เริ่มต้นใช้งาน Data Governance
Chief Technology Officer (CTO)
Ragnar Corporation
กระบวนการในการเริ่มทำ PDPA ภายในองค์กรนั้นแบ่งออกเป็นสามขั้นตอนใหญ่ ๆ ด้วยกัน นั่นคือ Educate, Explore และ Execution โดยขอเรียกว่า 3E Framework ซึ่งเป็น Framework ที่ Open PDPA ใช้ในการให้คำแนะนำแก่ลูกค้าองค์กรที่มีความต้องการในการทำ PDPA โดยทุกท่านสามารถนำ 3E Framework ไปปรับใช้ในองค์กรของท่านพร้อมกับตัวอย่างเอกสารต่าง ๆ ที่ถูกจัดเตรียมไว้ใน Open PDPA Project โดย 3E Framework มีหลักการในการดำเนินการดังนี้
E ตัวแรกคือการ Educate เนื่องจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นเรื่องใหม่ มีคำศัพท์เฉพาะทางต่าง ๆ มากมาย เช่น ผู้ควบคุมข้อมูล, ผู้ประมวลผล, เจ้าของข้อมูล เป็นต้น การที่ทีมงานจะสามารถดำเนินการให้องค์กรของตนเองปฏิบัติตามกฎหมายได้นั้น จำเป็นต้องมีความรู้ความเข้าใจทั้งในตัวกฎหมายและกระบวนการในการคุ้มครองข้อมูลส่วนบุคคล ด้วยเหตุนี้ สิ่งที่ควรดำเนินการเพื่อให้ทีมงานทุกคนเข้าใจความหมายของคำต่าง ๆ และเป้าหมายของโครงการจึงเป็นการให้ความรู้เสียก่อน โดยการจะให้ความรู้แก่ทุกคนในองค์กรเลยก็จะเป็นเรื่องที่ทำได้ยาก เพราะฉะนั้นก่อนการดำเนินการจัดอบรมให้ความรู้ควรมีการคัดเลือกทีมงาน โดยทีมงานที่จะมาเป็นส่วนนึงของการทำ PDPA ควรมีบุคลากรดังต่อไปนี้
เนื่องจาก DPO เป็นผู้ที่ต้องดูแลเรื่องการคุ้มครองข้อมูลส่วนบุคคลโดยตรง จึงเป็นที่แน่นอนว่า DPO จำเป็นต้องเป็นหนึ่งในทีมงานและควรเป็นหัวหน้าโครงการในเรื่อง PDPA ในกรณีที่องค์กรไม่มีการแต่งตั้ง DPO หรือไม่จำเป็นต้องแต่งตั้ง DPO อาจทำการเลือกเจ้าหน้าที่ที่มีความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลมาทำหน้าที่ดังกล่าวในฐานะผู้นำโครงการแทนซึ่งโดยส่วนมากแล้วมักเป็นเจ้าหน้าที่จากทีมกฎหมาย ทีมไอที ทีมผู้ตรวจสอบ ทีมกำกับดูแล ทีมบริหารความเสี่ยง เป็นต้น
สาเหตุที่จำเป็นต้องมีฝ่ายกฎหมายในทีมงาน PDPA เพราะกฎหมายฉบับนี้จะเป็นการกำกับดูแลการใช้ข้อมูลส่วนบุคคลภายในองค์กร ซึ่งหากเป็นการใช้ข้อมูลโดยไม่ได้รับคำยินยอมจากเจ้าของข้อมูลจะไม่สามารถใช้ข้อมูลได้ เว้นแต่มีข้อยกเว้นทางกฎหมาย หรือกฎหมายฉบับอื่นได้ระบุให้สามารถใช้ข้อมูลส่วนบุคคลได้ ซึ่งฝ่ายกฎหมายของบริษัทจะมีความรู้ในกฎหมายที่บริษัทต้องปฏิบัติตาม ซึ่งจะช่วยให้คำแนะนำและเหตุผลในการชี้แจงต่อเจ้าของข้อมูลในการใช้ข้อมูลส่วนบุคคลได้ นอกจากนี้ในขั้นตอนการออกกฎระเบียบของบริษัทและข้อตกลงในการประมวลผลข้อมูลส่วนบุคคลก็ควรได้รับการตรวจสอบจากฝ่ายกฎหมายก่อนการนำไปประกาศใช้ในองค์กร
