หลักสูตรฝึกอบรมเชิงปฏิบัติการ
การตรวจติดตามของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
เพื่อให้เป็นไปตามข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล รุ่นที่ 3
(PDPA Compliance Audit Workshop for DPOs)
มุ่งเน้นการฝึกปฏิบัติเพื่อเตรียมความพร้อมให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
สามารถทำหน้าที่ในการตรวจติดตามเพื่อให้เป็นไปตามที่พระราชบัญญัติ
คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้
| อบรม Online ผ่านโปรแกรม |
 |
Key Highlights
-
- เรียนรู้และเข้าใจสาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- แนวทางปฏิบัติสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามแนวทางของ GDPR (General Data Protection Regulation)
- เตรียมความพร้อมให้ดำเนินการอย่างสอดคล้องกับโครงสร้างของการกำกับดูแลข้อมูลส่วนบุคคล นโยบายคุ้มครองข้อมูลส่วนบุคคล บันทึกกิจกรรมการประมวลผล การแจ้งเก็บรวบรวมข้อมูลก่อนนำข้อมูลไปใช้งาน หนังสือขอความยินยอม และสาระสำคัญอื่นๆ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำหนดไว้
- การประเมินผลกระทบต่อความเป็นส่วนตัว (Privacy Impact Assessment – PIA หรือ Data Protection Impact Assessment – DPIA)
- การออกแบบกระบวนการและระบบเพื่อให้เป็นไปตามวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล (Privacy by Design and Privacy by Default)
- มาตรการด้านความมั่นคงปลอดภัยสำหรับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
- ฝึกปฏิบัติเข้มข้นจำนวน 8 Workshop เน้นการตรวจประเมินเพื่อเตรียมความพร้อมในการปฏิบัติตามสาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- เรียนรู้และเข้าใจสาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
หลักการและเหตุผล
ด้วยความก้าวหน้าและความง่ายของเทคโนโลยีสารสนเทศและการสื่อสาร หน่วยงานและองค์กรต่างๆ จึงมีการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้รับบริการหรือผู้ใช้งานเป็นจำนวนมาก ซึ่งมีการจัดเก็บอยู่ในระบบงานต่างๆ ขององค์กร ในอดีตที่ผ่านมา ยังไม่ได้มี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บังคับใช้งาน (จากนี้ไปขอเรียกว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคล) ที่มีสาระสำคัญเพื่อช่วยในการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการเหล่านั้น จึงทำให้ในปัจจุบันยังคงมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลอยู่เป็นจำนวนมาก ซึ่งอาจสร้างความเสียหาย หรือสร้างความเดือดร้อนและรำคาญต่อเจ้าของส่วนบุคคลก็เป็นได้
เพื่อเป็นการป้องกันการล่วงละเมิดดังกล่าว ซึ่งจะส่งผลให้มีโทษตามที่กฎหมายกำหนด (นับตั้งแต่ความรับผิดทางแพ่ง โทษอาญา และโทษปกครอง) การมีความรู้ ความเข้าใจ ตลอดจนมีทักษะที่ถูกต้องในกฎหมายคุ้มครองข้อมูลส่วนบุคคล จึงเป็นสิ่งที่สำคัญอย่างยิ่งยวดต่อทุกหน่วยงานหรือองค์กรที่ตั้งอยู่ในราชอาณาจักรไทย
ผู้ที่ทำหน้าที่ในการตรวจติดตามการประมวลผลข้อมูลส่วนบุคคลภายในองค์กรให้มีการปฏิบัติตามกฎหมาย คุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด คือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection officer – DPO) จึงมีบทบาทที่สำคัญกับทุกองค์กร ที่ควรจะได้มีการแต่งตั้งและมอบหมายเพื่อคอยทำหน้าที่ในการสอดส่องและดูแลการเข้าถึงและใช้งานข้อมูลส่วนบุคคลภายในองค์กร ให้เป็นไปตามที่กฎหมายกำหนด
หลักสูตรนี้จึงมุ่งเน้นการเตรียมความพร้อมเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อให้สามารถปฏิบัติตาม กฎหมายได้อย่างถูกต้อง
สาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจำเป็นต้องมีความรู้และความเข้าใจ ตลอดจนทักษะเพื่อเตรียมความพร้อมตนเองในการตรวจติดตามองค์กรให้เป็นไปตามที่กฎหมายกำหนด ประกอบด้วย
