ปี 2023 การทำความเข้าใจกฎหมาย PDPA จะกลายเป็นเรื่องรองสำหรับธุรกิจและองค์กร เพราะธุรกิจกว่าเกินกว่าครึ่ง รู้จักและเข้าใจกฎหมาย PDPA ในเบื้องต้นแล้ว และธุรกิจจำนวนไม่น้อยสามารถดำเนินการเพื่อรองรับข้อกำหนดของกฎหมาย PDPA เรียบร้อยแล้ว
แนวโน้มและเทรนด์ที่เกี่ยวกับการปฏิบัติตามข้อกำหนดของกฎหมาย PDPA สำหรับองค์กรในปี 2023 นี้ มีน้ำหนักอยู่ที่การ Maintain กระบวนการในโครงการ PDPA เพื่อรองรับการใช้งานข้อมูลส่วนบุคคลบนฐานของกฎหมาย และรองรับ PDPA Internal Audit ที่ถูกพูดถึงเป็นวงกว้างในช่วงสิ้นปี 2022
ก่อนจะข้ามขั้นไปที่ Internal Audit โครงการ PDPA ในองค์กร t-reg ชวนตั้งคำถาม 5 ประเด็นสำคัญ เพื่อเช็คสุขภาพของโครงการ PDPA ในองค์กร ทั้งระบบหน้าบ้านและระบบหลังบ้าน เพื่อดูว่าโครงการ PDPA ในองค์กรของท่านที่ทำมาทั้งหมด ครบถ้วนตามข้อกำหนดของกฎหมายหรือไม่? กระบวนการที่ทำอยู่รองรับการตรวจสอบแค่ไหน? และองค์กรต้องระวังเรื่องอะไรก่อนเริ่ม Audit บทความนี้มีคำตอบ
1 เช็คให้ดี ตลอดปี 2022 ที่ผ่านมา องค์กรทำ PDPA ครบถ้วนแล้วหรือยัง?
เริ่มกันที่การย้อนเวลากลับไปในวันที่ 1 มิถุนายน 2022 ซึ่งเป็นวันแรกที่กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act B.E 2562 (2019) มีผลบังคับใช้อย่างเป็นทาการ หลังจากมีการเลื่อนบังคับใช้เนื่องจากสถานการณ์ของโรคระบาด COVID-19
โดยในช่วงก่อนหน้านี้ราวต้นปี 2022 องค์กร บริษัท ห้างร้าน ต่างตื่นตัวกับการดำเนินการเพื่อรองรับข้อกำหนดของกฎหมาย หลายองค์กรเริ่มดำเนินการทั้งในเชิงเทคนิคและนโยบาย เพื่อรองรับกฎหมายและรองรับการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
ขณะเดียวกัน สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือที่รู้จักในชื่อ PDPC หน่วยงานทมีหน้าที่กำกับดูแล และมีอำนาจในการตัดสินเกี่ยวกับการเก็บ ใช้ ประมวลผลข้อมูลส่วนบุคคล ได้เผยแพร่และให้ความรู้แก่ประชาชน หน่วยงาน องค์กร เกี่ยวกับกฎหมาย PDPA ผ่านการจัดงามสัมนาแนวทางการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล การเผยแพร่ประกาศและแนวทางที่มีออกมาเป็นระยะๆ
กลางปีที่ผ่านมา ในแวดวงขององค์กรที่เกี่ยวข้องกับกฎหมาย PDPA ได้เริ่มพูดถึงความครบถ้วน และความสำเร็จของการทำโครงการ PDPA ในองค์กร ขณะเดียวกัน บริษัทที่ให้บริการดูแลและบริหารจัดการโครงการ PDPA มักพูดถึงสูตรสำเร็จของการเริ่มทำโครงการ PDPA ซึ่งสูตรสำเร็จที่ว่า ก็คือการดำเนินการเพื่อตอบโจทย์กฎหมาย ทั้งในเชิงกระบวนการ และนโยบาย โดยที่ PDPC ก็ได้เผยแพร่ Checklist การเตรียมความพร้อมของหน่วยงาน เป็นแนวทางให้องค์กรดำเนินโครงการ PDPA ได้อย่างครบถ้วนอีกด้วย
Checklist การเตรียมความพร้อมของหน่วยงาน ที่ PDPC ได้เผยแพร่ออกมา ชี้เห็นว่าข้อกำหนดตามกฎหมาย PDPA ให้ความสำคัญกับนโยบายภายใน รวมถึงการสร้างระบบเพื่อรองรับการบริหารจัดการโครงการ PDPA ในระยะยาว
จาก Checklist นี้ องค์กรของคุณดำเนินการครบถ้วนแล้วหรือยัง?
