Data Protection Program @ Siriraj
To be translated
โครงการพัฒนาการคุ้มครองข้อมูลส่วนบุคคล คณะแพทยศาสตร์ศิริราชพยาบาล มีวัตถุประสงค์เตรียมความพร้อมหน่วยงานต่าง ๆ ทั้งคณะฯ และบุคลากรในคณะฯ ให้สามารถปฏิบัติงานได้อย่างถูกต้องตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลบัญญัติไว้
การพัฒนาการคุ้มครองข้อมูลส่วนบุคคลนี้ ได้รับการสนับสนุนจากคณะผู้บริหารของคณะฯ ให้มีการดำเนินการโครงการนี้ โดยมอบหมายให้ศูนย์สารสนเทศและนวัตกรรมข้อมูลศิริราช (SiData+) ซึ่งมีพันธกิจกำกับดูแลธรรมาภิบาลข้อมูล (Data Governance) เป็นผู้ประสานงานกับหน่วยงานต่าง ๆ ในคณะฯ เนื่องด้วยต้องอาศัยความร่วมมือจากทุกส่วนงาน เพื่อให้การดำเนินการโครงการนี้สำเร็จลุล่วงในระดับคณะฯ
ในการนี้ ศูนย์ SiData+ จึ งได้ศึกษา วางแผนการทำงาน และรับคำแนะนำจากที่ปรึกษาผู้เชี่ยวชาญ เพื่อดำเนินงานเตรียมความพร้อมในระดับคณะฯ ให้ทันก่อน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้ทั้งฉบับ วันที่ 1 มิถุนายน พ.ศ. 2564
Phase หลัก
- 0 Planning
- 1 ASSESS & BUILD Foundation
- 2P IMPLEMENT Processes
- 2T IMPLEMENT Tools & Software
- 3 PROTECT & RESPOND Operations
- 4 SUSTAIN Monitor & Audit
ศึกษาข้อมูลจากแหล่งต่าง ๆ ทั้งในประเทศและระดับสากล เตรียมแผนการทำงาน และรับคำแนะนำจากที่ปรึกษาผู้เชี่ยวชาญ เพื่อให้โครงการฯ มีกิจกรรมที่ต้องทำ และสิ่งที่ต้องมี (deliverables) ครบถ้วน ตามที่กฎหมายกำหนดไว้
เสนอแผนการทำงานโครงการฯ ในคณะกรรมการนโยบายสารสนเทศ คณะกรรมการบริหารคณะฯ คณะกรรมการประจำคณะฯ ตามลำดับและแต่งตั้งคณะกรรมการทำงานที่เกี่ยวข้อง
ระยะนี้เป็นการประเมิน เก็บบันทึกรายละเอียดว่าคณะฯ มีข้อมูลส่วนบุคคล และกิจกรรมใช้งานข้อมูลส่วนบุคคลใดบ้าง เพื่อบันทึกกิจกรรมการประมวลผลข้อมูล (Record of Processing Activities หรือ RoPA) ตามมาตรา 39
จากนั้นนำ RoPA ดังกล่าวมาร่วมกับองค์ประกอบอื่น ๆ ในการประเมินช่องว่าง (Gap) และความเสี่ยง (Risk) เพื่อจะได้จัดทำนโยบาย ระเบียบปฏิบัติ แนวปฏิบัติ ระดับคณะฯ เพื่อให้หน่วยงานนำไปปฏิบัติเพื่อลดช่องว่างและความ เสี่ยง
ทั้งนี้ใน Phase 1 จะมีการเตรียมเอกสารแบบฟอร์มต่าง ๆ ที่เกี่ยวข้อง เพื่อใช้เป็น Template ในระดับคณะฯ และกำหนดผู้รับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคลในคณะฯ ให้ชัดเจน
นำนโยบาย และระเบียบปฏิบัติ ใน Phase 1 มาปรับใช้ พัฒนากระบวนการเก็บข้อมูลเท่าที่จำเป็น, การใช้ เก็บ ทำลาย, การเปิดเผย ส่งต่อ, การขอ consent, การใช้สิทธิ์ของ Data Subject, การรักษาความปลอดภัย, การชี้แจง ทำให้โปร่งใส, การกำกับธรรมาภิบาลข้อมูล, การควบคุมคุณภาพข้อมูล ในหน่วยงานต่าง ๆ
หากมีความจำเป็นตามการประเมินจาก Phase 1 เช่น การขอ consent และ การใช้สิทธิ์ของ Data Subject เป็นต้น
ดำเนินงานเพื่อคุ้มครองปกป้องข้อมูลส่วนบุคคล และรับมือกับกิจกรรม เหตุการณ์ต่าง ๆ โดย SiData+ และคณะทำงาน
ติดตาม ตรวจสอบ ประเมิน การดำเนินการของหน่วยงานต่าง ๆ ในคณะฯ ให้เป็นไปตาม PDPA และกฎหมายที่เกี่ยวข้อง และปรับปรุงแก้ไขให้สมบูรณ์ อย่างต่อเนื่อง
Phase เพิ่มเติม
- Training & Awareness
- Extra
อบรม ให้ความรู้ ประชาสัมพันธ์ โดย SiData+ ทีม Training IT และคณะทำงาน
หน่วยงานในคณะฯ ที่จัดการตนเอง (เช่น SiPH, GJ) ใช้รากฐาน (Foundation) ของคณะฯ จาก Phase 1 ในการดําเนินงานส่วนอื่นภายในหน่วยงานตนเอง