1) หลักการและวัตถุประสงค์
การกำกับดูแลและตรวจสอบ เป็นกระบวนการเชิงระบบที่หน่วยงานต้องดำเนินการอย่างต่อเนื่อง เพื่อให้การเก็บ ใช้ เปิดเผย เก็บรักษา ทำลายข้อมูลส่วนบุคคล และการจัดการเหตุที่อาจกระทบต่อข้อมูล เป็นไปตามกฎหมายและมาตรการของรัฐ ตลอดจนเป็นไปตามนโยบายของศูนย์สุขภาพจิตที่ 7 อย่างเคร่งครัด
วัตถุประสงค์
- ประเมินความสอดคล้องของการปฏิบัติงานกับกฎหมายและนโยบายของหน่วยงาน
- ระบุความเสี่ยงและข้อบกพร่อง เพื่อนำไปสู่การปรับปรุงแก้ไขอย่างเป็นรูปธรรม
- จัดทำหลักฐานเชิงประจักษ์เพื่อการติดตามประเมินผลและการรายงานตามเกณฑ์ที่เกี่ยวข้อง
- ส่งเสริมวัฒนธรรมการปฏิบัติตามกฎหมายและความรับผิดชอบของบุคลากรทุกระดับ
2) ขอบเขตการตรวจสอบ
- การเก็บและการใช้ข้อมูลส่วนบุคคล
- การเปิดเผยหรือการโอนข้อมูล ทั้งภายในประเทศและข้ามพรมแดน
- การเก็บรักษาและการทำลายข้อมูลตามระยะเวลาที่กำหนด
- การจัดการเหตุที่กระทบต่อข้อมูลส่วนบุคคล รวมถึงการแจ้งหน่วยงานที่เกี่ยวข้องภายในระยะเวลาที่กำหนดโดยกฎหมาย
- การรับคำขอใช้สิทธิของเจ้าของข้อมูลและการตอบสนองภายในกำหนดเวลา
3) ผู้รับผิดชอบ
- ผู้อำนวยการศูนย์สุขภาพจิตที่ 7 กำกับ อำนวยการ และอนุมัติแผนการตรวจสอบ
- คณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล/ผู้ประสานงาน วางแผน ดำเนินการ ตรวจติดตาม และจัดทำรายงาน
- หัวหน้ากลุ่มงาน/ผู้รับผิดชอบกระบวนการ จัดเตรียมข้อมูลและเอกสารที่เกี่ยวข้อง และดำเนินการแก้ไขตามข้อเสนอแนะ
- ผู้ตรวจสอบภายใน ปฏิบัติหน้าที่ตรวจสอบอย่างอิสระตามแผนที่ได้รับอนุมัติ
4) แนวทางดำเนินงาน
4.1 การวางแผนการตรวจสอบ
- จัดทำแผนการตรวจสอบประจำปี ระบุขอบเขต วิธีการ ระยะเวลา และผู้รับผิดชอบอย่างชัดเจน
- กำหนดรายการตรวจที่ครอบคลุมประเด็นสำคัญ ได้แก่ นโยบายและประกาศที่เผยแพร่ การบันทึกรายการการประมวลผล การขอและจัดเก็บความยินยอม การจำกัดสิทธิการเข้าถึงตามหน้าที่ การคุ้มครองข้อมูลระหว่างส่งและขณะเก็บ การสำรองและการกู้คืนข้อมูล การรับและตอบคำขอใช้สิทธิของเจ้าของข้อมูล ข้อตกลงกับผู้รับจ้างประมวลผล และการทำลายข้อมูลเมื่อหมดความจำเป็น
4.2 การดำเนินการตรวจสอบ
- การตรวจเอกสาร ตรวจความครบถ้วนและความทันสมัยของบันทึกรายการการประมวลผล ข้อตกลงกับผู้รับจ้าง แบบฟอร์ม หนังสือเวียน รายงานการอบรม รายงานการสำรองข้อมูล และบันทึกเหตุที่เกิดขึ้น
- การสัมภาษณ์และสังเกตการณ์ สอบถามผู้ปฏิบัติงานในบทบาทที่เกี่ยวข้อง และสังเกตการปฏิบัติจริง ณ จุดให้บริการและสำนักงาน
- การทดสอบระบบที่จำเป็น ทดสอบการจำกัดสิทธิการเข้าถึงตามหน้าที่ การยืนยันตัวตนหลายชั้น การคุ้มครองข้อมูลระหว่างส่งและขณะเก็บ การบันทึกและตรวจทานการใช้งานระบบ และการกู้คืนข้อมูลจากการสำรอง
4.3 การรายงานผล
- จัดทำรายงานผลการตรวจสอบภายใน 15 วันทำการ นับแต่เสร็จสิ้นการตรวจ โดยสรุปขอบเขต วิธีการ ข้อค้นพบ ระดับความเสี่ยง ข้อเสนอแนะ และแผนการติดตาม
- เสนอรายงานต่อผู้บริหารและคณะทำงาน เพื่อพิจารณาอนุมัติแผนการแก้ไข
4.4 การติดตามผลและการแก้ไข