เนื่องจากข้อมูลส่วนบุคคลที่ใช้งานในปัจจุบันส่วนมากแล้วเป็นข้อมูลที่ถูกจัดเก็บในรูปแบบดิจิทัล ซึ่งกระบวนการและเทคโนโลยีที่ใช้จัดเก็บนั้นมักมีหน่วยงานไอทีเป็นผู้ดูแลทั้งในเรื่องของการติดตั้ง การจัดซื้อจัดจ้าง ตลอดจนมาตรการการรักษาความปลอดภัย เช่น ระบบการควบคุมการเข้าถึง การเข้ารหัสข้อมูล การจัดเก็บข้อมูล Log เป็นต้น หน่วยงานไอทีจึงจำเป็นต้องเป็นส่วนหนึ่งของทีมงาน PDPA เพื่อให้ข้อมูลเชิงเทคนิคเกี่ยวกับระบบที่มีการใช้ข้อมูลส่วนบุคคลและมาตรการการรักษาความปลอดภัย รวมถึงการส่งข้อมูลไปยังหน่วยงานภายนอก เช่น ผู้ให้บริการระบบคลาวด์ หรือ Software as a Service (SaaS) เป็นต้น
เนื่องจากการทำ PDPA นั้นจะมีการออกกฎระเบียบของบริษัทเพื่อบังคับใช้แก่พนักงาน การที่มีตัวแทนจากฝ่ายกำกับดูแลหรือฝ่ายบริหารเข้าร่วมจะช่วยลดระยะเวลาในการออกนโยบาย ทั้งนี้ ผู้บริหารควรเข้าใจเกี่ยวกับการใช้ข้อมูลส่วนบุคคลเพื่อให้การกำหนดทิศทางขององค์กรในอนาคตสอดรับกับการให้ความสำคัญในการคุ้มครองข้อมูลส่วนบุคคล
นอกจากบุคลากรหลักทั้ง 4 ข้อด้านบนแล้วทีมงานควรมีการประสานงานฝ่ายต่าง ๆ ที่มีการใช้ข้อมูลส่วนบุคคลในการดำเนินงาน เพื่อขอตัวแทนจากแต่ละฝ่ายในการทำหน้าที่ให้ข้อมูลเกี่ยวกับการใช้ข้อมูลส่วนบุคคลตลอดจนประสานงานในด้านต่าง ๆ โดยทั่วไปแล้วฝ่ายที่มีการใช้งานข้อมูลส่วนบุคคลมักประกอบด้วย
5.1) ฝ่ายทรัพยากรบุคคล
5.2) ฝ่ายการตลาด
5.3) ฝ่ายขาย
5.4) ฝ่ายลูกค้าสัมพันธ์/บริการหลังการขาย/Call Center
5.5) ฝ่ายธุรกิจดิจิทัล (E-Commerce)
หลังจากการ Setup ทีมงานเป็นที่เรียบร้อยแล้ว ขั้นตอนต่อมาก็คือการให้ความรู้เกี่ยวกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เพื่อให้ทีมงานทั้งหมดสามารถเข้าใจถึงหลักการของการคุ้มครองข้อมูลส่วนบุคคล, ชื่อเฉพาะต่าง ๆ ที่ปรากฏในกฎหมาย, การแยกแยะข้อมูลที่เป็นข้อมูลส่วนบุคคลออกจากข้อมูลทั่วไป, การใช้ข้อยกเว้นของกฎหมายในการประมวลผลข้อมูล, การแยกแยะระหว่างผู้ประมวลผลข้อมูล ผู้ควบคุมข้อมูล และเจ้าของข้อมูล เป็นต้น
