eGP
egp งานประมูลภาครัฐ
จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างโครงการเพิ่มประสิทธิภาพและขยายการให้บริการแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GPPC Government Platform for PDPA Compliance)

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 68029027350
฿79,938,800 ปีงบ 2568 ประกาศ 4 ก.พ. 2568 กรุงเทพมหานคร
รายละเอียดการจ้าง

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) มีความประสงค์จะดำเนินการโครงการเพิ่มประสิทธิภาพและขยายการให้บริการแพลตฟอร์มภาครัฐ (GPPC) เพื่อรองรับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โครงการนี้มีวัตถุประสงค์หลักเพื่อ (1) สนับสนุนการปฏิบัติตามกฎหมาย PDPA ของหน่วยงานภาครัฐ (2) ปรับปรุงและเพิ่มประสิทธิภาพของแพลตฟอร์ม GPPC (3) เพิ่มประสิทธิภาพความมั่นคงปลอดภัยของสารสนเทศและการสำรองข้อมูล และ (4) จัดกิจกรรมเพื่อเสริมสร้างความรู้ความเข้าใจด้าน PDPA ให้แก่กลุ่มเป้าหมาย ผู้เสนอราคาจะต้องดำเนินการหลายส่วน ได้แก่ การจัดกิจกรรมสนับสนุน, ปรับปรุงระบบ ROPA (Record of Processing Activities), จัดทำระบบ Legal Document Generator, จัดกิจกรรมฝึกอบรม, จัดหาระบบบริหารจัดการกุญแจแบบรวมศูนย์ (Key Management Server) และทำการบำรุงรักษาแพลตฟอร์มเป็นเวลา 1 ปีหลังส่งมอบงาน

English summary

The project aims to enhance and expand the capabilities of the GPPC government platform to comply with the Personal Data Protection Act (PDPA), including improving data security and backup systems. The bidder will be responsible for providing support activities, platform improvements, educational activities, and a Key Management Server. They will also be required to maintain the platform after delivery.

สถานที่ดำเนินการ
คำสำคัญ
PDPAGPPCแพลตฟอร์มภาครัฐกฎหมายคุ้มครองข้อมูลส่วนบุคคลKey Management ServerROPALegal Document Generatorการบำรุงรักษาแพลตฟอร์มการฝึกอบรม PDPAความมั่นคงปลอดภัยข้อมูล

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

  • ดำเนินการจัดทำกิจกรรมสนับสนุนการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้กับหน่วยงานภาครัฐเป้าหมาย ให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
  • ปรับปรุงเพิ่มประสิทธิภาพสำหรับแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GPPC)
  • ปรับปรุงเพิ่มประสิทธิภาพการรักษาความมั่นคงปลอดภัยสารสนเทศ และการสำรองข้อมูลสำหรับแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GPPC) ให้มีประสิทธิภาพมากยิ่งขึ้น สร้างความน่าเชื่อถือให้กับหน่วยงานภาครัฐที่ใช้บริการ
  • จัดกิจกรรมเพื่อเสริมสร้างองค์ความรู้ความเข้าใจด้านการคุ้มครองข้อมูลส่วนบุคคล และการใช้แพลตฟอร์มภาครัฐฯ ให้กับกลุ่มเป้าหมาย

