แนวทางการกำกับดูแลและตรวจสอบ (PDPA Audit & Compliance)

1) หลักการและวัตถุประสงค์

การกำกับดูแลและตรวจสอบ เป็นกระบวนการเชิงระบบที่หน่วยงานต้องดำเนินการอย่างต่อเนื่อง เพื่อให้การเก็บ ใช้ เปิดเผย เก็บรักษา ทำลายข้อมูลส่วนบุคคล และการจัดการเหตุที่อาจกระทบต่อข้อมูล เป็นไปตามกฎหมายและมาตรการของรัฐ ตลอดจนเป็นไปตามนโยบายของศูนย์สุขภาพจิตที่ 7 อย่างเคร่งครัด

วัตถุประสงค์

  1. ประเมินความสอดคล้องของการปฏิบัติงานกับกฎหมายและนโยบายของหน่วยงาน
  2. ระบุความเสี่ยงและข้อบกพร่อง เพื่อนำไปสู่การปรับปรุงแก้ไขอย่างเป็นรูปธรรม
  3. จัดทำหลักฐานเชิงประจักษ์เพื่อการติดตามประเมินผลและการรายงานตามเกณฑ์ที่เกี่ยวข้อง
  4. ส่งเสริมวัฒนธรรมการปฏิบัติตามกฎหมายและความรับผิดชอบของบุคลากรทุกระดับ

2) ขอบเขตการตรวจสอบ

  • การเก็บและการใช้ข้อมูลส่วนบุคคล
  • การเปิดเผยหรือการโอนข้อมูล ทั้งภายในประเทศและข้ามพรมแดน
  • การเก็บรักษาและการทำลายข้อมูลตามระยะเวลาที่กำหนด
  • การจัดการเหตุที่กระทบต่อข้อมูลส่วนบุคคล รวมถึงการแจ้งหน่วยงานที่เกี่ยวข้องภายในระยะเวลาที่กำหนดโดยกฎหมาย
  • การรับคำขอใช้สิทธิของเจ้าของข้อมูลและการตอบสนองภายในกำหนดเวลา

3) ผู้รับผิดชอบ

  • ผู้อำนวยการศูนย์สุขภาพจิตที่ 7 กำกับ อำนวยการ และอนุมัติแผนการตรวจสอบ
  • คณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล/ผู้ประสานงาน วางแผน ดำเนินการ ตรวจติดตาม และจัดทำรายงาน
  • หัวหน้ากลุ่มงาน/ผู้รับผิดชอบกระบวนการ จัดเตรียมข้อมูลและเอกสารที่เกี่ยวข้อง และดำเนินการแก้ไขตามข้อเสนอแนะ
  • ผู้ตรวจสอบภายใน ปฏิบัติหน้าที่ตรวจสอบอย่างอิสระตามแผนที่ได้รับอนุมัติ

4) แนวทางดำเนินงาน

4.1 การวางแผนการตรวจสอบ

  • จัดทำแผนการตรวจสอบประจำปี ระบุขอบเขต วิธีการ ระยะเวลา และผู้รับผิดชอบอย่างชัดเจน
  • กำหนดรายการตรวจที่ครอบคลุมประเด็นสำคัญ ได้แก่ นโยบายและประกาศที่เผยแพร่ การบันทึกรายการการประมวลผล การขอและจัดเก็บความยินยอม การจำกัดสิทธิการเข้าถึงตามหน้าที่ การคุ้มครองข้อมูลระหว่างส่งและขณะเก็บ การสำรองและการกู้คืนข้อมูล การรับและตอบคำขอใช้สิทธิของเจ้าของข้อมูล ข้อตกลงกับผู้รับจ้างประมวลผล และการทำลายข้อมูลเมื่อหมดความจำเป็น

4.2 การดำเนินการตรวจสอบ

  • การตรวจเอกสาร ตรวจความครบถ้วนและความทันสมัยของบันทึกรายการการประมวลผล ข้อตกลงกับผู้รับจ้าง แบบฟอร์ม หนังสือเวียน รายงานการอบรม รายงานการสำรองข้อมูล และบันทึกเหตุที่เกิดขึ้น
  • การสัมภาษณ์และสังเกตการณ์ สอบถามผู้ปฏิบัติงานในบทบาทที่เกี่ยวข้อง และสังเกตการปฏิบัติจริง ณ จุดให้บริการและสำนักงาน
  • การทดสอบระบบที่จำเป็น ทดสอบการจำกัดสิทธิการเข้าถึงตามหน้าที่ การยืนยันตัวตนหลายชั้น การคุ้มครองข้อมูลระหว่างส่งและขณะเก็บ การบันทึกและตรวจทานการใช้งานระบบ และการกู้คืนข้อมูลจากการสำรอง

4.3 การรายงานผล

  • จัดทำรายงานผลการตรวจสอบภายใน 15 วันทำการ นับแต่เสร็จสิ้นการตรวจ โดยสรุปขอบเขต วิธีการ ข้อค้นพบ ระดับความเสี่ยง ข้อเสนอแนะ และแผนการติดตาม
  • เสนอรายงานต่อผู้บริหารและคณะทำงาน เพื่อพิจารณาอนุมัติแผนการแก้ไข

