การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล

ความสำคัญ

ในยุคที่เทคโนโลยีเข้ามามีบทบาทในการดำรงชีวิตของผู้คน ไม่ว่าจะเป็นการซื้อสินค้าและบริการ รวมไปถึงการติดต่อสื่อสารและดำเนินธุรกิจ การเข้าถึงข้อมูลและความเป็นส่วนตัวของข้อมูลจึงเป็นเรื่องที่ต้องให้ความสำคัญ เนื่องด้วยปัจจุบันภัยคุกคามทางไซเบอร์ มีรูปแบบที่หลากหลาย และส่งผลทำให้เกิดความเสียหายทั้งกับตัวบุคคล รวมไปถึงการดำเนินธุรกิจ ดังนั้นธุรกิจควรมีการเตรียมความพร้อมเพื่อป้องกันไม่ให้เกิดภัยในรูปแบบดังกล่าว

“Digital Driven Organization” เป็นหนึ่งในความมุ่งมั่นของ OR ที่ต้องการนำเทคโนโลยีและดิจิทัลแพลตฟอร์มมาใช้ในการดำเนินธุรกิจ สนับสนุนการให้บริการรูปแบบ Online to Offline (O2O) เพื่อให้ธุรกิจเกิดความคล่องตัว ตอบสนองต่อผู้บริโภคและลูกค้าได้อย่างทันท่วงที และตระหนักถึงความเสี่ยงของการดำเนินธุรกิจที่อาจเกี่ยวเนื่องกับความปลอดภัยและความเป็นส่วนตัวของข้อมูล (Data Security and Privacy) อาทิ Malware Phishing ซึ่งจัดเป็นหนึ่งในภัยคุกคามทางไซเบอร์ (Cyber Threat) ก่อให้เกิดความเสียหายทั้งในการดำเนินธุรกิจรวมถึงชื่อเสียงของบริษัท ดังนั้นจึงต้องมีการจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูลอย่างมีประสิทธิภาพ เพื่อตอบสนองความคาดหวังและส่งมอบคุณค่าผ่านสินค้าและบริการที่ได้คุณภาพ ปลอดภัย กับลูกค้าและผู้มีส่วนได้ส่วนเสียทุกกลุ่ม

เป้าหมาย ปี 2567

แนวทางการบริหารจัดการ (Management Approach)

นโยบายด้านการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล

OR ให้ความสำคัญและมุ่งเน้นการบริหารจัดการงานให้สอดคล้องกับกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act หรือ PDPA) และกฎหมายลำดับรองที่ออกภายใต้พระราชบัญญัติฯ ดังกล่าว จึงได้จัดทำนโยบายคุ้มครองข้อมูล (Data Privacy Policy) ของบริษัทฯ ซึ่งรวมโครงสร้าง นโยบาย และแนวปฏิบัติภายในของบริษัทฯ อันเกี่ยวเนื่องกับการคุ้มครองข้อมูลส่วนบุคคล โดยมีผลบังคับใช้กับการดำเนินงานทั้งหมดของบริษัท และพนักงาน ผู้ปฏิบัติงาน ลูกค้า (Customers) ผู้ค้า (Suppliers) ผู้รับจ้าง ตัวแทน ผู้แทน กรรมการ ผู้บริหาร ตลอดจนบุคคลากรประเภทอื่นๆ ของบริษัทฯ

รวมถึง OR มีการออกประกาศและนโยบายความเป็นส่วนตัว จำแนกตามการใช้ประโยชน์ของกลุ่มผู้มีส่วนได้เสีย เป็น 4 กลุ่ม ดังนี้

ประกาศความเป็นส่วนตัวสำหรับพันธมิตรทางธุรกิจ (Business Partner Privacy Notice)
ประกาศความเป็นส่วนตัวสำหรับลูกค้า (Customer Privacy Notice)
ประกาศความเป็นส่วนตัวสำหรับงานบริหารทรัพยากรบุคคล (Human Resources Privacy Notice)
นโยบายความเป็นส่วนตัวสำหรับงานบริหารจัดการภายใน (Internal Privacy Policy) ซึ่งประกอบด้วยนโยบายย่อยต่าง ๆ ที่เกี่ยวข้องกับการดำเนินกิจการภายใน OR

