หลักสูตร แนวปฏิบัติขององค์กรเพื่อเตรียมความพร้อม พรบ. คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Guideline – PDPA) (หลักสูตร 2 วัน)

หลักการและเหตุผล

          แนวปฏิบัติเป็นเครื่องมือสำคัญที่ช่วยให้การดำเนินการตามกฎหมายเป็นไปอย่างสมเหตุสมผล ซึ่งกฎหมายโดยทั่วไป แล้ว จะบัญญัติไว้เพียงในระดับที่กำหนด การห้าม เป็นหลักการไว้เท่านั้น แต่ในขั้นตอนปฏิบัติย่อมไม่สามารถระบุรายละเอียด วิธีการได้โดยสมบูรณ์ จึงมีคำถามเกี่ยวกับวิธีการปฏิบัติว่าควรทำ “อย่างไร” เพื่อให้องค์กรสามารถดำเนินกิจการให้สอดคล้อง กับ พรบ.คุ้มครองข้อมูลส่วนบุคคลได้

          จากการที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้ขยายเวลาการบังคับใช้ออกไปเป็นวันที่ 1 มิถุนายน 2564 เพื่อให้หน่วยงานและองค์กรต่าง ๆ ได้มีเวลาเพิ่มขึ้นในเตรียมความพร้อมดำเนินการให้เป็นไปตามกฎหมาย ดังนั้น จำเป็นจะต้องเตรียมความพร้อมเพื่อให้มีความเข้าใจและปฏิบัติให้ถูกต้องตามสิทธิ หน้าที่และความรับผิดชอบตาม กรอบกฎหมายฉบับนี้ เพราะไม่เพียงแต่ส่งผลต่อการดำเนินกิจการขององค์กรเท่านั้น ยังส่งผลต่อการปฏิบัติของหน่วยงาน งานต่างๆ (Business Functions) โดยเฉพาะอย่างยิ่ง งานฝ่ายขายและการตลาด งานด้านทรัพยากรบุคคล งานด้านเทคโนโลยีสารสนเทศ งานด้านจัดซื้อจัดจ้าง และอื่นๆ อีกด้วย

วัตถุประสงค์การฝึกอบรม

          1.เพื่อสร้างความรู้ความเข้าใจเกี่ยวกับหลักการและสาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

          2.เพื่อสร้างความเข้าใจในกระบวนการเตรียมความพร้อมขององค์กร เพื่อให้สอดคล้องกับเงื่อนไขตามกฎหมาย อาทิ การให้ความยินยอม กระบวนการเพื่อรองรับการใช้สิทธิต่างๆ ของเจ้าของข้อมูล

          3.สามารถจัดทำ แนวปฏิบัติเพื่อการประเมินความเสี่ยง/ผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ตามของเขต DPIA และ ทบทวน (Review) การปฏิบัติภายในองค์กร ว่ามีความเพียงพอหรือสอดคล้องตามกฎหมายแล้วหรือไม่

          4.สามารถนำความรู้ที่ได้รับไปประยุกต์ใช้ในการดำเนินงานของหน่วยงาน อาทิ งานฝ่ายขายและการตลาด

งานด้านทรัพยากรบุคคล งานด้านเทคโนโลยีสารสนเทศ งานด้านจัดซื้อจัดจ้าง และอื่นๆ

1.เหตุผลและความเป็นมาของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

2.สาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

        • ข้อมูลส่วนบุคคลคืออะไร และใครคือเจ้าของข้อมูลส่วนบุคคล

        • ตัวบุคคลและบทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

        • สิทธิของเจ้าของข้อมูลส่วนบุคคล และการใช้สิทธิต่าง ๆ ตามที่กฎหมายกำหนด

        • หลักการขอความยินยอม - การเก็บ - การใช้ - การเปิดเผย ข้อมูลส่วนบุคคล

        • ฐานในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยชอบด้วยกฎหมาย

        • ความรับผิดและบทลงโทษตามกฎหมาย ทั้งทางแพ่ง - ทางอาญา - โทษทางปกครอง

3.10 ภารกิจที่องค์กรควรเตรียมพร้อมก่อน PDPA บังคับใช้

4.การจัดเตรียมเอกสารและแบบฟอร์มต่าง ๆ ที่จำเป็นสำหรับ PDPA อาทิ บันทึกรายการกิจกรรมประมวลผลข้อมูล (Record of Data Processing Activity) นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) หนังสือให้ความยินยอมเกี่ยวกับข้อมูลส่วนบุคคล (Consent From) เอกสารแจ้งข้อมูลการประมวลผลข้อมูล (Privacy Notice) ข้อตกลงประมวลผลข้อมูล (Data Processing Agreement) คำร้องขอใช้สิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคล (Request Form) เป็นต้น

5.แนวการทบทวน (Review) การปฏิบัติภายในองค์กร ว่ามีความเพียงพอหรือสอดคล้องตามมาตรฐาน การจัดการเกี่ยวกับข้อมูลส่วนบุคคลหรือไม่

6.แนวปฏิบัติการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล PDIA (Data Protection Impact Assessment) และการวิเคราะห์ความเสี่ยง/มาตรการจัดการความเสี่ยง