หลังจาก Setup ทีมงานและให้ความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลกันเป็นที่เรียบร้อยแล้ว ขั้นตอนต่อไปคือ การรวบรวมข้อมูล (Explore) เนื่องจากในองค์กรส่วนมากมักมีการใช้ข้อมูลส่วนบุคคลกันในหลายวัตถุประสงค์แยกกันไปตามลักษณะงานของแต่ละฝ่าย มีทั้งกรณีที่ใช้ข้อมูลจากแหล่งเดียวกันและแบ่งปันกันระหว่างฝ่ายต่าง ๆ หรือเก็บรวบรวมขึ้นมาใหม่เองภายในฝ่าย ในจุดนี้การที่ไม่เห็นภาพรวมของการใช้ข้อมูลส่วนบุคคลในองค์กรนั้นจะทำให้การคุ้มครองข้อมูลส่วนบุคคลล้มเหลว และมีโอกาสที่มีการใช้ข้อมูลส่วนบุคคลโดยที่เจ้าหน้าที่ DPO ไม่รับทราบ ซึ่งอาจนำมาสู่การใช้ข้อมูลอย่างไม่ถูกต้องตามกฎหมาย ด้วยเหตุนี้ก่อนการดำเนินการใด ๆ สิ่งแรกที่ควรทำนั่นคือการเก็บรวบรวมการใช้งานข้อมูลส่วนบุคคลของทั้งบริษัทให้ครบถ้วนเสียก่อนด้วยการทำ Personal Data Assessment ซึ่งการทำ Personal Data Assessment นั้นจะเป็นการรวบรวมการใช้ข้อมูลส่วนบุคคลในลักษณะของรายการกิจกรรมและบันทึกกิจกรรมทั้งหมดในรูปแบบของบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity – ROP หรือ ROPA) ตัวอย่างเช่น การรับสมัครพนักงาน ถือเป็นกิจกรรมหนึ่งมีที่มีการใช้ข้อมูลส่วนบุคคลของผู้สมัครงาน, การเก็บข้อมูลสมาชิกลูกค้าถือเป็นอีกกิจกรรมที่มีการใช้ข้อมูลส่วนบุคคลแต่เป็นข้อมูลของลูกค้า เป็นต้น
วิธีการในการสำรวจข้อมูลส่วนบุคคลที่ใช้ภายในองค์กรนั้นควรเริ่มจากการส่งแบบสำรวจเพื่อให้กรอกข้อมูล โดยการให้ Champion จากฝ่ายต่าง ๆ เป็นผู้กรอกข้อมูลกิจกรรมของฝ่ายตนเองที่มีการใช้ข้อมูลส่วนบุคคลลงในแบบสำรวจและบันทึกในรูปแบบของ ROP จะทำให้แต่ละฝ่ายที่เกี่ยวข้องมีบันทึก ROP ของฝ่ายตนเอง จากนั้นนำข้อมูลมารวมกันเพื่อจัดทำเป็น ROP ของบริษัท เพื่อให้เจ้าหน้าที่ DPO สามารถมองเห็นภาพรวมของการประมวลผลข้อมูลส่วนบุคคลของทั้งองค์กรได้
หลังจากเก็บรวบรวมข้อมูลจากฝ่ายต่าง ๆ และทำการบันทึกกิจกรรมทั้งหมดลงในรูปแบบของ ROP แล้ว สิ่งที่ทีมงานต้องดำเนินการต่อมาคือ การพิจารณาถึงกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่อยู่ใน ROP เพื่อออกแบบแผนการดำเนินการในการคุ้มครองข้อมูลส่วนบุคคล โดยแผนการในการบริหารจัดการมีดังนี้
ในหลายครั้งที่ผลจากการทำ ROP พบว่ามีหลายฝ่ายที่จัดเก็บข้อมูลส่วนบุคคลที่ไม่จำเป็นต้องใช้ เช่น เชื้อชาติ, ศาสนา, หมู่โลหิต ซึ่งการจัดเก็บข้อมูลดังกล่าวนอกจากจะไม่เป็นประโยชน์ต่อองค์กรแล้ว ยังเป็นการเพิ่มความเสี่ยงที่จะถูกเรียกค่าเสียหายและผิดต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลอีกด้วย การยกเลิกการเก็บและการทำลายข้อมูลที่ไม่ได้ใช้งานจึงเป็นสิ่งแรกที่ควรดำเนินการพิจารณาก่อนการออกแบบคำยินยอมหรือการเพิ่มมาตรการความปลอดภัยใด ๆ โดยในบางหน่วยงานอาจมีการทำ Data Protection Impact Assessment (DPIA) เพื่อเป็นการประเมินความเสี่ยงของข้อมูลส่วนบุคคลที่จัดเก็บอยู่ โดยหากพิจารณาแล้วว่าค่าความเสี่ยงไม่เหมาะสมต่อประโยชน์ในการใช้ข้อมูลก็ควรดำเนินการยกเลิกกิจกรรมการใช้ข้อมูลและการจัดเก็บข้อมูลดังกล่าว เป็นต้น