โดยประกาศและนโยบายความเป็นส่วนตัวทั้งหมดนี้ OR ได้จัดการวางแผนและออกแบบกระบวนการแจ้งประกาศและนโยบายความเป็นส่วนตัว และการขอความยินยอมให้เหมาะสมกับผู้มีส่วนได้เสียแต่ละกลุ่ม

[ศึกษานโยบายความเป็นส่วนตัวของ OR เพิ่มเติม กรุณาคลิก https://pdpa.pttor.com/]

จากประกาศและนโยบายความเป็นส่วนตัวดังกล่าว OR ได้แสดงออกถึงความมุ่งมั่นที่จะจัดการข้อมูลส่วนบุคคล โดยครอบคลุมมุมมองความเป็นส่วนตัวของบุคคลทั้งภายในและภายนอก ซึ่งรวมไปถึงธุรกิจที่ OR เป็นเจ้าของ/ดำเนินการเอง คู่ค้า และลูกค้าในธุรกิจต่าง ๆ เพื่อรักษาความปลอดภัย รวมถึงความเป็นส่วนตัวของข้อมูลส่วนบุคคล และสร้างความมั่นใจว่า OR จะมีเก็บรวบรวม ใช้ และเปิดเผยข้อมูลอย่างเหมาะสม ตรงตามวัตถุประสงค์ที่ได้มีการแจ้งไว้กับเจ้าของข้อมูลส่วนบุคคล

อีกทั้ง OR ยังกำหนดนโยบายเทคโนโลยีสารสนเทศ นโยบายเกี่ยวกับการรักษาความลับ การเก็บรักษาข้อมูล และการใช้ข้อมูลภายใน และนโยบายการกำกับดูแลข้อมูลองค์กร (OR Enterprise Data Governance Policy) เพื่อให้มีการกำหนดทิศทางการบริหารจัดการและสนับสนุนงานด้านความมั่นคงปลอดภัยสารสนเทศและการสื่อสารสอดคล้องกับความต้องการทางธุรกิจและกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้องเพื่อให้พนักงานทุกคนรับทราบ รวมถึงมีคู่มือมาตรฐานดิจิทัลสำหรับ OR ซึ่ง ประกอบด้วยเนื้อหาที่ครอบคลุมเกี่ยวกับการดำเนินงานทางด้านดิจิทัล อาทิ การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ (Information Security Incident Management) ประเด็นด้านความปลอดภัยสารสนเทศของการบริหารจัดการเพื่อสร้างความต่อเนื่องทางธุรกิจ (Information Security Aspects of Business Contiguity : BCM) เป็นต้น

นอกเหนือจากนั้น OR มีการจัดทำนโยบายและกระบวนการอื่น ๆ เพิ่มเติม อาทิ กระบวนการ Consent Management มาตรฐานว่าด้วยการเก็บรักษาข้อมูล (Data Retention Standard) ขั้นตอนปฏิบัติงานสำหรับการบริหารจัดการกรณีเกิดเหตุละเมิดข้อมูลส่วนบุคคล (Incident Response Procedure) คู่มือ และนโยบาย เรื่อง การรายงานและการรับมือสถานการณ์เกี่ยวกับความมั่นคงปลอดภัยของข้อมูล (Data Security Incident Reporting and Response Policy) บันทึกรายการการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities) และ แนวปฏิบัติสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและตัวแทน (Guidance on Data Protection Officer Representative) เป็นต้น

การกำกับดูแลการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล

Level	Committee/Department	Responsibility
Board Level	Enterprise Risk Management Committee	– กำกับดูแลกลยุทธ์ทางด้านความมั่นคงปลอดภัยไซเบอร์และเทคโนโลยีสารสนเทศ (Cybersecurity and Information Technology Security Strategy) – ติดตามรายงานการดำเนินงาน IT Infrastructure Instability และ Cyber Security Roadmap เป็นประจำทุกไตรมาส
Executive Level and Management Level	OR Digital & Data Governance Steering Committee (DGSC) OR Management Committee (ORMC)	– กำหนดนโยบาย เป้าหมายและกลยุทธ์ด้านเทคโนโลยีสารสนเทศและดิจิทัล เพื่อให้สอดคล้องกับนโยบาย แผนกลยุทธ์ธุรกิจของ OR และกลุ่มบริษัท – ดูแลรับผิดชอบในการกำหนดและบังคับใช้นโยบายและมาตรฐานการปฏิบัติงานด้านเทคโนโลยีสารสนเทศตามกรอบความปลอดภัยทางไซเบอร์ – กำกับดูแลและควบคุมการจัดการความเสี่ยงด้านสารสนเทศและเทคโนโลยีดิจิทัล เพื่อกำกับดูแลและจัดการความเสี่ยง – แก้ไขปัญหาที่เกี่ยวข้องกับการบริหารจัดการข้อมูล รวมถึงประเด็นที่เกี่ยวข้องกับความปลอดภัยทางด้านไซเบอร์ (Cybersecurity) – รายงานความก้าวหน้าในการดำเนินการต่อคณะกรรมการจัดการของบริษัท (ORMC) เป็นระยะเวลาตามความเหมาะสม แต่ต้องไม่น้อยกว่า 1 ครั้งใน ทุก ๆ ช่วงเวลา 6 เดือน – ติดตามการบริหารจัดการเกี่ยวกับวิกฤตการณ์การละเมิดข้อมูลส่วนบุคคล และสนับสนุนการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
Operation Level	ส่วนธรรมาภิบาลข้อมูล Data Protection Officer (DPO)	– ให้คำปรึกษาการดำเนินการให้เป็นไปตามแนวทางการคุ้มครองข้อมูลส่วนบุคคล – ให้การสนับสนุนการปฏิบัติงานและดำเนินการให้สอดคล้องกับนโยบายและมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล – ตรวจสอบและรายงานการปฏิบัติตามนโยบายและมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล – ปรับรุงกระบวนการกำกับดูแลข้อมูลอย่างต่อเนื่อง

โครงสร้างการกำกับดูแลเป็นไปตามหลัก Three Lines Model เพื่อเอื้ออำนวยต่อการทำหน้าที่ควบคุม กำกับ และตรวจสอบและมีการแบ่งแยกหน้าที่ (Segregation of Duty) อย่างชัดเจน ดำเนินการโดยคณะกรรมการบริหารความเสี่ยงขององค์กร (Enterprise Risk Management Committee: ERMC) ซึ่งหน้าที่กำกับดูแลกลยุทธความปลอดภัยทางไซเบอร์และเทคโนโลยีสารสนเทศ โดย OR ได้แต่งตั้งคณะกรรมการดิจิทัลและธรรมาภิบาลข้อมูลโออาร์ (OR Digital & Data Governance Steering Committee: DGSC) ซึ่งมีรองประธานเจ้าหน้าที่บริหารด้านกลยุทธ์องค์กรและความยั่งยืน เป็นประธานกรรมการ และรองประธานเจ้าหน้าที่บริหารด้านธุรกิจดิจิทัลและโซลูชัน เป็นรองประธานกรรมการ และดำรงตำแหน่งผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer: CISO) รับผิดชอบในการกำกับดูแลการดำเนินงานด้านเทคโนโลยีสารสนเทศและดิจิทัลให้สอดคล้องกับนโยบาย ทิศทาง และกลยุทธ์การดำเนินธุรกิจของ OR และบริษัทในกลุ่ม OR

OR มีขั้นตอนการรายงานที่ชัดเจนซึ่งพนักงานสามารถปฏิบัติตามได้ในกรณีที่มีข้อสังเกตอันน่าสงสัยเกิดขึ้น OR จัดให้มีบุคคลหรือหน่วยงานเพื่อทำหน้าที่รับแจ้งเหตุการณ์ (Point of Contact) ซึ่งเกี่ยวกับความปลอดภัยและความเป็นส่วนตัวของข้อมูล และความปลอดภัยทางไซเบอร์ มีวิธีการแจ้งและรายงานเหตุการณ์ที่ชัดเจน ซึ่งพนักงานสามารถรับทราบและปฏิบัติตามวิธีการแจ้งเหตุดังกล่าวในกรณีที่พบเหตุการณ์อันก่อให้เกิดความเสี่ยงต่อหน่วยงานผู้รับผิดชอบโดยไม่ชักช้าเมื่อเกิดเหตุดังกล่าว ซึ่งผู้รับผิดชอบมีหน้าที่รายงานเหตุการณ์ต่อคณะผู้บริหารหรือผู้เกี่ยวข้องให้ทราบและดำเนินการวิเคราะห์และบริหารจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ภายใต้กรอบการบริหารความเสี่ยงขององค์กร

