หลักสูตรฝึกอบรม การปฏิบัติหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล - หลักสูตร 3 วัน

หลักการและแนวความคิด
      ตามร่างเอกสารฯ แนวคิดการจัดทำหลักสูตรของคณะผู้ร่างหลักสูตร เป็นการจัดทำหลักสูตรการปฏิบัติหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลผู้ประมวลผลข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ลูกจ้าง ผู้รับจ้าง จึงจำเป็นที่จะต้องมีการกำหนดผลลัพธ์การเรียนรู้ให้ชัดเจนเสียก่อน จึงจะทำการออกแบบหลักสูตรได้ การออกแบบหลักสูตรในลักษณะนี้เรียกว่า Backward Design

วัตถุประสงค์
หลักสูตรการปฏิบัติหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ลูกจ้าง ผู้รับจ้าง มีสาระสำคัญอยู่ 3 ส่วน ได้แก่
     - Module 1) ความรู้เบื้องต้นกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล 
     - Module 2) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง
     - Module 3) แนวปฏิบัติเพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง (Compliance with PDPA and Regulation)
ดังนั้น หลักสูตรนี้ตามมาตรฐานฯที่สำนักงานคณะกรรมการกำหนด จึงประกอบด้วยเนื้อหาวิชาจำนวน 3 Module ระยะเวลาในการอบรมทั้งสิ้นขั้นต่ำ 18 ชั่วโมง

รายละเอียดเนื้อหาของหลักสูตร (Course Outline
Module 1 ความรู้เบื้องต้นกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคล ระยะเวลา 3 ชั่วโมง 
   - สังเขปวิชา : หลักสิทธิมนุษยชนสากล สิทธิในความเป็นส่วนตัวที่ได้รับการรับรองในรัฐธรรมนูญกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ได้แก่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540
Module 2 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ กฎหมายลำดับรองที่เกี่ยวข้อง ระยะเวลา 12 ชั่วโมง 
   - สังเขปวิชา : หลักการคุ้มครองข้อมูลส่วนบุคคล ขอบเขตการบังคับใช้ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หลักการประมวลผลข้อมูลส่วนบุคคล ฐานทางกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล หน้าที่ในการแจ้งวัตถุประสงค์ (Information Provision Obligations) สิทธิของเจ้าของข้อมูลส่วนบุคคลความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลหลักความรับผิดชอบ (Accountability Requirements) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การประเมินความเสี่ยงและผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล (Data Processing Impact Assessment: DPIA) บันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคล และบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ ประมวลผลข้อมูลส่วนบุคคลหตุการละเมิดข้อมูลส่วนบุคคล การประเมินความเสี่ยงและการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคล การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ หน่วยงานกำกับดูแลและบังคับใช้กฎหมาย ความรับผิดและบทกำหนดโทษมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565การทำข้อมูลแฝง (Pseudonymization) และการเข้ารหัสข้อมูลส่วนบุคคล (Encryption)มาตรการในการรักษาความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งานของระบบและบริการ มาตรการในการกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลในกรณีเกิดเหตุการละเมิดข้อมูลส่วนบุคคล (ทางกายภาพและทางเทคนิค) กฎหมายลำดับรองที่เกี่ยวข้องกรณีศึกษา
Module 3 แนวปฏิบัติเพื่อให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562และกฎหมายลำดับรอง ที่เกี่ยวข้อง(Compliance with PDPA and Regulation) ระยะเวลา 3 ชั่วโมง 
   - สังเขปวิชา : การคุ้มครองข้อมูลส่วนบุคคลกับความสัมพันธ์ทางด้านแรงงาน การคุ้มครองข้อมูลส่วนบุคคลกับมาตรการรักษาความปลอดภัย (Surveillance Activities) การคุ้มครองข้อมูลส่วนบุคคลกับการทำการตลาดแบบตรง (Direct Marketing)และการคุ้มครองข้อมูลส่วนบุคคลกับเทคโนโลยี ทางด้านอินเตอร์เน็ตและการติดต่อสื่อสาร( Inter net Technologies and Communications) เช่น Cloud computing, web cookies, search engine marketing(SEM), social media platforms, Artificial Intelligence (AI)