2 สถิติเกี่ยวกับภัยไซเบอร์ ที่องค์กรส่วนใหญ่ไม่รู้มาก่อน องค์กรคุณกำลังตกอยู่ในความเสี่ยงเหล่านี้หรือไม่
เมื่อไม่นานมานี้ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และหน่วยงานที่เกี่ยวข้อง ได้จัดงาน NCSA Thailand National Cyber Week 2023 ภายในงานนี้มีงานสัมมนา NCSA Virtual Summit #1 ภายใต้ธีม 2023 Cybersecurity & Privacy Trends เพื่ออัปเดตแนวโน้มภัยคุกคามและแนวทางปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์ล่าสุดสำหรับหน่วยงานด้าน CII และองค์กรธุรกิจ
ช่วงแรกของงานสัมมนา พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ได้บรรยายเกี่ยวกับ 2023 Cybersecusity Trends และ CII สำหรับประเทศไทย มีการพูดถึงสถิติการปฏิบัติในการรับมือภัยคุกคามทางไซเบอร์ ระหว่าง ตุลาคม 2021- กันยายน 2022 เผยให้เห็นข้อมูลที่น่าสนใจไม่น้อย เกี่ยวกับจำนวนการแจ้งเหตุคุกคามและประเภทของกลุ่มธุรกิจที่มักประสบกับภัยคุกคามทางไซเบอร์
จากสถิตินี้ ชี้ให้เห็นว่า ช่วงระยะเวลา 12 เดือน จำนวนของภัยคุกคามทางไซเบอร์เพิ่มขึ้นอย่างมีนัยะสำคัญ พลอากาศตรี อมร ยังกล่าวถึงจำนวนภัยคุกคามทางไซเบอร์ เฉพาะปี 2565 ระหว่างมกราคม – ธันวาคม มีการแจ้งเหตุคุกคามทางไซเบอร์รูปแบบต่างๆ เข้ามาที่ สกมช. สูงถึง 455 เหตุการณ์ เมื่อเทียบกับปีที่แล้วที่มีกาารแจ้งเหตุคุกคามตลอดทั้งปีอยู่ที่ 135 เหตุการณ์ กล่าวได้ว่า ภัยคุกคามทางไซเบอร์ยังคงเป็นภัยร้ายที่องค์กรต้องระมัดระวัง แม้จะมีกฎหมาย PDPA แล้ว มิจฉาชีพยังคงใช้ช่องทางความรู้เท่าไม่ถึงการของประชาชน มาเอารัดเอาเปรียบและหาประโยชน์จากข้อมูลส่วนบุคคล
และการที่ภัยคุกคามเหล่านี้ยังทวีคูณขึ้น เป็นสิ่งที่ชวนให้องค์กรกลับมาทบทวนว่า กระบวนการดูแลความปลอดภัยข้อมูลส่วนบุคคลของลูกค้าและผู้ใช้บริการ รอบคอบและรอบด้านเพียงใด หากผู้ไม่ประสงค์ดีไม่เกรงกลัวกฎหมาย มาตรการด้านความปลอดภัยจะเป็นอาวุธที่จำเป็นอย่างมาก ไม่ใช่เพียงแค่การดำเนินการเพื่อผ่านกฎหมายอย่างเดียว ขณะที่อ่านบทความนี้ องค์กรของท่านก็กำลังเสี่ยงกับภัยไซเบอร์เหล่านี้อยู่ ทั้งทางตรงและทางอ้อม
