[Guest Post] ตัวอย่างการปฏิบัติจริง PDPA ด้วยโปรแกรม Alltra

ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องหลักเกณฑ์และวิธีการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูล พ.ศ.2565 มีผลบังคับใช้ 17 ธันวาคม พ.ศ. 2565 สำหรับผู้ควบคุมข้อมูลส่วนบุคคลที่เป็น SME สามารถดำเนินการร่วมกับผู้ประมวลผลโดยโปรแกรม Alltra หรือ smartpdpa.com เพื่อทำตาม PDPA และประกาศของคณะกรรมการฯ ต้องทำอย่างน้อย 3 ข้อคือ 

1.ทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement :DPA) โดยผู้ประมวลผลข้อมูลจะต้องปฏิบัติตาม DPA โดยระบบ Policy Doc ของ Alltra หรือ smartpdpa.com

2.ผู้ประมวลผลฯทำรายการบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities) โดยระบบ Policy Doc ของ Alltra หรือ smartpdpa.com

รูปแสดงข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูลกับผู้ประมวลผลระบบ Alltra และเอกสารรายการบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคล

 

3.โดยผู้ควบคุมข้อมูลต้องกำหนดมาตรการด้านความมั่นคงปลอดภัยที่ผู้ประมวลผลต้องปฏิบัติตาม หรือผู้ประมวลผลต้องมีมาตรการด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลบริการให้แก่ลูกค้าเสมือนเป็นผู้ควบคุมข้อมูลตามที่PDPAกำหนด และเมื่อมีเหตุการละเมิด ผู้ประมวลผลต้องแจ้งเหตุแก่ผู้ควบคุมเพื่อดำเนินการแก้ไขร่วมกัน 

สำหรับองค์กรที่ผู้ควบคุมข้อมูลต้องการจัดการและตรวจสอบข้อมูลส่วนบุคคลที่ส่งให้ผู้ประมวลผลข้อมูลและข้อมูลที่ประมวลผลผ่านผู้ประมวลผลให้ได้ตามมาตรฐานที่กำหนดใน DPA โดยผู้ควบคุมสามารถกำหนดวิธีเข้าไปตรวจสอบการประมวลผลข้อมูลส่วนบุคคลได้โดยโปรแกรม Alltra เพิ่มได้ดังนี้ 

4.การทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement :DPA) โดยระบบ Policy Doc โดยทำการส่ง Link  URLไปให้ผู้ประมวลผลและ/หรือ ใส่ Link API สำหรับโปรแกรมของผู้ประมวลเพื่อความชัดเจนและข้อมูลทันสมัยหากมีการปรับปรุงได้โดยสะดวก 

รูปแสดงวิธีการนำ API จาก Alltra ไปใช้งานและการทำงานร่วมกันของ Alltra และระบบอื่นๆ ภายนอก


5.การลงทะเบียนผู้ประมวลผลเข้าสู่ระบบ Alltra เพื่อเก็บประวัติ
ผู้ประมวลผลเป็นใคร มีสิทธิ์อย่างไร (AAA model) เป็นต้น

รูปแสดงการสร้างผู้ประมวลผลข้อมูลในระบบ Alltra โดยสามารถกำหนดการเข้าถึงข้อมูลและระบบโดยยืนยันแบบ 2 Factor Authen ได้

 

6.ทำการแบ่งประเภทข้อมูลส่วนบุคคลตามข้อตกลงประมวลผล พร้อมลำดับความเสี่ยงของข้อมูลส่วนบุคคล 

7.การรวบรวมข้อมูลส่วนบุคคล (Pattern) เพื่อนำไปใช้งานประมวลผล หรือทราบการจัดเก็บข้อมูลที่ผู้ประมวลผลข้อมูลสามารถใช้ได้
       7.1 เพื่อทราบแหล่งที่มาของข้อมูลส่วนบุคคล กรณีนำข้อมูลส่วนบุคคลจากหลายแหล่งก็สามารถกำหนดได้
       7.2 การใช้ฐานกฎหมาย (Lawful Basis) ในการรวบรวม
       7.3 ผู้มีสิทธิ์เข้าถึงข้อมูลที่จัดเก็บหรือผู้มีสิทธิ์ประมวลผล  
       7.4 ระยะเวลาในการเก็บรวบรวมจัดเก็บข้อมูล 