หลังจากทำการตัดข้อมูลที่ไม่จำเป็นออกเป็นที่เรียบร้อยแล้ว ข้อมูลที่ยังคงหลงเหลืออยู่คือข้อมูลที่ถูกพิจารณาแล้วว่าเป็นประโยชน์ต่อองค์กรมากกว่าความเสี่ยงที่อาจเกิดขึ้นหรือมีวิธีการในการบริหารจัดการความเสี่ยงที่คุ้มค่าต่อประโยชน์ที่ได้รับ ต่อมาคือการตรวจสอบว่าข้อมูลส่วนบุคคลเหล่านี้สามารถอ้างอิงข้อยกเว้นตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 24 และมาตรา 26 ในการประมวลผลข้อมูลหรือไม่ และทำการแบ่งกิจกรรมการประมวลผลข้อมูลส่วนบุคคลออกเป็นสองกลุ่มนั่นคือ
2.1 กลุ่มที่ได้รับการยกเว้นตามมาตรา 24 และ 26 – กิจกรรมที่ได้รับการยกเว้นตามมาตรา 24 และ 26 คือกิจกรรมที่การประมวลผลข้อมูลส่วนบุคคลนั้นไม่จำเป็นต้องขอคำยินยอม (Consent) แต่ยังคงจำเป็นต้องมีการแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบถึงวัตถุประสงค์ในการประมวลผลข้อมูล, ประเภทข้อมูลที่ถูกประมวลผล, ระยะเวลาการจัดเก็บ, มาตรฐานความปลอดภัย, การเปิดเผยข้อมูลไปยังหน่วยงานภายนอก และช่องทางการติดต่อหากเจ้าของข้อมูลต้องการใช้สิทธิตามกฎหมาย ผ่านการประกาศในนโยบายความเป็นส่วนตัว (Privacy Notice) โดยทีมงานต้องทำการสรุปกิจกรรมที่ได้จากการทำ ROP และนำมาประกาศใน Privacy Notice อย่างครบถ้วนตามกิจกรรมที่บริษัทดำเนินการ โดยสามารถทำเป็น Privacy Notice ฉบับเดียวที่รวมทุกกิจกรรม, แยกออกตามประเภทของเจ้าของข้อมูล (พนักงาน/ลูกค้า) หรือแยกออกตามความเหมาะสมของประกาศก็ได้ เช่น Notice บนเว็บไซต์หน้าสมัครสมาชิก, เอกสารแนบใบสมัครงาน, สติ๊กเกอร์แสดง Notice การใช้กล้องวงจรปิด เป็นต้น
2.2 กลุ่มที่จำเป็นต้องขอคำยินยอม สำหรับกิจกรรมการประมวลผลที่ไม่สามารถอ้างอิงฐานกฎหมายตามข้อยกเว้นมาตรา 24 และ 26 ได้นั้น สิ่งที่จำเป็นต้องดำเนินการเพิ่มเติมคือการขอคำยินยอม (Consent) จากเจ้าของข้อมูล ซึ่งโดยส่วนมากแล้วจะเป็นกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่เพิ่มเติมจากความจำเป็นในการให้บริการทั่วไป เช่น การส่งข้อมูลข่าวสารทางการตลาด, การวิเคราะห์พฤติกรรมการใช้บริการ, การติดต่อเพื่อนำเสนอสินค้าและบริการ เป็นต้น ทีมงานจึงจำเป็นต้องออกแบบคำยินยอมสำหรับกิจกรรมเหล่านี้ โดยอาจเป็นการสร้างตัวเลือกให้แก่เจ้าของข้อมูล ณ จุดที่กรอกข้อมูล เช่น มีช่อง Checkbox ให้ยินยอมในการให้ติดต่อเพื่อเสนอขายสินค้าและบริการ เป็นต้น โดยองค์กรมีหน้าที่ต้องเก็บคำยินยอมเอาไว้เป็นหลักฐานและมีช่องทางให้เจ้าของข้อมูลสามารถถอนคำยินยอมดังกล่าวได้ในอนาคตอีกด้วย
