DPO Course คืออะไร
DPO Course เป็นคอร์สเรียนออนไลน์สำหรับลูกค้า t-reg ที่จะมาช่วยให้ความรู้แก่บุคลากรในองค์กรของคุณให้มีความรู้ ความเข้าใจ ในเรื่อง DPO และ PDPA มากยิ่งขึ้น อีกทั้งครอบคลุมพร้อมทั้งได้ลงมือทำกับผู้เชี่ยวชาญที่จะเปลี่ยนให้การทำ PDPA ที่แสนจะยุ่งยากให้เป็นเรื่องง่าย และทำให้คุณสามารถทำ PDPA ได้ด้วยตัวเอง พร้อมอัพเดทล่าสุดกฎหมายลูก PDPA ทั้ง 4 ฉบับ
วิทยากรผู้เชี่ยวชาญ
คุณวันพิชิต ชินตระกูลชัย
CTO / t-reg Founder
คุณปริชญ์ วัฒนวิถี
Chief of Legal Consult
คุณสถาพร สุยสุทธิ์
Product Manager
คุณภัทราวุธ บุญยานุตร
Security Awareness Director
หัวข้อการอบรม DPO Course
Introduction
แนะนำเนื้อหาที่ครอบคลุมเรื่อง PDPA ทำให้การทำ PDPA เป็นเรื่องง่ายสำหรับองค์กรคุณ
History of PDPA
ทำความรู้จักกับ PDPA ที่มีต้นแบบมาจาก GDPR ที่มีหลักการที่หลายคนไม่เคยรู้มาก่อน
PDPA & DPO Concept
เรียนรู้กฎหมาย PDPA และ DPO ที่เกี่ยวข้องที่องค์กรควรรู้ !
PDPA Sub-law
ทำความเข้าใจกับกฎหมายลูก PDPA ทั้ง 4 ฉบับ ที่มีการประกาศออกมา จะทำให้เข้าใจใน PDPA มากยิ่งขึ้น
DPO Implementation
นำหลักและแนวทางปฏิบัติเกี่ยวกับ PDPA ในการดำเนินงาน DPO ที่ทำให้คุณเข้าใจง่าย
PDPA Awareness
การลดความเสี่ยงในองค์กรจากการโจมตีทางไซเบอร์ การสร้าง Awareness กับพนักงานจึงจำเป็น
เนื้อหาหลักสูตร
1. Introduction
เมื่อมีการประกาศใช้กฎหมายคุ้มครองข้อมูล่วนบุคคลออกมา ทำให้องค์กรหลายแห่งมีปัญหาเกี่ยวกับการจัดตั้ง DPO (Data Protection Officer) ว่าเมื่อมีการจัดตั้ง DPO มาแล้ว แต่ไม่ทราบว่าต้องทำอะไร ต้องมีคุณสมบัติอะไรบ้าง และต้องมีความรู้อะไรบ้าง ดังนั้น DPO Course จะเป็นคอร์สที่จะช่วยให้องค์กรของคุณเข้าใจใน DPO มากยิ่งขึ้น
2. History of PDPA
เมื่อการเรียนรู้หลักการและที่มาของกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่มีต้นแบบกฎหมายมาจาก GDPR ในบทเรียนนี้จะทำให้เราเข้าใจว่ากฎหมายฉบับนี้ออกมาเพื่ออะไร และสามารถแก้ไขปัญหาเรื่ออะไรได้บ้าง และส่วนไหนที่กฎหมายฉบับนี้ จะสามารถเข้าไปแก้ไขปัญหาที่เกิดขึ้นเกี่ยวกับข้อมูลส่วนบุคคลได้อย่างไร
ข้อมูลส่วนบุคคล เป็นข้อมูลที่เกี่ยวข้องกับบุคคลที่สามารถระบุถึงบุคคลของเจ้าของข้อมูลนั้นได้ทั้งทางตรงและทางอ้อม อาทิ ชื่อ-นามสกุล หมายเลขโทรศัพท์ เลขบัตรประจำตัวประชาชน เป็นต้น ซึ่งจะรวมในส่วนที่เป็นข้อมูลอ่อนไหว ที่เป็นข้อมูลที่มีความละเอียดอ่อน เมื่อข้อมูลในส่วนนี้ถูกเผยแพร่ออกไป อาจส่งผลกระทบกับเจ้าของข้อมูลนั้นได้ ไม่ว่าจะเป็น เชื้อชาติ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลทางพันธุกรรมหรือชีวภาพ เป็นต้น
จะมีการพูดถึง Case study ทางฝั่งยุโรปและอเมริกาที่เกี่ยวข้องกับข้อมูลส่วนบุคคล จึงทำให้เกิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป หรือ GDPR โดย GDPR เป็นกฎหมายตัวเริ่มจากทางยุโรปและฝั่งอเมริกา ก่อนที่จะมีการขยายอิทธิพลมาทางฝั่งบ้านเรา ซึ่ง PDPA เหมือนได้รับอิทธิพลมาโลกตะวันตก มาดูกันว่าหลักการตามหลักสากลเป็นอย่างไร
เป็นการอธิบายถึงหลักการ GDPR โดยที่นำหลักการเหล่านั้นมาประยุกต์ใช้กับกฎหมาย PDPA ทางบ้านเราด้วย ซึ่งหลักการจะมีทั้งหมด 7 ข้อหลัก ถ้าเราเข้าใจในหลักการของ GDPR จำทำให้เราสามารถเข้าใจกฎหมาย PDPA มากยิ่งขึ้น
3. PDPA & DPO Concept
หลังจากมีการประกาศใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ในกฎหมายนี้มีการกำหนดแนวทางรายละเอียดไว้ว่าอะไรบ้าง และเข้าใจในหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลว่ามีหน้าที่อะไรบ้าง และองค์กรแบบไหนที่ต้องมีความจำเป็น DPO ดังนั้นในบทเรียนนี้ผู้เรียนจะได้เรียนรู้เกี่ยวกับตัวกฎหมาย และทำให้เข้าใจในบทบาทและหน้าที่ของ DPO มากยิ่งขึ้น
ในขอบเขตการการบังคับใช้กฎหมาย PDPA ของไทยเองมีการบังคับใช้การเก็บ ใช้ เปิดเผย ข้อมูลส่วนบุคคล จะใช้ในการป้องกันการนำข้อมูลไปใช้ในทางไม่ถูกต้องและการนำไปใช้โดยไม่ได้รับอนุญาต และให้สิทธิ์แก่เจ้าของข้อมูลในการรับทราบและควบคุมการใช้ข้อมูลส่วนบุคคลของตนเอง และมีการกำหนดมาตรฐานความปลอดภัยของการจัดเก็บข้อมูลส่วนบุคคล
เป็นผู้ที่มีหน้าที่สำคัญในการจัดการและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพื่อช่วยให้องค์กรนั้นสามารถดำเนินงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA ซึ่งหน้าที่หลักของ DPO นั้น จะต้องสามารถให้คำแนะนำ PDPA แก่คนในองค์กร ตรวจสอบการดำเนินงานให้ตรงตามกฎหมาย ประสานงานกับผู้กำกับดูแลเมื่อมีข้อมูลรั่วไหล และรักษาความลับขององค์กร
4. PDPA Sub-Regulations
ปัจจุบันกฎหมาย PDPA มีการประกาศใช้กฎหมายลูกของ PDPA มาเพิ่มเติม 4 ฉบับ เพื่อเป็นแนวทางในการปฎิบัติและอำนวยความสะดวกให้กับองค์กรที่ยังไม่มีความพร้อม และในส่วนของการดำเนินการให้สอดคล้องกับกฎหมาย PDPA ที่มีการประกาศใช้ออกมา ในบทเรียนจะอธิบายในกฎหมายลูกทั้ง 4 ฉบับ ให้เข้าใจมากยิ่งขึ้น
ประกาศฉบับนี้ประกาศออกมาเพื่ออำนวยความสะดวกผู้ประกอบกิจการขนาดกลางและขนาดย่อย (SME) โดยมีรายละเอียดในการบังคับใช้ โดยกำหนดว่าผู้ควบคุมข้อมูลส่วนบุคคลที่มีกิจการที่มีลักษณะเข้าหลักเกณฑ์ ไม่มีความจำเป็นต้องทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคล (RoPA) ตามมาตรา 39 พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล แต่หากเป็นธุรกิจผู้ให้บริการตามที่กำหนดใน พ.ร.บ. คอมฯ จะต้องทำ RoPA แม้เป็นขนาดกลางหรือย่อยก็ตาม แต่ยกเว้นธุรกิจร้านอินเทอร์เน็ต
ก่อนหน้านี้คนที่ประมวลผลข้อมูลส่วนบุคคลหรือบันทึกกิจกรรมต่าง ๆ จะมีหน้าที่แค่ผู้ควบคุมข้อมูลส่วนบุคคล (Controller) ที่นี่กฎหมายลูกฉบับนี้ออกมามีการบังคับให้ผู้ประมวลผลข้อมูลส่วนบุคคลต้องทำ RoPA ทำให้องค์กรที่อยู่ 2 สถานะ คือผู้ควบคุมข้อมูลส่วนบุคคล (Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Processor) ซึ่งหลักเกณฑ์และวิธีการต่างๆนั้นใกล้เคียง RoPA ของ Controller โดย Processor ต้องจัดทำบันทึกข้อมูลจากการประมวลผลข้อมูลส่วนบุคคล ในกิจการหรือกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลต่างๆจากเจ้าของข้อมูลส่วนบุคคล
มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล จะต้องมีมาตรการพื้นฐานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละองค์กรหรือบุคคลที่มีหน้าที่เป็นผู้คุ้มครองข้อมูลส่วนบุคคลยังไง เพื่อยกระดับความมั่นคงปลอดภัยขององค์กร วางแผนป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามได้อย่างรวดเร็วและเป็นระบบ
การพิจารณาความผิดและการออกคำสั่งลงโทษ ในกรณีที่องค์กรกระทำความผิด จะต้องพิจารณาเจตนา ความร้ายแรงของพฤติกรรม ขนาดกิจการ มูลค่าความเสียหาย ประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากมาตรการลงโทษ ฯลฯ โดยองค์กรจะได้รับการแจ้งมาตรการ การบังคับการปกครองในรูปแบบ หนังสือ หรือไฟล์อิเล็กทรอนิกส์
5. DPO Implementation
บทบาทและหน้าที่ในการดำเนินงานเกี่ยวกับ DPO ในบทเรียนนี้เราจะได้เรียนนี้ เราจะได้เรียนรู้วิธีการดำเนินงานของ DPO Job Function ซึ่งเป็นหน้าที่หลักในการดำเนินงานด้าน PDPA และหน้าที่ของ DPO ในการดำเนินงานว่ามีอะไรบ้าง โดยความสำคัญด้านนโยบาย แนวปฎิบัติ และกระบวนการทำงานที่สอดคล้องกับ DPO ตลอดจนการวางโครงสร้างเกี่ยวกับหลักการต่าง ๆ ลงไปในการทำงาน และความรู้ที่ DPO จำเป็นต้องเรียนรู้
การร่างนโยบายความเป็นส่วนตัว เป็นส่วนหนึ่งของรายการที่ต้องทำตามกฎหมาย PDPA ซึ่งองค์กรจะต้องจัดทำเพื่อใช้ในการจัดเก็บข้อมูลของเจ้าของข้อมูล อีกทั้งยังช่วยในการสร้างความน่าเชื่อถือให้กับองค์กรอีกด้วย
เป็นการกำหนดแนวทางปฎิบัติให้ครอบคลุมกฎหมาย PDPA โดยแนวทางในการปฎิบัติตามกรอบนโยบายหลัก มีทั้งหมด 5 ข้อ ได้แก่ แนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล แนวทางปฏิบัติการเก็บรวบรวมข้อมูลส่วนบุคคล แนวทางปฏิบัติการใช้และเปิดเผยข้อมูลส่วนบุคคล การดำเนินงานตามสิทธิของเจ้าของข้อมูล และแนวทางปฏิบัติการรักษาความมั่นคงลอดภัยของข้อมุลส่วนบุคคล การทำลายข้อมูลตามระยะเวลาที่กำหนด และการปฎิบัติต่อข้อมูลที่มีอยู่ก่อนพระราชบัญญัติบังคับใช้
หน้าที่หลักสำคัญในการดำเนินงานด้าน PDPA จะสอดคล้องไปตามกฎหมาย PDPA ตามมาตรา 42 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่มีหน้าที่ ในการให้คำแนะนำรายบุคคล (Go-To Person) การควบคุมภายในองค์กร (Internal Control) การติดต่อประสานงานภายนอกองค์กร (External Communication) และการรักษาความลับของข้อมูลส่วนบุคคลที่ล่วงรู้ (Confidentiality) ซึ่งหน้าที่เหล่านี้มีความสำคัญในการดำเนินงานให้ถูกต้องตามกฎหมาย