รูปแสดงการรวบรวมข้อมูลส่วนบุคคล (Pattern) โดยอธิบายเกี่ยวกับข้อมูลส่วนบุคคลที่นำไปประมวลผล เช่น แหล่งที่มาของข้อมูลส่วนบุคคลที่นำไปประมวลผลใช้ฐานกฎหมาย วัตถุประสงค์การประมวลผล ระยะเวลาจัดเก็บข้อมูล แจ้งว่าใครเป็นผู้มีสิทธิ์เข้าถึง ประมวลผลและเปิดเผยข้อมูล เป็นต้น

 

8.การใช้งาน/ประมวลผลข้อมูลส่วนบุคคล (Classification)
           8.1 เพื่อทราบวัตถุประสงค์ในการใช้งานประมวลผล   
           8.2 การใช้ฐานกฎหมาย (Lawful Basis for Processing) ในการประมวลผล หรือใช้งานข้อมูล
           8.3 ผู้มีสิทธิ์ใช้งาน และนำข้อมูลไปประมวลผล
           8.4 ระยะเวลาในการใช้งานและประมวลผลข้อมูล
           8.5 กำหนดรูปแบบข้อมูลที่ใช้ประมวลผลหรือส่งออกหรือเปิดเผยข้อมูล (Datamark)        
           8.6 การ Monitor ข้อมูลส่วนบุคคลที่ประมวลผล กำหนดระดับ
ปริมาณข้อมูลที่สามารถใช้งานได้ตามระยะเวลาที่กำหนด

รูปแสดงการใช้งาน/ประมวลผลข้อมูลส่วนบุคคล (Classification) โดยอธิบายเกี่ยวกับข้อมูลส่วนบุคคลที่ประมวลผล ว่ามาจากแหล่งข้อมูลไหน ระยะเวลาจัดเก็บข้อมูล แจ้งว่าใครเป็นผู้มีสิทธิ์เข้าถึง ประมวลผลและเปิดเผยข้อมูลด้วยระบบ Dtatamark ต้องส่งให้ DPO ตรวจสอบก่อนหรือไม่ รูปแบบการเปิดเผย ระยะเวลาการเปิดเผย เป็นต้น

 

9.การส่งต่อข้อมูลส่วนบุคคลไปยังบุคคลภายนอกควรทำข้อตกลง แบ่งปันข้อมูล (Data Sharing Ageement) พร้อมกำหนดรูปแบบ การส่งมอบข้อมูล และระยะเวลาส่งมอบข้อมูล (Datamark) และ Data filter (ปล.ระบบ Alltra สามารถทำงานร่วมกับระบบ Data Loss Prevention อื่นๆได้ (Option)

รูปแสดงการนำข้อมูลส่วนบุคคลมาทำการ Mark ตามกำหนดได้ก่อนที่นำข้อมูลไปใช้หรือส่งออกข้อมูล/เปิดเผยข้อมูล

 

10.กำหนดการตรวจสอบข้อมูลประมวลผล Monitor

รูปแสดง Monitor จากแหล่งต่างๆ มาแสดงเพื่อให้ภาพรวมโดยง่าย

 

11.กำหนดวิธีการตรวจสอบข้อมูลเฝ้าระวังตามข้อตกลงการประมวลผล การกำหนดสิทธิ์ให้ Data Protection Officer : DPO (เจ้าหน้าที่คุ้มครอง ข้อมูลส่วนบุคคล) หรือบุคคลอื่น ตรวจสอบ

รูปแสดงการกำหนดวิธีการตรวจสอบข้อมูล และส่งวิธีการเตือนไปยังผู้เกี่ยวข้อง

 

12.การทำ Data Flow แบบ Realtime เพื่อทราบทุกขั้นตอนตามการประมวลผลข้อมูลส่วนบุคคลภายในองค์กรหรือหน่วยงานได้โดยสะดวกและรวดเร็วทันต่อเหตุการณ์ต่างๆ 

รูปแสดงรายละเอียด Data Flow ตามนโยบาบ การจัดเก็บ ใช้งานข้อมูลการประมวลผลข้อมุล ผู้มีสิทธิ์ใช้งาน ชื่อเจ้าของ ข้อมูลส่วนบุคคล

 