ทั้งนี้ OR ดำเนินการตรวจสอบภายใน (Internal Audit) ในปี 2567 ซึ่งเป็นการตรวจสอบการปฏิบัติตามนโยบายความเป็นส่วนตัวของบริษัท เพื่อให้มั่นใจว่าเป็นไปตามนโยบาย มาตรฐาน และระเบียบวิธีปฏิบัติที่เกี่ยวข้องกับการกำกับดูแลข้อมูล โดยการตรวจสอบการดำเนินการจะทำการสุ่มตรวจโดยพิจารณาจากกลุ่มของเจ้าของข้อมูลส่วนบุคคลและกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลจำนวนมาก

การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล และความปลอดภัยทางไซเบอร์ เป็นส่วนหนึ่งของการประเมินผลการปฏิบัติงานของพนักงานและการดำเนินการทางวินัย (Disciplinary Actions) OR ประเมินผลการปฏิบัติงานของพนักงานด้านความปลอดภัยทางไซเบอร์โดยใช้การทดสอบอีเมลฟิชชิ่งสำหรับพนักงานทุกคน เพื่อให้เป็นไปตามนโยบายของบริษัท บุคลากรของ OR ต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัยของเทคโนโลยีสารสนเทศ นโยบายการจัดการความปลอดภัยของเทคโนโลยีสารสนเทศ และนโยบายความปลอดภัยทางไซเบอร์ นอกจากนี้ OR ยังจัดอบรมพนักงานใหม่เพื่อให้เข้าใจถึงนโยบาย กฎ ระเบียบ ข้อบังคับ แนวปฏิบัติ และมาตรฐาน ในการรักษาความปลอดภัยข้อมูลของบริษัท ซึ่งรวมถึง ความเข้าใจเกี่ยวกับกฎหมายที่เกี่ยวข้องกับพระราชบัญญัติว่าด้วยอาชญากรรมคอมพิวเตอร์ การคุกคาม บทลงโทษ และผลที่ตามมาของการใช้ในทางที่ผิดและการใช้ระบบสารสนเทศอย่างไม่เหมาะสม

การประเมินและระบุความเสี่ยง

OR มีการระบุตัวบ่งชี้ความเสี่ยงองค์กร (Key Risk Indicator: KRI) ประเด็น IT Infrastructure Instability และ Cybersecurity เพื่อการติดตามผลการดำเนินงานที่เป็นระบบและมั่นใจว่าธุรกิจมีการเฝ้าระวังและติดตามความเสี่ยงที่อาจเกิดจากประเด็นความปลอดภัยและความเป็นส่วนตัวของข้อมูล

หน่วยงานทุกหน่วยงานมีการจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities) เพื่อเป็นฐานข้อมูลของแต่ละหน่วยงานและองค์กรที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคล ทำให้ง่ายต่อการติดตาม และตรวจสอบความถูกต้องว่าเป็นไปตามวัตถุประสงค์การใช้งาน รวมถึงสอดคล้องกับฐานกฎหมายที่เกี่ยวข้อง ซึ่งการจัดทำ Records of Processing Activities เป็นการจัดทำตามข้อกำหนดของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล และไซเบอร์

