แนวปฏิบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(DPO) ประจำองค์กร ที่ครบถ้วน ในทุกมิติ (Personal Data Protection Guideline for DPO)

1. เหตุผลและความเป็นมาของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

2. สาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

     •ข้อมูลส่วนบุคคลคืออะไร และใครคือเจ้าของข้อมูลส่วนบุคคล

     •ตัวบุคคลและบทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

     •สิทธิของเจ้าของข้อมูลส่วนบุคคล และการใช้สิทธิต่าง ๆ ตามที่กฎหมายกำหนด

     •หลักการขอความยินยอม - การเก็บ - การใช้ - การเปิดเผย ข้อมูลส่วนบุคคล

     •ฐานในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยชอบด้วยกฎหมาย

     •มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด

     •แนวปฏิบัติในการโอนหรือส่งข้อมูลส่วนบุคคลไปต่างประเทศ

     •ความรับผิดและบทลงโทษตามกฎหมาย ทั้งทางแพ่ง - ทางอาญา – โทษทางปกครอง

     •แนวทางปฏิบัติเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล

3. ขั้นตอนการเตรียมความพร้อมกับ 15 ภารกิจที่องค์กรต้องดำเนินการ

4. แนวทางการจัดทำ Privacy Policy, Privacy Notice และ Consent

5. การจัดเตรียมเอกสารและแบบฟอร์มต่างๆ ที่จำเป็นสำหรับ PDPA อาทิ

     •บันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities)

     •หนังสือให้ความยินยอม (Consent From)

     •หนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคล (Privacy Notice)

     •ข้อตกลงประมวลผลข้อมูล (Data Processing Agreement)

     •คำร้องขอใช้สิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคล (Request Form)

     •หนังสือตอบกลับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Responding)

     •หนังสือแจ้งเหตุ การละเมิดข้อมูลส่วนบุคล (Personal Data Breach Notification)

6. แนวการทบทวน (Review) การปฏิบัติภายในองค์กร ว่ามีความเพียงพอหรือสอดคล้องตามมาตรฐานการจัดการเกี่ยวกับข้อมูลส่วนบุคคลหรือไม่

7. แนวปฏิบัติการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล DPIA (Data Protection Impact Assessment) และการวิเคราะห์ความเสี่ยง/มาตรการจัดการความเสี่ยง

8. ความเข้าใจเกี่ยวกับข้อมูลส่วนบุคลที่เกี่ยวข้องกับกฎหมายในการปฏิบัติงานของฝ่ายขายและการตลาด (Guideline for Marketing and Sales)

9. ความเข้าใจเกี่ยวกับข้อมูลส่วนบุคลที่เกี่ยวข้องกับกฎหมายในการปฏิบัติงานของฝ่ายจัดซื้อจัดจ้าง (Guideline for Procurement Department)

10. ความเข้าใจเกี่ยวกับข้อมูลส่วนบุคลที่เกี่ยวข้องกับกฎหมายในการปฏิบัติงานของฝ่าย HR (Guideline for HR Department)

11. แนวปฏิบัติสำหรับฝ่ายเทคโนโลยีสารสนเทศ (Guideline for IT Department) ในการสนับสนุน PDPA

12. การเตรียมความพร้อมในการปฏิบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer Guideline)

     •ความจำเป็น ทักษะและคุณสมบัติที่เหมาะสมของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

     •ข้อควรระวังที่มีต่อการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

     •ความรับผิดของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

     •6 ภารกิจหลัก กับ 11 แนวปฏิบัติที่อยู่ในความรับผิดชอบของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามมาตรา 42

     oการให้คำปรึกษา/ทบทวนการประมวลผลข้อมูลส่วนบุคคลขององค์กร

     oการตรวจสอบการปฏิบัติงานขององค์กรให้เป็นไปตามที่กฎหมายกำหนด

     oการควบคุมดูแลให้การปฏิบัติเป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลทั้งภายในและภายนอก

     oการให้ความร่วมมือและการประสานงานกับหน่วยงานด้านการกับกับดูแลข้อมูลส่วนบุคคล (สคส.)

     oการจัดการข้อร้องเรียนและแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

13. แนวปฏิบัติเกี่ยวกับการการจัดทำข้อมูลนิรนาม (Guideline for Anonymization)

14. แนวปฏิบัติเกี่ยวกับข้อมูลอ่อนไหว (Guidelines for Sensitive Personal Data)

15. ฝึกปฏิบัติ (Workshop)

      - การจัดทำ Personal Data Discovery

      - การจัดทำบันทึกรายการประมวลผลข้อมูลฯ (ROPA)

      - การร่างนโยบายคุ้มครองข้อมูลส่วนบุคคล และแบบฟอร์ม PDPA ที่เกี่ยวข้อง

16. สารพันปัญหาในการปฏิบัติตาม PDPA พร้อมแนวทางแก้ไข สำหรับเจ้าหน้าคุ้มครองข้อมูลส่วนบุคคล