ขอบเขตของงาน

  1. กิจกรรมสนับสนุนการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล:
    • ให้คำปรึกษาและแนะนำหน่วยงานภาครัฐ
    • ปรับปรุงระบบสารสนเทศ เช่น Cookie Consent
    • ตรวจสอบ ROP Report เพื่อสร้างประวัติการจัดทำบันทึกรายการกิจกรรม
    • จัดทำเอกสารทางกฎหมายพื้นฐาน ได้แก่ Privacy Policy, Consent Form, Privacy Notice, Data Processing Agreement
    • แก้ไขและปรับปรุงแบบฟอร์มเอกสารทางกฎหมาย
    • ตรวจสอบและให้คำแนะนำเกี่ยวกับเอกสารทางกฎหมาย
  2. การฝึกอบรม: จัดกิจกรรมการฝึกอบรมเชิงปฏิบัติการด้านการคุ้มครองข้อมูลส่วนบุคคล ไม่น้อยกว่า 5 ครั้ง
  3. ระบบบริหารจัดการกุญแจแบบรวมศูนย์ (Key Management Server): จัดหาระบบ Key Management Server จำนวน 1 ระบบ
  4. การบำรุงรักษาแพลตฟอร์ม GPPC:
    • ระบบจัดการการขอความยินยอม (Consent Management)
    • ระบบบริหารบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities Management)
    • ระบบจัดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification)
    • ระบบจัดการคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request Management)
    • ระบบงานสำหรับ สคส.
    • ตรวจสอบและบำรุงรักษาแพลตฟอร์มทุก 2 เดือน
    • ประสานงานทางด้านเทคนิคกับ GDCC
    • จัดทำแผนการทำ PM
    • ให้บริการติดตั้ง Bug-fix (Patch) และ Upgrade Version
    • สำรองข้อมูลของแพลตฟอร์มรายสัปดาห์และรายเดือน
    • จัดทำรายงานสรุปการบำรุงรักษา

สิ่งที่ต้องส่งมอบ

  • กิจกรรมสนับสนุนการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
  • ระบบ ROPA Template Generator
  • ระบบ Legal Document Generator
  • กิจกรรมฝึกอบรม
  • Key Management Server
  • แพลตฟอร์ม GPPC ที่ได้รับการบำรุงรักษา
  • รายงานการบำรุงรักษา
  • เอกสาร, ไฟล์อิเล็กทรอนิกส์, USB Flash Drive

ระยะเวลาดำเนินการ

ระยะเวลา 210 วัน นับถัดจากวันลงนามในสัญญา

คุณสมบัติผู้เสนอราคา

  • ประสบการณ์:
    • ไม่มีโครงการที่ดำเนินการสำเร็จ/โครงการที่อ้างอิง
    • ประสบการณ์ด้านการพัฒนาระบบสารสนเทศ หรือพัฒนาระบบงานคอมพิวเตอร์ภายในประเทศ หรือด้านพัฒนาแพลตฟอร์มการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วน โดยมีมูลค่าโครงการไม่น้อยกว่า 35,000,000 บาท (สามสิบห้าล้านบาทถ้วน) ต่อสัญญา
    • มีโครงการที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
    • ประสบการณ์ด้านการพัฒนาแพลตฟอร์มการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลมาแล้ว ไม่น้อยกว่า 1 โครงการ
    • ประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ
    • มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล
  • Technical Capabilities:
    • ระบบหน้าบ้านและระบบหลังบ้านต้องสามารถทำงานบน Virtual Machines ของ GDCC
    • ระบบจัดเตรียมบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลฉบับมาตรฐาน (ROPA Template Generator)
    • ระบบจัดการเอกสารทางกฎหมาย (Legal Document Generator)
    • ระบบบริหารจัดการกุญแจแบบรวมศูนย์ (Key Management Server)
  • Personnel:
    • หัวหน้าโครงการ (Project Manager)
    • ผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศ (ด้าน Data Management/ Platform Development)
    • ผู้ชำนาญการด้านกฎหมาย (PDPA-Compliance/Law)
    • ผู้ชำนาญการด้านการพัฒนา ระบบ (Programmer & Developer)
    • ผู้ชำนาญการด้านการทดสอบ ระบบ (Tester)
    • กลุ่มบุคลากรสนับสนุนด้านดิจิทัล
    • บุคลากรสนับสนุน (เจ้าหน้าที่ภาคสนามสำหรับบันทึกข้อมูล)
    • เลขานุการโครงการ

เกณฑ์การพิจารณา

  • ราคา (20%): พิจารณาจากราคาที่เสนอ
  • เทคนิค (80%): พิจารณาจาก
    • ผลงาน/ประสบการณ์
    • จำนวนโครงการที่ดำเนินการสำเร็จ
    • มูลค่าผลงาน
    • ประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ
    • ประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ข้อกำหนดทางเทคนิค

