission: PDPC) ภายใน 72 ชั่วโมงหลังจากทราบเหตุ
ช่องทางการใช้สิทธิของเจ้าของข้อมูล
จัดให้มีช่องทางในการใช้สิทธิของเจ้าของข้อมูลให้ครบถ้วนตามกฎหมาย เข้าถึงได้ง่าย และปราศจากการคิดค่าธรรมเนียมใด ๆ
