www.cioworldmagazine.com

 Breaking News
  • ไอบีเอ็ม จับมือพาร์ตเนอร์กว่า 20 รายจัดสัมมนาออนไลน์ IBM Solutions Summit 2021 powered by IBM Partners CIO World&Business ขอเรียนเชิญ CEOs, Owners/founders, COOs, CIOs, CTO, IT directors, Line of Business leaders, Senior IT professionals, IT Manager, Cloud Engineer, Data Center Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วม IBM Virtual...
  • วริษา อนันตรัมพร กับภารกิจสร้าง อินเตอร์ลิ้งค์ 4.0 สัมภาษณ์พิเศษ วริษา อนันตรัมพร ผู้จัดการทั่วไป บริษัท อินเตอร์ลิ้งค์ คอมมิวนิเคชั่น จำกัด (มหาชน) ดิจิทัลเนทีฟตัวจริง ที่ก้าวขึ้นมาสานต่อภารกิจของ สมบัติ–ชลิดา อนันตรัมพร เพื่อนำองค์กรไปสู่ความสำเร็จแบบมืออาชีพอีกครั้ง และอีกครั้ง...
  • Key Processes of PDPA เก็บเกี่ยวความรู้จาก ดร.รัฐิติ์พงษ์ พุทธเจริญ หนึ่งในผู้คร่ำหวอดในวงการวางกลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์ ถึงแนวคิดและหัวใจสำคัญของการปรับกระบวนการขององค์กรให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และหาคำตอบถึงกลไกที่ทำให้องค์กร ประสบความสำเร็จในการสร้างกระบวนการให้สอดคล้องกับ PDPA...
  • สำรวจความพร้อม KTC บนถนนสายดิจิทัล สำรวจความพร้อมของ KTC ในมุมมองของ วุฒิชัย เจริญผล รองประธานเจ้าหน้าที่บริหาร – Information Technology บริษัท บัตรกรุงไทย จำกัด (มหาชน) การก้าวไปสู่ธุรกิจดิจิทัล กับยุทธศาสตร์สำคัญเพื่อพลิกโฉมให้มี Digital service, Digital product และ Digital channel เพื่อรองรับความต้องการของลูกค้าและการแข่งขันในโลกดิจิทัล...
  • 10 แนวโน้มเทคโนโลยีในกิจการภาครัฐ 10 อันดับแนวโน้มเทคโนโลยีพลิกโฉมกิจการภาครัฐแห่งปี 2564 ประกอบด้วย เทคโนโลยีด้านความปลอดภัย การควบคุมค่าใช้จ่าย และการจัดการความท้าทายด้านประสบการณ์ของประชาชนต่อภาครัฐ...

Key Processes of PDPA

Key Processes of PDPA
July 13
15:40 2021

เก็บเกี่ยวความรู้จาก ดร.รัฐิติ์พงษ์ พุทธเจริญ หนึ่งในผู้คร่ำหวอดในวงการวางกลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์ ถึงแนวคิดและหัวใจสำคัญของการปรับกระบวนการขององค์กรให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และหาคำตอบถึงกลไกที่ทำให้องค์กร ประสบความสำเร็จในการสร้างกระบวนการให้สอดคล้องกับ PDPA

 

ทันทีที่มีการประกาศ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) หลายองค์กรในประเทศไทยต่างตระหนักถึงความสำคัญ เร่งทำความเข้าใจและมองหามาตรการที่ดีที่สุดเพื่อปรับองค์กรให้สอดรับกับกฎหมาย

การเดินทางบนถนนสายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลและสิทธิส่วนบุคคลนั้น เกิดคำถามตามมามากมายภายในองค์กรว่า ด้วยเครื่องมือที่มีความสามารถเพียงใด กระบวนการที่เข้มงวดมากน้อยแค่ไหน บุคลากรในองค์กรกลุ่มใดที่ต้องเข้ามาแสดงบทบาทเป็นผู้นำความเปลี่ยนแปลง และต้องดำเนินการอย่างไรเพื่อเป็นกลไกขับเคลื่อนให้องค์กรประสบความสำเร็จในการเดินไปสู่ความถูกต้องสอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ดร.รัฐิติ์พงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ฟอร์ติเน็ต

CIO World&Business มีโอกาสได้เก็บเกี่ยวความรู้จาก ดร.รัฐิติ์พงษ์ พุทธเจริญ ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ฟอร์ติเน็ต หนึ่งในผู้คร่ำหวอดในวงการวางกลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์ ถึงแนวคิดและหัวใจสำคัญของการปรับกระบวนการขององค์กรให้สอดคล้องกับกฎหมายการคุ้มครองข้อมูลส่วนบุคคล

ดร.รัฐิติ์พงษ์อธิบายว่า “หลายๆ องค์กรกำลังมองหาวิธีที่ดีที่สุด สอดคล้องกับลักษณะทางธุรกิจ และความจำเป็นของแต่ละองค์กร เพื่อเดินให้ถูกต้องตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลซึ่งคำแนะนำคือ

การศึกษาจาก แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล Thailand Data Protection Guideline เวอร์ชัน3.0 (Extension) ที่จัดทำโดย ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

เป็นงานเชิงวิชาการที่ผ่านกระบวนการศึกษาค้นคว้าและการรับฟังความเห็นจากทุกภาคส่วน สามารถนำไปใช้เป็นแนวปฏิบัติสำหรับทั้งองค์กรขนาดใหญ่ ขนาดกลางและเล็ก”

“โดยแนวปฏิบัติดังกล่าวจะสามารถตอบคำถามได้ทุกประเด็น ทุกแง่มุมสำหรับองค์กร ทั้งหลักการบริหาร วิธีคิด วิธีปฏิบัติ หลักการพิจารณาถึงเครื่องมือ กระบวนการ ความรับผิดชอบของผู้บริหาร การรับมือกับสถานการณ์ต่างๆ เพื่อตอบคำถามเฉพาะทางสำหรับผู้ปฏิบัติในรายละเอียดของประเภทงานต่างๆ

อาทิ งานฝ่ายขายและการตลาด, งานด้านข้อมูล, งานด้านทรัพยากรบุคคล, งานด้านเทคโนโลยีสารสนเทศ, งานด้านจัดซื้อจัดจ้าง และอีกหลายประเด็นสำคัญที่เกี่ยวกับข้อมูลส่วนบุคคล”

การพูดคุยครั้งนี้ เป็นเพียงส่วนสำคัญบางประการ ที่นำมาถ่ายทอดเพื่อตอบคำถามหลักๆ ที่ยังเป็นข้อกังขาสำหรับการเริ่มเดินหน้าสู่การปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ทุกองค์กรต้องเริ่มต้นด้วยการประเมินความเสี่ยง

ดร.รัฐิติ์พงษ์ เริ่มต้นอธิบายด้วยคำถามที่พบบ่อยที่สุดว่า “ถ้าจะทำ PDPA ต้องลงทุนซื้อเครื่องมืออะไร?”ก่อนที่จะตอบคำถามข้อนี้ได้นั้น ผมขอยกเอาหลักการของ แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลฯ ที่สรุปได้ว่า องค์กรจะต้องทำการ ประเมินความเสี่ยง (Risk Assessment) หน่วยงานของตัวเองเสียก่อนเป็นอันดับแรก

ว่าองค์กรของตนนั้น มีความเสี่ยงที่เกี่ยวกับ การเก็บรวบรวม ประมวลผล ผลกระทบ ทุกประเด็นเกี่ยวกับข้อมูล ในระดับใด ต่ำ ปานกลาง หรือสูง ซึ่งการประเมินนี้จะเป็นตัวแปรสำคัญ สำหรับการปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลขั้นต่อไป”

ประเด็นที่ซ่อนอยู่ในเรื่องการประเมินความสี่ยงคือ ความสามารถในการประเมินความเสี่ยงที่แตกต่างกันของแต่ละองค์กร แน่นอนว่า องค์กรขนาดใหญ่ย่อมมีความพร้อมด้านคน เครื่องมือ รวมถึงต้นทุนในการประเมินความเสี่ยง

“สำหรับองค์กรขนาดกลางและเล็ก เราสามารถใช้ แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลฯ ฉบับล่าสุดนี้เป็นแนวปฏิบัติได้อย่างดี โดยในรายงานได้อธิบายถึง วิธีการประเมินความเสี่ยงไว้โดยละเอียดที่องค์กรระดับกลางสามารถดำเนินการประเมินได้ด้วยตัวเอง”

“ส่วนองค์กรที่มีความพร้อมมากกว่ามีจำนวนระบบและมีความซับซ้อนมากกว่า อาจใช้ที่ปรึกษาเข้ามาช่วยในการประเมินความเสี่ยงด้านข้อมูลที่ต้องทำในหลายๆ ประเด็น อาทิการวางด้านนโยบายการแบ่งชั้นความลับของข้อมูลหรือการประเมินผลกระทบข้อปฏิบัติสำหรับการประเมินผลกระทบความเสี่ยงข้อมูลส่วนบุคคล เป็นต้น”

CIA + PPT

การประเมินความเสี่ยงเป็นกิจกรรมตั้งต้น เพื่อให้องค์กรทราบถึงระดับความเสียง จึงจะสามารถวางมาตรการในการรักษาความมั่นคงปลอดภัยขั้นต่อไปโดยการประเมินความเสี่ยงต้องพิจารณาถึง ผลกระทบที่จะเกิดขึ้นใน 3 ด้าน คือ ความลับของข้อมูล (Confidentiality) ความถูกต้องครบถ้วนของข้อมูล  (Integrity) และความพร้อมใช้งานข้อมูล (Availability) และนำมาพิจารณาร่วมกับความเป็นไปได้ที่จะเกิดภัยคุกคามซึ่งอาจอยู่ในหลายรูปแบบ เช่น คน มัลแวร์หรือไวรัสโดยผลลัพธ์จากการพิจารณาคือระดับความเสี่ยงขององค์กร

“การประเมินความเสี่ยงขององค์กรหลายคนอาจคิดว่ามันคือการลงทุนด้วยเม็ดเงินจำนวนมากขององค์กร ซึ่งไม่ใช่คำตอบที่ถูกต้องเสมอไป เราสามารถใช้การบริหารความสัมพันธ์ของ 3 เสาหลักเพื่อความมั่นคงปลอดภัยอันแข็งแกร่ง ที่ประกอบด้วย People Process และ Technology เข้ามาลดการลงทุนที่ไม่จำเป็นออกไปได้”

“ยกตัวอย่าง เช่น เราอาจอาศัยการออกแบบกระบวนการประเมินความเสี่ยงที่ดี ศึกษาแนวปฏิบัติเกี่ยวกับการประเมินความเสี่ยง ระดมความรู้ ข้อมูล และจัด workshop ร่วมกับบุคลากรที่เกี่ยวข้องสิ่งเหล่านี้จะช่วยให้องค์การสามารถลดการลงทุนในส่วนของเทคโนโลยีและที่ปรึกษาลง” ดร.รัฐิติ์พงษ์อธิบาย

ซึ่งเมื่อย้อนกลับมาพิจารณาใน แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลฯ ฉบับดังกล่าว มีการระบุไว้อย่างละเอียดถึงการพิจารณาความเสี่ยงแต่ละด้านรวมไปถึงการกำหนดมาตรการควบคุม การเลือกเครื่องมือ ตามความเสี่ยงขององค์กร

ช่น เรื่องการดูแลการเข้าถึงข้อมูล ถ้าองค์กรมีความเสี่ยงระดับปานกลาง จะต้องปรับกระบวนการอย่างไร ที่เหมาะสมกับระดับความเสี่ยงขององค์กร ไม่จำเป็นต้องซื้อเครื่องมือเสมอไป ซึ่งเป็นประโยชน์อย่างมากต่อองค์กรที่ต้องการประเมินความเสี่ยง กำหนดมาตรการควบคุม และเลือกเครื่องมือ ด้วยตัวเอง

ใน แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลฯ ยังแนะนำไปถึงระดับชั้นของบุคลากรในการดูแลความสี่ยง ทั้งเชิงองค์กรและเชิงเทคนิค เรื่องการดูแลความปลอดภัย การแบ็คอัพ ดังนั้นคำตอบเรื่องความเสี่ยงของแต่ละองค์กรจะไม่เหมือนกัน ขึ้นอยู่กับความจำเป็น การเก็บ การใช้ประมวลผล หรือการเผยแพร่ข้อมูลของแต่ละองค์กร

วางมาตรการด้านการควบคุมความปลอดภัย

หลังจากประเมินความเสี่ยงแล้ว องค์กรจะทราบว่าตนเองมีความเสี่ยงอยู่ในระดับใด ต่ำ กลาง หรือสูง ที่ค่าความเสี่ยงจะเป็นตัวแปรหลักสำหรับการวางมาตรการควบคุมหรือการเลือกเครื่องมือด้านความมั่นคงปลอดภัยที่เหมาะสม โดยมาตรการดังกล่าว แบ่งออกเป็น2 มาตรการคือ มาตรการควบคุมด้านความมั่นคงปลอดภัยที่เกี่ยวกับการจัดการองค์กร กับมาตรการด้านการควบคุมความปลอดภัยเชิงเทคนิค

มาตรการควบคุมด้านความมั่นคงปลอดภัยที่เกี่ยวกับการจัดการองค์กร

ดร.รัฐิติ์พงษ์อธิบายว่า “มาตรการแรกคือ มาตรการควบคุมด้านความมั่นคงปลอดภัยที่เกี่ยวกับการจัดการองค์กร มี 3 หัวข้อหลัก คือ การบริหารความปลอดภัย (Security Management) เป็นเรื่องเชิงนโยบายที่ผู้บริหารด้านความเสี่ยงอย่าง CISO หรือ ผู้จัดการด้านความปลอดภัย (Security manager)จะเป็นคนกำหนดนโยบายต่างๆที่สอดคล้องกับระดับความเสี่ยงที่ทราบผลการประเมินแล้ว”

“รวมถึงอีก 2 หัวข้อในมาตรการกลุ่มแรก คือ การตอบสนองต่อเหตุการณ์และการบริหารความต่อเนื่องของธุรกิจ (Incident response and Business Continuity)และการอบรมสร้างความรู้ด้าน PDPA ให้เกิดขึ้นทั่วทั้งองค์กร (Human Resources) แต่ละเรื่องไม่จะเป็นต้องใช้เครื่องมือทั้งหมด สามารถใช้กระบวนการเข้ามาจัดการบริหารความเสี่ยงได้ องค์กรที่มีความเสี่ยงสูงก็สามารถนำเครื่องมือที่มีประสิทธิภาพเข้ามาช่วยเบาแรงหรือเสริมประสิทธิภาพก็ทำได้”

มาตรการถัดมา ที่ต้องทำคู่ขนานกันไปคือ มาตรการด้านการควบคุมความปลอดภัยเชิงเทคนิคเป็นมาตรการที่เข้ามากำหนดว่าองค์กรจะพิจารณาใช้เทคนิคหรือเครื่องมืออะไรบ้าง โดยทำงานร่วมกับกระบวนการ ซึ่งต้องเริ่มจากผลการประเมินความเสี่ยงขององค์กรว่าเป็นอย่างไรเช่นเดิม

มาตรการด้านการควบคุมความปลอดภัยเชิงเทคนิค

โดยวิศวกรความปลอดภัยจะเป็นผู้ประเมินเครื่องมือที่เหมาะสมมาใช้ ในประเด็นต่างๆ อาทิ Access Control and Authentication, Logging and Monitoring, Security of Data at rest, Network/Communication security, Back-ups, Mobile/Portable Devices, Application Lifecycle Security, Data Deletion/Disposal และ Physical Security

องค์ประกอบสำคัญสู่ความสำเร็จ

“การเลื่อนบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลออกไป มองในอีกมุมหนึ่งได้ว่า นี่คือโอกาสให้หน่วยงานที่ยังไม่พร้อมสามารถปรับแผนและสร้างแนวปฏิบัติได้อย่างถูกต้อง โดยเฉพาะอย่างยิ่งเมื่อเรามีงานเชิงวิชาการที่ละเอียดและครบถ้วนอย่าง แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล Thailand Data Protection Guideline (เวอร์ชันล่าสุด 3.0 Extension) เป็นคู่มือ”

“ผมเสนอวิธีคิดสำหรับองค์กรขนาดเล็กในเรื่องการคุ้มครองข้อมูลส่วนบุคคล ที่ความเสี่ยงไม่สูง มีงบประมาณจำกัด ให้มองว่าการทำ PDPA เป็นเรื่องที่เกี่ยวข้องกันระหว่าง คน กระบวนการ และเทคโนโลยี การศึกษาคู่มือ แนวปฏิบัติฯ เพื่อบริหารจัดการระหว่างการใช้ กระบวนการ กับ คน ให้ได้ประโยชน์สูงสุด”

“นอกจากนั้น การกลับไปพิจารณาถึงความสามารถของอุปกรณ์การรักษาความปลอดภัยที่มีอยู่ ซึ่งมีฟังก์ชันที่สามารถจัดการในเรื่องต่างๆ อาทิ Data Loss Prevention, Access Control, Breach detection and Prevention,Network/Communication Security, Logging Monitoring and Notification และ Incident Response Management ได้ แม้จะไม่ได้มีประสิทธิภาพสูงสุดถ้าเปรียบเทียบกับอุปกรณ์เฉพาะทาง แต่ก็เพียงพอที่จะนำมาใช้งานทดแทน หรือทำงานร่วมกับกระบวนการ ก็สามารถลดความเสี่ยงให้ลงมาอยู่ในระดับต่ำได้เช่นกัน”

“ส่วนองค์กรขนาดใหญ่ ที่มีผลกระทบเยอะจากเรื่องการคุ้มครองข้อมูลส่วนบุคคลนอกเหนือจากความรับผิดชอบทางกฎหมายแล้วความสำคัญของข้อมูล ความน่าเชื่อถือ ชื่อเสียงองค์กรที่จะส่งผลกระทบตามมาหากเกิดกรณีหลุดรั่วขึ้น ดังนั้นหลักการคือ แก้ปัญหาได้เร็วจะทำให้ความเสียหายน้อยกว่า จำกัดวงให้เล็กลงได้ จ่ายค่าปรับน้อยกว่า จำเป็นต้องใช้เครื่องมือเข้ามาช่วยมากขึ้น ให้สามารถทำงานได้เร็วขึ้น มากขึ้น และฉลาดขึ้น เปลี่ยนกระบวนการที่ทำด้วยคนไปเป็นเครื่องมือที่สามารถตอบสนองได้อย่างอัตโนมัติ”

“การผลักดันให้เกิดความสำเร็จของการคุ้มครองข้อมูลส่วนบุคคลในองค์กร มีหลายฝ่ายที่ต้องเข้ามาร่วมดำเนินงานเกี่ยวข้องโดยอาศัยมุมมองจากการเกี่ยวพันกับข้อมูล เป็นภาระของทุก ตั้งแต่ผู้บริหารระดับสูง ฝ่ายทรัพยากรบุคคล ฝ่ายไอทีที่เป็นหัวแรงสำคัญฝ่ายความเสี่ยง ฝ่ายกฎหมาย รวมถึงพนักงานทุกคนที่เป็นฟันเฟืองหนึ่งที่จะต้องเข้ารับการฝึกอบรมให้การปฏิบัติงานที่ถูกต้อง”

“ทุกคนในองค์กรต้องเข้าใจหน้าที่ ความรับผิดชอบ และวิธีปฏิบัติที่ถูกต้องกับข้อมูลส่วนบุคคลของตน ตลอดจนเข้าใจสิทธิในการเข้าถึง การเก็บ การเผยแพร่ข้อมูลส่วนบุคคลของตนและของผู้อื่นการประเมินความเสี่ยงของตัวเองกับข้อมูลนั่นคือจุดเริ่มที่จะก้าวไปสู่การประเมินความเสี่ยงในระดับหน่วยงาน และระดับองค์กรเพื่อก้าวไปสู่ความสำเร็จด้านการคุ้มครองข้อมูลส่วนบุคคล อย่างแท้จริง” ดร.รัฐิติ์พงษ์ สรุป

แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้บริหารระดับสูง

ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท มีความจำเป็นที่ต้องรู้หน้าที่ ความรับผิดชอบของตน ตลอดจนแสดงภาวะผู้นำ (Leadership) ให้คำมั่นสัญญาของผู้บริหาร (Management Commitment) ในการบริหารจัดการเรื่องความมั่นคงปลอดภัย สารสนเทศและการคุ้มครองข้อมูลส่วนบุคคล

ในการบริหารจัดการเรื่องความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคล ความรับผิดชอบของผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท สามารถสรุปได้ดังนี้

1.สนับสนุนให้องค์กรมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

2.พิจารณาอนุมัติ สื่อสารนโยบายการคุ้มครองข้อมูลส่วนบุคคล และนโยบายความเป็นส่วนตัว หากกล่าวถึงนโยบายความเป็นส่วนตัว (Privacy Policy)

3.พิจารณาอนุมัติแผนงานบริหารจัดการ การคุ้มครองข้อมูลส่วนบุคคลในระดับองค์กร

4.กำหนดให้องค์กรมรการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPA) กำหนดให้องค์กรมีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลสำหรับกิจกรรมที่มีความเสี่ยงสูงที่จะเกิดผลกระทบต่อสิทธิและเสรีภาพกับเจ้าของข้อมูลส่วนบุคคล

5.สนับสนุนและจัดให้มีการฝึกอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้บริหารและพนักงานในทุกระดับ

6.สนับสนุนทรัพยากรที่จำเป็น ได้แก่ บุคลากรที่เข้ามาดำเนินกิจกรรม งบประมาณที่ใช้ดำเนินกิจกรรม สิ่งอำนวยความสะดวก และเทคโนโลยีสารสนเทศที่ใช้ในกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

7.วางกลยุทธ์สำหรับการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลทั้งในระยะสั้น และระยะยาว เพื่อให้เป็นไปตามหลักการการคุ้มครองข้อมูลส่วนบุคคล

8.กำหนดทิศทางการทำงานของ DPO ในการตอบรับการร้องเรียนจากลูกค้าและพนักงาน เมื่อมีการรั่วไหลของข้อมูลส่วนบุคคล รวมถึงการกำหนดมาตรฐานในการเผชิญเหตุเมื่อมีการรั่วไหลของข้อมูลส่วนบุคคล

9.กำหนดทิศทางให้ DPO ในการทำการสื่อสาร ประสานงาน รายงานข้อมูลกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

10.พิจารณาอนุมัติ และสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ

11.จัดให้มีผู้รับผิดชอบในการปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยสารสนเทศ

12.จัดให้มีการตรวจสอบความเข้าใจเรื่องการคุ้มครองข้อมูลส่วนบุคคลของพนักงานในทุกระดับ

13.จัดให้มีการสื่อสารกับลูกค้าเพื่อให้เกิดความเข้าใจในการดำเนินการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของข้อมูลส่วนบุคคล และการคุ้มครองข้อมูลส่วนบุคคลขององค์กร

14.บริหารจัดการความเสี่ยงองค์กรอย่างมีประสิทธิภาพ

ที่มา: Thailand Data Protection Guidelines 3.0 Extension (เมษายน 2564)

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Like Us On Facebook

Facebook Pagelike Widget
communication

Interview: Digital Disruption

Interview: New Roles CISO

Interview: Next Gen SOC

Newsletters

ลงทะเบียนรับข่าวสารจาก CIOWorldMagazine.com