fbpx

7 มิติของ การคุ้มครองข้อมูลส่วนบุคคลตาม PDPA ที่ผู้บริหารสถานศึกษาต้องทราบ

โปรโมต สถานศึกษา Cover

ใกล้เข้ามาแล้ว! ที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมายที่เรารู้จักกันดีในนาม PDPA (Personal Data Protection Act) จะมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ภายหลังจากที่ได้รับการยกเว้นบังคับใช้ เนื่องมาจากวิกฤตโควิด-19 ซึ่งส่งผลให้การเตรียมพร้อมคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานหลาย ๆ ภาคส่วนในสังคมยังดำเนินการไม่เรียบร้อย โดยสถานศึกษา (ของคุณ) ก็อาจเป็นหนึ่งในนั้นเช่นกัน

คุณเข้าข่ายเป็น “สถานศึกษา” หรือไม่?

พระราชบัญญัติการศึกษาแห่งชาติ พ.ศ.2542 ให้นิยามของ “สถานศึกษา” ว่าหมายถึง หน่วยงานของรัฐหรือของเอกชนที่มีอำนาจหน้าที่หรือมีวัตถุประสงค์ในการจัดการศึกษา ดังนั้น ไม่ว่าจะเป็นโรงเรียนระดับอนุบาล ประถม มัธยม วิทยาลัย มหาวิทยาลัย หรือแม้แต่บรรดาสถาบันกวดวิชา สถาบันสอนอาชีพ สถาบันสอนทักษะเฉพาะทาง หรือสถานทำการในทำนองเดียวกัน ก็เข้าข่ายเป็นสถานศึกษาด้วยเช่นกัน

โดยหากลองพิจารณาอย่างถี่ถ้วน จะพบว่าสถานศึกษาแต่ละแห่งล้วนแล้วแต่เป็นสถานที่ที่มีข้อมูลส่วนบุคคลไหลเวียนอยู่ไม่น้อยเลย โดยส่วนใหญ่จะพบว่าเป็นข้อมูลส่วนบุคคลของนักเรียน พ่อแม่ผู้ปกครอง บุคลากรภายใน ตลอดจนคู่ค้า (Partner) ของโรงเรียนในหลาย ๆ ด้าน ยกตัวอย่างข้อมูลส่วนบุคคล เช่น ประวัติส่วนตัวของนักเรียนและบุคลากร เลขทะเบียนประจำตัวนักเรียน ผลการสอบ บันทึกผลการเรียน ข้อมูลสุขภาพของนักเรียนและบุคลากร (เพื่อผลประโยชน์ด้านสวัสดิการ/บริการสุขภาพ) รายละเอียดติดต่อของผู้ปกครอง รายละเอียดติดต่อของ Outsource/Supplier เป็นต้น

อ่านเพิ่มเติมเกี่ยวกับ PDPA และสถานศึกษา คลิก —> PDPA คนไทยต้องรู้ คุณครูต้องสอน สถานศึกษาต้องระวัง

มัดรวม 7 มิติคุ้มครองข้อมูลส่วนบุคคล (ฉบับสถานศึกษา)

หากคุณเป็นผู้บริหารหรือผู้ที่เกี่ยวข้อง และยังไม่ทราบว่าควรจะเริ่มต้นดำเนินการอย่างไรเพื่อจัดการคุ้มครองข้อมูลส่วนบุคคลของสถานศึกษาที่อยู่ภายใต้ความรับผิดชอบ ICDL PDPC ขอแนะนำ “7 มิติของการคุ้มครองข้อมูลส่วนบุคคลตาม PDPA ที่ผู้บริหารสถานศึกษาต้องทราบ” เพื่อเป็น Guideline ให้คุณสามารถมองเห็นทิศทางและขั้นตอนในการดำเนินงานเบื้องต้นที่จำเป็น โดยทางทีมงานได้จัดทำเป็น Infographic สวย ๆ อ่านง่ายตามข้อมูลด้านล่างนี่เลยครับ!