กฎหมายรองที่สำคัญ ที่สำนักงานคณะกรรมการฯกำหนดให้ผู้สอน ออกแบบหลักสูตรการสอนให้สอดคล้อง

เครื่องมือกรอบความรับผิดชอบ  Accountability framework (ICO อังกฤษ)  หรือเครื่องมือ PDPC Regulator (PDPC ประเทศไทย) เพื่อช่วยให้ผู้อบรมตรวจเช็คระบบ PDPA ในหน่วยงานและพนักงานทุกคนในหน่วยงานปฏิบัติสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยกรอบความรับผิดชอบมี 10 ประเด็นสามารถแบ่งการอบรมเป็น 10 หัวเรื่องดังนี้ 

ตัวอย่าง Work Shop/เครื่องมือช่วยในการนำไปปฏิบัติ PDPA / กรณีศึกษา
ผู้อบรมจะได้รับเครื่องมือช่วยในการอบรม 1 Account (ไม่มีวันหมดอายุ) มูลค่า 999 บาท ถ้าต้องการAccount เพิ่มมีค่าใช้จ่ายเพิ่ม 999 บาท-9,999 บาท/ 1Account  ขึ้นกับ Function การทำงาน การอบรมไม่จำเป็นต้องใช้ PDPA Check ใช้เพียงเอกสารประกอบการอบรมก็เพียงพอ แต่ PDPA Checkเป็นเครื่องมือช่วยบริหารจัดการ ทำPDPA ในหน่วยงาน


เนื่องจากระบบ PDPA Check มีการพัฒนาอย่างต่อเนื่องมากว่า 3 ปี ตามการเปลี่ยนแปลงเพิ่มขึ้นและตีความของกฎหมาย PDPA และเทคโนโลยีทางผู้สอนขอสงวนสิทธิหากภาพที่ปรากฏและ Function ในรูป PDPA Check ณ วันที่ผู้อบรมใช้งานอาจไม่ตรงกับที่ปรากฏในเอกสารนี้


ผู้สอนได้ออกแบบระบบ PDPA Check เพื่อช่วยในการเรียนรู้ PDPA เพื่อนำไปสู่การใช้งานได้อย่างเต็มประสิทธิภาพ โดยมี 12 Function การทำงาน  คือ


มี Check List ที่ทำใน Excel fileเพื่อเช็คด้วยตนเองของผู้อบรมว่าส่วนไหนของหน่วยงานมีจุดที่ต้องปรับปรุง


ผู้สอนได้มีกรณีตัวอย่างที่เกิดขึ้น เกี่ยวกับการใช้งาน PDPA

รูปแบบการฝึกอบรม
1. Guided lecture ผู้สอนนำเสนอข้อมูลโดยการบรรยายและผู้เรียนจดบันทึก
2. Students Reflection ผู้เรียนได้สะท้อนความคิด อาจจะให้ผู้เรียนสรุปสิ่งที่ได้เรียนรู้ในคาบเรียนเสนอแนะเกี่ยวกับการเรียนถามคำถามที่ยังสงสัย หรือ ให้ผู้เรียนค้นคว้าเพิ่มเติมเกี่ยวกับสิ่งที่เรียน
3. Think – Pair – Share ผู้สอนเป็นผู้ตั้งคำถามให้ผู้เรียนคิดหาคำตอบด้วยตนเองหลังจากนั้นจึงอภิปรายแลกเปลี่ยนความคิดเห็นกับเพื่อนในชั้นเรียน
4. Problem/Project-based Learning หรือ Case Study ใช้เรื่องจริงหรือ ปัญหาที่เกิดขึ้นจริงใน หรือที่เกิดขึ้นกับบุคคลใด บุคคลหนึ่งเพื่อให้ผู้เรียนคิด วิเคราะห์และหาทางแก้ปัญหาที่เกิดขึ้นโดยการบูรณาการความรู้ที่ได้เรียนกับประสบการณ์ตรงหรือสืบเสาะหาความรู้เพิ่มเติม
- วิธีการวัดประเมินผล :  Pre-test/Post-test โดยใช้ข้อสอบปรนัย (Objective examination) แบบข้อสอบเลือกตอบ (Multiple choice question) โดยเลือกคำตอบที่ถูกที่สุดเพียงคำตอบเดียว (One best answer)