  • ระบบหน้าบ้านและระบบหลังบ้านของแพลตฟอร์มต้องสามารถทำงานบน Virtual Machines ของ GDCC
  • ระบบ ROPA Template Generator:
    • ระบบต้องแสดงรายการในกิจกรรมมาตรฐาน
    • ระบบต้องสามารถสร้างรายการกิจกรรมพร้อมรายละเอียดที่เกี่ยวข้อง
    • ระบบต้องสามารถสร้างงาน (Task) สำหรับการตรวจสอบรายการกิจกรรม
    • ระบบต้องกำหนดให้รายการกิจกรรมอยู่ในสถานะ “รอการตรวจสอบ”
    • ระบบต้องจัดเก็บและแสดงข้อมูลที่จำเป็นสำหรับการติดตามสถานะของงาน
    • ระบบต้องสามารถแจ้งเตือนเมื่อมีการมอบหมายงานตรวจสอบ
    • ระบบต้องอนุญาตให้ผู้ใช้งานสามารถแก้ไขปรับปรุงข้อมูล
    • ระบบต้องเก็บประวัติการแก้ไข
    • ระบบต้องสามารถนำเข้าและส่งออกข้อมูลในรูปแบบ File Excel
  • ระบบจัดการเอกสารทางกฎหมาย (Legal Document Generator)
  • Key Management Server:
    • เป็นโซลูชั่นที่ออกแบบมาเพื่อเป็น Key Management Server โดยเฉพาะ
    • สามารถทำงานเป็น KMIP Server
    • ผ่านการรับรองและอยู่ในรายชื่อ Certified KMS สำหรับ VMWare
    • สามารถทำงานร่วมกับแพลตฟอร์ม Hypervisor: ESXi, AWS, Azure, KVM, GCP ได้
    • สามารถ Deploy ในรูปแบบ ISO, OVA, AMI, VHD ได้
    • สามารถทำ High Availability ในรูปแบบActive-Active ได้
    • สามารถบริหารจัดการการตั้งค่าผ่าน Web UI และ REST API
    • รองรับการสร้าง Vaults แบบ Decentralized architecture
    • มีระบบบริหารจัดการแบบรวมศูนย์
    • มีระบบบริหารแบบรวมศูนย์สามารถสร้าง Key compliance template
    • มีระบบบริหารแบบรวมศูนย์สามารถสร้าง Key inventory
    • มีAudit log สามารถ Export ในรูปแบบ CSV และ XML
    • สามารถทำงานร่วมกับระบบ Hardware Security Module ของ สคส.
    • ผู้เสนอราคาต้องได้รับแต่งตั้งให้เป็นตัวแทนจำหน่าย

เงื่อนไขสัญญา

  • การชำระเงิน: แบ่งจ่าย 3 งวดงาน
    • งวดที่ 1: 20% เมื่อดำเนินการตามข้อ 4.1 แล้วเสร็จ
    • งวดที่ 2: 40% เมื่อดำเนินการตามข้อ 4.2, 4.3 และ ข้อ 4.9 (ครั้งที่ 1) แล้วเสร็จ
    • งวดที่ 3: 40% เมื่อดำเนินการตามข้อ 4.4, 4.5, 4.6, 4, 2, 4, 8 และ 4.9 (ครั้งที่ 2,3,4) แล้วเสร็จ
  • ค่าปรับ: ปรับ 0.10% ของวงเงินค่าจ้างต่อวัน กรณีส่งมอบงานล่าช้า
  • การขอขยายเวลา: ผู้รับจ้างสามารถขอขยายเวลาได้ในกรณีเหตุสุดวิสัย
  • ข้อตกลงห้ามเปิดเผยข้อมูล: ข้อมูลทั้งหมดถือเป็นความลับของ สคส.