มิติที่ 1: ผู้รับผิดชอบด้านการคุ้มครองข้อมูล

  • ผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ควรเป็นผู้บริหารระดับสูงหรือผู้ที่มีอำนาจในการสั่งการ
  • อาจแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลช่วนดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคล
  • ดำเนินงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลขององค์กร
  • พิจารณาและอนุมัติการสื่อสาร Official ในนามองค์กรทุกครั้ง
  • จำกัด Access ของผู้ที่สามารถใช้ช่องทางการสื่อสารทางการ เฉพาะผู้ที่เกี่ยวข้อง
  • หากเกิดเหตุละเมิด แจ้งเจ้าของข้อมูลอย่างรวดเร็วที่สุด และแจ้งสำนักงานคณะกรรมการฯ ภายใน 72 ชั่วโมงเมื่อทราบเหตุ
PDPA School Guideline 01
มิติที่ 1: ผู้รับผิดชอบด้านการคุ้มครองข้อมูล

มิติที่ 2: การสื่อสารถึงนักเรียนและผู้ปกครอง

  • ควรแจ้งเจ้าของข้อมูลว่าจะมีการสื่อสาร + วัตถุประสงค์
  • การสื่อสารแบ่งออกเป็น 2 ประเภท การบริการ (ประโยชน์อันชอบธรรม) และ การตลาด (ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล)
  • นักเรียนอายุต่ำกว่า 10 ปี ให้ขอความยินยอมจากผู้ปกครอง 
  • นักเรียนอายุ 11-19 ปี ให้ขอความยินยอมจากทั้งนักเรียนและผู้ปกครอง
  • และความยินยอมสำหรับการสื่อสารด้านการตลาด ต้องมีช่องทางให้เจ้าของข้อมูลถอนความยินยอมได้
PDPA School Guideline 02
มิติที่ 2: การสื่อสารถึงนักเรียนและผู้ปกครอง

มิติที่ 3: การลงทะเบียนเข้าร่วมกิจกรรม

  • ออกแบบฟอร์มลงทะเบียน เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์
  • วางระบบการเก็บรวบรวมแบบฟอร์ม และเก็บข้อมูลเข้าส่วนเก็บรักษาข้อมูลอย่างปลอดภัยโดยรวดเร็วที่สุด
  • บอกวัตถุประสงค์ของการเก็บรวบรวมข้อมูล ณ จุดลงทะเบียน หรือหน้าเว็บลงทะเบียน
PDPA School Guideline 03
มิติที่ 3: การลงทะเบียนเข้าร่วมกิจกรรม

มิติที่ 4: การจัดการมาตรการด้าน Data Securities

  • จัดทำนโยบาย เพื่อประโยชน์ด้าน คนในรับทราบ เข้าใจ ทำตาม + คนนอกมองเห็นความตั้งใจและเชื่อมั่น
  • วาง Protocol/มาตรการเก็บข้อมูลเข้าสู่ส่วนกลางหลังการใช้งาน
  • อบรมผู้เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลเป็นประจำ
  • คุ้มครองข้อมูลด้วยการใส่ Password / ล็อกหน้าจอคอมพิวเตอร์ / ล็อกตู้เก็บเอกสาร / ไม่ปล่อยเอกสารไว้ตามยถากรรม
  • ติดตั้งกล้อง CCTV บริเวณเก็บเอกสารกลางของสถานศึกษา
  • และมาตรการคุ้มครองข้อมูลอื่น ๆ ตามสมควร เช่น การจัดจ้าง Outsource ดูแล Server ของสถานศึกษา เป็นต้น
PDPA School Guideline 04
มิติที่ 4: การจัดการมาตรการด้าน Data Securities

มิติที่ 5: การเก็บรักษาข้อมูลและการทำลาย (Data Retention)