วิธีการในการทำตาม PDPA ให้ครอบคลุมสามารถแบ่งออกได้เป็น 3 ส่วน ในส่วนแรกคณะทำงานและพนักงาน (People) เป็นทรัพยากรที่สำคัญในการปฏิบัติตาม PDPA เพราะสามารถเข้าถึงข้อมูลส่วนบุคคลและมีโอกาสเกิดความผิดพลาดได้ ส่วนที่ 2 การจัดการกระบวการทำงาน (Process) หลักจากกฎหมาย PDPA ถูกประกาศออกมาย่อมส่งผลกับธุรกิจโดยตรง ดังนั้นต้องมีการจัดการโดยองค์กรจะต้องรู้ว่าเริ่มจากจุดไหน เพื่อไม่ให้เกิดช่องโหว่งในการเก็บหรือใช้ข้อมูลส่วนบุคคล และส่วนสุดท้าย ตัวช่วยในการตรวจสอบข้อมูล (Technology) ส่วนนี้จะเกี่ยวข้องกับการจัดการสิทธิในการเข้าถึงข้อมูลส่วนบุคคล และตรวจสอบการปกป้องข้อมูลส่วนบุคคล
6. PDPA Awareness
การสร้างความตระหนักรู้ให้กับพนักงานภายในองค์กร จะช่วยทำให้ลดความเสี่ยงจากการโจมตีทางไซเบอร์ที่ส่งผลต่อข้อมูลส่วนบุคคลของคนในองค์กร ฉะนั้นในบทเรียนนี้จะทำให้เราเข้าใจว่าทำไมเราถึงต้องทำ PDPA Awareness ในองค์กร และกฎหมายที่ประกาศออกมามีใจความว่าอย่างไร ที่สำคัญเราจะได้เรียนรู้วิธีการในการทำ PDPA Awareness ภายในองค์กรว่าสามารถทำอย่างไรได้บ้าง
เป็นการออกแบบโปรแกรมขึ้นมาว่าเราจะออกแบบอย่างไร ในส่วนนี้จะเป็นขั้นตอนการ Set Goal คือการกำหนดเป้าหมาย โดยพิจารณาว่ามีจำนวนบุคคลากรที่เป็นกลุ่มเป้าหมายอยู่เท่าไหร่ เพื่อจัดเตรียมข้อมูลที่ใช้ในการสื่อสาร
จะเป็นส่วนในการจัดเตรียมข้อมูลในการเรียนรู้ผ่านสื่อการสอนในรูปแบบต่างๆที่เรียกว่า Content Strategy หรือการออกแบบเนื้อหาการเรียนรู้ ให้สอดคล้องกับการออกแบบโปรแกรมที่เราออกแบบไว้ในตอนแรกว่า มีประโยชน์ต่อองค์กรอย่างไร และมีเนื้อหาที่ครบถ้วนหรือไม่
ในการดำเนินงานจากโปรแกรมที่เราออกแบบมาว่าสามารถวางแผนช่องทางการเรียนรู้และการสื่อสารกับคนในองค์กรด้วยวิธีไหนได้บ้าง ซึ่งเป็นการกระจายข้อมูลออกไปสู่คนในองค์กรหรือที่เรียกว่า Distribution
หลังจากที่เราสร้างความตระหนักรู้ให้กับพนักงานภายในองค์กรแล้ว เราจะต้องมีการทำ Measurement & Analysis หรือการวัดผลและวิเคราะห์ผลด้วย แล้วนำมาเก็บข้อมูล มาใช้วางแผนในการลดความเสี่ยงให้กับองค์กรได้ และมั่นใจได้ว่ากิจกรรมต่าง ๆ นั้นปฎิบัติตามกฎหมายแล้ว
คำถามที่พบบ่อย
DPO (Data Protection Officer) คือบุคคลหลักที่มีบทบาทสำคัญในการดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดขององค์กรไม่ว่าจะเป็นทั้งข้อมูลส่วนบุคคลทั้งภายใน เช่น (ข้อมูลพนักงาน) หรือ ภายนอก (ข้อมูลลูกค้า) ตั้งแต่การเก็บจัดเก็บรวบรวม, เปิดเผย, และนำข้อมูลไปใช้รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
1.ให้คำแนะนำ แก่ผู้ควบคุมข้อมูลฯ ผู้ประมวลผลข้อมูลฯ ลูกจ้าง ผู้รับจ้างของผู้ควบคุมข้อมูลฯ หรือที่เกี่ยวข้องกับ PDPA
2.ทำหน้าที่ตรวจสอบ การการดำเนินงาน เกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล
3.ประสานงานและให้ความร่วมมือ กับเจ้าหน้าที่รัฐ กรณีเกิดปัญหา
4.รักษาความลับของข้อมูลส่วนบุคคล ที่ตนล่วงรู้หรือได้มาจากการปฏิบัติหน้าที่ตามกฎหมายนี้
ทางกฏหมายยังไม่ได้มีการกำหนดใว้ แต่แนะนำให้มีแค่ 1 คน หรือตั้งเป็นคณะทำงานก็ได้
IT Audit และ Internal Audit