-
-
-
-
- โครงสร้างของการกำกับดูแลข้อมูลส่วนบุคคล : การกำกับดูแลข้อมูลส่วนบุคคลภายในองค์กรจำเป็นต้องมีโครงสร้างในการกำกับดูแล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจำเป็นต้องมีความรู้ในโครงสร้างดังกล่าว ตลอดจนต้องมีความรู้และความเข้าใจว่าตนเองมีบทบาทอย่างไร
- นโยบายคุ้มครองข้อมูลส่วนบุคคล : เนื่องจากการกำกับดูแลให้เป็นไปตามที่กฎหมายกำหนดจะต้องเริ่มต้นจากการจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องมีบทบาทในการให้ข้อคิดเห็นเกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคลที่องค์กรได้มีการจัดทำ การพิจารณาความครบถ้วนและความสมบูรณ์ของนโยบายคุ้มครองข้อมูลส่วนบุคคล จึงเป็นภาระหน้าที่หนึ่งของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลด้วย
- บันทึกกิจกรรมการประมวลผล : เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องมีและใช้บันทึกกิจกรรมการประมวลผลเพื่อเป็นพื้นฐานสำคัญของการปฏิบัติหน้าที่ บันทึกนี้จะถูกใช้เป็นจุดตั้งต้นในการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จึงมีความจำเป็นต้องเข้าใจในสาระสำคัญของบันทึกกิจกรรมการประมวลผลและการใช้ประโยชน์จากบันทึกดังกล่าว
- การแจ้งเก็บรวบรวมข้อมูลส่วนบุคคล : วงจรชีวิตของการประมวลผลข้อมูลส่วนบุคคลประเภทหนึ่งภายในองค์กรจะต้องเริ่มต้นจากการแจ้งเพื่อขอเก็บรวบรวมข้อมูลส่วนบุคคล หรือที่เรียกกันว่า Privacy Notice (ต้องแจ้งให้เจ้าของข้อมูลได้รับทราบก่อนนำข้อมูลไปใช้งาน) การที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องมีความรู้และความเข้าใจที่ถูกต้องในการจัดทำ Privacy Notice จึงเป็นสิ่งสำคัญที่ขาดไม่ได้
- หนังสือให้ความยินยอมการเก็บรวบรวมข้อมูลส่วนบุคคล (Consent) : กรณีที่ข้อมูลส่วนบุคคลที่ต้องเก็บรวบรวมนั้นมีความอ่อนไหว (Sensitive) องค์กรจำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลก่อนการเก็บรวบรวมข้อมูลนั้น การมีความรู้และความเข้าใจในสาระสำคัญของหนังสือให้ความยินยอมจึงเป็นสิ่งที่สำคัญที่ขาดไม่ได้เช่นกัน ที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจำเป็นต้องมีความรู้นี้
- สัญญาจ้างผู้ประมวลผลข้อมูลส่วนบุคคล : กรณีที่การประมวลผลข้อมูลส่วนบุคคลจำเป็นต้องจ้างหน่วยงานภายนอกเพื่อทำหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลขององค์กร เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จำเป็นต้องมีความรู้เกี่ยวกับความครอบคลุมและความครบถ้วนของสัญญาจ้าง ที่กระทำกับหน่วยงานภายนอก ทั้งนี้เพื่อให้หน่วยงานภายนอกปฏิบัติตามเงื่อนไข และข้อตกลงในสัญญาจ้างที่ทำไว้กับองค์กร รวมทั้งยังมีความสอดคล้องกับกฎหมายข้อมูลส่วนบุคคลที่ได้กำหนดไว้
สองหัวข้อที่ตามมานี้มีประโยชน์อย่างยิ่งต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แม้ว่ามาตรการ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะไม่ได้ระบุไว้ก็ตาม โดยเหตุผลที่กล่าวไว้ด้านล่าง - การประเมินผลกระทบต่อความเป็นส่วนตัว (Privacy Impact Assessment – PIA หรือ Data Protection Impact Assessment – DPIA) : การประเมินผลกระทบต่อความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล โดยพื้นฐานแล้วเป็นการประเมินบริบท ปัจจัยภายในและภายนอก ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล อันจะส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลได้ การประเมินผลกระทบนี้จะมีความเกี่ยวข้องกับการประเมินความเสี่ยงที่มีต่อข้อมูลส่วนบุคคล และกำหนดแผนการจัดการกับความเสี่ยงตามความเหมาะสม การประเมินผลกระทบดังกล่าวจะช่วยให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเห็นบริบทและสภาพของการประมวลผลของข้อมูลส่วนบุคคลที่องค์กรมีการควบคุมและใช้งานอยู่ในปัจจุบัน รวมทั้งสามารถให้ข้อเสนอแนะสำหรับการปรับปรุงการดำเนินการต่างๆ ของผู้ควบคุมข้อมูลส่วนบุคคลได้ตามความจำเป็น