13.Alltra ในส่วนการตรวจสอบข้อมูลยังมีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเพื่อให้สามารถสอบย้อนกลับเปลี่ยนแปลง แก้ไข หรือลบข้อมูลส่วนบุคคล (Audit trails) โดยระบบ Micro-Blockchain โดยนำเทคโนโลยี Blockchain มาตรวจสอบความถูกต้องของข้อมูลอัตโนมัติ

รูปแสดงข้อมูล Blockchain ของระบบ Micro-Blockchain ภายในระบบ Alltar เพื่อตรวจสอบข้อมูลส่วนบุคคลมีการเปลี่ยนแปลงหรือไม่

 

จากตัวอย่างข้างต้นเป็นการนำโปรแกรม Alltra ไปใช้งานบริการจัดการข้อมูลส่วนบุคคล หรือข้อมูลที่มีความสำคัญ เพื่อให้ผู้ประมวลผลข้อมูลตามทำตามข้อกำหนดฯ และข้อตกลง PDPA และการบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลได้อย่างรวดเร็วเป็นระบบ ตรวจสอบได้ง่าย

ซึ่งเหล่านี้เป็นสิ่งที่ในปัจจุบันองค์กรหรือหน่วยงานต่างๆต้องจัดทำข้อมูลขององค์กรให้ก่อเกิดประโยชน์ในด้านสร้างความร่วมมือ (Khow your data) กับหน่วยงานต่างๆเพื่อเพิ่มมูลค่าทางทรัพย์สินทางสารสนเทศ ลดความเสี่ยงของการฟ้องร้องคดีความที่อาจเกิดขึ้น หากเกิดข้อมูลรั่วไหลหรือภัยจาก Hacker  พร้อมเพิ่มความปลอดภัยในการโอนข้อมูลระหว่างองค์กรหรือการใช้ข้อมูลให้มีประสิทธิภาพมากขึ้น 

ติดต่อขอข้อมูลเกี่ยวกับโปรแกรม Alltra ที่ได้  Sense-Info Tech Co.,Ltd 
96/6 ม.4 ซอย 19 ตำบลคลองเกลือ อำเภอปากเกร็ด จังหวัด นนทบุรี 11120

เบอร์โทร : 02-582-827 
e-mail : sales@sense-infotech.com

หรือใช้งานระบบเบื้องต้นเกี่ยวกับ PDPA ได้ที่ smartpdpa.com


About Maylada

Check Also

ขอเชิญ Data Protection Officer, Auditor และ HR ร่วมงาน NCSA Thailand National Cyber Week 2023 [17-18 ก.พ. 2023 ณ สามย่านมิตรทาวน์]

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ขอเชิญ Data Protection Officer, Auditor และ HR ทุกท่านที่สนใจ เข้าร่วมสัมมนาและฟังบรรยายในงาน Cybersecurity Expo ระดับชาติ “Thailand National Cyber Week 2023” เพื่อเรียนรู้ถึงข้อกฎหมายและกฎเกณฑ์บังคับด้าน Cybersecurity และ Data Privacy เจาะลึกในอุตสาหกรรมของไทย รับชมเนื้อหาการบรรยายด้านข้อกฎหมายและประเด็นน่าสนใจที่หลากหลาย พร้อมพบปะกับเจ้าหน้าที่ของ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยตรง ในวันที่ 17 – 18 กุมภาพันธ์ ณ สามย่านมิตรทาวน์

ขอเชิญประชาชนทุกท่าน ร่วมงาน NCSA Thailand National Cyber Week 2023 [17-18 ก.พ. 2023 ณ สามย่านมิตรทาวน์]

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ขอเชิญประชาชนชาวไทยทุกท่านที่สนใจ เข้าร่วมสัมมนาและฟังบรรยายในงาน Cybersecurity Expo ระดับชาติ “Thailand National Cyber Week 2023” เพื่อเรียนรู้ถึงแนวทางการระวังภัยคุกคามไซเบอร์สำหรับตนเอง, เยาวชนในครอบครัว และไขข้อข้องใจสำหรับกรณีแก๊ง Call Center และแอปดูดเงินธนาคาร ว่าเหล่ามิจฉาชีพทำการหลอกลวงอย่างไร และเราจะป้องกันตนเองได้อย่างไรโดยไม่มีค่าใช้จ่าย ในวันที่ 17 – 18 กุมภาพันธ์ ณ สามย่านมิตรทาวน์