จากที่กล่าวมาจะเห็นได้ว่าในกรณีที่ไม่สามารถอ้างอิงฐานกฎหมายในการใช้ข้อมูลส่วนบุคคลได้นั้น การนำข้อมูลส่วนบุคคลไปใช้จำเป็นต้องมีกระบวนการในการจัดเก็บและรักษาคำยินยอม เพราะฉะนั้นจากแนวคิดที่ว่า “มีข้อมูลเก็บมาก ๆ ไว้ก่อน ใช้หรือไม่ใช้ค่อยว่ากัน” นั้นอาจจะไม่เหมาะอีกต่อไปในยุคที่มีการคุ้มครองข้อมูลส่วนบุคคล กลับกันการพิจารณาว่ากิจกรรมดังกล่าวคุ้มค่าต่อการดูแลรักษาคำยินยอมและความเสี่ยงที่อาจเกิดขึ้นในกรณีที่ข้อมูลรั่วไหลหรือไม่ ? จะเป็นสิ่งที่ควรพิจารณาก่อนการใช้ข้อมูลส่วนบุคคล
นโยบายความเป็นส่วนตัวหรือ Privacy Notice นั้นคือการประกาศให้เจ้าของข้อมูลไม่ว่าจะเป็นคู่ค้า, ลูกค้า, พนักงาน หรือผู้เกี่ยวข้องใด ๆ ก็ตามที่องค์กรได้มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้รับทราบถึงวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล โดยนโยบายความเป็นส่วนตัวนั้นต้องประกาศในที่ ๆ เจ้าของข้อมูลสามารถเข้าถึงได้โดยง่าย มีความชัดเจนในภาษา และครอบคลุมการใช้ข้อมูลส่วนบุคคลในองค์กร โดยเนื้อหาที่ควรระบุในนโยบายความเป็นส่วนตัวมีดังนี้
นโยบายคุ้มครองข้อมูลส่วนบุคคลหรือ Privacy Policy นั้นเป็นเอกสารนโยบายขององค์กรในเรื่องเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล โดยมีรูปแบบเป็นเหมือนกับนโยบายทั่วไปของบริษัท เช่น นโยบายในการเข้างาน, นโยบายความปลอดภัยในการทำงาน เป็นต้น ซึ่งมีความแตกต่างจากนโยบายความเป็นส่วนตัวตรงที่นโยบายความเป็นส่วนตัวนั้นออกแบบมาเพื่อประกาศและสื่อสารกับเจ้าของข้อมูล ในขณะที่นโยบายคุ้มครองข้อมูลส่วนบุคคลเป็นนโยบายที่ต้องให้การพนักงานภายในองค์กรรับทราบและปฏิบัติตามเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเนื้อหาจะแตกต่างไปกันตามรูปแบบการออกนโยบายของแต่ละองค์กร ซึ่งโดยส่วนมากจะมีเนื้อหาดังนี้
โดยนโยบายการคุ้มครองข้อมูลส่วนบุคคลนั้นอาจใช้สื่อสารเฉพาะภายในองค์กรหรือประกาศเป็นสาธารณะขึ้นอยู่กับความเหมาะสมและการพิจารณาขององค์กร ต่างจากนโยบายความเป็นส่วนตัวที่กฎหมายบังคับให้จำเป็นต้องประกาศอย่างชัดเจน
