1. ระบบเริ่มต้นปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) หรือ Basic Function ตามแนวทางคำแนะนำจากสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) รายละเอียด https://www.dga.or.th/document-sharing/article/59030/ คือ การจัดทำตามคำแนะนำและเอกสารต้นแบบหรือสามารถใช้งานระบบ Police Doc ใน SmartPDPA ก็สามารถออกเอกสารได้ตามคำแนะนำทั้ง 15เอกสารต้นแบบได้ฟรี
2. การพัฒนาระบบจัดการข้อมูลส่วนบุคคลในองค์กรให้ครบถ้วนตาม PDPA หรือComplet Function
โดยนายเธียรชัย ณ นครประธานคณะกรรมการข้อมูลส่วนบุคคล กล่าวว่า PDPA เน้นการ อย่างไรก็ตามใน PDPA ก็มี บทบัญญัติที่กล่าวถึงการประมวลผลข้อมูลอยู่ในหลายมาตรา ..ฯที่มาของข้อมูล https://www.jritichi.com/cutting/2022/04/01/1020/
สามารถสรุปได้ว่าการพัฒนาระบบจัดการข้อมูลในองค์กรให้ครบถ้วนตาม PDPA ควรต้องมีระบบ 1.ระบบรวบรวมข้อมูลส่วนบุคคล หรือ Pattern 2.ระบบจัดเก็บข้อมูลส่วน บุคคล หรือ Data Correct 3.ระบบการจัดการการนำข้อมูลส่วนบุคคลไปใช้งานและการจัดการเปิดเผยข้อมูล หรือClassificationหรือตัวอย่างตาม Soltion PDPA ของระบบ Alltra Enterprise ส่วน Complet Function คลิกเพื่อแสดง Alltra Complete function Solution
3. แนวทางปฏิบัติที่ดีสำหรับการจัดการข้อมูลส่วนบุคคลตาม PDPAหรือAdvance Best Practices Function
สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.)กำหนดกรอบการทำงานเป็นขั้นตอนการปฏิบัติของผู้ควบคุมข้อมูล (Data Controller)อ้างอิงจากมาตรา 37 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เรื่องหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งกล่าวโดยสรุปทั้งหมด 5 ข้อ ดังนี้
1.มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล 3 ด้าน คือ ด้านการบริหารจัดการ (administrative safeguard) ด้านเทคนิค (technical safeguard)ทางกายภาพ (physical safeguard)
2.การให้ข้อมูลส่วนบุคคลแก่ผู้อื่นต้องดำเนินการ การประเมินก่อนส่งมอบข้อมูล วิธีการ/มาตราฐานเมื่อส่งมอบข้อมูล วิธีการ/มาตราฐานหลังส่งมอบข้อมูล
3.มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล คือมีรายการหรือมีชุดข้อมูลใดที่พ้นกำหนดระยะเวลาการเก็บรักษา เจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิให้ลบทำลายข้อมูล (หรือขอถอนความยินยอม) มี เหตุผลความจำเป็นที่เหนือกว่าสิทธิของเจ้าของข้อมูล
4.แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมง กำหนดตัวพนักงานผู้รับผิดชอบและวิธีการแจ้งเหตุละเมิด กำหนดวิธีปฏิบัติแจ้งเหตุภายใน 72 ชม. การแจ้งเหตุละเมิดอาจได้รับยกเว้นไม่ ต้องดำเนินการก็ได้
5.การแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล รายละเอียดข้อมูลจากเว็บไซต์ DGA https://www.dga.or.th/wp-content/uploads/2021/05/1-แนวปฏิบัติสำหรับการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล.docx
หรือ นายกำพล ศรธนะรัตน์ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) และที่ปรึกษาด้าน Digital Transformation สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และ ประธานชมรม “หัวใจแห่งความสำๆ โดย ROPA จะเชื่อมโยงกับการเก็บ Log รวมทั้งนำไปสู่การจัดทำ Data Flow” ที่มาของข้อมูล https://www.jrit-ichi.com/cutting/2022/04/20/1050/
สรุปได้ว่าในทางปฏิบัติผู้ควบคุมข้อมูลส่วนบุคคล การจัดการข้อมูลส่วนบุคคล ตาม PDPA ที่ดีควรปฏิบัติตามมาตรา 37 คือ มาตราการป้องกันการเข้าถึงข้อมูล เช่น AAA model(Authentication Authorization Accounting) ระบบแผงผังการใช้งานข้อมูล Data Flow /ระบบ จัดการลูกค้าให้ความยินยอม Customer Consent Management /ระบบจัดเก็บประว้ติการเข้าถึงข้อมูลส่วนบุคคล History Access /ระบบจัดทำข้อมูลนิรนาม และข้อมูลแฝง Data mark Psendonymize/Anonymize / ระบบเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อตรวจสอบการ ทำงานDPO management / ระบบเฝ้าระวังและแจ้งเตือนเมื่อพบเหตุสงสัยว่าเป็นข้อมูลรั่วไหล Monitor /Alert Data breach/ การเปิดเผยและการนำข้อมูลออกExport ระบบจัดส่งข้อมูลให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น หรือ ตัวอย่างตาม Soltion PDPA ของ ระบบ Alltra Enterprise ส่วน Advance Best Practices Functionคลิกเพื่อแสดง Alltra Advance Best Practices Function Solution