  • องค์กรไม่ควรเก็บรักษาข้อมูลไว้นานเกินความจำเป็น
  • จัดทำ Data Map หรือ Record of Processing Activities และจำแนกเหตุผลของการเก็บรักษาข้อมูลแต่ละประเภท ซึ่งมีระยะการเก็บตามข้อบังคับกฎหมาย/ระเบียบที่แตกต่างกัน ดำเนินการจัดทำเป็น —> ตารางเวลาเก็บรักษาและทำลายข้อมูล
  • ระยะเวลาการเก็บข้อมูลปรับใช้กับทั้งข้อมูลรูปแบบเอกสารกระดาษและอิเล็กทรอนิกส์
  • ข้อมูลรูปแบบกระดาษควรถูกทำลาย (ไม่ให้นำกลับมาใช้ใหม่ได้) และนำไปทิ้งตามสมควร
  • ข้อมูลอิเล็กทรอนิกส์หลังจากลบออกแล้ว ควรล้าง Device ที่เคยใช้เก็บข้อมูลด้วย
PDPA School Guideline 05
มิติที่ 5: การเก็บรักษาข้อมูลและการทำลาย (Data Retention)

มิติที่ 6: ความเกี่ยวข้องกับผู้ให้บริการ Third-Party

  • สถานศึกษาต้องสำรวจดูว่ามีการจ้างวาน Third-Party ที่สามารถเข้าถึงข้อมูลส่วนบุคคลได้หรือเปล่า
  • แนะนำให้ประเมิน Third-Party ว่ามีมาตรฐานการคุ้มครองข้อมูลที่เทียบเท่าหรือมากกว่าขององค์กร ก่อนการจ้างวาน
  • สถานศึกษาเป็น “ผู้ควบคุมข้อมูล” ส่วนผู้ให้บริการ Third-Party ถือว่าเป็น “ผู้ประมวลผลข้อมูล”
  • ต้องทำสัญญาข้อตกลงการประมวลผลอย่างเป็นลายลักษณ์อักษร ก่อน Outsource ของคุณจะสามารถเข้าถึงข้อมูลส่วนบุคคลของสถานศึกษา เพื่อกำหนดระเบียบ/ความรับผิดหากเกิดการละเมิด
  • หลังหมดสัญญา Third-Party ต้องลบทำลาย ไม่เก็บข้อมูลของสถานศึกษาเอาไว้ใช้งานต่อ* (ควรระบุไว้ในสัญญาข้อตกลง)
PDPA School Guideline 06
มิติที่ 6: ความเกี่ยวข้องกับผู้ให้บริการ Third-Party

มิติที่ 7: ด้านภาพถ่ายและวิดีโอ

  • ภาพถ่าย/วิดีโอสามารถระบุ Identity ของบุคคลได้ = ข้อมูลส่วนบุคคล
  • สถานศึกษาควรแจ้งเตือนบุคคลตามสถานที่ ใบสมัครเข้าร่วม บัตรเข้างาน Event ว่าจะมีการเก็บภาพ/วิดีโอ
  • หากต้องการใช้ภาพ/วิดีโอเพื่อโฆษณาประชาสัมพันธ์ภายหลัง ต้องขอความยินยอมจากผู้ถูกถ่ายก่อน โดยอาจขอความยินยอมล่วงหน้าในส่วนของจุดลงทะเบียน ใบสมัคร หน้าเว็บลงทะเบียน ฯลฯ
  • กรณี CCTV เป็นการรักษาความปลอดภัย สามารถอ้างได้ตามฐานทางกฎหมาย “ประโยชน์อันชอบธรรม” (Legitimate Interest) เพียงแต่ต้องแจ้งให้ผู้ถูกถ่ายทราบ
มิติที่ 7: ด้านภาพถ่ายและวิดีโอ
มิติที่ 7: ด้านภาพถ่ายและวิดีโอ

หากคุณเป็นคนหนึ่งที่สนใจแนวทางการดำเนินงาน (เพิ่มเติม) เพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสถานศึกษา โปรดติดตามอ่าน DDTI Knowledge Sharing: Personal Data Protection คู่มือเตรียมความพร้อมสำหรับ PDPA (ฉบับสถานศึกษา) สามารถลงทะเบียนเพื่อรับ e-Book ฉบับเต็มได้ฟรี!

X

Leke Kremi Symlink shell Instagram Türk takipçi al haberler antalya ko cuce Wso shell download Etkileşim Özelliği Olan Instagram ucuz Takipçiler Antalya ilaçlama firmaları