สิ่งต่อมาที่ต้องวางแผนในการดำเนินการคือการจัดทำคำยินยอมหรือ Consent โดยในกรณีที่เราทำการตัดข้อมูลที่ไม่จำเป็นออกจากองค์กรและตรวจสอบฐานกฎหมายแล้วพบว่ามีบางกิจกรรมที่จำเป็นต้องขอคำยินยอม เช่น การใช้ข้อมูลเพื่อวัตถุประสงค์ทางการตลาด, การใช้ข้อมูลเพื่อการวิเคราะห์พฤติกรรมการใช้บริการ, การเก็บรวบรวมข้อมูลที่เป็นข้อมูลประเภทข้อมูลอ่อนไหว เป็นต้น กิจกรรมต่าง ๆ เหล่านี้จำเป็นต้องมีการขอคำยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ชัดเจนโดยอาจเป็นช่องทางอิเล็กทรอนิกส์หรือเอกสาร ก็ขึ้นอยู่กับความเหมาะสม ซึ่งโดยส่วนมากจะสอดคล้องกับช่องทางในการเก็บรวบรวมข้อมูล เช่น ในหน้าสมัครสมาชิกเว็บไซต์มักมีช่องให้คำยินยอมในการจัดส่งข้อมูลข่าวสารแยกออกจากเงื่อนไขการใช้บริการและการยอมรับนโยบายความเป็นส่วนตัว ตรงนี้เองคือ Consent
โดยสิ่งที่องค์กรต้องดำเนินการคือการจัดเตรียมช่องทางในการขอคำยินยอมและจัดเก็บคำยินยอมเพื่อเป็นหลักฐาน อีกทั้งองค์กรจำเป็นต้องมีวิธีการในการแยกแยะระหว่างเจ้าของข้อมูลที่ให้คำยินยอมและไม่ให้คำยินยอมเพื่อไม่ให้เกิดการใช้ข้อมูลส่วนบุคคลโดยไม่ได้รับคำยินยอม
นอกจากการขอคำยินยอมแล้ว สิ่งที่องค์กรจำเป็นต้องจัดเตรียมต่อมาคือการจัดทำกระบวนการในการรองรับการใช้สิทธิของเจ้าของข้อมูล โดยอาจเป็นช่องทางการติดต่อหรือแบบฟอร์มบนหน้าเว็บไซต์ที่ให้เจ้าของข้อมูลแสดงความประสงค์ตามสิทธิที่กฎหมายกำหนด และมีกระบวนการในการส่งต่อคำร้องขอดังกล่าวไปยังหน่วยงานที่มีการประมวลผลข้อมูลส่วนบุคคลเพื่อให้ตอบสนองต่อคำร้องของเจ้าของข้อมูล
จากขั้นตอนการ Personal Data Assessment ข้อมูลในขั้นตอนก่อนหน้าทำให้ทีมงานสามารถบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลภายในองค์กรได้ทั้งหมด แต่อย่างไรก็ตามกิจกรรมการประมวลผลข้อมูลส่วนบุคคลนั้นอาจมีการปรับเปลี่ยนได้จากการดำเนินธุรกิจ ดังนั้นจึงจำเป็นต้องมีการออกแบบกระบวนการให้มีการปรับปรุงกิจกรรมการประมวลผลข้อมูลส่วนบุคคลอย่างสม่ำเสมอ โดยอาจมีการนัดประชุมระหว่างทีมงานและ Champion เพื่อปรับเปลี่ยนข้อมูลใน ROP ให้เป็นปัจจุบัน
การกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลเป็นการกำกับให้บุคลากรภายในองค์กรรับทราบและใช้ข้อมูลอย่างถูกต้องตามกฎหมาย แต่ข้อมูลส่วนบุคคลบางส่วนนั้นอาจมีความจำเป็นต้องส่งต่อไปยังหน่วยงานภายนอก เช่น บริษัท Outsource, ผู้ให้บริการที่รับฝากข้อมูล, คู่ค้าต่าง ๆ เป็นต้น ด้วยเหตุนี้องค์กรจึงจำเป็นต้องจัดเตรียมเอกสารที่เรียกว่าข้อตกลงการประมวลผลข้อมูลส่วนบุคคลหรือ Data Processing Agreement โดยเอกสารดังกล่าวจะมีลักษณะคล้ายกับเอกสารรักษาความลับหรือ Non-disclosure agreement (NDA) แต่เน้นไปที่การปกป้องข้อมูลส่วนบุคคล โดยควรมีเนื้อหาอย่างน้อยดังนี้
