PDPA ฉบับใหม่: องค์กรต้องตอบคำขอสำเนาข้อมูลภายใน 30 วัน เตรียมความพร้อมอย่างไร?
ข่าวต้นเรื่อง: "กฎใหม่ PDPA ประชาชนขอสำเนาข้อมูลส่วนบุคคลได้ องค์กรต้องตอบภายใน 30 วัน ลงราชกิจจาฯแล้ว" (iT24Hrs by ปานระพี) · ค้นหาต้นฉบับ ต่อไปนี้เป็นบทวิเคราะห์ต้นฉบับที่ AI เรียบเรียงขึ้นโดยอ้างอิงข้อเท็จจริงที่ตรวจสอบจากรายงานข่าวจริง 1 แหล่ง (ไม่ใช่การแปลหรือคัดลอกต้นฉบับ) ดูแหล่งอ้างอิงท้ายบทความ
การบังคับใช้กฎระเบียบใหม่ภายใต้ PDPA ที่กำหนดให้องค์กรต้องตอบคำขอสำเนาข้อมูลส่วนบุคคลภายใน 30 วัน นับเป็นการยกระดับมาตรฐานความรับผิดชอบที่ทนายความและฝ่ายกฎหมายต้องเฝ้าระวังอย่างใกล้ชิด เพื่อป้องกันความเสี่ยงจากการถูกดำเนินคดีทางปกครองหรือทางแพ่จากการละเลยสิทธิของเจ้าของข้อมูล การเตรียมพร้อมด้านกระบวนการทำงานจึงไม่ใช่เพียงการปฏิบัติตาม формальности แต่เป็นกลไกสำคัญในการลดความเสียหายทางกฎหมายที่อาจเกิดขึ้นจากการตอบโต้หรือการตรวจสอบของสำนักงานคุ้มครองข้อมูลส่วนบุคคล (OPC)
ทำไมตอนนี้: การบังคับใช้กฎระเบียบ PDPA ฉบับใหม่
การบังคับใช้กฎระเบียบ PDPA ฉบับใหม่: กรอบเวลาการตอบสนองสิทธิที่เข้มงวดขึ้น
การประกาศใช้กฎระเบียบภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ฉบับแก้ไขเพิ่มเติม ถือเป็นจุดเปลี่ยนสำคัญในการกำกับดูแลข้อมูลส่วนบุคคลของประเทศไทย โดยมุ่งเน้นไปที่การสร้างความชัดเจนและเข้มงวดในการปฏิบัติหน้าที่ขององค์กรในฐานะผู้ควบคุมข้อมูล (Data Controller) ประเด็นหลักที่จับตามองอย่างใกล้ชิดคือ การกำหนดกรอบเวลาการตอบสนองต่อสิทธิของเจ้าของข้อมูล (Data Subject) ที่มีความชัดเจนและรัดกุมยิ่งขึ้น โดยเฉพาะสิทธิในการขอสำเนาข้อมูล ซึ่งเดิมอาจมีการตีความหรือปฏิบัติที่แตกต่างกันไปในแต่ละภาคส่วน แต่ภายใต้กฎระเบียบใหม่ ได้มีการระบุระยะเวลาการดำเนินการที่แน่นอนเพื่อป้องกันไม่ให้สิทธิของประชาชนถูกเพิกเฉยหรือล่าช้าโดยไม่จำเป็น
การเปลี่ยนแปลงนี้ไม่ใช่เพียงการปรับแก้ทางเทคนิค แต่สะท้อนถึงเจตนารมณ์ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (OPC) ที่ต้องการยกระดับมาตรฐานการคุ้มครองข้อมูลให้เทียบเท่าหรือใกล้เคียงกับมาตรฐานสากลมากขึ้น การกำหนดเวลาที่เป็นรูปธรรมจะช่วยให้เจ้าของข้อมูลสามารถพึ่งพาสิทธิของตนได้อย่างมีประสิทธิภาพ และสร้างแรงจูงใจให้องค์กรต้องปรับปรุงกระบวนการจัดการข้อมูลภายในให้มีความโปร่งใสและรวดเร็วขึ้น ซึ่งสอดคล้องกับหลักการพื้นฐานของ PDPA ที่มุ่งสร้างสมดุลระหว่างประโยชน์ขององค์กรกับสิทธิความเป็นส่วนตัวของปัจเจกบุคคล
ประเด็นหลัก: ข้อผูกพันในการตอบคำขอสำเนาข้อมูลภายใน 30 วัน
