]

DPO Course คืออะไร

DPO Course เป็นคอร์สเรียนออนไลน์สำหรับลูกค้า t-reg ที่จะมาช่วยให้ความรู้แก่บุคลากรในองค์กรของคุณให้มีความรู้ ความเข้าใจ ในเรื่อง DPO และ PDPA มากยิ่งขึ้น อีกทั้งครอบคลุมพร้อมทั้งได้ลงมือทำกับผู้เชี่ยวชาญที่จะเปลี่ยนให้การทำ PDPA ที่แสนจะยุ่งยากให้เป็นเรื่องง่าย และทำให้คุณสามารถทำ PDPA ได้ด้วยตัวเอง พร้อมอัพเดทล่าสุดกฎหมายลูก PDPA ทั้ง 4 ฉบับ

วิทยากรผู้เชี่ยวชาญ

P Kiak copy

คุณวันพิชิต ชินตระกูลชัย

CTO / t-reg Founder

P Pak copy

คุณปริชญ์ วัฒนวิถี

Chief of Legal Consult

P Boy copy

คุณสถาพร สุยสุทธิ์

Product Manager

P Oab copy

คุณภัทราวุธ บุญยานุตร

Security Awareness Director

หัวข้อการอบรม DPO Course

Introduction

แนะนำเนื้อหาที่ครอบคลุมเรื่อง PDPA ทำให้การทำ PDPA เป็นเรื่องง่ายสำหรับองค์กรคุณ

History of PDPA

ทำความรู้จักกับ PDPA ที่มีต้นแบบมาจาก GDPR ที่มีหลักการที่หลายคนไม่เคยรู้มาก่อน

PDPA & DPO Concept

เรียนรู้กฎหมาย PDPA และ DPO ที่เกี่ยวข้องที่องค์กรควรรู้ !

PDPA Sub-law

ทำความเข้าใจกับกฎหมายลูก PDPA ทั้ง 4 ฉบับ ที่มีการประกาศออกมา จะทำให้เข้าใจใน PDPA มากยิ่งขึ้น

DPO Implementation

นำหลักและแนวทางปฏิบัติเกี่ยวกับ PDPA ในการดำเนินงาน DPO ที่ทำให้คุณเข้าใจง่าย

PDPA Awareness

การลดความเสี่ยงในองค์กรจากการโจมตีทางไซเบอร์ การสร้าง Awareness กับพนักงานจึงจำเป็น

เนื้อหาหลักสูตร

1. Introduction

เมื่อมีการประกาศใช้กฎหมายคุ้มครองข้อมูล่วนบุคคลออกมา ทำให้องค์กรหลายแห่งมีปัญหาเกี่ยวกับการจัดตั้ง DPO (Data Protection Officer) ว่าเมื่อมีการจัดตั้ง DPO มาแล้ว แต่ไม่ทราบว่าต้องทำอะไร ต้องมีคุณสมบัติอะไรบ้าง และต้องมีความรู้อะไรบ้าง ดังนั้น DPO Course จะเป็นคอร์สที่จะช่วยให้องค์กรของคุณเข้าใจใน DPO มากยิ่งขึ้น

2. History of PDPA

เมื่อการเรียนรู้หลักการและที่มาของกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่มีต้นแบบกฎหมายมาจาก GDPR ในบทเรียนนี้จะทำให้เราเข้าใจว่ากฎหมายฉบับนี้ออกมาเพื่ออะไร และสามารถแก้ไขปัญหาเรื่ออะไรได้บ้าง และส่วนไหนที่กฎหมายฉบับนี้ จะสามารถเข้าไปแก้ไขปัญหาที่เกิดขึ้นเกี่ยวกับข้อมูลส่วนบุคคลได้อย่างไร

ข้อมูลส่วนบุคคล เป็นข้อมูลที่เกี่ยวข้องกับบุคคลที่สามารถระบุถึงบุคคลของเจ้าของข้อมูลนั้นได้ทั้งทางตรงและทางอ้อม อาทิ ชื่อ-นามสกุล หมายเลขโทรศัพท์ เลขบัตรประจำตัวประชาชน เป็นต้น ซึ่งจะรวมในส่วนที่เป็นข้อมูลอ่อนไหว ที่เป็นข้อมูลที่มีความละเอียดอ่อน เมื่อข้อมูลในส่วนนี้ถูกเผยแพร่ออกไป อาจส่งผลกระทบกับเจ้าของข้อมูลนั้นได้ ไม่ว่าจะเป็น เชื้อชาติ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลทางพันธุกรรมหรือชีวภาพ เป็นต้น

จะมีการพูดถึง Case study ทางฝั่งยุโรปและอเมริกาที่เกี่ยวข้องกับข้อมูลส่วนบุคคล จึงทำให้เกิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป หรือ GDPR โดย GDPR เป็นกฎหมายตัวเริ่มจากทางยุโรปและฝั่งอเมริกา ก่อนที่จะมีการขยายอิทธิพลมาทางฝั่งบ้านเรา ซึ่ง PDPA เหมือนได้รับอิทธิพลมาโลกตะวันตก มาดูกันว่าหลักการตามหลักสากลเป็นอย่างไร

เป็นการอธิบายถึงหลักการ GDPR โดยที่นำหลักการเหล่านั้นมาประยุกต์ใช้กับกฎหมาย PDPA ทางบ้านเราด้วย ซึ่งหลักการจะมีทั้งหมด 7 ข้อหลัก ถ้าเราเข้าใจในหลักการของ GDPR จำทำให้เราสามารถเข้าใจกฎหมาย PDPA มากยิ่งขึ้น

3. PDPA & DPO Concept

หลังจากมีการประกาศใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ในกฎหมายนี้มีการกำหนดแนวทางรายละเอียดไว้ว่าอะไรบ้าง และเข้าใจในหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลว่ามีหน้าที่อะไรบ้าง และองค์กรแบบไหนที่ต้องมีความจำเป็น DPO ดังนั้นในบทเรียนนี้ผู้เรียนจะได้เรียนรู้เกี่ยวกับตัวกฎหมาย และทำให้เข้าใจในบทบาทและหน้าที่ของ DPO มากยิ่งขึ้น

ในขอบเขตการการบังคับใช้กฎหมาย PDPA ของไทยเองมีการบังคับใช้การเก็บ ใช้ เปิดเผย ข้อมูลส่วนบุคคล จะใช้ในการป้องกันการนำข้อมูลไปใช้ในทางไม่ถูกต้องและการนำไปใช้โดยไม่ได้รับอนุญาต และให้สิทธิ์แก่เจ้าของข้อมูลในการรับทราบและควบคุมการใช้ข้อมูลส่วนบุคคลของตนเอง และมีการกำหนดมาตรฐานความปลอดภัยของการจัดเก็บข้อมูลส่วนบุคคล

เป็นผู้ที่มีหน้าที่สำคัญในการจัดการและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพื่อช่วยให้องค์กรนั้นสามารถดำเนินงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA ซึ่งหน้าที่หลักของ DPO นั้น จะต้องสามารถให้คำแนะนำ PDPA แก่คนในองค์กร ตรวจสอบการดำเนินงานให้ตรงตามกฎหมาย ประสานงานกับผู้กำกับดูแลเมื่อมีข้อมูลรั่วไหล และรักษาความลับขององค์กร

4. PDPA Sub-Regulations

ปัจจุบันกฎหมาย PDPA มีการประกาศใช้กฎหมายลูกของ PDPA มาเพิ่มเติม 4 ฉบับ เพื่อเป็นแนวทางในการปฎิบัติและอำนวยความสะดวกให้กับองค์กรที่ยังไม่มีความพร้อม และในส่วนของการดำเนินการให้สอดคล้องกับกฎหมาย PDPA ที่มีการประกาศใช้ออกมา ในบทเรียนจะอธิบายในกฎหมายลูกทั้ง 4 ฉบับ ให้เข้าใจมากยิ่งขึ้น

ประกาศฉบับนี้ประกาศออกมาเพื่ออำนวยความสะดวกผู้ประกอบกิจการขนาดกลางและขนาดย่อย (SME) โดยมีรายละเอียดในการบังคับใช้ โดยกำหนดว่าผู้ควบคุมข้อมูลส่วนบุคคลที่มีกิจการที่มีลักษณะเข้าหลักเกณฑ์ ไม่มีความจำเป็นต้องทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคล (RoPA) ตามมาตรา 39 พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล แต่หากเป็นธุรกิจผู้ให้บริการตามที่กำหนดใน พ.ร.บ. คอมฯ จะต้องทำ RoPA แม้เป็นขนาดกลางหรือย่อยก็ตาม แต่ยกเว้นธุรกิจร้านอินเทอร์เน็ต

