Page 31 - InsuranceJournal145
P. 31
Risk Intelligence
ผู้ควบคุมข้อมูลจะต้องดำาเนินการอะไรบ้าง
บริษัทประกันวินาศภัยในฐานะที่เป็นผู้ควบคุมข้อมูล มีหน้าที่ความรับผิดชอบดังต่อไปนี้ค่ะ
1. เก็บข้อมูลส่วนบุคคลเท่าที่จ�าเป็น และมีฐานตามกฎหมายรองรับ (การปฏิบัติตามสัญญา)
ุ
่
ั
ั
์
่
ุ
ิ
ี
�
ิ
่
ั
่
ู
ื
้
่
้
2. ดาเนนการเกยวกบขอมลตามวตถประสงคทไดรบความยนยอมจากเจาของขอมลสวนบคคล แตเนองจากฐานตามกฎหมายของบรษท
ิ
้
ี
้
ั
ู
ประกันวินาศภัยคือการปฏิบัติตามสัญญา บริษัทประกันวินาศภัยจึงไม่จ�าเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
3. แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเกี่ยวกับสิทธิและรายละเอียดอื่น ๆ ตามที่กฎหมายก�าหนด
4. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และทบทวนมาตรการดังกล่าวให้มีประสิทธิภาพ
5. ป้องกันไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอ�านาจหรือโดยมิชอบ
6. จัดให้มีการลบหรือท�าลายข้อมูลส่วนบุคคลเมื่อพ้นก�าหนดระยะเวลาในการเก็บรักษา
7. แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุ
8. แต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล
9. บันทึกรายการตามที่กฎหมายก�าหนด
ผู้ประมวลผลข้อมูลจะต้องดำาเนินการอะไรบ้าง
�
ี
ี
ี
ี
ั
ในกรณีท่บริษัทประกันภัยว่าจ้างบุคคลภายนอกให้ทาหน้าท่ประมวลผลข้อมูลน้น ผู้ประมวลผลข้อมูลมีหน้าท่ท่จะต้องปฏิบัติดังต่อไปน้ค่ะ
ี
ั
ี
ี
ั
�
1. ดาเนินการเก่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาส่งท่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่าน้น เว้นแต่ว่า
�
ค�าสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล
ั
ี
2. จัดให้มีมาตรการรักษาความม่นคงปลอดภัยท่เหมาะสมและแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล
ที่เกิดขึ้น
3. จัดท�าและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
สิ่งที่บริษัทประกันวินาศภัยต้องดำาเนินการ
ในการดาเนินการเตรียมความพร้อมเพ่อให้สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 ได้อย่างถูกต้อง ครบถ้วน
ื
�
ทันเวลานั้น บริษัทประกันวินาศภัยควรจะต้องมีการด�าเนินการดังต่อไปนี้ค่ะ
• ศึกษากฎหมายฉบับนี้และกฎหมายอื่น ๆ ที่เกี่ยวข้อง และท�าความเข้าใจอย่างถ่องแท้
• จัดตั้งคณะท�างานเรื่องนี้เป็นการเฉพาะ รวมทั้งก�าหนดผู้จัดการโครงการนี้ และแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล
• ระบุเป้าหมายและสิ่งที่ต้องด�าเนินการทั้งหมด รวมถึงก�าหนดเวลาแล้วเสร็จ
ี
• ทบทวนข้อมูลท้งหมดท่มีอยู่เพ่อให้ทราบว่าข้อมูลท่จัดว่าเป็นข้อมูลส่วนบุคคลมีอะไรบ้าง และมีการไหลของข้อมูลเหล่าน้อย่างไร
ั
ื
ี
ี
ใครสามารถเข้าถึงข้อมูลเหล่านี้ รวมทั้งมีนโยบายหรือมาตรการในการจัดการกับข้อมูลนี้อย่างไรในปัจจุบัน
�
ี
• รวบรวมนโยบาย แนวทาง/คู่มือ ในการคุ้มครองข้อมูลส่วนบุคคลท่มีอยู่ และปรับปรุงแก้ไขเพ่อให้สอดคล้องกับข้อกาหนดทางกฎหมาย
ื
และแนวทางในการประกอบธุรกิจ และสื่อสารไปยังทุกฝ่ายที่เกี่ยวข้อง
• ตรวจสอบการบริหารจัดการข้อมูลส่วนบุคคลของบริษัท เพื่อให้มั่นใจว่าบริษัทมีกลไก กระบวนการ และมาตรการในการจัดการกับ
ี
ข้อมูลส่วนบุคคลท่เหมาะสมและมีประสิทธิภาพ สามารถปกป้องข้อมูลส่วนบุคคลให้มีความปลอดภัย มีกระบวนการในการปรับปรุงข้อมูลให้
ถูกต้องและเป็นปัจจุบัน และมีบันทึกการเข้าถึงและการใช้ข้อมูลส่วนบุคคล
• จัดอบรมให้พนักงานทราบเกี่ยวกับกฎหมายนี้ โดยเฉพาะสาระส�าคัญที่พนักงานแต่ละหน่วยงานพึงรู้ เช่น สิทธิที่เจ้าของข้อมูลส่วน
ิ
ั
�
ิ
ู
ั
ุ
้
่
ื
ี
ิ
�
่
ี
ุ
ี
ิ
บคคลพึงม และส่งทต้องดาเนินการเมอเจ้าของข้อมูลส่วนบุคคลมการใช้สิทธเหล่านน เช่น สทธในการเข้าถึงและรบสาเนาข้อมลส่วนบคคล
ของตนเอง สิทธิในการขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอ่น รวมถึงความสาคัญของ
�
ื
ู
ู
การปกป้องข้อมลไม่ให้ถกละเมด ส่งทต้องปฏบตในกรณทเกดการละเมิดข้อมูลส่วนบคคล และผลลัพธ์ทอาจจะตามมาหากมการละเมดข้อมล
ิ
ี
ู
ี
ิ
ั
่
ุ
ิ
ี
ิ
ิ
่
ี
ิ
ี
่
ส่วนบุคคลขึ้น
วารสารประกันภัย ฉบับที่ 145 31