ความมุ่งมั่นในการดำเนินธุรกิจภายใต้แนวคิด Digital Driven Organization ทำให้ OR มีการเตรียมความพร้อมสำหรับความเสี่ยงที่เกิดจากความปลอดภัยและความเป็นส่วนตัวของข้อมูล และภัยทางด้านไซเบอร์ สอดคล้องตามมาตรฐาน ISO/IEC 27001:2013 และกรอบความมั่นคงปลอดภัยด้านไซเบอร์ที่ถูกพัฒนาโดย สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของประเทศสหรัฐอเมริกา (National Institute of Standards and Technology: NIST) โดยเริ่มตั้งแต่การติดตั้ง Perimeter Protection หรือการติดตั้ง Firewall ซึ่งถือว่าเป็นตัวกรอง Traffic ก่อนที่จะเข้าสู่ระบบคอมพิวเตอร์หรือเครือข่ายภายในองค์กร โดยระบบ Firewall เป็นแกนและเป็นหลักปฏิบัติ (Practice) ที่ป้องกันธุรกิจจากอันตรายจากการเข้าถึงที่ไม่ได้รับอนุญาตทางอินเตอร์เน็ตหรือจากโจมตีจากต้นทางอื่น ๆ ได้ รวมถึงมีการเข้ารหัสข้อมูล (Data Encryption) การแปลงข้อมูล ให้เป็นรหัสลับ ซึ่งจะช่วยป้องกันข้อมูลให้ปลอดภัยสำหรับ Hardware และ Software

อีกทั้งยังมีการบริหารจัดการและตรวจสอบสิทธิ์และการควบคุมการอนุญาตสำหรับการเข้าถึงข้อมูล (Authentication and Authorization) เพื่อจำกัดการเข้าถึงข้อมูล มีการจัดการ Account Username Password ที่แยกออกจากกัน เพื่อให้สามารถติดตามหาสาเหตุจาก Log ได้ ในกรณีที่ข้อมูลถูกละเมิด และใช้ Two-Factor Authentication ในการเข้าถึงข้อมูลสำคัญ มีการใช้งานระบบ DLP หรือ Data Loss Prevention Solution สำหรับการติดตามและวิเคราะห์การนำข้อมูลสำคัญส่งออกนอกองค์กรให้สอดคล้องกับนโยบายการจัดลำดับชั้นความลับของข้อมูลหรือ Data Classification มีการรักษาความปลอดภัยในระดับ Enterprise โดยใช้ Antivirus Software ที่เป็นมาตรฐานสากลเพื่อให้มั่นใจว่าสามารถรักษาความปลอดภัยของข้อมูลให้กับอุปกรณ์ต่าง ๆ

การรักษาความปลอดภัยและความเป็นส่วนตัวของลูกค้าของ OR มีนโยบายที่ชัดเจน ซึ่งสอดคล้องเป็นไปตามกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act หรือ PDPA) โดย OR มีการจัดตั้งคุกกี้เพื่อจัดเก็บหรือติดตามข้อมูลเกี่ยวกับการใช้เว็บไซต์ และนำมาใช้ในการวิเคราะห์กระแสความนิยม (Trend) การบริหารจัดการเว็บไซต์ ติดตามการเคลื่อนไหวการใช้เว็บไซต์ของผู้ใช้บริการ หรือเพื่อจดจำการตั้งค่าของผู้ใช้บริการ ทั้งนี้ OR มีการติดตามและบันทึกการใช้ข้อมูลของลูกค้า ให้เป็นไปตามนโยบายความเป็นส่วนตัวของลูกค้าที่ประกาศใช้

เพื่อให้มั่นใจว่าระบบสารสนเทศที่พัฒนาขึ้นหรือปรับปรุงได้รับการทดสอบความปลอดภัย OR จึงมีขั้นตอนสำหรับทดสอบความปลอดภัย (Security Testing) และมีหน่วยงานภายนอกเข้ามาทดสอบระบบความปลอดภัยสารสนเทศ โดยจำลองสถานการณ์การเจาะระบบเครือข่ายคอมพิวเตอร์ของ OR (Third-party Vulnerability Analysis) เช่น Penetration Testing เป็นต้น อีกทั้ง OR ยังมีการพัฒนาแผนปฏิบัติการในกรณีฉุกเฉิน (Disaster Recovery Plan) สำหรับเป็นแนวทางให้ผู้บริหารและผู้ที่เกี่ยวข้องทราบถึงบทบาท หน้าที่และวิธีการปฏิบัติงานหากเกิดภัยทางด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูล OR มีการบริหารความต่อเนื่องธุรกิจในด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security of Business Continuity Management) โดยมีการตรวจสอบมาตรการเพื่อความต่อเนื่องในความมั่นคงปลอดภัยสารสนเทศที่จัดตั้งขึ้นและผลการดำเนินการของมาตรการนั้นเป็นประจำอย่างน้อยปีละ 2 ครั้ง