พลอากาศตรี อมร ได้ให้ข้อมูลว่าการถูกโจมตีและการคุกคาม ไม่ว่าจะเป็น การแฮ็กเว็บไซต์ มัลแวร์ Data Breach หรือ Phishing มีสาเหตุมาจาก VPN หรือเครือข่ายส่วนตัวเสมือน (Virtual Private Network) ขณะที่สร้างการเชื่อมต่อเครือข่ายส่วนตัวระหว่างอุปกรณ์ต่างๆ ผ่านอินเทอร์เน็ต อาจมีช่องโหว่ที่แฮ็กเกอร์สามารถแฝงตัวเข้ามาได้ การใช้ Remote Desktop ในการทำงานจากที่บ้านหรือทำงานจากระยะไกล ความเสี่ยงจากการ Log in ระบบในคอมพิวเตอร์ของพนักงาน ความประมาทและการหลงเชื่อเว็บไซต์ปลอม URL ปลอม ซึ่งเกิดจากการขาดความรู้ความเข้าใจ และสุดท้ายคือความถดถอยทางเทคโนโลยี และอุปกรณ์คอมพิวเตอร์ในบางหน่วยงานที่ยังใช้ระบบปฏิบัติการรุ่นเก่า หรือของปลอม
อีกหนึ่งข้อมูลที่น่าสนใจ ปรากฎอยู่ในช่วงสุดท้ายของ NCSA Virtual Summit #1 ประเด็นบรรยายคือ 6 เดือนหลัง PDPA บังคับใช้ เราเรียนรู้อะไรบ้าง บรรยายโดย ดร.ศิวรักษ์ ศิวโมกษธรรม เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เผยให้เห็น สถิติเรื่องร้องเรียนการฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 ที่มีการแจ้งมาที่ PDPC
จากข้อมูลนี้ ชี้ให้เห็นว่า ในระยะเวลาสั้นๆ เพียง 6 เดือน เกิดเหตุการณ์ร้องเรียนและการฝ่าฝืนไม่ฏิบัติตามกฎหมาย PDPA ถึง 65 เหตุการณ์ ซึ่งเป็นตัวเลขที่ชี้ให้เห็นว่า ภาคประชาชน ภาครัฐและภาคเอกชน มีความตื่นรู้ในการใช้กฎหมาย และรู้เท่าทันสิทธิการคุ้มครองข้อมูลส่วนบุคคล และยังสะท้อนให้เห็นอีกด้านหนึ่งว่า การใช้ประโยชน์จากข้อมูลส่วนบุคคลทั้งในภารกิจของภาครัฐ ภาคเอกชน และในภาคประชาชนด้วยกันเอง ยังคงมีการละเมิดหรือฝ่าฝืนข้อกำหนดของกฎหมาย แม้จะมีกฏเกณฑ์ กฎหมาย แนวทางปฏิบัติกำหนดเอาไว้แล้วก็ตาม
ตัวเลขที่น่าสนใจจากสถิตินี้ คือ กว่า 83.1% ของเหตุการณ์ร้องเรียนและการฝ่าฝืนไม่ฏิบัติตามกฎหมาย PDPA เกิดขึ้นกับหน่วยงานเอกชน แม้ไม่มีรายละเอียดเกี่ยวกับการร้องเรียนและฝ่าฝืนที่ชัดเจน แต่จำนวนเรื่องร้องเรียน 54 เรื่อง คิดเป็น 83.1% นี้ชี้ให้เห็นว่าภาคเอกชนเป็นอุตสาหกรรมที่มีการใช้งานข้อมูลส่วนบุคคลมากที่สุด ยังคงหละหลวม ละเลย และบกพร่องในการปปฏิบัติตามข้อกำหนดของกฎหมาย PDPA
องค์กรของคุณเข้าข่ายความเสี่ยงการคุกคามทางไซเบอร์เหล่านี้หรือไม่? และเป็นหนึ่งในหน่วยงานเอกชนที่โดนร้องเรียนหรือเปล่า?
3 องค์กรสามารถ Maintain กระบวนการเชิงเทคนิคและนโยบายในโครงการ PDPA ได้มากน้อยแค่ไหน?
