SUCCESS - เส้นทางสู่ความสำเร็จ?

S ee your goal.
U nderstand the obstacles.
C reate a positive mental picture.
C ear your mind of self doubt.
E mbrace the challenge.
S tay on track.

and then 

S how the world you can do it!

PDPA Self Check - ทำครบหรือยัง?

PDPA Self Check

1. แต่งตั้งเจ้าหน้าที่คุัมครองข้อมูลส่วนบุคคล (Data Protection Officer | DPO)
2. จัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity | RoPA)
3. การแจ้งคำประกาศการประมวลผลข้อมูลส่วนบุคคล (Privacy Notice)
4. จัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูล (Security Measure)
5. จัดให้มีกระบวนการในการขอใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล
6. จัดให้มีกระบวนการในการตอบสนองต่ออุบัติการณ์และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach Response)
7. การจัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (Data Sharing Agreement | DSA) หรือข้อตกลงในการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement | DPA) --- ถ้ามี
8. การจัดทำหลักเกณฑ์/ข้อตกลง การคุ้มครองข้อมูลส่วนบุคคล กรณีที่ส่งหรือโอนข้อมูลไปต่างประเทศ (Cross Border Transfer)

---

ประกาศที่เกี่ยวข้อง:

• พระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงาน ที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

Update ประกาศอื่น ๆ > กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม MDES

CCTV Notice -- ตัวอย่างการจัดทำประกาศความเป็นส่วนตัวสำหรับกล้องโทรทัศน์วงจรปิด

 

ข้อกำหนดตามมาตรฐาน ISO 22301:2019

ความมุ่งมั่นของฝ่ายบริหาร (Leadership & Commitment)

มาตรฐานได ๆ ไม่อาจสำเร็จ หรือบรรลุวัตถุประสงค์ได้หากไม่ได้รับการสนับสนุนจากผู้บริหาร ถ้าแค่ไม่ค่อยเห็นความสำคัญอาจจะยังไม่เป็นปัญหาเท่าใหร่ แต่หากผู้บริหารไม่รู้ว่าการดำเนินการเหล่านี้มีไว้ทำไม หรือมีประโยชน์อะไร อันนี้ตัวใครตัวมันแล้ว !!!

ความมุ่งมั่นของฝ่ายบริหาร (Management commitment) เป็นส่วนหนึ่งของข้อกำหนดในมาตรฐานระบบการจัดการ ในที่นี้จะยกมาในส่วนของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศฯ ตามมาตรฐาน ISO27001 ซึ่งได้วางข้อกำหนดเกี่ยวกับความมุ่งมั่นของผู้บริหารไว้ดังนี้

ซึ่งประเด็นสำคัญของมันก็คือ ผู้บริหารระดับสูงต้องแสดงให้เห็นถึงความมุ่งมั่นในการพัฒนาและนำระบบการจัดการด้านความมั่นคงปลอดภัยสารสนเทศฯ ไปปฏิบัติใช้ รวมถึงการปรับปรุงประสิทธิภาพของระบบอย่างต่อเนื่อง

คำถามที่ตามมาคือ ในฐานะผู้บริหารจะแสดงความมุ่งมั่นอย่างไร ในฐานะผู้ตรวจปัญหาสำคัญคือจะทำอย่างไรในการเก้บรวบรวมหลักฐานที่แสดงให้เห็นถึงความมุ่งมั่นในการดำเนินการของผู้บริหาร

ผู้บริหารเซ็นต์ลงนามในประกาศนโยบาย และระเบียบปฎิบัติ เพียงพอใหมที่จะบอกว่าผู้บริหารมีความมุ่งมั่น? เอาตามตรงมันอาจจะยังไม่เพียงพอ แต่อย่างไรก็ตามก็สามารถมององค์ประกอบอื่นๆ  เพิ่มเติมได้ ถึงแม้บางอย่างในข้อกำหนดจะให้เก็บเป็นหลักฐานเชิงประจักษ์ยากหน่อยก็เหอะ

แล้วเราจะดูอะไรได้ หรือผู้บริหารจะทำยังไงให้เห็นถึงความมุ่งมั่นหละ สิ่งเหล่านี้อาจจะพอเป็นแนวทางได้นะครับ เช่น ผู้บริหารเข้าร่วมประชุมทบทวนระบบ กำกับดูแล และติดตามผลการดำเนินการ ให้ข้อเสนอแนะ และตัดสินใจในประเด้นที่เกี่ยวข้อง (เช่น แผนการจัดการความเสี่ยง, ประสิทธิผลการดำเนินการ เป็นต้น), ผู้บริหารจัดสรรทรัพยากรที่จำเป็นให้, ผู้บริหารสนับสนุนให้มีการฝึกอบรมพนักงาน เป็นต้น

