10 ประเด็นที่ต้อง “ตรวจสอบ” เมื่อองค์กรลุกขึ้นมาทำตาม PDPA

การประกาศใช้ PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทำให้หลาย ๆ องค์กรเริ่มลุกขึ้นมาดำเนินการด้านนี้กันแล้ว แต่คุณแน่ใจหรือยังว่าได้ดำเนินการคุ้มครองข้อมูลส่วนบุคคลอย่างสอดคล้องครบถ้วนกับตัวกฎหมายในทุกมิติ?

คอนเฟิร์มความมั่นใจว่าทำตาม PDPA ครบถ้วนแล้ว ด้วย Checklist นี้ได้เลย

– องค์กรของคุณจำเป็นต้องมี Data Protection Officer หรือไม่ และต้องไม่ลืมที่จะใส่รายละเอียดติดต่อ DPO (หรือทีมงาน) ลงในเอกสารหรือทุกช่องทางที่เกี่ยวกับข้อมูลส่วนบุคคล
–  เลือกฐานทางกฎหมายสำหรับการประมวลผลข้อมูลแต่ละชุด หากไม่มีฐานฯ อื่นมารองรับ การประมวลผลข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล คุณทำ Consent Form แล้วหรือยัง
– จัดทำ RoPA (Record of Processing Activities) และอบรมบุคลากรให้สามารถกรอกเอกสารได้ เพื่อประโยชน์ด้านการปรับปรุงกระบวนการคุ้มครองข้อมูล และเป็นเอกสารแสดงให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลใช้ตรวจสอบ (Accountability)
– จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร และประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคลทราบ โดยแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผย ตลอดจนระยะเวลาการเก็บรักษาข้อมูล
– ร่างแผนการรับมือหากเกิดการละเมิด โดยต้องแจ้งเรื่องแก่คณะกรรมการฯ ภายใน 72 ชั่วโมงหลังทราบเหตุละเมิด
–  อย่าลืมวางฟังก์ชันและระบบที่อำนวยความสะดวกในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
– สำรวจและปรับปรุงระบบการรักษาความมั่นคงปลอดภัยทางไอที (IT Security)
– จัดระเบียบการเข้าถึงข้อมูลของบุคลากรในเลเวลต่าง ๆ หรือเฉพาะผู้ที่มีส่วนเกี่ยวข้อง (Authorized Person) ตลอดจนมีระบบการป้องกันการเข้าถึงจากผู้ที่ไม่ได้รับอนุญาต
–  อบรมบุคลากรให้มีความเข้าใจ PDPA สร้างค่านิยมด้านการคุ้มครองข้อมูลภายในองค์กร เช่น การเก็บเอกสารและล็อกตู้เก็บเอกสาร การปิดหน้าจอหลังลุกจากโต๊ะทำงาน ฯลฯ ซึ่งช่วย ป้องกัน Human Error ที่อาจส่งผลให้เกิดการละเมิด
–  จัดทำแบบประเมินผลกระทบความเสี่ยงด้านการคุ้มครองข้อมูล (DPIA) หากพบว่าส่วนใดมีความเสี่ยงสูงต้องกลับไปแก้ไข และจัดการให้ได้ตรงตามมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล

บริการตรวจสอบ การปฏิบัติตามหลัก PDPA Compliance Audit by PDPA Thailand การสอบทานการเตรียมองค์กรเพื่อปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

คือ การสอบทานการดำเนินงานขององค์กร เพื่อป้องกันความเสี่ยงต่อการกระทำผิดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล  PDPA (PDPA Compliance Audit) ผ่านการตรวจสอบเอกสารและการสัมภาษณ์การบริหารจัดการข้อมูลส่วนบุคคลขององค์กรถูกต้องหรือไม่ อย่างไร โดยมีระยะเวลาดำเนินการ ภายใน 3 เดือน (ขึ้นอยู่กับขนาดขององค์กร) บริการการสอบทานครอบคลุม
●   PDPA Audit checklist: สอบทานการบริหารจัดการข้อมูลส่วนบุคคลขององค์กรในรูปแบบเอกสารซึ่ง ตรงตามความจำเป็นตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
●   Gap Analysis: สอบทาน วิเคราะห์ และประเมินช่องว่างของการเตรียมความพร้อมองค์กรให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
●   Dimension checklist: การสอบทานครอบคลุมการประเมินความพร้อมใน 3 มิติ ได้แก่ มิติของความครบถ้วนทางเอกสาร มิติของการเผยแพร่ และมิติการนำไปใช้อย่างเหมาะสมขององค์กร

ขั้นตอนให้บริการ: บริหารจัดการข้อมูลส่วนบุคคลตามหลัก PDPA

1. จัดทำและนำเสนอแผนดำเนินงาน (Project Timeline)
2. รวบรวมข้อมูลเพื่อทำการสอบทาน (Collect)
2.1 รูปแบบเอกสารตามรายการที่กำหนด (Checklist)
2.2 รูปแบบการสัมภาษณ์ผู้ปฏิบัติงานภายใน (Interview)
3. พิจารณาสอบทานความสอดคล้องกับการคุ้มครองข้อมูลส่วนบุคคล (Data Analysis)
4. จัดทำรายงานการวิเคราะห์ความครบถ้วน ถูกต้องและช่องว่าง (Gap Analysis)
5. นำเสนอผลการดำเนินการ (Audit Conclusion)
6. จัดทำรายงานสรุปการดำเนินโครงการฉบับสมบูรณ์ (Full Report)
  • 6.1 บทสรุปผู้บริหาร (Executive Summary)
  • 6.2 ผลการตรวจประเมิน (Assessment)
  • 6.3 สรุปการวิเคราะห์ความครบถ้วน ถูกต้องและช่องว่าง (Gap Analysis)
  • 6.4 ข้อเสนอแนะ (Suggestions)
  • 6.5 เอกสารอ้างอิง/ ภาคผนวก (Reference/ Appendix)

บริการของเรา