หัวใจสำคัญของการแก้ไขเพิ่มเติมในคราวนี้คือการกำหนดให้องค์กรต้องดำเนินการตอบคำขอสำเนาข้อมูลส่วนบุคคลภายในระยะเวลา 30 วัน นับแต่วันที่ได้รับคำขอ ซึ่งเป็นการขยายเวลาหรือกำหนดขอบเขตที่ชัดเจนกว่าในบางกรณีเดิมที่อาจอ้างอิงตามความเหมาะสม แต่ขาดความแน่นอนทางกฎหมาย ระยะเวลา 30 วันดังกล่าวถือเป็น "Hard Deadline" ที่องค์กรต้องปฏิบัติตาม เว้นแต่จะมีเหตุผลพิเศษตามที่กฎหมายกำหนดและมีการแจ้งให้เจ้าของข้อมูลทราบล่วงหน้า
ข้อผูกพันนี้ครอบคลุมถึงกระบวนการตรวจสอบความถูกต้องของคำขอ การค้นหาข้อมูลที่เกี่ยวข้อง และการจัดทำสำเนาข้อมูลในรูปแบบที่อ่านเข้าใจได้และเข้าถึงได้ง่าย (accessible format) องค์กรไม่สามารถปฏิเสธหรือเลื่อนเวลาการตอบกลับโดยไม่มีการแจ้งเหตุผลที่ชัดเจนและชอบด้วยกฎหมาย การไม่ปฏิบัติตามกำหนดเวลาดังกล่าวอาจถือเป็นการละเมิดสิทธิของเจ้าของข้อมูล ซึ่งอาจนำไปสู่โทษทางปกครองหรือความรับผิดทางแพ่งตามมา
ผลกระทบเชิงปฏิบัติ: ความท้าทายในการค้นหาและเตรียมข้อมูล
สำหรับองค์กรที่ต้องจัดการกับข้อมูลปริมาณมาก (Big Data) หรือมีระบบฐานข้อมูลที่กระจายตัว การปฏิบัติตามข้อกำหนดภายใน 30 วัน อาจสร้างความท้าทายในเชิงปฏิบัติการอย่างมีนัยสำคัญ กระบวนการค้นหาข้อมูล (Data Retrieval) ที่เคยใช้เวลานานอาจต้องถูกเร่งรัดและปรับปรุงประสิทธิภาพ โดยเฉพาะในกรณีที่ข้อมูลถูกเก็บไว้ในรูปแบบที่เข้าถึงยากหรือไม่เป็นระบบ
องค์กรจำเป็นต้องทบทวนโครงสร้างข้อมูลและระบบ IT ว่าสามารถรองรับการดึงข้อมูลเฉพาะส่วนตามคำขอได้อย่างรวดเร็วหรือไม่ หากไม่สามารถดำเนินการเสร็จสิ้นภายใน 30 วัน องค์กรอาจต้องพิจารณาขยายเวลาได้สูงสุดอีก 30 วัน โดยต้องแจ้งให้เจ้าของข้อมูลทราบถึงเหตุผลและความจำเป็นในการขยายเวลา แต่ทั้งนี้ต้องไม่เป็นการใช้กลไกนี้เพื่อหลีกเลี่ยงความรับผิดชอบ
สิ่งที่ต้องตรวจสอบ: ระบบจัดเก็บข้อมูลและกระบวนการอนุมัติ
เพื่อเตรียมความพร้อม องค์กรควรเริ่มจากการตรวจสอบระบบจัดเก็บข้อมูล (Data Inventory) ว่าสามารถระบุแหล่งที่มาของข้อมูลส่วนบุคคลได้อย่างแม่นยำและรวดเร็ว นอกจากนี้ ยังต้องทบทวนกระบวนการภายใน (Workflow) ในการอนุมัติการเปิดเผยข้อมูล ว่ามีความล่าช้าหรือไม่ และต้องอาศัยบุคคลหลายระดับหรือไม่ การลดขั้นตอนที่ไม่จำเป็นและกำหนดบทบาทหน้าที่ที่ชัดเจนของทีมปฏิบัติการข้อมูล จะช่วยให้สามารถตอบคำขอได้อย่างทันเวลา
มาตรการลดความเสี่ยง: การเตรียมทีมและเอกสารตอบกลับ
การเตรียมความพร้อมควรเริ่มจากการแต่งตั้งหรือมอบหมายทีมทำงานเฉพาะกิจสำหรับจัดการคำขอสิทธิข้อมูล (Data Subject Access Request - DSAR) และจัดทำคู่มือหรือแบบฟอร์มมาตรฐานสำหรับการตอบกลับ เพื่อให้การสื่อสารกับเจ้าของข้อมูลเป็นไปอย่างสม่ำเสมอและ
