โครงการพัฒนาการคุ้มครองข้อมูลส่วนบุคคล คณะแพทยศาสตร์ศิริราชพยาบาล
สำหรับบุคลากรศิริราช กรุณาอ่านรายละเอียดการดำเนินงานภายในคณะฯ เพิ่มเติม ทาง Si vWORK Library นี้ (Login Required)
โครงการพัฒนาการคุ้มครองข้อมูลส่วนบุคคล คณะแพทยศาสตร์ศิริราชพยาบาล มีวัตถุประสงค์เตรียมความพร้อมหน่วยงานต่าง ๆ ทั้งคณะฯ และบุคลากรในคณะฯ ให้สามารถปฏิบัติงานได้อย่างถูกต้องตามที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลบัญญัติไว้
การพัฒนาการคุ้มครองข้อมูลส่วนบุคคลนี้ ได้รับการสนับสนุนจากคณะผู้บริหารของคณะฯ ให้มีการดำเนินการโครงการนี้ โดยมอบหมายให้ศูนย์สารสนเ ทศและนวัตกรรมข้อมูลศิริราช (SiData+) ซึ่งมีพันธกิจกำกับดูแลธรรมาภิบาลข้อมูล (Data Governance) เป็นผู้ประสานงานกับหน่วยงานต่าง ๆ ในคณะฯ เนื่องด้วยต้องอาศัยความร่วมมือจากทุกส่วนงาน เพื่อให้การดำเนินการโครงการนี้สำเร็จลุล่วงในระดับคณะฯ
ในการนี้ ศูนย์ SiData+ จึงได้ศึกษา วางแผนการทำงาน และรับคำแนะนำจากที่ปรึกษาผู้เชี่ยวชาญ เพื่อดำเนินงานเตรียมความพร้อมในระดับคณะฯ ให้ทันก่อน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้ทั้งฉบับ วันที่ 1 มิถุนายน พ.ศ. 2564
Phase หลัก
- 0 Planning
- 1 ASSESS & BUILD Foundation
- 2P IMPLEMENT Processes
- 2T IMPLEMENT Tools & Software
- 3 PROTECT & RESPOND Operations
- 4 SUSTAIN Monitor & Audit
ศึกษาข้อมูลจากแหล่งต่าง ๆ ทั้งในประเทศและระดับสากล เตรียมแผนการทำงาน และรับคำแนะนำจากที่ปรึกษาผู้เชี่ยวชาญ เพื่อให้โครงการฯ มีกิจกรรมที่ต้องทำ และสิ่งที่ต้องมี (deliverables) ครบถ้วน ตามที่กฎหมายกำหนดไว้
เสนอแผนการทำงานโครงการฯ ในคณะกรรมการนโยบายสารสนเทศ คณะกรรมการบริหารคณะฯ คณะกรรมการประจำคณะฯ ตามลำดับและแต่งตั้งคณะกรรมการทำงานที่เกี่ยวข้อง
ระยะนี้เป็นการประเมิน เก็บบันทึกรายละเอียดว่าคณะฯ มีข้อมูลส่วนบุคคล และกิจกรรมใช้งานข้อมูลส่วนบุคคลใดบ้าง เพื่อบันทึกกิจกร รมการประมวลผลข้อมูล (Record of Processing Activities หรือ RoPA) ตาม
มาตรา 39
จากนั้นนำ RoPA ดังกล่าวมาร่วมกับองค์ประกอบอื่น ๆ ในการประเมินช่องว่าง (Gap) และความเสี่ยง (Risk) เพื่อจะได้จัดทำนโยบาย ระเบียบปฏิบัติ แนวปฏิบัติ ระดับคณะฯ เพื่อให้หน่วยงานนำไปปฏิบัติเพื่อลดช่องว่างและความเสี่ยง
ทั้งนี้ใน Phase 1 จะมีการเตรียมเอกสารแบบฟอร์มต่าง ๆ ที่เกี่ยวข้อง เพื่อใช้เป็น Template ในระดับคณะฯ และกำหนดผู้รับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคลในคณะฯ ให้ชัดเจน
นำนโยบาย และระเบียบปฏิบัติ ใน Phase 1 มาปรับใช้ พัฒนากระบวนการเก็บข้อมูลเท่าที่จำเป็น, การใช้ เก็บ ทำลาย, การเปิดเผย ส่งต่อ, การขอ consent, การใช้สิทธิ์ของ Data Subject, การรักษาความปลอดภัย, การชี้แจง ทำให้โปร่งใส, การกำกับธรรมาภิบาลข้อมูล, การควบคุมคุณภาพข้อมูล ในหน่วยงานต่าง ๆ
หากมีความจำเป็นตามการประเมินจาก Phase 1 เช่น การขอ consent และ การใช้สิทธิ์ของ Data Subject เป็นต้น
ดำเนินงานเพื่อคุ้มครองปกป้องข้อมูลส่วนบุคคล และรับมือกับกิจกรรม เหตุการณ์ต่าง ๆ โดย SiData+ และคณะทำงาน
ติดตาม ตรวจสอบ ประเมิน การดำเนินการของหน่วยงานต่าง ๆ ในคณะฯ ให้เป็นไปตาม PDPA และกฎหมายที่เกี่ยวข้อง และปรับปรุงแก้ไขให้สมบูรณ์ อย่างต่อเนื่อง
Phase เพิ่มเติม
- Training & Awareness
- Extra
อบรม ให้ความรู้ ประชาสัมพันธ์ โดย SiData+ ทีม Training IT และคณะทำงาน
หน่วยงานในคณะฯ ที่จัดการตนเอง (เช่น SiPH, GJ) ใช้รากฐาน (Foundation) ของคณะฯ จาก Phase 1 ในการดําเนินงานส่วนอื่นภายในหน่วยงานตนเอง