การบริหารจัดการข้อมูลลูกค้าในระบบ CRM ให้สอดคล้องให้กับ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศใช้ในราชกิจจานุเบกษา มีผลบังคับใช้ตั้งแต่วันที่ 27 พฤษภาคม 2562 เป็นต้นไป
เจตนาของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ก็เพื่อให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชน ต้องไม่นำเอาข้อมูลส่วนตัวของบุคคลหนึ่งๆไปใช้ในกิจกรรมอื่นๆที่บุคคลนั้นไม่ยินยอม เพื่อไม่ให้ละเมิดสิทธิความเป็นส่วนตัว และให้มีมาตรการแก้ไขหรือเยียวยาในกรณีที่ข้อมูลส่วนบุคคลถูกละเมิด
เอกชนและภาครัฐ (บุคคลหรือนิติบุคคล) รวมไปถึงนิติบุคคลที่จัดตั้งในต่างประเทศ ซึ่งทำการเก็บรวมรวม ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคลของประชาชนในประเทศไทย มีหน้าที่ต้องปฎิบัติตามกฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล
สาระสำคัญของ พรบ.คุ้มครองข้อมูลส่วนบุคคล ได้กำหนด บทบาทของผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลซึ่งได้แก่
เจ้าของข้อมูลส่วนบุคคล (Data Subject) ข้อมูลส่วนบุคคลที่สามารถเชื่อมโยงถึงบุคคลที่มีชีวิต ที่สามารถ ระบุตัวตนได้ บุคคลดังกล่าวเรียกว่า เจ้าของข้อมูลส่วนบุคคล ซึ่งก็คือ ข้อมูลลูกค้านั่นเอง
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งก็คือ องค์กรที่ใช้ข้อมูลลูกค้า
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวมข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ผู้ประมวลผลฯนี้ก็คือ ผู้ให้บริการระบบจัดเก็บและประมวลผลข้อมูลลูกค้า หรือ ระบบ CRM
พรบ.คุ้มครองข้อมูลส่วนบุคคล กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่โดยตรงในการบริหารจัดการการใช้ข้อมูลส่วนบุคคลเพื่อกิจกรรมที่บุคคลนั้นให้ความยินยอมเท่านั้น ไม่ละเมิดสิทธิความเป็นส่วนตัว และมีกระบวนการทำงานรองรับในกรณีที่บุคคลผู้ถูกละเมิดฯร้องเรียนเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคล แก้ไข หรือ ลบข้อมูล หรือเยียวยาผลกระทบจากการถูกละเมิดความเป็นส่วนตัวนั้น
การบริหารจัดการซึ่งเป็นสาระสำคัญตาม พรบ.นี้ คือ การได้มาซึ่งข้อมูลส่วนบุคคล การใช้ข้อมูลและการแชร์ข้อมูลระหว่างผู้ปฎิบัติงาน การรักษาความปลอดภัยของข้อมูล และการมีอุปกรณ์เทคโนโลยีที่สามารถใช้สอบทานย้อนกลับถึงการใช้ข้อมูลในกรณีที่บุคคลผู้ถูกละเมิดฯร้องเรียนให้ผู้ควบคุมข้อมูลฯตรวจสอบการใช้ข้อมูลบุคคล
o ควรมี Consent Form ขอความยินยอมในการจัดเก็บและใช้ข้อมูลส่วนบุคคล หรือมีสัญญาบริการที่ระบุถึงขอบเขตและหน้าที่ของผู้ให้บริการในการใช้ข้อมูลส่วนบุคคลเพื่อการให้บริการ
o ควรมี Data Privacy Officer ทำหน้าที่ดูแลและเผยแพร่ Privacy Policy ดูแลนโยบายการกำหนดสิทธิ์ผู้ใช้งาน User Security และประสานงานกับเจ้าของข้อมูลและหน่วยงานของรัฐที่กำกับดูแล
o ควรมี Record of Processing Activities บันทึกการใช้และประมวลผลข้อมูลทั้งหมดเพื่อให้ตรวจสอบย้อนหลังได้
o ควรจัดทำ Data Processing Agreement กับ Supplier หากจำเป็นต้องนำข้อมูลไปประมวลผลภายนอกองค์กร
บริการให้คำปรึกษาที่เกี่ยวกับ PDPA
ทางซิคนิฟายมีบริการให้คำปรึกษาเบื้องต้นเกี่ยวกับนโยบายการดำเนินงานของผู้ควบคุมข้อมูลให้สอดคล้องกับ PDPA บริการแนะนำการตั้งค่าระบบ CRM เพื่อควบคุมการใช้งานให้สอดคล้องกับ PDPA รวมถึงบริการแนะนำการจัดทำรายงานการประมวลผลที่เกี่ยวกับ PDPA ซึ่งลูกค้าของซิคนิฟายสามารถขอรับบริการนี้ได้โดยไม่มีค่าใช้จ่ายเพิ่มเติม
มีคำถามอื่น? กรุณาติดต่อเราที่ +66 2 863 6038