ประเด็นหลัก: ข้อผูกพันในการตอบคำขอสำเนาข้อมูลภายใน 30 วัน
การบังคับใช้ PDPA ฉบับใหม่ได้กำหนดกลไกสำคัญที่ส่งเสริมสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยให้อำนาจในการเข้าถึงข้อมูลอย่างชัดเจนและทันเวลา องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) มีหน้าที่ต้องดำเนินการตอบรับคำขอสำเนาข้อมูลภายในระยะเวลา 30 วัน นับแต่วันที่ได้รับคำขอ ซึ่งถือเป็นกรอบเวลาเชิงปฏิบัติที่เข้มงวดกว่ามาตรฐานสากลบางแห่งที่อาจยืดหยุ่นกว่าในกรณีที่มีความซับซ้อนสูง ระยะเวลา 30 วันนี้มิใช่เพียงข้อแนะนำ แต่เป็นข้อผูกพันทางกฎหมายที่องค์กรต้องจัดสรรทรัพยากรและกระบวนการทำงานให้สอดคล้อง เพื่อป้องกันความเสี่ยงจากการถูกลงโทษทางปกครองหรือค่าปรับในกรณีที่ยื่นคำร้องขอขยายระยะเวลาโดยไม่ชอบด้วยกฎหมาย
ความท้าทายหลักในประเด็นนี้มิได้อยู่ที่การปฏิเสธคำขอ แต่อยู่ที่ความสามารถขององค์กรในการค้นหา จัดเตรียม และตรวจสอบความถูกต้องของข้อมูลภายในระยะเวลาอันจำกัด องค์กรจำเป็นต้องทบทวนนโยบายภายในและระบบ IT ว่าสามารถรองรับการดึงข้อมูลแบบ Real-time หรือ Near real-time ได้หรือไม่ โดยเฉพาะในกรณีที่ข้อมูลถูกกระจายเก็บไว้หลายระบบ (Data Silos) การไม่สามารถจัดส่งสำเนาข้อมูลให้เจ้าของข้อมูลภายใน 30 วันโดยไม่มีเหตุผลชอบธรรม อาจถือเป็นการละเมิดสิทธิในความเป็นส่วนตัวและอาจนำไปสู่การตรวจสอบโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ ดังนั้น การเตรียมความพร้อมด้านกระบวนการทำงาน (Workflow) ให้รวดเร็วและแม่นยำจึงเป็นหัวใจสำคัญในการปฏิบัติตามข้อกำหนดนี้
ผลกระทบเชิงปฏิบัติ: ความท้าทายในการค้นหาและจัดเตรียมข้อมูล
การบังคับใช้กฎระเบียบ PDPA ฉบับใหม่ซึ่งมีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2022 และได้รับการลงราชกิจจานุเบกษาแล้ว ได้สร้างภาระหน้าที่ใหม่ให้กับองค์กรไทย โดยเฉพาะอย่างยิ่งในประเด็นการตอบคำขอสำเนาข้อมูลส่วนบุคคลภายในระยะเวลา 30 วัน ซึ่งแตกต่างจากมาตรฐานเดิมที่อาจยืดหยุ่นกว่า ความท้าทายหลักมิได้อยู่ที่การปฏิเสธคำขอ แต่อยู่ที่ความสามารถในการ "ค้นหา" และ "รวบรวม" ข้อมูลจากแหล่งต่างๆ ภายในองค์กรให้ครบถ้วนและถูกต้องภายในกรอบเวลาที่จำกัด
กระบวนการภายในองค์กรอาจต้องใช้เวลาในการค้นหาและรวมข้อมูลซึ่งอาจเกินกว่าระยะเวลาที่กำหนดหากไม่มีระบบที่พร้อม ข้อมูลส่วนบุคคลของประชาชนหนึ่งคนอาจกระจายอยู่ทั่วทั้งระบบไอทีขององค์กร ตั้งแต่ฐานข้อมูลลูกค้า ระบบทรัพยากรบุคคล ไปจนถึงบันทึกการติดต่อสื่อสารทางอีเมลหรือแพลตฟอร์มโซเชียลมีเดีย หากองค์กรยังพึ่งพากระบวนการค้นหาด้วยมนุษย์ (Manual Search) หรือระบบที่ขาดการเชื่อมโยงข้อมูล (Data Silos) โอกาสที่จะไม่สามารถจัดส่งสำเนาข้อมูลได้ทันกำหนดมีสูงมาก ซึ่งอาจนำไปสู่การถูกระบุว่าละเมิดสิทธิของเจ้าของข้อมูล
