1.กรรมการหรือผู้บริหารสูงสุดต้องรู้ว่าองค์กรที่ตนกำกับดูแลและบริหารอยู่ ต้องปฏิบัติตามกฎหมายและกำหนดผู้รับผิดชอบเรื่องนี้ โดยต้องตระหนักว่าการปฏิบัติตาม พ.ร.บ. ไม่ใช่เรื่องของ IT ฝ่ายเดียวแต่เป็นเรื่องที่หน่วยธุรกิจต้องเป็นเจ้าภาพ และต้องสนับสนุนทรัพยากรที่จำเป็นทั้งค่าใช้จ่าย เวลา บุคลากร ที่ปรึกษาและเครื่องมือต่างๆ . 2.ศึกษาและวิเคราะห์ว่า บทบาทขององค์กร เป็นฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งหนึ่งองค์กรเป็นได้ทั้งสองบทบาท เช่น ผู้ควบคุมข้อมูลส่วนบุคคลของข้อมูลส่วนบุคคลของพนักงานและเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ในกรณีที่ไปเป็นผู้ให้บริการกับลูกค้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล . 3.ศึกษาและวิเคราะห์กระบวนการและกิจกรรมทางธุรกิจ เพื่อระบุ “ข้อมูลส่วนบุคคล” และข้อมูลที่เป็นข้อมูลส่วนบุคคลอ่อนไหว ที่ต้องดำเนินการตามกฎหมาย . 4.ศึกษาและวิเคราะห์กฎหมายที่เกี่ยวข้องกับการปฏิบัติตามกฎหมาย หรือการดำเนินธุรกิจขององค์กร เพื่อกำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights) ผลกระทบของการใช้สิทธิ และนโยบายและระยะเวลาการเก็บข้อมูลส่วนบุคคล (Data Retention Policy) . 5.จัดทำ “Personal Data Flow Diagram”, “Data Inventory” และฐานทางกฎหมาย “Lawful Basis” สำหรับกิจกรรมการรับ จัดเก็บ และใช้งานหรือประมวลผลข้อมูลส่วนบุคคล . 6.จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) และขั้นตอนปฏิบัติหรือคู่มือการปฏิบัติงาน ในการคุ้มครองข้อมูลส่วนบุคคล . 7.ทบทวนและแก้ไขหนังสือยินยอม (Consent) สัญญา (Contract) หรือข้อตกลง (Agreement) และขั้นตอนการขอความยินยอม ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล . 8.จัดทำแนวปฏิบัติต่อคำขอของเจ้าของข้อมูล(Data Subject Request Procedure) เพื่อให้เจ้าของข้อมูลส่วนบุคคลแจ้งความประสงค์ ขอใช้สิทธิ์ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ Data Subject Access Request (DSAR) . 9.จัดทำคู่มือขั้นตอนการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Management Procedure) เพื่อแจ้งเหตุการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงาน และ/หรือเจ้าของข้อมูลส่วนบุคคล . 10.จัดทำนโยบายหรือแนวปฏิบัติในการ เปิดเผย ข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก หรือการส่งหรือโอนข้อมูลส่วนบุคคลไปหน่วยงานในต่างประเทศ(Third Parties / Cross Border Data Transfer Policy) . 11.จัดทำนโยบายหรือแนวปฏิบัติในการจัดจ้าง และแนวทางในการกำกับดูแล บุคคลหรือนิติบุคคลภายนอกที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Outsource) . 12.สร้างความตระหนัก และเสริมสร้างความรู้ให้กับกรรมการ ผู้บริหาร ผู้ปฏิบัติงานและผู้ที่เกี่ยวข้อง . 13.แต่งตั้ง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (DPO) และหมอบหมายหน้าที่ ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจเป็บบุคลากรภายในหรือ Outsource https://www.facebook.com/113901013716219/posts/148658413573812/?extid=0&d=n . 14.จัดเตรียม วางแผน และพัฒนามาตรการรักษาความมั่นคงปลอดภัย ทั้งด้าน บุคลากร กระบวนการ และเทคโนโลยี เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมลูส่วนบคุคล พ.ศ. ๒๕๖๓ . 15.เผยแพร่นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) บนเว็บไซต์และกำหนดให้มี Cookies consent https://www.facebook.com/113901013716219/posts/143143730791947/?extid=0&d=n . 16.จัดทำคู่มือวิธีการประเมินผลกระทบและการประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment and Risk Assessment Methodology)
#GDPR #PDPA #เตรียมตัว PDPA
AlphaSec ให้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยตามกฎหมาย PDPA โดยที่ปรึกษามืออาชีพ
Line : https://lin.ee/NHIYt0k 081-714-6016