ก่อนหน้านี้คนที่ประมวลผลข้อมูลส่วนบุคคลหรือบันทึกกิจกรรมต่าง ๆ จะมีหน้าที่แค่ผู้ควบคุมข้อมูลส่วนบุคคล (Controller) ที่นี่กฎหมายลูกฉบับนี้ออกมามีการบังคับให้ผู้ประมวลผลข้อมูลส่วนบุคคลต้องทำ RoPA ทำให้องค์กรที่อยู่ 2 สถานะ คือผู้ควบคุมข้อมูลส่วนบุคคล (Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Processor) ซึ่งหลักเกณฑ์และวิธีการต่างๆนั้นใกล้เคียง RoPA ของ Controller โดย Processor ต้องจัดทำบันทึกข้อมูลจากการประมวลผลข้อมูลส่วนบุคคล ในกิจการหรือกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลต่างๆจากเจ้าของข้อมูลส่วนบุคคล

มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล จะต้องมีมาตรการพื้นฐานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละองค์กรหรือบุคคลที่มีหน้าที่เป็นผู้คุ้มครองข้อมูลส่วนบุคคลยังไง เพื่อยกระดับความมั่นคงปลอดภัยขององค์กร วางแผนป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและเป็นระบบ

การพิจารณาความผิดและการออกคำสั่งลงโทษ ในกรณีที่องค์กรกระทำความผิด จะต้องพิจารณาเจตนา ความร้ายแรงของพฤติกรรม ขนาดกิจการ มูลค่าความเสียหาย ประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากมาตรการลงโทษ ฯลฯ โดยองค์กรจะได้รับการแจ้งมาตรการ การบังคับการปกครองในรูปแบบ หนังสือ หรือไฟล์อิเล็กทรอนิกส์

5. DPO Implementation

บทบาทและหน้าที่ในการดำเนินงานเกี่ยวกับ DPO ในบทเรียนนี้เราจะได้เรียนนี้ เราจะได้เรียนรู้วิธีการดำเนินงานของ DPO Job Function ซึ่งเป็นหน้าที่หลักในการดำเนินงานด้าน PDPA และหน้าที่ของ DPO ในการดำเนินงานว่ามีอะไรบ้าง โดยความสำคัญด้านนโยบาย แนวปฎิบัติ และกระบวนการทำงานที่สอดคล้องกับ DPO ตลอดจนการวางโครงสร้างเกี่ยวกับหลักการต่าง ๆ ลงไปในการทำงาน และความรู้ที่ DPO จำเป็นต้องเรียนรู้

การร่างนโยบายความเป็นส่วนตัว เป็นส่วนหนึ่งของรายการที่ต้องทำตามกฎหมาย PDPA ซึ่งองค์กรจะต้องจัดทำเพื่อใช้ในการจัดเก็บข้อมูลของเจ้าของข้อมูล อีกทั้งยังช่วยในการสร้างความน่าเชื่อถือให้กับองค์กรอีกด้วย

เป็นการกำหนดแนวทางปฎิบัติให้ครอบคลุมกฎหมาย PDPA โดยแนวทางในการปฎิบัติตามกรอบนโยบายหลัก มีทั้งหมด 5 ข้อ ได้แก่ แนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล แนวทางปฏิบัติการเก็บรวบรวมข้อมูลส่วนบุคคล แนวทางปฏิบัติการใช้และเปิดเผยข้อมูลส่วนบุคคล การดำเนินงานตามสิทธิของเจ้าของข้อมูล และแนวทางปฏิบัติการรักษาความมั่นคงลอดภัยของข้อมุลส่วนบุคคล การทำลายข้อมูลตามระยะเวลาที่กำหนด และการปฎิบัติต่อข้อมูลที่มีอยู่ก่อนพระราชบัญญัติบังคับใช้

หน้าที่หลักสำคัญในการดำเนินงานด้าน PDPA จะสอดคล้องไปตามกฎหมาย PDPA ตามมาตรา 42 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่มีหน้าที่ ในการให้คำแนะนำรายบุคคล (Go-To Person) การควบคุมภายในองค์กร (Internal Control) การติดต่อประสานงานภายนอกองค์กร (External Communication) และการรักษาความลับของข้อมูลส่วนบุคคลที่ล่วงรู้ (Confidentiality) ซึ่งหน้าที่เหล่านี้มีความสำคัญในการดำเนินงานให้ถูกต้องตามกฎหมาย

