บริการตรวจสอบ การปฏิบัติตามหลัก PDPA

      การสอบทานการดำเนินงานขององค์กร เพื่อป้องกันความเสี่ยงต่อการกระทำผิดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล PDPA (PDPA Compliance Audit) ผ่านการตรวจสอบเอกสารและการสัมภาษณ์การบริหารจัดการข้อมูลส่วนบุคคลขององค์กรถูกต้องหรือไม่ อย่างไร โดยมีระยะเวลาดำเนินการ ภายใน 6 เดือน (ขึ้นอยู่กับขนาดขององค์กร) บริการการสอบทานครอบคลุม

• PDPA Audit checklist: สอบทานการบริหารจัดการข้อมูลส่วนบุคคลขององค์กรในรูปแบบเอกสารซึ่ง ตรงตามความจำเป็นตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
• Gap Analysis: สอบทาน วิเคราะห์ และประเมินช่องว่างของการเตรียมความพร้อมองค์กรให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
• Dimension checklist: การสอบทานครอบคลุมการประเมินความพร้อมใน 3 มิติ ได้แก่ มิติของความครบถ้วนทางเอกสาร มิติของการเผยแพร่ และมิติการนำไปใช้อย่างเหมาะสมขององค์กร

ขั้นตอนให้บริการ: บริหารจัดการข้อมูลส่วนบุคคลตามหลัก PDPA

1. จัดทำและนำเสนอแผนดำเนินงาน (Project Timeline)
2. รวบรวมข้อมูลเพื่อทำการสอบทาน (Collect)

   2.1  รูปแบบเอกสารตามรายการที่กำหนด (Checklist)

   2.2  รูปแบบการสัมภาษณ์ผู้ปฏิบัติงานภายใน (Interview)

3. พิจารณาสอบทานความสอดคล้องกับการคุ้มครองข้อมูลส่วนบุคคล (Data Analysis)
4. จัดทำรายงานการวิเคราะห์ความครบถ้วน ถูกต้องและช่องว่าง (Gap Analysis)
5. นำเสนอผลการดำเนินการ (Audit Conclusion)
6. จัดทำรายงานสรุปการดำเนินโครงการฉบับสมบูรณ์ (Full Report)

   6.1  บทสรุปผู้บริหาร (Executive Summary)

   6.2  ผลการตรวจประเมิน (Assessment)

   6.3  สรุปการวิเคราะห์ความครบถ้วน ถูกต้องและช่องว่าง (Gap Analysis)

   6.4  ข้อเสนอแนะ (Suggestions)

   6.5  เอกสารอ้างอิง/ ภาคผนวก (Reference/ Appendix)

ข้อดีของการบริการที่ปรึกษากับบริษัทของเรา

• มีแผนการทำงาน และกระบวนการที่ชัดเจนในการคุ้มครองข้อมูลส่วนบุคคลสอดคล้องกับ PDPA
• มีสัญญา และกระบวนการที่สอดคล้องกับ PDPA
• สามารถรับรองการใช้สิทธิของเจ้าของข้อมูลซึ่งอาจเป็นพนักงานหรือลูกค้า
• ลดความเสี่ยงการรั่วไหลของข้อมูลหรือการละเมิดข้อมูลส่วนบุคคลของลูกค้า
• ในกรณีเกิดปัญหาการคุ้มครองข้อมูลส่วนบุคคล สามารถพิสูจน์ได้ว่าคุณทำตาม PDPA เรียบร้อย ลดโอกาสได้รับโทษทางกฎหมาย
• สร้างความน่าเชื่อถือ และความไว้ใจให้แก่ลูกค้า
• พนักงานในองค์กรจะได้รับการอบรมเกี่ยวกับ PDPA ซึ่งสามารถนำไปต่อยอดและประยุกต์ใช้ในการทำงาน

10 ประเด็นที่ต้อง “ ตรวจสอบ ” เมื่อองค์กรต้องทำตาม PDPA

การประกาศใช้ PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำให้หลาย ๆ องค์กรเริ่มลุกขึ้นมาดำเนินการด้านนี้กันแล้ว แต่คุณแน่ใจหรือยังว่าได้ดำเนินการคุ้มครองข้อมูลส่วนบุคคลอย่างอดคล้องครบถ้วนกับตัวกฎหมายในทุกมิติ 

1  องค์กรของคุณจำเป็นต้องมี Data Protection Officer หรือไม่ และต้องไม่ลืมที่จะใส่รายละเอียดติดต่อ DPO (หรือทีมงาน) ลงในเอกสารหรือทุกช่องทางที่เกี่ยวกับข้อมูลส่วนบุคคล

2  เลือกฐานทางกฎหมายสำหรับการประมวลผลข้อมูลแต่ละชุด หากไม่มีฐานฯ อื่นมารองรับ การประมวลผลข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล คุณทำ Consent Form แล้วหรือยัง

3  จัดทำ Data Flow และอบรมบุคลากรให้สามารถกรอกเอกสารได้ เพื่อประโยชน์ด้านการปรับปรุงกระบวนการคุ้มครองข้อมูล และเป็นเอกสารแสดงให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลใช้ตรวจสอบ (Accountability)

4  จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร และประกาศความเป็นส่วนตัวให้เจ้าของข้อมูลส่วนบุคคลทราบ โดยแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผย ตลอดจนระยะเวลาการเก็บรักษาข้อมูล

5  ร่างแผนการรับมือหากเกิดการละเมิด โดยต้องแจ้งเรื่องแก่คณะกรรมการฯ ภายใน 72 ชั่วโมงหลังทราบเหตุละเมิด

6  อย่าลืมวางฟังก์ชันและระบบที่อำนวยความสะดวกในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล

7  สำรวจและปรับปรุงระบบการรักษาความมั่นคงปลอดภัยทางไอที (IT Security)

8  จัดระเบียบการเข้าถึงข้อมูลของบุคลากรในระดับต่าง ๆ หรือเฉพาะผู้ที่มีส่วนเกี่ยวข้อง (Authorized Person) ตลอดจนมีระบบการป้องกันการเข้าถึงจากผู้ที่ไม่ได้รับอนุญาต

9  อบรมบุคลากรให้มีความเข้าใจ PDPA สร้างค่านิยมด้านการคุ้มครองข้อมูลภายในองค์กร เช่น การเก็บเอกสารและล็อคตู้เก็บเอกสาร การปิดหน้าจอหลังลุกจากโต๊ะทำงาน ฯลฯ ซึ่งช่วย ป้องกัน Human Error ที่อาจส่งผลให้เกิดการละเมิด

10  จัดทำแบบประเมินผลกระทบความเสี่ยงด้านการคุ้มครองข้อมูล (DPIA) หากพบว่าส่วนใดมีความเสี่ยงสูงต้องกลับไปแก้ไข และจัดการให้ได้ตรงตามมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล