ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องหลักเกณฑ์และวิธีการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูล พ.ศ.2565 มีผลบังคับใช้ 17 ธันวาคม พ.ศ. 2565 สำหรับผู้ควบคุมข้อมูลส่วนบุคคลที่เป็น SME สามารถดำเนินการร่วมกับผู้ประมวลผลโดยโปรแกรม Alltra หรือ smartpdpa.com เพื่อทำตาม PDPA และประกาศของคณะกรรมการฯ ต้องทำอย่างน้อย 3 ข้อคือ
1.ทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement :DPA) โดยผู้ประมวลผลข้อมูลจะต้องปฏิบัติตาม DPA โดยระบบ Policy Doc ของ Alltra หรือ smartpdpa.com
2.ผู้ประมวลผลฯทำรายการบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities) โดยระบบ Policy Doc ของ Alltra หรือ smartpdpa.com
3.โดยผู้ควบคุมข้อมูลต้องกำหนดมาตรการด้านความมั่นคงปลอดภัยที่ผู้ประมวลผลต้องปฏิบัติตาม หรือผู้ประมวลผลต้องมีมาตรการด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลบริการให้แก่ลูกค้าเสมือนเป็นผู้ควบคุมข้อมูลตามที่PDPAกำหนด และเมื่อมีเหตุการละเมิด ผู้ประมวลผลต้องแจ้งเหตุแก่ผู้ควบคุมเพื่อดำเนินการแก้ไขร่วมกัน
สำหรับองค์กรที่ผู้ควบคุมข้อมูลต้องการจัดการและตรวจสอบข้อมูลส่วนบุคคลที่ส่งให้ผู้ประมวลผลข้อมูลและข้อมูลที่ประมวลผลผ่านผู้ประมวลผลให้ได้ตามมาตรฐานที่กำหนดใน DPA โดยผู้ควบคุมสามารถกำหนดวิธีเข้าไปตรวจสอบการประมวลผลข้อมูลส่วนบุคคลได้โดยโปรแกรม Alltra เพิ่มได้ดังนี้
4.การทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement :DPA) โดยระบบ Policy Doc โดยทำการส่ง Link URLไปให้ผู้ประมวลผลและ/หรือ ใส่ Link API สำหรับโปรแกรมของผู้ประมวลเพื่อความชัดเจนและข้อมูลทันสมัยหากมีการปรับปรุงได้โดยสะดวก
5.การลงทะเบียนผู้ประมวลผลเข้าสู่ระบบ Alltra เพื่อเก็บประวัติ ผู้ประมวลผลเป็นใคร มีสิทธิ์อย่างไร (AAA model) เป็นต้น
6.ทำการแบ่งประเภทข้อมูลส่วนบุคคลตามข้อตกลงประมวลผล พร้อมลำดับความเสี่ยงของข้อมูลส่วนบุคคล
7.การรวบรวมข้อมูลส่วนบุคคล (Pattern) เพื่อนำไปใช้งานประมวลผล หรือทราบการจัดเก็บข้อมูลที่ผู้ประมวลผลข้อมูลสามารถใช้ได้
7.1 เพื่อทราบแหล่งที่มาของข้อมูลส่วนบุคคล กรณีนำข้อมูลส่วนบุคคลจากหลายแหล่งก็สามารถกำหนดได้
7.2 การใช้ฐานกฎหมาย (Lawful Basis) ในการรวบรวม
7.3 ผู้มีสิทธิ์เข้าถึงข้อมูลที่จัดเก็บหรือผู้มีสิทธิ์ประมวลผล
7.4 ระยะเวลาในการเก็บรวบรวมจัดเก็บข้อมูล
8.การใช้งาน/ประมวลผลข้อมูลส่วนบุคคล (Classification)
8.1 เพื่อทราบวัตถุประสงค์ในการใช้งานประมวลผล
8.2 การใช้ฐานกฎหมาย (Lawful Basis for Processing) ในการประมวลผล หรือใช้งานข้อมูล
8.3 ผู้มีสิทธิ์ใช้งาน และนำข้อมูลไปประมวลผล
8.4 ระยะเวลาในการใช้งานและประมวลผลข้อมูล
8.5 กำหนดรูปแบบข้อมูลที่ใช้ประมวลผลหรือส่งออกหรือเปิดเผยข้อมูล (Datamark)
8.6 การ Monitor ข้อมูลส่วนบุคคลที่ประมวลผล กำหนดระดับปริมาณข้อมูลที่สามารถใช้งานได้ตามระยะเวลาที่กำหนด
9.การส่งต่อข้อมูลส่วนบุคคลไปยังบุคคลภายนอกควรทำข้อตกลง แบ่งปันข้อมูล (Data Sharing Ageement) พร้อมกำหนดรูปแบบ การส่งมอบข้อมูล และระยะเวลาส่งมอบข้อมูล (Datamark) และ Data filter (ปล.ระบบ Alltra สามารถทำงานร่วมกับระบบ Data Loss Prevention อื่นๆได้ (Option)
10.กำหนดการตรวจสอบข้อมูลประมวลผล Monitor
11.กำหนดวิธีการตรวจสอบข้อมูลเฝ้าระวังตามข้อตกลงการประมวลผล การกำหนดสิทธิ์ให้ Data Protection Officer : DPO (เจ้าหน้าที่คุ้มครอง ข้อมูลส่วนบุคคล) หรือบุคคลอื่น ตรวจสอบ
12.การทำ Data Flow แบบ Realtime เพื่อทราบทุกขั้นตอนตามการประมวลผลข้อมูลส่วนบุคคลภายในองค์กรหรือหน่วยงานได้โดยสะดวกและรวดเร็วทันต่อเหตุการณ์ต่างๆ
13.Alltra ในส่วนการตรวจสอบข้อมูลยังมีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเพื่อให้สามารถสอบย้อนกลับเปลี่ยนแปลง แก้ไข หรือลบข้อมูลส่วนบุคคล (Audit trails) โดยระบบ Micro-Blockchain โดยนำเทคโนโลยี Blockchain มาตรวจสอบความถูกต้องของข้อมูลอัตโนมัติ
จากตัวอย่างข้างต้นเป็นการนำโปรแกรม Alltra ไปใช้งานบริการจัดการข้อมูลส่วนบุคคล หรือข้อมูลที่มีความสำคัญ เพื่อให้ผู้ประมวลผลข้อมูลตามทำตามข้อกำหนดฯ และข้อตกลง PDPA และการบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลได้อย่างรวดเร็วเป็นระบบ ตรวจสอบได้ง่าย
ซึ่งเหล่านี้เป็นสิ่งที่ในปัจจุบันองค์กรหรือหน่วยงานต่างๆต้องจัดทำข้อมูลขององค์กรให้ก่อเกิดประโยชน์ในด้านสร้างความร่วมมือ (Khow your data) กับหน่วยงานต่างๆเพื่อเพิ่มมูลค่าทางทรัพย์สินทางสารสนเทศ ลดความเสี่ยงของการฟ้องร้องคดีความที่อาจเกิดขึ้น หากเกิดข้อมูลรั่วไหลหรือภัยจาก Hacker พร้อมเพิ่มความปลอดภัยในการโอนข้อมูลระหว่างองค์กรหรือการใช้ข้อมูลให้มีประสิทธิภาพมากขึ้น
ติดต่อขอข้อมูลเกี่ยวกับโปรแกรม Alltra ที่ได้ Sense-Info Tech Co.,Ltd
96/6 ม.4 ซอย 19 ตำบลคลองเกลือ อำเภอปากเกร็ด จังหวัด นนทบุรี 11120
เบอร์โทร : 02-582-827
e-mail : sales@sense-infotech.com
หรือใช้งานระบบเบื้องต้นเกี่ยวกับ PDPA ได้ที่ smartpdpa.com