วิธีการในการทำตาม PDPA ให้ครอบคลุมสามารถแบ่งออกได้เป็น 3 ส่วน ในส่วนแรกคณะทำงานและพนักงาน (People) เป็นทรัพยากรที่สำคัญในการปฏิบัติตาม PDPA  เพราะสามารถเข้าถึงข้อมูลส่วนบุคคลและมีโอกาสเกิดความผิดพลาดได้ ส่วนที่ 2 การจัดการกระบวการทำงาน (Process) หลักจากกฎหมาย PDPA ถูกประกาศออกมาย่อมส่งผลกับธุรกิจโดยตรง ดังนั้นต้องมีการจัดการโดยองค์กรจะต้องรู้ว่าเริ่มจากจุดไหน เพื่อไม่ให้เกิดช่องโหว่งในการเก็บหรือใช้ข้อมูลส่วนบุคคล และส่วนสุดท้าย ตัวช่วยในการตรวจสอบข้อมูล (Technology) ส่วนนี้จะเกี่ยวข้องกับการจัดการสิทธิในการเข้าถึงข้อมูลส่วนบุคคล และตรวจสอบการปกป้องข้อมูลส่วนบุคคล

6. PDPA Awareness

การสร้างความตระหนักรู้ให้กับพนักงานภายในองค์กร จะช่วยทำให้ลดความเสี่ยงจากการโจมตีทางไซเบอร์ที่ส่งผลต่อข้อมูลส่วนบุคคลของคนในองค์กร ฉะนั้นในบทเรียนนี้จะทำให้เราเข้าใจว่าทำไมเราถึงต้องทำ PDPA Awareness ในองค์กร และกฎหมายที่ประกาศออกมามีใจความว่าอย่างไร ที่สำคัญเราจะได้เรียนรู้วิธีการในการทำ PDPA Awareness ภายในองค์กรว่าสามารถทำอย่างไรได้บ้าง

เป็นการออกแบบโปรแกรมขึ้นมาว่าเราจะออกแบบอย่างไร ในส่วนนี้จะเป็นขั้นตอนการ Set Goal คือการกำหนดเป้าหมาย โดยพิจารณาว่ามีจำนวนบุคคลากรที่เป็นกลุ่มเป้าหมายอยู่เท่าไหร่ เพื่อจัดเตรียมข้อมูลที่ใช้ในการสื่อสาร

จะเป็นส่วนในการจัดเตรียมข้อมูลในการเรียนรู้ผ่านสื่อการสอนในรูปแบบต่างๆที่เรียกว่า Content Strategy หรือการออกแบบเนื้อหาการเรียนรู้ ให้สอดคล้องกับการออกแบบโปรแกรมที่เราออกแบบไว้ในตอนแรกว่า มีประโยชน์ต่อองค์กรอย่างไร และมีเนื้อหาที่ครบถ้วนหรือไม่

ในการดำเนินงานจากโปรแกรมที่เราออกแบบมาว่าสามารถวางแผนช่องทางการเรียนรู้และการสื่อสารกับคนในองค์กรด้วยวิธีไหนได้บ้าง ซึ่งเป็นการกระจายข้อมูลออกไปสู่คนในองค์กรหรือที่เรียกว่า Distribution

หลังจากที่เราสร้างความตระหนักรู้ให้กับพนักงานภายในองค์กรแล้ว เราจะต้องมีการทำ Measurement & Analysis หรือการวัดผลและวิเคราะห์ผลด้วย แล้วนำมาเก็บข้อมูล มาใช้วางแผนในการลดความเสี่ยงให้กับองค์กรได้ และมั่นใจได้ว่ากิจกรรมต่าง ๆ นั้นปฎิบัติตามกฎหมายแล้ว

 

คำถามที่พบบ่อย

DPO (Data Protection Officer) คือบุคคลหลักที่มีบทบาทสำคัญในการดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดขององค์กรไม่ว่าจะเป็นทั้งข้อมูลส่วนบุคคลทั้งภายใน เช่น (ข้อมูลพนักงาน) หรือ ภายนอก (ข้อมูลลูกค้า) ตั้งแต่การเก็บจัดเก็บรวบรวม, เปิดเผย, และนำข้อมูลไปใช้รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

1.ให้คำแนะนำ แก่ผู้ควบคุมข้อมูลฯ ผู้ประมวลผลข้อมูลฯ ลูกจ้าง ผู้รับจ้างของผู้ควบคุมข้อมูลฯ หรือที่เกี่ยวข้องกับ PDPA
2.ทำหน้าที่ตรวจสอบ การการดำเนินงาน เกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล
3.ประสานงานและให้ความร่วมมือ กับเจ้าหน้าที่รัฐ กรณีเกิดปัญหา
4.รักษาความลับของข้อมูลส่วนบุคคล ที่ตนล่วงรู้หรือได้มาจากการปฏิบัติหน้าที่ตามกฎหมายนี้

ทางกฏหมายยังไม่ได้มีการกำหนดใว้ แต่แนะนำให้มีแค่ 1 คน หรือตั้งเป็นคณะทำงานก็ได้

IT Audit และ Internal Audit