การจะทำให้กระบวนการ PDPA ในองค์กรบรรลุตามข้อกำหนดของกฎหมายได้อย่างครบถ้วนตามที่ PDPC เคยยกตัวอย่างเอาไว้ องค์กรจะต้องดำเนินการด้านเทคนิคและนโยบายควบคู่กัน ทว่าในหลายๆ องค์กรมักสอบตกในการนำนโยบายไปปฏิบัติจริง เพราะพุ่งเป้าไปที่การมีเอกสาร การประกาศนโยบาย มากกว่าการออกแบบกระบวนการเพื่อรองรับภาระงานที่จะเกิดขึ้น และมักจะเกิดปัญหาในการทำงานระหว่างแผนกหรือฝ่ายต่างๆ ในองค์กร มีการผลักภาระหรือปล่อยค้างปัญหาเพราะไม่แน่ใจว่า แผนกใดต้องดำเนินการ หรือแผนกใดต้องรับผิดชอบ
กระบวนการเชิงเทคนิคและเทคโนโลยี มักถูกพูดถึงเป็นอันดับท้ายๆ เพราะมีความซับซ้อนและใช้งบประมาณที่ค่อนข้างสูง หลายองค์กรจึงริเริ่มจากนโยบายและงานเอกสารก่อน เพื่อใช้เป็นหลักฐานยืนยันว่าองค์กรปฏิบัติตามข้อกำหนดของกฎหมาย ทว่ากระบวนการภายในที่ควรต้องถูกวางระบบ กำหนดขั้นตอน กำหนดแนวทางการดำเนินการ หรือหาเทคโนโลยีมารองรับ กลับล่าช้าและถูกละเลยไปเพราะ PDPA ไม่ได้อยู่ในส่วนงานหลักตั้งแต่แรก การอุบัติขึ้นของกฎหมาย PDPA จึงถือได้ว่าเป็นภาระงานใหม่ที่ต้องอาศัยทั้งเวลา กระบวนการที่ชัดเจน เทคโนโลยี การตระหนักรู้ และงบประมาณในการบริหารจัดการ เพื่อจะทำให้องค์กรสามารถ Maintain โครงการ PDPA ในระยะยาวได้
แต่การที่องค์กรไม่มีความสามารถในการขับเคลื่อนกระบวนการ PDPA ในระยะยาว อาจส่งผลกระทบต่อการดำเนินธุรกิจในส่วนที่เกี่ยวข้อกับข้อมูลส่วนบุคคล ส่งผลกระทบต่อแผนกหรือฝ่ายที่รับผิดชอบ ไม่สามารถดำเนินการเพิ่มเติม และทำให้การพัฒนากระบวนการเพื่อรองรับภาระงานใหม่ที่เกิดขึ้นมีความล่าช้า อาจกระทบกับการให้บริการ หรือการพัฒนาบริการให้ตอบสนองความต้องการของลูกค้า กระทบกับการปรับปรุงโครการ PDPA เพื่อให้สอดคล้องกับกฎหมายเพิ่มเติม กระบวนการเพิ่มเติม ที่จะมีการประกาศในอนาคต
4 กฎหมายไม่เคยหยุดนิ่ง รู้เท่าทันกฎหมายแค่ไหน?
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 หรือที่เรียกว่า PDPA มิได้มีรายละเอียด แนวทาง และเงื่อนไข เฉพาะที่ประกาศในราชกิจจานุเบกษาเท่านั้น แนวทางบางอย่างที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ที่เฉพาะเจาะจงในแต่ละอุตสาหกรรม ถูกเผยแพร่อยู่ก่อนแล้วใน Thailand Data Protection Guideline ซึ่งมีทั้งสิ้น 3 ฉบับ ได้แก่
- Thailand Data Protection Guideline 1.0 เผยแพร่เมื่อเดือนกันยายน 2561
- Thailand Data Protection Guideline 2.0 เผยแพร่เมื่อเดือนตุลาคม 2562
- Thailand Data Protection Guideline 3.0 เผยแพร่เมื่อเดือนธันวาคม 2563
แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ถูกเขียนขึ้นโดยที่มีเอกสารตัวอย่างจาก กฎหมาย GDPR (The General Data Protection Regulation) หรือ กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป ประกาศใช้อย่างเป็นทางการเมื่อ 25 พฤษภาคม 2018 เป้าหมายหลักของกฎหมาย GDPR คือการปกป้องพลเมืองของสหภาพยุโรปจากการโดนคุกคามข้อมูลส่วนบุคคลหรือการละเมิดความเป็นส่วนตัว เพิ่มสิทธิในการควบคุมข้อมูลส่วนตัวในทุกกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
ภายหลังจากกฎหมายลูก 4 ฉบับประกาศออกมาแล้ว PDPC ได้ทำการเผยแพร่ประกาศเพิ่มเติมและแนวทางเกี่ยวกับกฎหมาย PDPA ออกมาอย่างต่อเนื่อง ซึ่งล้วนเป็นข้อมูลที่สำคัญต่อการดำเนินงานขององค์กร เพราะประกาศเหล่านี้ ช่วยอธิบายแนวทาง และรายละเอียดเพิ่มเติมที่ยังคลุ่มเครือใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ความท้าทายของการไล่ตามกฎหมาย ประกาศ แนวทางฯ เหล่านี้ก็คือ การที่หน่วยงานผู้รับผิดชอบค่อยๆ เผยแพร่เอกสารออกมาที่ละฉบับ หากกฎหมายประกาศให้ดำเนินการเพิ่มจากที่ทำอยู่ อง์กรจะต้องตอบสนองต่อคำสั่งนั้น นอกจากนี้ การที่องค์กรขาดการอัปเดตกฎหมาย ไม่รู้เท่าทันประเด็นสำคัญๆ จากประกาศใหม่หรือกฎหมายเพิ่มเติม อาจส่งผลให้การดำเนินการที่ทำอยู่นั้นสูญเปล่า เพราะขณะที่มีกฎหมายหรือประกาศใหม่มา องค์กรยังย่ำอยู่กับกระบวนการเดิม ไม่มีการดำเนินการให้สอดคล้องกับกฎหมายที่เดินไปข้างหน้า เท่ากับโครงการ PDPA ล้าหลัง อาจส่งผลต่อกระบวนการ Audit ที่จะล่าช้า หรือต้องเริ่มทำนโยบายใหม่ให้ทันกฎหมาย ซึ่งทำให้เกิดภาระงานเพิ่มขึ้นจากเดิม องค์กรอาจสูญเสียความพร้อมในการตอบสนองต่อลูกค้าหรือการดำเนินธุรกิจได้
5 PDPA ในองค์กรขนาดใหญ่ ครบถ้วนและพร้อมสำหรับ IPO หรือยัง?
หากองค์กรขนาดใหญ่ มีแผนนำบริษัทเข้าตลาดหลักทรัพย์ จำเป็นต้องมีการปรับเปลี่ยนกิจการ 3 ด้านคือโครงสร้างธุรกิจและโครงสร้างกรรมการ ระบบบัญชีและรายงานทางการเงิน และระบบการควบคุมภายใน ส่วนงานที่เกี่ยวข้องกับโครงการ PDPA อยู่ในการปรับปรุงด้านระบบการควบคุมภายใน
ระบบการควบคุมภายใน แบ่งเป็น