7.การเตรียมความพร้อมในการปฏิบัติของฝ่ายขายและการตลาด (Guideline for Marketing and Sales)

       • ความสัมพันธ์ของการประมวลผลข้อมูลส่วนบุคคลและการทำการตลาด

        • ลักษณะของข้อมูลส่วนบุคคลตามเส้นทางการทำการตลาด

        • ฐานการประมวลผลที่เกี่ยวข้องและข้อควรระวัง

        • การทำการตลาดแบบตรง (Direct Marketing)

        • ระบบสมาชิกสะสมแต้ม (Loyalty Program)

        • การใช้ข้อมูลเครือข่ายสังคมเพื่อกระตุ้นยอดขาย (Social Network)

        • การโฆษณาตามพฤติกรรมออนไลน์ (Online Behavioral Advertisement)

8.การเตรียมความพร้อมในการปฏิบัติตาม พรบ. ของฝ่ายจัดซื้อจัดจ้าง (Guideline for Procurement Department)

        • แนวทางการจัดซื้อจัดจ้างผลิตภัณฑ์และบริการใหม่ (New Procurement) ทั้ง ก่อนทำสัญญา การทำสัญญา และหลังการทำสัญญา

        • แนวทางการจัดการสัญญาจัดซื้อจัดจ้างที่มีผลบังคับใช้แล้ว (Existing Procurement) อาทิ การเตรียมการก่อนการแก้ไขปรับปรุงสัญญา การแก้ไขปรับปรุงสัญญา

        • ข้อควรพิจารณาในการจัดซื้อจัดจ้างบริการเฉพาะด้าน เช่น การจัดซื้อจัดจ้างผู้ให้บริการด้านการตลาด ด้านสารสนเทศ ด้านกฎหมาย ด้านตรวจสอบบัญชี ด้านจัดหางาน เป็นต้น

9.การเตรียมความพร้อมในการปฏิบัติตาม พรบ. ของฝ่ายเทคโนโลยี่สารสนเทศ

        • การบริหารสถาปัตยกรรมการพัฒนาระบบ

        • การพัฒนาระบบที่คำนึงถึงการคุ้มครองข้อมูลส่วนบุคคล

        • การเฝ้าระวังและแจ้งเตือนเหตุการณ์กระทบกับการคุ้มครองข้อมูลส่วนบุคคล

        • มาตรฐานในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตาม พรบ.

        • แนวทางการประเมินผลกระทบและความเสี่ยงที่เกี่ยวกับข้อมูลส่วนบุคคล

10.การเตรียมความพร้อมในการปฏิบัติตาม พรบ. ของฝ่าย HR (Guideline for HR Department)

        • นายจ้างและฝ่าย HR มีส่วนเกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างไร

        • การปรับเปลี่ยน ข้อบังคับเกี่ยวกับการทำงาน / สัญญาจ้าง / ใบสมัครงาน และแบบฟอร์มเอกสาร PDPA ที่ต้องมีใช้ในการดำเนินงานด้าน HR

        • แนวทางร่างนโยบายคุ้มครองข้อมูลส่วนบุคคลสำหรับพนักงาน (HR Privacy Policy)

        • ประเด็นปัญหาที่เกี่ยวข้องของกฎหมายคุ้มครองข้อมูลส่วนบุคคล กับการจ้างแรงงาน

11.แนวปฏิบัติสำหรับฝ่ายเทคโนโลยีสารสนเทศ (Guideline for IT Department

        • งานด้านเทคโนโลยีสารสนเทศกับการคุ้มครองข้อมูลส่วนบุคคล

        • การบริหารสถาปัตยกรรมการพัฒนาระบบเพื่อช่วยสนับสนุนการคุ้มครองข้อมูลส่วนบุคคล

        • การพัฒนาระบบที่คำนึงถึงการคุ้มครองข้อมูลส่วนบุคคล

        • การเฝ้าระวังและแจ้งเตือนเหตุการณ์ที่กระทบกับการคุ้มครองข้อมูลส่วนบุคคล

        • การตอบสนองต่อเหตุการณ์ละเมิดข้อมูลส่วนบุคคล

12.แนวปฏิบัติสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer Guideline)

        • ความจำเป็น ทักษะและคุณสมบัติที่เหมาะสมของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

        • ข้อควรระวังที่มีต่อการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

        • ความรับผิดของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

        • 5 ภารกิจหลัก กับ 11 แนวปฏิบัติที่อยู่ในความรับผิดชอบของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามมาตรา 42

        • เนื้อหาและโครงสร้างบันทึกรายการประมวลผลข้อมูลส่วนบุคคล พร้อมตัวอย่าง ฯลฯ

13.ประเด็นปัญหาที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของแต่ละฝ่ายงาน

        • ฝึกปฏิบัติวิเคราะห์ความเสี่ยงต่อการละเมิดกฎหมานของกิจกรรมภายในองค์กร

        • ฝึกปฏิบัติร่างนโยบายคุ้มครองข้อมูลส่วนบุคคล

        • ฝึกร่าง/ออกแบบเอกสาร/แบบฟอร์ม PDPA ที่เกี่ยวข้อง

สัมมนานี้ได้รับประกาศนียบัตร