นอกจากความซับซ้อนทางเทคนิคแล้ว องค์กรยังต้องเผชิญกับความท้าทายในการตรวจสอบความถูกต้องของข้อมูลก่อนส่งมอบ เพื่อให้มั่นใจว่าข้อมูลที่ส่งไปเป็นข้อมูลส่วนบุคคลของเจ้าของคำขอจริงๆ และไม่มีข้อมูลส่วนบุคคลของผู้อื่นปะปนอยู่ กระบวนการนี้จำเป็นต้องมีมาตรการรักษาความปลอดภัยที่เข้มงวด เพื่อป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลระหว่างขั้นตอนการจัดเตรียม ซึ่งเป็นการสร้างวงจรความท้าทายสองชั้น ทั้งด้านความเร็วและด้านความปลอดภัยของข้อมูล
สิ่งที่ต้องตรวจสอบ: ระบบจัดเก็บข้อมูลและกระบวนการอนุมัติ
การตรวจสอบความถูกต้องของระบบจัดเก็บข้อมูลและกระบวนการอนุมัติ
ภายใต้กรอบกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่บังคับใช้อย่างเป็นทางการตั้งแต่เดือนมิถุนายน พ.ศ. 2565 องค์กรในประเทศไทยต้องเผชิญกับข้อผูกพันทางกฎหมายที่เข้มงวดมากขึ้น โดยเฉพาะในส่วนของสิทธิของเจ้าของข้อมูลในการขอสำเนาข้อมูล (Right to Access) ซึ่งกำหนดให้หน่วยงานต้องตอบรับคำขอภายในระยะเวลา 30 วัน นับจากวันที่ได้รับคำขออย่างเป็นทางการ ระยะเวลาที่จำกัดนี้ไม่ใช่เพียงเรื่องของการบริหารเวลา แต่เป็นเครื่องทดสอบความพร้อมของโครงสร้างพื้นฐานทางดิจิทัลและกระบวนการภายในขององค์กรอย่างแท้จริง การไม่สามารถจัดเตรียมข้อมูลให้ครบถ้วนและถูกต้องภายในกรอบเวลาดังกล่าว อาจนำไปสู่โทษทางปกครองและค่าปรับทางแพ่งที่มีมูลค่าสูง รวมถึงความเสียหายต่อชื่อเสียงขององค์กร
ประเด็นสำคัญที่องค์กรต้องเร่งตรวจสอบคือความถูกต้องของระบบจัดเก็บข้อมูล (Data Inventory) ว่าสามารถระบุแหล่งที่มาของข้อมูลแต่ละประเภทได้อย่างชัดเจนหรือไม่ โดยเฉพาะข้อมูลส่วนบุคคลธรรมดาและข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data) ซึ่งต้องได้รับการปกป้องเป็นพิเศษตามมาตรฐานสากล องค์กรจำเป็นต้องมีกลไกที่สามารถค้นหาและดึงข้อมูลจากฐานข้อมูลต่างๆ ทั้งในรูปแบบดิจิทัลและเอกสารกระดาษ มาประกอบกันได้อย่างรวดเร็ว โดยไม่ละเมิดสิทธิของบุคคลอื่นที่อาจปะปนอยู่ในชุดข้อมูลเดียวกัน นอกจากนี้ กระบวนการอนุมัติการเปิดเผยข้อมูลต้องมีความชัดเจน มีบันทึกหลักฐาน (Audit Trail) ว่าใครเป็นผู้ตรวจสอบความถูกต้อง และใครเป็นผู้รับรองความสมบูรณ์ของข้อมูลก่อนส่งมอบให้เจ้าของข้อมูล เพื่อสร้างความน่าเชื่อถือและลดความเสี่ยงในการถูกตั้งคำถามถึงความโปร่งใส