การตัดสินใจเข้าสู่ขั้นตอนการสื่อสารภาวะวิกฤต

ปัญหาหนึ่งที่มักจะเจอในการจัดทำแผนความต่อเนื่องทางธุรกิจ คือการกำหนดจุดตัดสินใจในการเข้าสู่ภาวะวิกฤต แต่เจอการตัดสินใจเข้าสู่ขั้นตอนการสื่อสารภาวะวิกฤต ในคู่มือการสื่อสารประชาสัมพันธ์ในภาวะวิกฤตของกรุงเทพมหานคร แล้วชอบเป็นพิเศษเลยเอามาปรับนิดหน่อย (นิดเดียวจริงๆ) คิดว่ามีหลายหน่วยงานที่สามารถนำไปประยุกต์ใช้ต่อได้

---

คู่มือการสื่อสารประชาสัมพันธ์ในภาวะวิกฤตของกรุงเทพมหานคร (2023). Retrieved 18 September 2023, from https://pr-bangkok.com/insite/03-PRFLIP/mobile/index.html#p=1

ตัวอย่างกระบวนการขึ้นทะเบียนจัดทำเอกสารคุณภาพใหม่

 

ทำไมองค์กรถึงต้องมีระบบการจัดการที่ดี ???

ขอเริ่มต้นด้วยประโยคนี้ 

"ระบบที่ดี ไม่ว่ายูสเซอร์จะเป็นใคร จากใหน อะไร ยังไง ผลลัพธ์ที่ได้ก็เหมือนกัน ถึงจะไม่เหมือนเป๊ะแต่ก็อยู่ในระดับที่คาดหวังได้ แต่เมื่อใหร่ที่ระบบแย่ ... ผลของงานนั้นก็ขึ้นอยู่กับพนักงานแต่ละคน แล้วควรแก้ที่ใคร คน หรือระบบ ???"

ระบบการจัดการที่ดีไม่เพียงแค่ช่วยให้องค์กรสามารถดำเนินงานได้อย่างมีประสิทธิภาพ แต่ยังเป็นปัจจัยสำคัญในการสร้างความยั่งยืนและความสามารถในการแข่งขันในตลาดอีกด้วย การมีระบบการจัดการที่ดีส่งผลต่อองค์กรใหนหลาย ๆ ด้าน ดังนี้

1. ประสิทธิภาพและประสิทธิผลในการดำเนินงาน

ระบบการจัดการที่ดีช่วยให้องค์กรสามารถดำเนินงานได้อย่างเป็นระบบและมีประสิทธิภาพ เมื่อระบบได้รับการออกแบบและจัดการอย่างเหมาะสม พนักงานสามารถปฏิบัติงานได้อย่างมีประสิทธิผล ลดข้อผิดพลาด และใช้ทรัพยากรที่มีอยู่อย่างเต็มที่ ส่งผลให้องค์กรสามารถบรรลุเป้าหมายและวัตถุประสงค์ได้อย่างรวดเร็วและแม่นยำ

ตัวอย่างการพิจารณาประเด็นความต้องการและความคาดหวังของผู้มีส่วนได้เสีย --- ISO45001

 

Risk Management - การจัดการความเสี่ยง ?

 

มีโอกาสได้เข้ามาดูงานการจัดการความเสี่ยงที่ศิริราช 2 อาทิตย์ ได้ดูสไลด์การจัดการความเสี่ยงของ รศ.พญ.ปรียานุช แย้มวงษ์ แล้วชอบนิยามของการจัดการความเสี่ยงของอาจารย์เป็นพิเศษ เราอาจหานิยามที่มีความเป็นวิชาการได้ แต่ของอาจารย์คือให้ความหมายที่ทำให้มองเห็นภาพ เวลาต้องอธิบาย เลยขอยืมอาจารย์ไปใช้อยู่บ่อย ๆ 

 "การจัดการความเสี่ยง เป็นศาสตร์และศิลป์ในการสร้างความสมดุล

เพื่อให้การใช้ชีวิต และการดำเนินงานขององค์กรเป็นไปตามทางสายกลาง

ที่เป็นไปอย่างไม่ประมาท แต่ก็ไม่ทุกขเกินเหตุ”

“ ชีวิตคนเรามีความเสี่ยงตลอดเวลา 

ตั้งแต่เรื่องเล็ก ๆ จนถึงเสี่ยงต่อชีวิต

ถ้าเรากลัวไปหมดซะทุกอย่าง

ก็จะไม่กล้าทำอะไรใหม่ ๆ เลย 

แต่ถ้าไม่สนใจอะไรเลย ก็ประมาท ”

รศ.พญ.ปรียานุช แย้มวงษ์ 

คณะแพทยศาสตร์ศิริราชพยาบาล