- มอบหมายผู้รับผิดชอบดำเนินการแก้ไขภายในระยะเวลาที่กำหนด (โดยหลักไม่เกิน 30–60 วัน ตามความเสี่ยงของประเด็น)
- คณะทำงานดำเนินการติดตามความก้าวหน้า และทดสอบซ้ำก่อนปิดประเด็น
- กรณีมีเหตุที่กระทบต่อข้อมูลส่วนบุคคล ให้ดำเนินการแจ้งหน่วยงานที่เกี่ยวข้องภายในระยะเวลาตามกฎหมาย และแจ้งเจ้าของข้อมูลเมื่อมีความเสี่ยงสูง พร้อมแนวทางเยียวยา
5) ความถี่ในการตรวจสอบ
- การตรวจสอบภายใน ดำเนินการอย่างน้อยปีละ 1 ครั้ง
- การตรวจเฉพาะจุด ดำเนินการเป็นระยะตามความจำเป็น โดยไม่ต้องแจ้งล่วงหน้า
- การทบทวนบันทึกรายการการประมวลผล ดำเนินการอย่างน้อยปีละครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ
6) เอกสารและหลักฐานที่ต้องจัดทำ
- แผนการตรวจสอบประจำปี
- รายการตรวจและหลักฐานประกอบ
- รายงานผลการตรวจสอบ ลงนามโดยผู้จัดทำและผู้อนุมัติ
- แผนการแก้ไขและป้องกันปัญหา ระบุระยะเวลาและผู้รับผิดชอบ
- หลักฐานการติดตามผล เช่น รายงานสรุป ภาพถ่าย หรือผลการทดสอบซ้ำ
- รายงานสรุปประจำปีสำหรับผู้บริหารและการประเมินผลตามตัวชี้วัด
7) การบูรณาการกับการบริหารความเสี่ยง
ให้นำผลการตรวจสอบไปใช้ประกอบการประเมินความเสี่ยงด้านข้อมูลส่วนบุคคลและการบริหารความเสี่ยงของหน่วยงาน เพื่อกำหนดมาตรการควบคุมเพิ่มเติม ทั้งเชิงองค์กร เชิงเทคนิค และเชิงกายภาพ ให้เหมาะสมกับภารกิจของศูนย์สุขภาพจิตที่ 7
ภาคผนวก
ก) แบบตรวจ (สรุปย่อ)
หมวด | รายการตรวจหลัก |
---|---|
ธรรมาภิบาล | คำสั่งแต่งตั้งคณะทำงาน แผนตรวจประจำปี รายงานต่อผู้บริหาร |
เอกสารสำคัญ | นโยบาย/ประกาศที่เผยแพร่ บันทึกรายการการประมวลผล ความยินยอมและการถอนความยินยอม |
สิทธิของเจ้าของข้อมูล | ช่องทางรับคำขอ ขั้นตอนยืนยันตัวตน ระยะเวลาตอบคำขอ บันทึกการดำเนินการ |
ความมั่นคงปลอดภัย | จำกัดสิทธิการเข้าถึงตามหน้าที่ การยืนยันตัวตนหลายชั้น การคุ้มครองข้อมูล การสำรองและการกู้คืน การบันทึกและตรวจทานการใช้งานระบบ |
ผู้รับจ้างประมวลผล | ข้อตกลงด้านการคุ้มครองข้อมูล หน้าที่การแจ้งเหตุ การลบหรือคืนข้อมูลเมื่อสิ้นสุดสัญญา |
เหตุที่กระทบต่อข้อมูล | แนวทางรายงานต่อหน่วยงานที่เกี่ยวข้องภายในระยะเวลาที่กฎหมายกำหนด และการแจ้งเจ้าของข้อมูลเมื่อมีความเสี่ยงสูง |
คลาวด์/ข้ามพรมแดน | ที่ตั้งศูนย์ข้อมูล กลไกทางกฎหมายที่รองรับ เงื่อนไขในสัญญา |
การฝึกอบรมและการสื่อสาร | รายชื่อผู้เข้าร่วม เอกสารประกอบ แบบทดสอบก่อน–หลัง และสรุปผล |
ข) ตัวชี้วัดที่เหมาะสม
- ร้อยละของคำขอใช้สิทธิที่ดำเนินการแล้วเสร็จภายในระยะเวลาที่กำหนด
- ร้อยละของบัญชีผู้ใช้ที่ทบทวนและปรับปรุงสิทธิการเข้าถึงแล้ว
- ร้อยละของระบบที่ทดสอบการกู้คืนข้อมูลแล้วเสร็จตามแผน
- ระยะเวลาเฉลี่ยจากวันที่พบเหตุจนถึงวันที่ส่งรายงานต่อหน่วยงานที่เกี่ยวข้อง
- ร้อยละของบุคลากรที่ผ่านการอบรมตามแผนประจำปี
หมายเหตุ : แนวทางและแบบฟอร์มนี้จัดทำขึ้นโดยอ้างอิงตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และประกาศ/แนวปฏิบัติที่เกี่ยวข้องของหน่วยงานรัฐ และระบบงานของศูนย์สุขภาพจิตที่ 7 ทั้งนี้ ให้ถือปฏิบัติตามกฎหมายและข้อบังคับที่มีผลบังคับใช้ในขณะนั้นเป็นสำคัญ