การตรวจประเมินการดำเนินการที่สอดคล้องกับนโยบายความปลอดภัยของข้อมูลส่วนบุคคลและการตรวจประเมินความปลอดภัยทางไซเบอร์ของ OR ได้รับการตรวจสอบโดยหน่วยงานภายในองค์กร (Internal Audit) รวมถึงหน่วยงานภายนอก (Third-party Audit) ที่มีการตรวจประเมินและรับรองระบบฯ ของ OR เป็นประจำทุกปี ซึ่งสอดคล้องกับมาตรฐาน ISO 27001:2013 โดยผลการดำเนินงานที่เกี่ยวข้องกับความปลอดภัยและความเป็นส่วนตัวของข้อมูล (Data Security and Privacy) รวมถึงภัยทางด้านไซเบอร์ (Cybersecurity) จะถูกบันทึกและ ถูกนำมาวิเคราะห์ถึงความเป็นไปได้ในการปรับปรุงแก้ไขระบบการจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูล รวมไปถึงระบุเป็นแผนงานสำหรับการดำเนินธุรกิจในอนาคต

ภาพรวมของการตรวจประเมินภายในของปี 2567 สำหรับการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคลนั้น อ้างอิงตามหลักการและข้อกำหนดของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายลำดับรอง และประกาศอื่นๆ ที่เกี่ยวข้อง สำหรับหัวข้อการตรวจประเมิน แบ่งออกเป็น 2 ส่วน ได้แก่ การเตรียมความพร้อมด้านกฎหมาย (Legal) และการเตรียมความพร้อมในด้านบุคลากรและกระบวนการ (Organization) โดยหัวข้อหลักของการตรวจประเมิน ได้แก่

1. การขอความยินยอม
2. การประมวลผลข้อมูลส่วนบุคคล (การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล)
3. การแจ้งรายละเอียดและวัตถุประสงค์ต่อเจ้าของข้อมูล
4. ฐานที่ใช้ในการประมวลผลข้อมูล
5. การส่งหรือโอนข้อมูลไปต่างประเทศ
6. สิทธิของเจ้าของข้อมูลส่วนบุคคล
7. หน้าที่ผู้ควบคุมข้อมูล
8. การบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
9. หน้าที่ผู้ประมวลผลข้อมูล / สัญญาในการประมวลผลข้อมูลส่วนบุคคล

จากการตรวจประเมิน พบว่า OR มีการเตรียมความพร้อมเพื่อให้องค์กร บุคลากร และกระบวนการที่เกี่ยวข้องสามารถดำเนินธุรกิจได้อย่างเหมาะสมตามข้อกำหนดของกฎหมาย โดย OR มีแผนการตรวจประเมินภายในเป็นประจำทุกปี เพื่อให้มั่นใจว่าองค์สามารถดำเนินธุรกิจสอดคล้องตามกฎหมายที่เกี่ยวข้องดังกล่าว

ช่องทางการร้องเรียน

(GRI 418-1)

OR มีช่องทางร้องเรียนในกรณีที่เกิดเหตุรั่วไหลของข้อมูลส่วนตัว ผ่านช่องทาง 1365 Contact Center หรือช่องทางอีเมล์ dpo@pttor.com โดยข้อร้องเรียนดังกล่าว จะถูกรายงานให้กับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer, DPO) และหน่วยงานที่เกี่ยวข้องรับทราบ ข้อมูลจะถูกวิเคราะห์พร้อมจัดให้มีแผนการแก้ไขและเยียวยาเหตุการณ์ที่เกิดขึ้นอย่างเหมาะสม ตามที่ระบุไว้ใน Incident Response Procedure

ในกรณีที่ OR พบการรั่วไหลของข้อมูลส่วนบุคคล OR ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งรวมถึงกรณีที่การละเมิดดังกล่าวมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูล ส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า และแจ้งเหตุแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ผลการดำเนินงาน

ภาพรวมของการบริหารจัดการด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูลในปี 2567 OR ไม่พบเหตุการณ์ที่ละเมิดความเป็นส่วนตัวของลูกค้าและการสูญเสียข้อมูลลูกค้า