ซึ่งข้อตกลงการประมวลผลข้อมูลส่วนบุคคลนี้ควรถูกใส่ไว้เป็นกระบวนการในการจัดซื้อจัดจ้างใด ๆ ก็ตามที่มีบริษัทมีความจำเป็นต้องจัดส่งข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก และให้หน่วยงานภายนอกดังกล่าวลงนามในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล
*ในบางกรณีที่การประมวลผลข้อมูลส่วนบุคคลอาจเป็นการแลกเปลี่ยนข้อมูลส่วนบุคคลกันทั้งสองฝ่าย หรือมีการสร้างระบบจัดเก็บข้อมูลใหม่ขึ้นมาเพื่อใช้งานร่วมกัน ข้อตกลงที่ใช้อาจเป็นข้อตกลงการแลกเปลี่ยนข้อมูลหรือ Data Sharing Agreement แทนโดยคู่สัญญาทั้งสองฝ่ายจะถือเป็นผู้ควบคุมข้อมูลทั้งคู่ ต่างจากข้อตกลงการประมวลผลข้อมูลส่วนบุคคลซึ่งฝ่ายหนึ่งจะเป็นผู้ควบคุมข้อมูลและอีกฝ่ายหนึ่งจะเป็นผู้ประมวลผล
หลังจากการเตรียมการในขั้นตอน Explore ทีมงานจะสามารถมองเห็นภาพรวมของการใช้ข้อมูลส่วนบุคคลทั้งหมดในองค์กรและมีแนวทางในการบริหารจัดการกิจกรรมการใช้ข้อมูลส่วนบุคคลทั้งหมดแล้ว ขั้นตอนสุดท้ายจะเป็นการดำเนินการตามแผนที่ออกแบบไว้ โดยมักเป็นส่วนของการประสานงานกับฝ่ายที่มีการใช้ข้อมูลส่วนบุคคลผ่านทาง Champion โดยการดำเนินการมักแบ่งออกเป็นสองส่วนหลักคือ การดำเนินการเกี่ยวกับกระบวนการภายใน และกระบวนการภายนอก
การดำเนินการเกี่ยวกับกระบวนการภายในคือสิ่งที่สามารถดำเนินการได้ภายในองค์กรเองโดยมีกิจกรรมหลัก ๆ ดังนี้
การดำเนินการเกี่ยวกับกระบวนการภายนอกคือสิ่งที่องค์กรจำเป็นต้องขอความร่วมมือจากหน่วยงานภายนอกในการดำเนินการเพื่อให้เป็นไปตามกฎหมาย โดยมีสิ่งที่ต้องเตรียมการดังต่อไปนี้
หลังจากดำเนินการครบทั้ง 3E ตาม Framework จะทำให้องค์กรสามารถใช้ข้อมูลส่วนบุคคลได้ตรงตามที่กฎหมายกำหนด แต่ทั้งนี้การคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นสิ่งที่ต้องดำเนินการอย่างต่อเนื่อง ทั้งการอัพเดทข้อมูล ROP ให้เป็นปัจจุบัน การจัดเก็บคำยินยอม การตอบสนองต่อคำร้องขอใช้สิทธิ การปรับปรุงมาตรฐานความปลอดภัยของเทคโนโลยี และการติดตามการปรับปรุงกฎหมาย ทำให้จำเป็นต้องมีกระบวนการในการทบทวนนโยบายความเป็นส่วนตัวและนโยบายคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอทั้งในส่วนของการดำเนินการภายในและภายนอก
ศึกษา PDPA ต่อได้ที่