- การออกแบบกระบวนการและระบบเพื่อให้เป็นไปตามวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล (Privacy by Design and Privacy by Default) และเพื่อให้มีความมั่นคงปลอดภัย : หลักการสากลที่ควรใช้ในการออกแบบกระบวนการและระบบสนับสนุนการประมวลผลข้อมูลส่วนบุคคลขององค์กรให้มีความสอดคล้องกับวัตถุประสงค์ของการประมวลผลและมีความมั่นคงปลอดภัย เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลควรมีความรู้และความเข้าใจในหลักการสากลดังกล่าวด้วย
-
หลักสูตรนี้ได้มีการออกแบบเพื่อให้เจ้าหน้าที่คุ้มครองส่วนบุคคลสามารถฝึกปฏิบัติตามสาระสำคัญในข้างต้นทั้งหมดอย่างครบถ้วน และเพื่อเป็นการเตรียมองค์กรให้มีความพร้อมที่จะปฏิบัติตามกฎหมาย ผลที่จะเกิดขึ้นก็คือป้องกันการละเมิดข้อมูลส่วนบุคคล ไม่ว่าจะโดยตั้งใจหรือไม่ตั้งใจก็ตาม อันจะนำสู่การฟ้องร้องดำเนินคดีโดยเจ้าของข้อมูลส่วนบุคคลได้
-
-
วัตถุประสงค์ของหลักสูตร
-
- เพื่อให้ผู้เข้าร่วมอบรมมีความรู้และความเข้าใจในสาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และสามารถปฏิบัติตามความต้องการของกฎหมายได้อย่างถูกต้อง
- เพื่อให้แนวทางปฏิบัติสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามแนวทางของ GDPR
- เพื่อให้ผู้เข้าร่วมอบรมฝึกตรวจติดตามโดยใช้กรณีศึกษาต่างๆ ที่ได้จัดเตรียมไว้ เพื่อให้ข้อคิดเห็นและข้อเสนอแนะสำหรับการปรับปรุงและการดำเนินการต่างๆ เพื่อให้เป็นไปตามที่กฎหมายกำหนด
- เพื่อให้ผู้เข้าร่วมอบรมฝึกประเมินผลกระทบความเป็นส่วนตัว และให้ข้อเสนอแนะสำหรับการปรับปรุงการดำเนินการต่างๆ ของผู้ควบคุมข้อมูลส่วนบุคคลตามความจำเป็น
- เพื่อให้ผู้เข้าร่วมอบรมฝึกการตรวจประเมินกระบวนการและระบบที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพื่อให้เป็นไปตามวัตถุประสงค์ของการประมวลผล และมีความมั่นคงปลอดภัย
- เพื่อให้ผู้เข้าร่วมอบรมมีความรู้และความเข้าใจในสาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และสามารถปฏิบัติตามความต้องการของกฎหมายได้อย่างถูกต้อง
วัตถุประสงค์เชิงพฤติกรรม
ผู้เข้าร่วมอบรม
- มีความรู้และความเข้าใจในสาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างถูกต้อง
- ผลการตรวจติดตามของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องแสดงถึง ให้ข้อคิดเห็น และข้อเสนอแนะที่มีความสอดคล้องกับตามที่กฎหมายกำหนดไว้
- ผลการประเมินผลกระทบต่อความเป็นส่วนตัวมีความถูกต้อง
- ผลการตรวจประเมินกระบวนการและระบบที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมีความถูกต้อง
กลุ่มเป้าหมาย
กลุ่มเป้าหมายหลัก
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)
- ผู้ตรวจสอบภายใน
กลุ่มเป้าหมายดังนี้
จะได้เรียนรู้แนวทางปฏิบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
- ผู้บริหารและผู้จัดการที่ปฏิบัติงานเกี่ยวข้องกับข้อมูลส่วนบุคคล
- ผู้ปฏิบัติงานที่เกี่ยวข้องกับการกำกับดูแลให้เป็นไปตามที่กฎหมายและระเบียบข้อบังคับกำหนด
- ผู้ปฏิบัติงานด้านกฎหมาย
- ผู้ที่สนใจทั่วไป เกี่ยวกับการปฏิบัติตามที่กฎหมายกำหนด
โครงสร้างหลักสูตร
หลักสูตรนี้เป็นหลักสูตรที่ให้ความรู้และความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล การเตรียมความพร้อมขององค์กรให้สามารถดำเนินการอย่างสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล แนวทางปฏิบัติสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การประเมินผลกระทบต่อความเป็นส่วนตัว การออกแบบกระบวนการและระบบเพื่อให้เป็นไปตามวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล และมาตรการด้านความมั่นคงปลอดภัยตลอดจนการฝึกปฏิบัติเพื่อพัฒนาทักษะที่จำเป็นอย่างเข้มข้น รวม 18 ชั่วโมง / 3 วันทำการ
