เช็กลิสต์ที่ใช้ได้จริงสำหรับหน้าที่ตาม PDPA ในโครงการ AI — วัตถุประสงค์ การแจ้ง ความปลอดภัย การเก็บรักษา และการโอนข้ามพรมแดน
dgm เป็นพันธมิตรผู้ให้บริการติดตั้งและวางระบบ osFoundry ที่เป็นอิสระ — ไม่ได้มีส่วนเกี่ยวข้องกับบริษัทผู้พัฒนา osFoundry และ dgm ยังไม่เคยดำเนินโครงการติดตั้งให้ลูกค้ารายใดสำเร็จมาก่อน บทความนี้จึงอธิบายเฉพาะบริการที่เสนอให้ ไม่ใช่ผลงานในอดีต
เช็กลิสต์ที่ใช้ได้จริงสำหรับหน้าที่ตาม PDPA ในโครงการ AI
เช็กลิสต์ PDPA สำหรับโครงการ AI
- ระบุฐานทางกฎหมายของการประมวลผล
- กำหนดวัตถุประสงค์และแจ้งเจ้าของข้อมูล
- ทำบันทึกกิจกรรมการประมวลผล (RoPA)
- จัดมาตรการความปลอดภัยที่เหมาะสม
- กำหนดระยะการเก็บรักษาข้อมูล
- วางกระบวนการแจ้งเหตุละเมิดภายใน 72 ชั่วโมง
- ตรวจการโอนข้ามพรมแดน (มาตรา 28/29) หากมี
- ดูแลการตัดสินใจอัตโนมัติให้มีคนกำกับ
- แต่งตั้ง DPO เมื่อเข้าเกณฑ์
ด้านการคุ้มครองข้อมูล กฎหมายที่ใช้ในไทยคือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งมีผลบังคับเต็มรูปแบบตั้งแต่ 1 มิถุนายน 2022 กำกับโดย คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) นี่เป็นกฎหมายของไทยเอง — ได้รับอิทธิพลจาก GDPR แต่ ไม่ใช่ GDPR และมีบทลงโทษแยกของตัวเอง (โทษปกครองสูงสุด 5 ล้านบาท โทษอาญากรณีข้อมูลอ่อนไหว และค่าสินไหมเชิงลงโทษได้ถึงสองเท่า) องค์กรที่ประมวลผลข้อมูลส่วนบุคคลด้วย AI ต้องมีฐานทางกฎหมาย กำหนดวัตถุประสงค์ที่ชัดเจน แจ้งความโปร่งใส และมีมาตรการความปลอดภัยที่เหมาะสม กฎการโอนข้อมูลข้ามพรมแดน (มาตรา 28/29) มีผลตั้งแต่ 24 มีนาคม 2024 และต้องแจ้งเหตุละเมิดข้อมูลต่อสำนักงานฯ ภายใน 72 ชั่วโมงนับแต่ทราบเหตุ การบังคับใช้เป็นจริงแล้ว (มีค่าปรับจริงในปี 2025)
dgm ช่วยอะไรได้บ้าง
dgm เป็นพันธมิตรผู้วางระบบที่เป็นอิสระ ช่วยองค์กรไทยนำ osFoundry ไปใช้งาน — ตั้งแต่การเลือกกรณีใช้งานแรกที่คุ้มค่า ไปจนถึงการลงมือติดตั้งจริงและเชื่อมต่อกับระบบเดิมที่คุณมีอยู่ dgm ไม่ได้มีส่วนเกี่ยวข้องกับบริษัทผู้พัฒนา osFoundry และยังไม่เคยดำเนินโครงการติดตั้งให้ลูกค้ารายใดสำเร็จมาก่อน สิ่งที่อธิบายไว้จึงเป็น บริการที่เสนอให้ ไม่ใช่ผลงานในอดีต หากต้องการกำหนดขอบเขตโครงการเริ่มต้นที่สมจริง dgm ช่วยคุณวางแผนได้