Management Control องค์กรต้องมีความพร้อมเกี่ยวกับระบบการควบคุมด้านการบริหารจัดการ มีระบบ Check and Balance ที่ดี และมีการแบ่งหน้าที่การทำงานชัดเจน
Operational Control ก่อนเข้าตลาดหลักทรัพย์ องค์กรต้องมีระบบการควบคุมภายในที่เพียงพอต่อการปฏิบัติงานให้มีประสิทธิภาพ สามารถป้องกัน บริหาร จัดการความเสี่ยงหรือความเสียหายต่าง ๆ ที่อาจเกิดขึ้นได้เป็นอย่างดี กระบวนการที่เกี่ยวกับ Operational Control ในองค์กร กระบวนการ PDPA ถือว่าเป็นกระบวนการป้องกันและจัดการความเสี่ยงเกี่ยวกับข้อมูลส่วนบุคคล ถือเป็น Operational Control ที่องค์กรต้องดำเนินการทั้งในเชิงเทคนิคและเชิงนโยบาย
และแม้องค์กรจะยังไม่มีแนวโน้มนำองค์กรเข้าสู่ตลาดหลักทรัพย์ ทว่าต้องการสร้างความเชื่อมั่นให้กับนักลงทุน หรือพาร์ทเนอร์ ความพร้อมของกระบวนการ PDPA ถือว่าเป็นตัวชี้วัดสำคัญที่สามารถใช้จูงใจนักลงทุนได้
จากประเด็นทั้งหมดข้างต้น นำมาสู่คำถามที่ว่า ความพร้อมของกระบวนการ PDPA คืออะไร องค์กรจะทราบได้อย่างไรว่ากระบวนการ PDPA ครบถ้วนและสมบูรณ์? กระบวนการใดที่จะทำให้ทราบ Stage หรือสุขภาพของ PDPA ภายในองค์กรได้ เพื่อให้องค์กรทราบว่าแผนก ทีม ฝ่ายงานไหนในองค์กรสามารถตอบสนองต่อโครงการ PDPA ภายนองค์กรได้มากที่สุด สามารถตรวจสอบได้จากขั้นตอนที่เรียกว่า PDPA Audit
PDPA Audit คืออะไร ทำไมต้องทำ
ใน 1 หรือ 2 ปี ควรมีการตรวจสุขภาพ 1 ครั้ง เพื่อเช็คการทำงานของระบบต่างๆ ในร่างกาย ตรวจเช็คความผิดปกติ หรือตรวจหาโรคร้ายเพื่อวางแผนการรักษา ข้อดีของการตรวจสุขภาพ จะทำให้เจ้าของร่างกายทราบว่า อวัยวะใดหรือระบบการทำงานใดในร่างกายที่บกพร่องหรือผิดปกติ ทำให้ทราบถึงความเสี่ยงของภาวะหรือโรคที่มีโอกาสเกิดขึ้นกับร่างกาย
การทำ PDPA Audit เปรียบเสมือนการตรวจสุขภาพ โดยเน้นไปที่การตรวจสอบความครบถ้วนของการปฏิบัติตามข้อกำหนดของกฎหมาย PDPA เพื่อป้องกันความเสี่ยงต่อการกระทำผิด ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และเพื่อให้องค์กรทราบถึงความบกพร่องที่อาจปรากฎอยู่ในขั้นตอนบางขั้นตอนของกระบวนการ PDPA อันจะนำไปสู่การปรับปรุงกระบวนการ หรือการพัฒนาเทคนิควิธีการเพื่อมาแก้ไขข้อบกพร่องที่เกิดขึ้น
ไม่ตรวจสอบ = ไม่ต้องทำเพิ่ม
วลีที่กล่าวว่า ไม่ตรวจ = ไม่ป่วย อาจใช้ได้กับโรคหรือภาวะบางอย่าง แต่สำหรับโครงการ PDPA การไม่ตรวจสอบ = การละเลยมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลข้อมูลส่วนบุคคล อันเป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ตามแนวปฏิบัติเกี่ยวกับสิทธิหน้าที่ทั่วไปของผู้ควบคุมและผู้ประมลผลข้อมูล ที่ระบุไว้ใน Thailand Data Protection Guideline 3.0
จุดแข็งขององค์กรที่ทำ PDPA Audit
องค์กรสามารถเช็คได้ว่า โครงการ PDPA ในองค์กรความพร้อมและความครบถ้วนของกระบวนการเชิงเทคนิคและนโยบายตามที่บัญญัติไว้ในพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือไม่ อย่างไรบ้าง