ในปี 2567 OR ไม่มีการร้องเรียนการละเมิดความเป็นส่วนตัวของลูกค้าและการสูญเสียข้อมูลลูกค้าเพื่อวัตถุประสงค์อื่น ๆ (Secondary Purpose)

การจัดอบรมและให้ความรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล และความปลอดภัยทางไซเบอร์

เพื่อสร้างความตระหนักรับรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Security) และเสริมสร้างความรู้ด้านความปลอดภัยทางไซเบอร์ (Cybersecurity) ในบริษัท OR มีการจัดอบรมให้กับพนักงานในหลักสูตรที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ ตลอดจนหลักสูตรที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้พนักงานมีความรู้ความเข้าใจด้านการคุ้มครองข้อมูลส่วนบุคคล และรู้เท่าทันภัยทางไซเบอร์ เพื่อให้ OR ก้าวเข้าสู่องค์กรที่ขับเคลื่อนด้วยแนวคิด Digital Driven Organization อย่างมีประสิทธิภาพ ทั้งการจัดทำในรูปแบบ PR E-learning และรูปแบบ onsite ประกอบด้วยการดำเนินการ ดังนี้

การอบรมและทดสอบ Cyber Security Awareness Training ของพนักงาน OR เป็นการอบรมรูปแบบ E-learning เพื่อให้เข้าใจในการให้บริการด้านดิจิตอล นโยบาย ระเบียบ ข้อบังคับ แนวปฏิบัติ มาตรฐาน ด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของบริษัท ตลอดจนกฎหมายที่เกี่ยวข้องกับ พ.ร.บ. การกระทำผิดเกี่ยวกับคอมพิวเตอร์ ภัยคุกคาม และผลลัพธ์อันเกิดจากการใช้งานระบบสารสนเทศที่ไม่ถูกต้องและไม่เหมาะสม โดยเนื้อหา ประกอบไปด้วย อาทิ Password Security, Phishing E-mail, Malware Protection, Internet Using Security เป็นต้น ซึ่งจะมาในรูปแบบ Animation เพื่อเพิ่มความน่าสนใจให้กับเนื้อหา นอกจากนี้ยังมีหลักสูตร Refreshment ซึ่งเป็นการจัดสอบด้าน Cyber Security Awareness ที่จัดขึ้นสำหรับพนักงานที่ทำงานมาแล้วระยะหนึ่ง เพื่อทำการทบทวนและสร้างความตระหนักถึงนโยบายบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยในปี 2567 มีผู้ผ่านการทดสอบ คิดเป็น 99.04% และยังมอบหมายให้พนักงาน Contractor ที่ปฏิบัติงานให้กับ OR มีการทดสอบความรู้ ความตระหนักด้าน Cyber Security Awareness โดยในปี 2567 มีผู้ผ่านการทดสอบ คิดเป็น 100%

การทดสอบ Cyber Security Awareness สำหรับพนักงาน OR ประจำปี 2567

2.การอบรมการคุ้มครองข้อมูลส่วนบุคคลให้กับพนักงาน การอบรมคุ้มครองข้อมูลส่วนบุคคลให้กับพนักงานในปี 2567 ประกอบด้วย หลักสูตร PDPA For Digital Marketing ในรูปแบบ Onsite ซึ่งเป็นหลักสูตรสำหรับพนักงานจากหน่วยงานที่มีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้า โดยมีวัตถุประสงค์ให้พนักงานมีความรู้ความเข้าใจในการจัดเก็บข้อมูลส่วนบุคคลตามกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act หรือ PDPA) รวมทั้งวิธีการปฏิบัติที่เหมาะสมกรณีการเกิดเหตุการรั่วไหลของข้อมูลส่วนบุคคล ตลอดจนมีการทำ workshop ให้พนักงานได้ทดลองวางกลยุทธ์การตลาดที่เน้นการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้พนักงานนำความรู้ไปปฏิบัติงานให้สอดคล้องกับกฎหมาย นอกจากนี้ ยังมีการอบรมหลักสูตร พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล focus ROPA process ในรูปแบบ onsite ซึ่งเป็นหลักสูตรให้ความรู้พนักงานที่มีการจัดเก็บข้อมูลส่วนบุคคล ให้มีการจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities) ตามกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act หรือ PDPA)