นอกจากนี้ องค์กรควรพิจารณาความพร้อมของทีมปฏิบัติการและเอกสารคู่มือการปฏิบัติงาน (SOP) ในการรับมือกับคำขอเหล่านี้ โดยต้องมีการฝึกซ้อมกระบวนการจำลองสถานการณ์ (Simulation) เพื่อประเมินว่าระบบสามารถทำงานได้จริงภายใน 30 วันหรือไม่ หากพบจุดอ่อนในขั้นตอนการประสานงานระหว่างฝ่ายไอที ฝ่ายกฎหมาย และฝ่ายปฏิบัติการ ควรรีบปรับปรุงแก้ไขโดยด่วน เพื่อให้มั่นใจว่าองค์กรสามารถปฏิบัติตามมาตรฐาน PDPA ได้อย่างสมบูรณ์และยั่งยืน
มาตรการลดความเสี่ยง: การเตรียมทีมและเอกสารตอบกลับ
การบังคับใช้กฎระเบียบ PDPA ฉบับใหม่ที่มีผลให้หน่วยงานต้องตอบคำขอสำเนาข้อมูลส่วนบุคคลภายในระยะเวลา 30 วันนั้น ไม่ได้เป็นเพียงการเปลี่ยนแปลงทางเทคนิค แต่เป็นการท้าทายกระบวนการทำงานเชิงบริหารอย่างมีนัยสำคัญ ความท้าทายหลักอยู่ที่ความซับซ้อนของข้อมูลที่มีอยู่ภายในองค์กร ซึ่งมักกระจายอยู่ในระบบที่หลากหลายและไม่มีโครงสร้างที่ชัดเจน การกำหนดให้ Data Protection Officer (DPO) หรือทีมเฉพาะกิจต้องรับผิดชอบกระบวนการตอบคำขออย่างมีประสิทธิภาพ จึงเป็นหัวใจสำคัญในการลดความเสี่ยงทางกฎหมายและชื่อเสียง
ในทางปฏิบัติ องค์กรจำนวนมากเผชิญกับอุปสรรคในการระบุแหล่งที่มาของข้อมูล (Data Mapping) ที่ไม่สมบูรณ์ ทำให้การสืบค้นข้อมูลเพื่อตอบคำขอทำได้ล่าช้าหรือผิดพลาด การมอบหมายหน้าที่ให้ DPO ดูแลกระบวนการนี้โดยตรงจะช่วยสร้างความชัดเจนในสายการบังคับบัญชาและขั้นตอนการทำงาน (Workflow) โดย DPO จะต้องทำงานร่วมกับฝ่ายไอทีและฝ่ายกฎหมายในการออกแบบระบบค้นหาข้อมูลที่สามารถกรองและดึงข้อมูลที่เกี่ยวข้องกับบุคคลนั้นๆ ได้อย่างรวดเร็วภายในกรอบเวลาที่กฎหมายกำหนด นอกจากนี้ การมีทีมเฉพาะกิจยังช่วยให้สามารถประเมินความเหมาะสมของข้อมูลที่จะเปิดเผยได้ทันทีว่าเข้าข่ายข้อยกเว้นใดบ้างตามกฎหมาย ซึ่งจำเป็นต้องอาศัยความเชี่ยวชาญในการตีความกฎระเบียบควบคู่ไปกับความเข้าใจในโครงสร้างข้อมูลขององค์กร
การเตรียมความพร้อมด้านเอกสารและมาตรฐานการตอบกลับ
นอกเหนือจากการจัดตั้งทีมแล้ว มาตรฐานของเอกสารและวิธีการตอบกลับก็เป็นปัจจัยชี้ขาดความสำเร็จ องค์กรจำเป็นต้องมีรูปแบบเอกสาร (Template) และกระบวนการตรวจสอบความถูกต้อง (Validation Process) ที่ชัดเจนก่อนที่คำขอจะเข้ามา เพื่อลดเวลาในการพิจารณาและป้องกันข้อผิดพลาดจากการตอบกลับที่อาจนำไปสู่การละเมิดสิทธิของบุคคลอื่นหรือการเปิดเผยข้อมูลที่ไม่เกี่ยวข้อง
การเตรียมเอกสารควรครอบคลุมทั้งการแจ้งผลการตอบกลับอย่างเป็นทางการ ซึ่งต้องระบุรายละเอียดของข้อมูลที่ให้สำเนา ข้อยกเว้นที่ไม่สามารถเปิดเผยได้ (หากมี) และสิทธิในการอุทธรณ์ของเจ้าของข้อมูล นอกจากนี้ องค์กรควรมีแนวปฏิบัติ (Guideline) ที่ชัดเจนสำหรับพนักงานที่เกี่ยวข้องในการจัดการกับคำขอ โดยต้องเน้นย้ำถึงความสำคัญของการรักษาความลับของข้อมูลระหว่างกระบวนการสืบค้นและจัดส่งเอกสาร เพื่อไม่ให้มีการรั่วไหลของข้อมูลส่วนบุคคลระหว่างทาง ซึ่งอาจถือเป็นการละเมิด PDPA เพิ่มเติมจากการตอบคำขอที่ไม่ทันเวลา
