5 หน่วยงานที่ทุกองค์กรควรให้ความสำคัญในเรื่องของการทำ PDPA
อย่างที่ทุกคนทราบว่า กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ที่กำลังจะมีผลบังคับใช้ในเดือนมิถุนายน 2565 นี้ หลายองค์กร ยังมองเรื่องการทำ PDPA เป็นเรื่องของหน่วยงานไอที (IT) เพียงเท่านั้น แต่ความจริงแล้ว กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ไม่ได้มีความสำคัญกับแค่หน่วยงานด้านไอทีเพียงเท่านั้น แต่ยังได้บังคับใช้กับทุกหน่วยงานในองค์กรที่มีการเก็บข้อมูลส่วนบุคคลทั้งหมดด้วย ดังนั้นองค์กรจึงเป็นต้องให้ความสำคัญให้ครอบคุมทุกหน่วยงานที่เกี่ยวข้องให้ปฏิบัติตามกฎหมายอย่างเหมาะสม
โดยหน่วยงานที่มักที่ได้รับผลกระทบจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนี้ มีดังนี้
1. หน่วยงานทรัพยากรมนุษย์ หรือ HR (Human resources)
เป็นหน่วยงานที่มีการเก็บข้อมูลของพนักงาน ซึ่งถือว่าเป็นข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการจัดการกับข้อมูลพนักงานที่เข้าใหม่ หรือลาออก รวมไปถึงการจัดการข้อมูลของพนักงานของแต่ละคนให้ถูกต้องเป็นไปตามสัญญาว่าจ้าง นอกจากนี้หน่วยงาน HR ควรเป็นหน่วยงานริเริ่มให้มีการจัดอบรมเพื่อให้พนักงานได้ตระหนักรู้ถึงความสำคัญในเรื่องของการทำ PDPA ทั้งนี้เพื่อให้พนักงานมีส่วนช่วยกันรับผิดชอบในการจัดการข้อมูลที่เป็นสินทรัพย์ นอกจากนี้หน่วยงาน HR ควรจะต้องได้รับความยินยอมจากพนักงานในการขออนุญาตให้ประมวลผลข้อมูลส่วนบุคคลได้ ไม่ว่าจะเป็นข้อมูลสำหรับการจ่ายเงินเดือน เป็นต้น ซึ่งการทำทั้งหมดนี้จะช่วยให้พนักงานมีความมั่นใจว่าข้อมูลที่ให้ไปจะไม่ถูกนำไปใช้ในทางที่ผิดอย่างแน่นอน
2.หน่วยการฝึกอบรม (Training Department)
ข้อมูลที่เกี่ยวกับการฝึกอบรมที่มีข้อมูลพนักงานก็ถือเป็นข้อมูลส่วนบุคคลเช่นเดียวกัน การศึกษา หรือการฝึกอบรมพนักงาน ในการทำสิ่งเหล่านี้จำเป็นต้องมีการรวบรวมข้อมูลที่พนักงานได้เรียนรู้จากการฝึกอบรม หรือการเรียนรู้ Core Knowledge ในมุมต่างๆ ที่สามารถนำมาใช้พัฒนาองค์กร ซึ่งถือเป็นข้อมูลที่จะต้องถูกเก็บไว้อย่างถูกต้อง และปลอดภัยเช่นเดียวกัน
3. หน่วยงานจัดซื้อจัดจ้าง (Procurement)
ชื่อบุคคลที่อยู่ในสัญญาจัดซื้อจัดจ้างถือเป็นข้อมูลส่วนบุคคลด้วยเช่นกัน หน่วยงานจัดซื้อจัดจ้างควรตรวจสอบให้แน่ใจว่าบุคคลที่สาม (Third Party) ที่นำข้อมูลส่วนบุคคลมาใช้ในการประมวลผลข้อมูลเป็นไปตามสัญญา และข้อมูลได้รับการคุ้มครองหรือไม่ นอกจากนี้ต้องให้แน่ใจว่าจะไม่มีการแบ่งปันข้อมูลกับผู้อื่น หรือถ้ามีจะต้องเป็นข้อมูลที่จำเป็นเท่านั้น
4. หน่วยงานปฏิบัติการ (Operation)
หน่วยงานปฎิบัติการ (Operation) ถือเป็นกลไกสำคัญที่ทำหน้าที่ Comply พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลให้เกิดขึ้นได้ ซึ่งหน่วยงานปฏิบัติการ จะเป็นหน่วยงานที่จัดการทั้งข้อมูลภายใน และข้อมูลจากภายนอก ดังนั้นควรมีการทำ Compliance Checklist ในการติดตามหน่วยงานอื่น ๆ ว่าได้ทำตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไปถึงขั้นตอนไหน อีกทั้งจำเป็นต้องมีการออกแบบแผนผังการไหลของข้อมูล (Data Mapping) ที่ง่ายต่อการให้หน่วยงานอื่น ๆ เข้ามาอัพเดทข้อมูล ว่าเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือไม่
5. หน่วยงานการตลาด และการขาย (Marketing & Sales)
ถือเป็นหน่วนงานที่อยู่ในด่านแรกในการขอความยินยอมการเก็บข้อมูลส่วนบุคคลของลูกค้า ไม่ว่าจะเป็นช่องออนไลน์ หรือออฟไลน์ก็ตาม ซึ่งเป็นหน่วยงานที่จะต้องสื่อสาร และสร้างความเชื่อมั่นให้แก่ลูกค้าว่าข้อมูลส่วนบุคคลที่เก็บไว้จะปลอดภัย และ ปฎิบัติตาม PDPA อย่างถูกต้อง
ตอนนี้ทุกองค์กรคงทราบแล้วว่ากฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลไม่ใช่เรื่องของ IT เพียงอย่างเดียวเท่านั้น PDPA ยังเป็นเรื่องที่เกี่ยวข้องทุก ๆ คนในองค์กรที่เก็บ และใช้ข้อมูลส่วนบุคคล ดังนั้นควรให้ความสำคับกับทุกหน่วยงาน เพราะถ้าหากมีใครที่ไม่ได้ปฏิบัติตามกฏหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล แล้วนั้น อาจทำให้เกิดความเสียหายในระดับองค์กรได้