4.4 การติดตามผลและการแก้ไข

  • มอบหมายผู้รับผิดชอบดำเนินการแก้ไขภายในระยะเวลาที่กำหนด (โดยหลักไม่เกิน 30–60 วัน ตามความเสี่ยงของประเด็น)
  • คณะทำงานดำเนินการติดตามความก้าวหน้า และทดสอบซ้ำก่อนปิดประเด็น
  • กรณีมีเหตุที่กระทบต่อข้อมูลส่วนบุคคล ให้ดำเนินการแจ้งหน่วยงานที่เกี่ยวข้องภายในระยะเวลาตามกฎหมาย และแจ้งเจ้าของข้อมูลเมื่อมีความเสี่ยงสูง พร้อมแนวทางเยียวยา

5) ความถี่ในการตรวจสอบ

  • การตรวจสอบภายใน ดำเนินการอย่างน้อยปีละ 1 ครั้ง
  • การตรวจเฉพาะจุด ดำเนินการเป็นระยะตามความจำเป็น โดยไม่ต้องแจ้งล่วงหน้า
  • การทบทวนบันทึกรายการการประมวลผล ดำเนินการอย่างน้อยปีละครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ

6) เอกสารและหลักฐานที่ต้องจัดทำ

  1. แผนการตรวจสอบประจำปี
  2. รายการตรวจและหลักฐานประกอบ
  3. รายงานผลการตรวจสอบ ลงนามโดยผู้จัดทำและผู้อนุมัติ
  4. แผนการแก้ไขและป้องกันปัญหา ระบุระยะเวลาและผู้รับผิดชอบ
  5. หลักฐานการติดตามผล เช่น รายงานสรุป ภาพถ่าย หรือผลการทดสอบซ้ำ
  6. รายงานสรุปประจำปีสำหรับผู้บริหารและการประเมินผลตามตัวชี้วัด

7) การบูรณาการกับการบริหารความเสี่ยง

ให้นำผลการตรวจสอบไปใช้ประกอบการประเมินความเสี่ยงด้านข้อมูลส่วนบุคคลและการบริหารความเสี่ยงของหน่วยงาน เพื่อกำหนดมาตรการควบคุมเพิ่มเติม ทั้งเชิงองค์กร เชิงเทคนิค และเชิงกายภาพ ให้เหมาะสมกับภารกิจของศูนย์สุขภาพจิตที่ 7

ภาคผนวก

ก) แบบตรวจ (สรุปย่อ)
หมวดรายการตรวจหลัก
ธรรมาภิบาลคำสั่งแต่งตั้งคณะทำงาน แผนตรวจประจำปี รายงานต่อผู้บริหาร
เอกสารสำคัญนโยบาย/ประกาศที่เผยแพร่ บันทึกรายการการประมวลผล ความยินยอมและการถอนความยินยอม
สิทธิของเจ้าของข้อมูลช่องทางรับคำขอ ขั้นตอนยืนยันตัวตน ระยะเวลาตอบคำขอ บันทึกการดำเนินการ
ความมั่นคงปลอดภัยจำกัดสิทธิการเข้าถึงตามหน้าที่ การยืนยันตัวตนหลายชั้น การคุ้มครองข้อมูล การสำรองและการกู้คืน การบันทึกและตรวจทานการใช้งานระบบ
ผู้รับจ้างประมวลผลข้อตกลงด้านการคุ้มครองข้อมูล หน้าที่การแจ้งเหตุ การลบหรือคืนข้อมูลเมื่อสิ้นสุดสัญญา
เหตุที่กระทบต่อข้อมูลแนวทางรายงานต่อหน่วยงานที่เกี่ยวข้องภายในระยะเวลาที่กฎหมายกำหนด และการแจ้งเจ้าของข้อมูลเมื่อมีความเสี่ยงสูง
คลาวด์/ข้ามพรมแดนที่ตั้งศูนย์ข้อมูล กลไกทางกฎหมายที่รองรับ เงื่อนไขในสัญญา
การฝึกอบรมและการสื่อสารรายชื่อผู้เข้าร่วม เอกสารประกอบ แบบทดสอบก่อน–หลัง และสรุปผล
ข) ตัวชี้วัดที่เหมาะสม
  • ร้อยละของคำขอใช้สิทธิที่ดำเนินการแล้วเสร็จภายในระยะเวลาที่กำหนด
  • ร้อยละของบัญชีผู้ใช้ที่ทบทวนและปรับปรุงสิทธิการเข้าถึงแล้ว
  • ร้อยละของระบบที่ทดสอบการกู้คืนข้อมูลแล้วเสร็จตามแผน
  • ระยะเวลาเฉลี่ยจากวันที่พบเหตุจนถึงวันที่ส่งรายงานต่อหน่วยงานที่เกี่ยวข้อง
  • ร้อยละของบุคลากรที่ผ่านการอบรมตามแผนประจำปี

หมายเหตุ : แนวทางและแบบฟอร์มนี้จัดทำขึ้นโดยอ้างอิงตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และประกาศ/แนวปฏิบัติที่เกี่ยวข้องของหน่วยงานรัฐ และระบบงานของศูนย์สุขภาพจิตที่ 7 ทั้งนี้ ให้ถือปฏิบัติตามกฎหมายและข้อบังคับที่มีผลบังคับใช้ในขณะนั้นเป็นสำคัญ

กลับขึ้นด้านบน