- องค์กรสามารถตรวจสอบความบกพร่องในของกระบวนการเชิงเทคนิคและนโยบายในโครงการ PDPA ได้ เพื่อการวางแผน วางแนวทางแก้ไขปรับปรุงอย่างทันท่วงที
องค์กรสามารถวางแผนงบระมาณ ในการดูแลรักษาหรือขับเคลื่อนกระบวนการ PDPA ในระยะยาวได้
องค์กรสามารถเช็คได้ว่า โครงการ PDPA ที่ทำโดยคนในองค์กร หรือพึ่งพาผู้ให้บริการจัดการโครงการ PDPA ที่ผ่านมาก่อนหน้านี้ เหมาะสมกับองค์กรหรือไม่ ควรเปลี่ยนจากการทำเองมาเป็นการจ้างผู้ให้บริการ หรือควรเปลี่ยนผู้ห้บริการเจ้าเดิม ไปเป็นเจ้าใหม่
องค์กรสามารถสุ่มตรวจสอบได้ว่า แผนกงานใดในองค์กรที่ปฏิบัติตามกระบวนการเชิงเทคนิคและนโยบายที่บริษัทกำหนดได้แม่นยำที่สุด และแผนกงานใดที่ละเลย อันจะนำไปสู่การกำกับดูแลที่เข้มงวดขึ้น
องค์กรสามารถตรวจสอบได้ว่า พนักงาน บุคคลากรภายใน หรือ DPO ซึ่งทำหน้าที่กำกับดูแลกระบวนการเกี่ยวกับข้อมูลส่วนบุคคคลในองค์กร ให้บริการหรือดำเนินงานโดยคำนึงถึงข้อกำหนดของกฎหมาย PDPA มากน้อยเพียงใด มีความรู้ความเข้าใจเรื่องกฎหมาย ประกาศฯ หรือแนวทางเพิ่มเติมเกี่ยวกับกฎหมาย PDPA ที่เท่าทันกับกฎหมายล่าสุดเพียงใด
สุดท้าย องค์กรสามารถตรวจเช็คได้ว่า กลยุทธ์ที่ใช้ในการขับเคลื่อน PDPA และกลยุทธ์การบริหารองค์กร การบริหารธุรกิจมีความสอดคล้องกันมากน้อยเพียงใด ซึ่งจะนำไปสู่การปรับปรุงกลยุทธ์ให้สอดคล้องไปในทิศทางเดียวกัน อันจะทำให้การดำเนินโครงการ PDPA กระทบกับการดำเนินธุรกิจน้อยที่สุด
สรุปประเด็นคำถามชวนคิดสำหรับองค์กรที่ทำโครงการ PDPA
ตลอดปี 2022 ที่ผ่านมา องค์กรทำ PDPA ครบถ้วนแล้วหรือยัง?
องค์กรคุณกำลังตกอยู่ในความเสี่ยง ภัยคุกคามทางไซเบอร์ ซึ่งเสี่ยงจะทำให้ข้อมูลส่วนบุคคลรั่วไหลหรือไม่
องค์กรสามารถ Maintain กระบวนการเชิงเทคนิคและนโยบายในโครงการ PDPA ได้มากน้อยแค่ไหน?
พ.ศ เปลี่ยน กฎหมายประกาศเพิ่ม องค์กรรู้เท่าทันกฎหมายแค่ไหน?
PDPA ในองค์กรขนาดใหญ่ ครบถ้วนและพร้อมสำหรับเข้าตลาดหลักทรัพย์หรือไม่?
องค์กรไม่ควรชะล่าใจในกระบวนการ PDPA ที่เริ่มดำเนินการไปแล้วในปี 2022 เพราะในปี 2023 นี้ กระบวนการที่สำเร็จแล้ว อาจสูญเปล่าหากไม่ตรวจสอบให้รอบด้าน
มาเริ่ม PDPA Audit ด้วยกระบวนการตรวจสอบความพร้อม 4 lines defense ที่เดียวใน PDPA Intensive Audit package by t-reg ที่มาพร้อมกับผู้เชี่ยวชาญด้านกระบวนการ PDPA และที่ปรึกษาด้านกฎหมายของ t-reg พร้อมช่วยคุณสุ่มตรวจหาความบกพร่องของกระบวนการ PDPA ด้วยกระบวนการ Intensive Audit ที่สามารถชี้ช่องโหว่ และตรวจสอบความพร้อม PDPA ภายในองค์กรได้อย่างครอบคลุม ทั้ง People Preocess Technology
ติดต่อรับบริการ PDPA Intensive Audit package by t-reg พร้อมส่วนลดและข้อเสนอดีๆ ได้แล้ววันนี้ โทร 089-698-2591
รับชมบริการ PDPA Intensive Audit จาก t-reg ได้ที่ t-reg.co/PDPA Intensive Audit
