Q&A
QData Protection Officer (DPO) ควรมีควรรู้และเชี่ยวชาญด้านไหน
Aเพื่อสามารถให้คำแนะนำแก่ผู้ประมวลผล ผู้ควบคุมข้อมูล และบุคคลต่างๆในองค์กร DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ควรมีความรู้และความเชี่ยวชาญ
> ด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล
> พื้นฐานเกี่ยวกับด้านไอทีในการป้องกันข้อมูล เกี่ยวกับการปฏิบัติตาม พ.ร.บ.  
Q&A
Qจำเป็นต้องใช้ระบบไอทีเพื่อสนับสนุนการทำ PDPA หรือไม่
Aตามกฎหมายไม่ได้ระบุว่าองค์กรจะต้องใช้ระบบไอทีเสมอไป แต่ก่อนตัดสินใจที่จะวางระบบไอที องค์กรควร
  1. ทำความเข้าใจกระบวนการและบริบทของตัวเอง
  2. มีการจัดทำ Data Flow เพื่อดูและแยกแยะข้อมูลในกระบวนการว่าข้อมูลไหนคือสิ่งจำเป็นจริง ๆ เช่น ถ้าข้อมูลมีปริมาณที่ไม่เยอะมาก และไม่ได้มีการ Active ตลอดเวลา ข้อมูลในส่วนนี้ก็สามารถทำทะเบียนแบบสมุดหรือคู่มือได้
Q&A
Qทำอย่างไรจึงจะให้ผู้บริหารเห็นความสำคัญในการทำ PDPA ในองค์กร
Aควรชี้แจงให้ผู้บริหารทราบและเข้าใจถึงความสำคัญของการจัดการข้อมูลส่วนบุคคลว่า ถ้าหากคนในองค์กรไม่มีความรู้ความเข้าใจที่ถูกต้อง และไม่ปฏิบัติตามกฎหมายอย่างเคร่งครัดอาจจะนำไปสู่บทลงโทษที่รุนแรงทำให้องค์กรเกิดความเสียหายได้

Q&A
Qการทำ PDPA ขององค์กร ใครมีส่วนเกี่ยวข้องบ้าง
Aผู้มีส่วนเกี่ยวข้องประกอบด้วย
1. ผู้ที่รับข้อมูลลูกค้า
2. ผู้ที่เก็บข้อมูลพนักงาน (HR)
3. ผู้ที่ใช้ข้อมูลลูกค้าและพนักงาน
4. ผู้ที่ส่งต่อหรือเผยแพร่ข้อมูลลูกค้า ผู้มาติดต่อ และพนักงาน
Q&A
Qการทำ PDPA เชิงรุก คืออะไร
Aการจัดการข้อมูลอย่างเป็นระบบ ที่มีการปรับปรุงอย่างต่อเนื่อง ไม่ใช่ตั้งรับและแก้ไขเมื่อมีปัญหาเกิดขึ้นโดยมีการนำ Framework มาปรับใช้ ซึ่งจะทำให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลขององค์กร สามารถบูรณาการอย่างมีประสิทธิภาพ ป้องกันการรั่วไหลและถูกละเมิดในข้อมูลส่วนบุคคล อีกทั้งข้อมูลจะได้รับการดูแลอย่างมั่นคงปลอดภัย
Q&A
Qแนวทางหรือ Framework ใด ที่จะเหมาะสมและสอดคล้องกับ PDPA
Aองค์กรควรใช้ Framework เช่น ISO27701 หรือ NIST Privacy Framework ในการดำเนินการและประเมินประสิทธิผลตาม Framework ซึ่งควรมี 3rd party เข้ามาตรวจสอบ

Q&A
Qองค์กรจะมั่นใจได้อย่างไรว่าพร้อมสำหรับ PDPA
Aองค์กรควรตรวจสอบเบื้องต้นด้วยการ Check Up ระบบการจัดการข้อมูลในปัจจุบันขององค์กร โดยเน้นจุดที่มีการใช้ข้อมูลส่วนบุคคลของลูกค้าและพนักงาน เพื่อประเมินความเสี่ยงและช่องโหว่ให้เกิดการละเมิด แล้วจึงกำหนดมาตรการป้องกันความเสี่ยงและการจัดการกับผลกระทบที่อาจเกิดขึ้นหากเกิดการล่วงละเมิด