เอกสารที่คลินิกจำเป็นต้องมีในยุค PDPA

ตามกฎหมาย PDPA ( Personal Data Protection Act ) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีข้อกำหนดตามกฎหมาย คลินิกในฐานะผู้ควบคุมข้อมูลปฏิบัติตามกฎหมาย PDPA เอกสารที่ต้องมี มีดังนี้

(1) นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) คือ เอกสารที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือคลินิกในฐานะผู้ควบคุมข้อมูลส่วนบุคคลกำหนดหลักเกณฑ์ว่าองค์กรจะดูแล รวมถึงบริหารจัดการข้อมูลอย่างไร นโยบายคุ้มครองข้อมูลส่วนบุคคลจะแนะนำพนักงานภายในองค์กรถึงวิธีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล นอกจากนี้ยังแนะนำสิทธิของเจ้าของข้อมูลส่วนบุคคลพึงจะมีตามกฎหมาย PDPA

(2) การจัดทำประกาศความเป็นความส่วนตัว หรือที่คุ้นเคยกันในชื่อของ Privacy Notice ซึ่งเป็นการแจ้งเจ้าของข้อมูลส่วนบุคคลเพื่อให้ทราบเกี่ยวกับรายละเอียด วิธีการ การดำเนินการต่าง ๆ เกี่ยวกับข้อมูลส่วนบุคคล โดยกฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล ตามมาตรา 23

(3) การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) เนื่องจาก DPO เป็นเจ้าหน้าที่จะเข้ามาดูแลและให้ความคุ้มครองเกี่ยวกับข้อมูลส่วนบุคคลทั้งในองค์กร ไม่ว่าจะเป็นข้อมูลภายในขององค์กรเรา หรือจะเป็นข้อมูลภายนอก โดย DPO ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคล และตรวจสอบการใช้ข้อมูลส่วนบุคคล กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในกรณีตามที่กำหนดไว้ในมาตรา 41 ซึ่งอาจแต่งตั้งจากพนักงานภายในองค์กรหรือแต่งตั้งผู้รับจ้างให้บริการตามสัญญาก็ได้

(4) การจัดทำบันทึกรายการกิจกรรมการประมวลผล (Records of Processing Activities) หรือ ROPA การทำ ROPA นั้นถือเป็นขั้นตอนที่มีความสำคัญมากที่สุด ต่อความสำเร็จในการดำเนินโครงการ PDPA ขององค์กร เพราะข้อมูลบันทึกกิจกรรมการประมวลผลดังกล่าว เปรียบเสมือนแผนผังของข้อมูลส่วนบุคคลทั้งหมดในองค์กร ที่จะทำให้องค์กรสามารถวางแผนหรือกระบวนการทำงานในการดำเนินการเกี่ยวกับ PDPA ทั้งหมดขององค์กรได้อย่างถูกต้องครบถ้วน ทำให้สามารถจัดการสร้างความตระหนักรู้เกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลให้แก่บุคคลากรภายในองค์กร

(5) การจัดทำแบบคำขอความยินยอม (Consent Form) หลักการขอความยินยอมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล จะต้องแจ้งรายละเอียดและวัตถุประสงค์ในการรวบรวมข้อมูล การใช้ หรือเผยแพร่ให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บรวบรวมข้อมูล ต้องเป็นไปตามมาตรา 19 ประกอบมาตรา 20 เช่น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงง่ายและใช้ภาษาที่เข้าใจได้ง่าย เพื่อให้เจ้าของข้อมูลเกิดความไว้วางใจ ให้ความยินยอมได้ง่ายมากขึ้น รวมถึงต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
แต่ทั้งนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (คณะกรรมการฯ) อาจกำหนดแบบและข้อความในการขอความยินยอมได้ในอนาคต อย่างไรก็ตาม ในกิจกรรมการประมวลผลใดบ้างที่อาจจะต้องใช้ “ความยินยอม” ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ตรวจสอบและสอบทานให้สอดคล้องกับข้อกฎหมาย ลักษณะของกิจกรรมการประมวลผล และความสัมพันธ์ระหว่างองค์กรกับเจ้าของข้อมูลส่วนบุคคล

(6) การจัดทำข้อตกลงการประมวลผล (Data Processing Agreement) หรือที่เรียกกันว่า สัญญาการประมวลผลข้อมูลส่วนบุคคล ตามกฎหมาย PDPA หาก คลินิกในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีความจำเป็นต้องมีการส่งต่อข้อมูลส่วนบุคคลให้แก่บุคคลภายนอกเพื่อทำการประมวลผลข้อมูลนั้น ซึ่งในที่นี้อาจจะเป็น คู่ค้า หรือหน่วยงานอื่น บุคคลเหล่านี้จะถือว่าเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ( Data Processor ) จำเป็นต้องมีการจัดทำเอกสารสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) ตามมาตรา 40 วรรคสาม ซึ่งรายละเอียดของข้อสัญญาและข้อตกลงอื่น ๆ เป็นเรื่องที่คู่สัญญาควรตกลงกันให้สอดคล้องกับกิจกรรมการประมวลผลและความเสี่ยงที่เกี่ยวข้อง แต่อย่างน้อยสัญญาต้องมีเงื่อนไขตามที่กำหนดไว้ในมาตรา 40 วรรคหนึ่ง

(7) การจัดทำแบบฟอร์มขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งเป็นหน้าที่ของผู้ควบคุมข้อมูลที่จะต้องมีเอกสารหรือแบบฟอร์มเพื่อให้ผู้รับบริการได้สามารถใช้สิทธิต่างๆของตนได้ตามกฎหมาย ซึ่งเจ้าของข้อมูลส่วนบุคคลสามารถที่จะใช้สิทธิของตนได้ ดังนี้ สิทธิได้รับการแจ้งให้ทราบ สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล สิทธิในการขอให้โอนข้อมูลส่วนบุคคล สิทธิคัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน สิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ สิทธิขอให้ระงับการใช้ข้อมูล และสิทธิการขอให้แก้ไขข้อมูล

จากที่ได้กล่าวมาข้างต้น องค์กรยังมีเอกสารอื่นตามกฎหมายที่อาจจัดเตรียมอีกด้วย อาทิ มาตรการเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลและกระบวนการแจ้ง แบบการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อเจ้าของข้อมูลส่วนบุคคลตามมาตรา 37(4) จะต้องแจ้งแก่ (สคส.) โดยไม่ชักช้านับแต่ทราบเหตุการละเมิด นอกจากนี้ยังต้องเตรียมเอกสารอื่นๆ เช่นรายละเอียดภาระงานของ DPO แบบประเมินความเสี่ยงผลกระทบต่อสิทธิและเสรีภาพของบุคคล หรือรายงานผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล นโยบายระยะเวลาการจัดเก็บข้อมูล นโยบายการทำลายข้อมูลอีกด้วย

หากทางคลินิกมีคำถามเพิ่มเติม สามารถติดต่อสอบถามเข้ามาได้เลยนะครับ ตอนนี้ทางเรามีรับให้คำปรึกษากฎหมาย PDPA ฟรี https://www.facebook.com/thedkeeper

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

เอกสารที่คลินิกจำเป็นต้องมีในยุค PDPA

Categories

Recent Posts

Archives