แนวทางการกำกับดูแลและตรวจสอบ (PDPA Audit & Compliance)

สารบัญ

1. หลักการและวัตถุประสงค์
2. ขอบเขตการตรวจสอบ
3. ผู้รับผิดชอบ
4. แนวทางดำเนินงาน
5. ความถี่ในการตรวจสอบ
6. เอกสารและหลักฐานที่ต้องจัดทำ
7. การบูรณาการกับการบริหารความเสี่ยง
ภาคผนวก: แบบตรวจและตัวชี้วัด

1) หลักการและวัตถุประสงค์

การกำกับดูแลและตรวจสอบ เป็นกระบวนการเชิงระบบที่หน่วยงานต้องดำเนินการอย่างต่อเนื่อง เพื่อให้การเก็บ ใช้ เปิดเผย เก็บรักษา ทำลายข้อมูลส่วนบุคคล และการจัดการเหตุที่อาจกระทบต่อข้อมูล เป็นไปตามกฎหมายและมาตรการของรัฐ ตลอดจนเป็นไปตามนโยบายของศูนย์สุขภาพจิตที่ 7 อย่างเคร่งครัด

วัตถุประสงค์

ประเมินความสอดคล้องของการปฏิบัติงานกับกฎหมายและนโยบายของหน่วยงาน
ระบุความเสี่ยงและข้อบกพร่อง เพื่อนำไปสู่การปรับปรุงแก้ไขอย่างเป็นรูปธรรม
จัดทำหลักฐานเชิงประจักษ์เพื่อการติดตามประเมินผลและการรายงานตามเกณฑ์ที่เกี่ยวข้อง
ส่งเสริมวัฒนธรรมการปฏิบัติตามกฎหมายและความรับผิดชอบของบุคลากรทุกระดับ

2) ขอบเขตการตรวจสอบ

การเก็บและการใช้ข้อมูลส่วนบุคคล
การเปิดเผยหรือการโอนข้อมูล ทั้งภายในประเทศและข้ามพรมแดน
การเก็บรักษาและการทำลายข้อมูลตามระยะเวลาที่กำหนด
การจัดการเหตุที่กระทบต่อข้อมูลส่วนบุคคล รวมถึงการแจ้งหน่วยงานที่เกี่ยวข้องภายในระยะเวลาที่กำหนดโดยกฎหมาย
การรับคำขอใช้สิทธิของเจ้าของข้อมูลและการตอบสนองภายในกำหนดเวลา

3) ผู้รับผิดชอบ

ผู้อำนวยการศูนย์สุขภาพจิตที่ 7 กำกับ อำนวยการ และอนุมัติแผนการตรวจสอบ
คณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล/ผู้ประสานงาน วางแผน ดำเนินการ ตรวจติดตาม และจัดทำรายงาน
หัวหน้ากลุ่มงาน/ผู้รับผิดชอบกระบวนการ จัดเตรียมข้อมูลและเอกสารที่เกี่ยวข้อง และดำเนินการแก้ไขตามข้อเสนอแนะ
ผู้ตรวจสอบภายใน ปฏิบัติหน้าที่ตรวจสอบอย่างอิสระตามแผนที่ได้รับอนุมัติ

4) แนวทางดำเนินงาน

4.1 การวางแผนการตรวจสอบ

จัดทำแผนการตรวจสอบประจำปี ระบุขอบเขต วิธีการ ระยะเวลา และผู้รับผิดชอบอย่างชัดเจน
กำหนดรายการตรวจที่ครอบคลุมประเด็นสำคัญ ได้แก่ นโยบายและประกาศที่เผยแพร่ การบันทึกรายการการประมวลผล การขอและจัดเก็บความยินยอม การจำกัดสิทธิการเข้าถึงตามหน้าที่ การคุ้มครองข้อมูลระหว่างส่งและขณะเก็บ การสำรองและการกู้คืนข้อมูล การรับและตอบคำขอใช้สิทธิของเจ้าของข้อมูล ข้อตกลงกับผู้รับจ้างประมวลผล และการทำลายข้อมูลเมื่อหมดความจำเป็น

4.2 การดำเนินการตรวจสอบ

การตรวจเอกสาร ตรวจความครบถ้วนและความทันสมัยของบันทึกรายการการประมวลผล ข้อตกลงกับผู้รับจ้าง แบบฟอร์ม หนังสือเวียน รายงานการอบรม รายงานการสำรองข้อมูล และบันทึกเหตุที่เกิดขึ้น
การสัมภาษณ์และสังเกตการณ์ สอบถามผู้ปฏิบัติงานในบทบาทที่เกี่ยวข้อง และสังเกตการปฏิบัติจริง ณ จุดให้บริการและสำนักงาน
การทดสอบระบบที่จำเป็น ทดสอบการจำกัดสิทธิการเข้าถึงตามหน้าที่ การยืนยันตัวตนหลายชั้น การคุ้มครองข้อมูลระหว่างส่งและขณะเก็บ การบันทึกและตรวจทานการใช้งานระบบ และการกู้คืนข้อมูลจากการสำรอง

4.3 การรายงานผล

จัดทำรายงานผลการตรวจสอบภายใน 15 วันทำการ นับแต่เสร็จสิ้นการตรวจ โดยสรุปขอบเขต วิธีการ ข้อค้นพบ ระดับความเสี่ยง ข้อเสนอแนะ และแผนการติดตาม
เสนอรายงานต่อผู้บริหารและคณะทำงาน เพื่อพิจารณาอนุมัติแผนการแก้ไข