สรุปมาตรการสำคัญในการเตรียมความพร้อม
เพื่อให้องค์กรสามารถปฏิบัติตามข้อกำหนดใหม่ได้อย่างเป็นระบบและลดความเสี่ยงจากการถูกปรับหรือฟ้องร้อง ขอสรุปมาตรการหลักที่ควรดำเนินการดังนี้:
- จัดตั้งทีมเฉพาะกิจหรือมอบหมายหน้าที่ให้ DPO: กำหนดให้ Data Protection Officer หรือทีมเฉพาะกิจมีอำนาจหน้าที่ชัดเจนในการรับเรื่อง สืบค้นข้อมูล และอนุมัติการตอบกลับ โดยต้องมีการฝึกอบรมความเข้าใจในกระบวนการตอบคำขอภายใน 30 วัน
- จัดทำแนวทางการตอบกลับและเอกสารมาตรฐาน: สร้าง Template การตอบกลับที่ครอบคลุมทั้งกรณีให้ข้อมูลและกรณีปฏิเสธโดยมีเหตุผลรองรับทางกฎหมาย รวมถึงกำหนดขั้นตอนการตรวจสอบความถูกต้องของข้อมูลก่อนส่งมอบ
- ประเมินความพร้อมของระบบข้อมูล: ตรวจสอบความสมบูรณ์ของ Data Mapping และระบบจัดเก็บข้อมูลว่าสามารถรองรับการค้นหาข้อมูลส่วนบุคคลแบบเจาะจงบุคคล (Individual-level search) ได้ภายในระยะเวลาที่กำหนด
- สร้างกระบวนการประสานงานข้ามแผนก: กำหนดช่องทางและขั้นตอนการทำงานร่วมกับฝ่ายไอทีและฝ่ายกฎหมายอย่างชัดเจน เพื่อลดระยะเวลาในการดำเนินการและป้องกันความล่าช้าจากกระบวนการภายใน
คำถามที่พบบ่อย
องค์กรต้องตอบคำขอสำเนาข้อมูลส่วนบุคคลภายในกี่วันตาม PDPA?
องค์กรต้องดำเนินการตอบคำขอสำเนาข้อมูลส่วนบุคคลภายใน 30 วัน นับแต่วันที่ได้รับคำขอ โดยต้องแจ้งผลการดำเนินการให้เจ้าของข้อมูลทราบอย่างชัดเจน หากไม่สามารถดำเนินการได้ภายในกำหนด ต้องแจ้งเหตุผลและความล่าช้าให้ทราบด้วย
ใครบ้างที่ต้องปฏิบัติตามกฎหมาย PDPA ของไทย?
กฎหมาย PDPA ใช้บังคับกับทั้งองค์กรในไทยและองค์กรต่างประเทศที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลในไทย โดยครอบคลุมทั้ง Data Controller และ Data Processor องค์กรจึงต้องตรวจสอบว่ากิจกรรมของตนเข้าข่ายการควบคุมหรือประมวลผลข้อมูลส่วนบุคคลหรือไม่
องค์กรควรเตรียมความพร้อมอย่างไรให้ทันกับข้อกำหนดใหม่?
องค์กรควรทบทวนนโยบายความเป็นส่วนตัวและกระบวนการจัดการคำขอข้อมูลให้สอดคล้องกับมาตรฐานสากล รวมถึงแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หากจำเป็น การเตรียมความพร้อมด้านระบบและบุคลากรจะช่วยให้ปฏิบัติตาม PDPA ได้อย่างมีประสิทธิภาพและลดความเสี่ยงทางกฎหมาย
แหล่งอ้างอิง
นำ AI มาใช้ในงานกฎหมายอย่างรอบคอบ
MeshLaw คือเครื่องมือจัดการคดีด้วย AI สำหรับทนายความ แม่นยำ ตรวจสอบได้ ไม่มีการเดา
ดู MeshLaw →