| หัวข้อ | ชั่วโมง | ครั้ง (วัน) |
| บรรยาย | 9 | 1.5 |
| ฝึกปฏิบัติการ (Workshop) | 9 | 1.5 |
| รวม | 18 | 3 วันทำการ |
เนื้อหาหลักสูตร ประกอบด้วย
-
-
- สาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- แนวทางปฏิบัติสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามแนวทางของ GDPR
- โครงสร้างของการกำกับดูแลข้อมูลส่วนบุคคลภายในองค์กร บทบาท และหน้าที่ความรับผิดชอบ
- นโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล
- บันทึกกิจกรรมการประมวลผล
- การแจ้งเก็บรวบรวมข้อมูลส่วนบุคคล
- การขอความยินยอม
- การเก็บรวบรวมข้อมูลส่วนบุคคล
- การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
- การขอใช้สิทธิโดยเจ้าของข้อมูลส่วนบุคคล
- การจัดการการละเมิดข้อมูลส่วนบุคคล
- การประเมินผลกระทบต่อความเป็นส่วนตัว
- การออกแบบกระบวนการและระบบเพื่อให้เป็นไปตามวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล
- การประเมินด้านความมั่นคงปลอดภัยสารสนเทศของระบบงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
- การฝึกปฏิบัติในการตรวจติดตามของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- สาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
-
วิทยากรประจำหลักสูตร
ดร. บรรจง หะรังษี
รองกรรมการผู้จัดการ และที่ปรึกษาด้านความมั่นคงปลอดภัยระบบสารสนเทศ
บริษัท ที-เน็ต จำกัด
ISO/IEC 27001 (Certified of Lead auditor), ISO/IEC 20000 (Auditor Certificate) BCMS 25999,
Introduction to Capability Maturity Model Integration V1.2 Certificate
ระยะเวลาของหลักสูตร
ระหว่างวันที่ 22 – 24 กุมภาพันธ์ 2566
เวลา 9.00 – 16.00 น.
(รวมระยะเวลาอบรม จำนวน 3 วัน)
ค่าลงทะเบียน
ท่านละ 18,500 บาท (ราคานี้รวมภาษีมูลค่าเพิ่มแล้ว)
- เฉพาะหน่วยงานภาครัฐ และองค์กรของรัฐ ที่ไม่ใช่ธุรกิจ
และไม่แสวงหากำไร จะได้รับการยกเว้นภาษีมูลค่าเพิ่ม - โปรโมชั่นพิเศษ!!! ลงทะเบียนหน่วยงานเดียวกัน
ตั้งแต่ 2 ท่านขึ้นไป รับส่วนลดทันที 10%
หมายเหตุ
- กรุณาชำระเงิน ภายในวันที่ 14 กุมภาพันธ์ 2566
- สถาบันฯ เป็นหน่วยงานราชการ ได้รับการยกเว้นไม่ต้องหักภาษี ณ ที่จ่าย 3%
- ค่าลงทะเบียน รวมไฟล์เอกสารประกอบการอบรมและภาษีมูลค่าเพิ่ม
- ข้าราชการมีสิทธิ์เบิกค่าลงทะเบียนได้ตามระเบียบกระทรวงการคลังและเข้าร่วมอบรมสัมมนาโดยไม่ถือเป็นวันลา
- หากท่านต้องการยกเลิกการลงทะเบียนกรุณาแจ้งยืนยันการยกเลิกเป็นลายลักษณ์อักษรอย่างน้อย 7 วันทำการก่อนวันจัดงาน หากการแจ้งยกเลิกล่าช้ากว่าเวลาที่กำหนดดังกล่าว ทางสถาบันฯ ขอสงวนสิทธิ์ในการหักค่าดำเนินการ คิดเป็นจำนวนเงิน 30% จากค่าลงทะเบียนเต็มจำนวน
- ขอสงวนสิทธิ์ในการเปลี่ยนแปลงวิทยากรและกำหนดการบรรยายตามความเหมาะสม
- ค่าใช้จ่ายในการส่งบุคลากรเข้าอบรมทางวิชาชีพของบริษัทหรือห้างหุ้นส่วนนิติบุคคลสามารถนำไปลดหย่อนภาษีได้ 200%
รูปแบบการจัดอบรม
ถ่ายทอดสด ในระบบ Online ผ่านโปรแกรม Zoom
เกณฑ์การประเมินผล
ผู้เข้าอบรมต้องมีเวลาเรียนไม่ต่ำกว่า 80% และทำกิจกรรมทุกหัวข้อของหลักสูตร จึงจะได้รับวุฒิบัตร
จากสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.)
CONTACT
PHONE & E-MAIL
สถาบันพัฒนาบุคลากรแห่งอนาคต
(Career for the Future Academy)
สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.)
กระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม
โทรศัพท์ : 0 2644 8150 ต่อ 81891 (คุณนิพัฒน์)
0 2644 8150 ต่อ 81898 (คุณฉวีวรรณ)
โทรสาร : 0 2644 8110
E-MAIL : npd@nstda.or.th
ADDRESS