4.4 การติดตามผลและการแก้ไข

มอบหมายผู้รับผิดชอบดำเนินการแก้ไขภายในระยะเวลาที่กำหนด (โดยหลักไม่เกิน 30–60 วัน ตามความเสี่ยงของประเด็น)
คณะทำงานดำเนินการติดตามความก้าวหน้า และทดสอบซ้ำก่อนปิดประเด็น
กรณีมีเหตุที่กระทบต่อข้อมูลส่วนบุคคล ให้ดำเนินการแจ้งหน่วยงานที่เกี่ยวข้องภายในระยะเวลาตามกฎหมาย และแจ้งเจ้าของข้อมูลเมื่อมีความเสี่ยงสูง พร้อมแนวทางเยียวยา

5) ความถี่ในการตรวจสอบ

การตรวจสอบภายใน ดำเนินการอย่างน้อยปีละ 1 ครั้ง
การตรวจเฉพาะจุด ดำเนินการเป็นระยะตามความจำเป็น โดยไม่ต้องแจ้งล่วงหน้า
การทบทวนบันทึกรายการการประมวลผล ดำเนินการอย่างน้อยปีละครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ

6) เอกสารและหลักฐานที่ต้องจัดทำ

แผนการตรวจสอบประจำปี
รายการตรวจและหลักฐานประกอบ
รายงานผลการตรวจสอบ ลงนามโดยผู้จัดทำและผู้อนุมัติ
แผนการแก้ไขและป้องกันปัญหา ระบุระยะเวลาและผู้รับผิดชอบ
หลักฐานการติดตามผล เช่น รายงานสรุป ภาพถ่าย หรือผลการทดสอบซ้ำ
รายงานสรุปประจำปีสำหรับผู้บริหารและการประเมินผลตามตัวชี้วัด

7) การบูรณาการกับการบริหารความเสี่ยง

ให้นำผลการตรวจสอบไปใช้ประกอบการประเมินความเสี่ยงด้านข้อมูลส่วนบุคคลและการบริหารความเสี่ยงของหน่วยงาน เพื่อกำหนดมาตรการควบคุมเพิ่มเติม ทั้งเชิงองค์กร เชิงเทคนิค และเชิงกายภาพ ให้เหมาะสมกับภารกิจของศูนย์สุขภาพจิตที่ 7

ภาคผนวก

ก) แบบตรวจ (สรุปย่อ)

หมวด	รายการตรวจหลัก
ธรรมาภิบาล	คำสั่งแต่งตั้งคณะทำงาน แผนตรวจประจำปี รายงานต่อผู้บริหาร
เอกสารสำคัญ	นโยบาย/ประกาศที่เผยแพร่ บันทึกรายการการประมวลผล ความยินยอมและการถอนความยินยอม
สิทธิของเจ้าของข้อมูล	ช่องทางรับคำขอ ขั้นตอนยืนยันตัวตน ระยะเวลาตอบคำขอ บันทึกการดำเนินการ
ความมั่นคงปลอดภัย	จำกัดสิทธิการเข้าถึงตามหน้าที่ การยืนยันตัวตนหลายชั้น การคุ้มครองข้อมูล การสำรองและการกู้คืน การบันทึกและตรวจทานการใช้งานระบบ
ผู้รับจ้างประมวลผล	ข้อตกลงด้านการคุ้มครองข้อมูล หน้าที่การแจ้งเหตุ การลบหรือคืนข้อมูลเมื่อสิ้นสุดสัญญา
เหตุที่กระทบต่อข้อมูล	แนวทางรายงานต่อหน่วยงานที่เกี่ยวข้องภายในระยะเวลาที่กฎหมายกำหนด และการแจ้งเจ้าของข้อมูลเมื่อมีความเสี่ยงสูง
คลาวด์/ข้ามพรมแดน	ที่ตั้งศูนย์ข้อมูล กลไกทางกฎหมายที่รองรับ เงื่อนไขในสัญญา
การฝึกอบรมและการสื่อสาร	รายชื่อผู้เข้าร่วม เอกสารประกอบ แบบทดสอบก่อน–หลัง และสรุปผล

ข) ตัวชี้วัดที่เหมาะสม

ร้อยละของคำขอใช้สิทธิที่ดำเนินการแล้วเสร็จภายในระยะเวลาที่กำหนด
ร้อยละของบัญชีผู้ใช้ที่ทบทวนและปรับปรุงสิทธิการเข้าถึงแล้ว
ร้อยละของระบบที่ทดสอบการกู้คืนข้อมูลแล้วเสร็จตามแผน
ระยะเวลาเฉลี่ยจากวันที่พบเหตุจนถึงวันที่ส่งรายงานต่อหน่วยงานที่เกี่ยวข้อง
ร้อยละของบุคลากรที่ผ่านการอบรมตามแผนประจำปี

หมายเหตุ : แนวทางและแบบฟอร์มนี้จัดทำขึ้นโดยอ้างอิงตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และประกาศ/แนวปฏิบัติที่เกี่ยวข้องของหน่วยงานรัฐ และระบบงานของศูนย์สุขภาพจิตที่ 7 ทั้งนี้ ให้ถือปฏิบัติตามกฎหมายและข้อบังคับที่มีผลบังคับใช้ในขณะนั้นเป็นสำคัญ

กลับขึ้นด้านบน