คำถามที่พบบ่อย (FAQ)

  • ถาม: ระบบ ROPA คืออะไร?
    ตอบ: ระบบ ROPA (Record of Processing Activities) คือระบบที่ใช้บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลและ สคส. สามารถตรวจสอบได้
  • ถาม: Key Management Server คืออะไร?
    ตอบ: Key Management Server คือระบบที่ใช้ในการบริหารจัดการกุญแจเข้ารหัสข้อมูล เพื่อความปลอดภัยของข้อมูล
  • ถาม: การบำรุงรักษาแพลตฟอร์ม GPPC มีอะไรบ้าง?
    ตอบ: การบำรุงรักษาครอบคลุมระบบ Consent Management, ROPA Management, Data Breach Notification, Data Subject Access Request Management และการประสานงานกับ GDCC
  • ถาม: จะมีการฝึกอบรมด้านใดบ้างในโครงการนี้?
    ตอบ: จะมีการฝึกอบรมเชิงปฏิบัติการด้านการคุ้มครองข้อมูลส่วนบุคคล
  • ถาม: เอกสารทางกฎหมายที่ผู้รับจ้างต้องจัดทำมีอะไรบ้าง?
    ตอบ: เอกสารทางกฎหมาย ได้แก่ Privacy Policy, Consent Form, Privacy Notice, Data Processing Agreement
  • ถาม: ระบบ Legal Document Generator คืออะไร?
    ตอบ: ระบบ Legal Document Generator คือระบบที่ช่วยในการจัดทำเอกสารทางกฎหมายที่เกี่ยวข้องกับ PDPA
  • ถาม: ระยะเวลาการบำรุงรักษาแพลตฟอร์มหลังส่งมอบงานนานเท่าไหร่?
    ตอบ: ระยะเวลาการบำรุงรักษาหลังส่งมอบงาน 1 ปี
  • ถาม: การประเมินผลงานของผู้เสนอราคาพิจารณาจากอะไรบ้าง?
    ตอบ: พิจารณาจากจำนวนโครงการ, มูลค่าโครงการ, และประสบการณ์ที่เกี่ยวข้อง
  • ถาม: มีการกำหนดคุณสมบัติของบุคลากรหลักอย่างไร?
    ตอบ: กำหนดวุฒิการศึกษาขั้นต่ำ, ประสบการณ์, และจำนวนบุคลากรในแต่ละตำแหน่ง
  • ถาม: หากมีปัญหาเกี่ยวกับแพลตฟอร์ม จะต้องแจ้งให้ใครทราบ?
    ตอบ: แจ้งให้ผู้ว่าจ้าง หรือผู้ที่ได้รับมอบหมาย หรือทางโทรศัพท์

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

๑. ขอบเขตของงาน โครงการเพิ่มประสิทธิภาพและขยายการให้บริการแพลตฟอร์มภาครัฐ เพื่อรองรับ การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Enhance Feature of Government Platform for PDPA Compliance : GPPC) ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ได้มีการประกาศในราชกิจจานุเบกษา เมื่อวันที่ ๒๗ พฤษภาคม ๒๕๖๒ โดยมีวัตถุประสงค์เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับ การให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป และได้กำหนดให้มีการจัดตั้งสำนักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยมีวัตถุประสงค์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งส่งเสริมและ สนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ โดยพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. ๒๕๖๒ มีลักษณะเป็นกฎหมายกลางที่ครอบคลุมการดำเนินการของบุคคลหรือนิติบุคคลที่เป็น หน่วยงานภาครัฐและภาคเอกชนที่ทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องปฏิบัติตามหลักเกณฑ์ วิธีการ และเงื่อนไขตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ กำหนด ส่งผลทำให้ทุกหน่วยงาน แม้กระทั่งหน่วยงานภาครัฐต้องปรับตัวเพิ่มมากยิ่งขึ้นในการทำความเข้าใจต่อกฎหมาย การดูแลเรื่อง ความปลอดภัยข้อมูลส่วนบุคคล รวมถึง การสร้างความรู้ความเข้าใจให้กับบุคลากรของหน่วยงาน และจากประเด็นของการปฏิบัติตามหลักเกณฑ์ วิธีการ เงื่อนไขตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ที่มีความซับซ้อนและรายละเอียดมาก ตัวอย่างหลักเกณฑ์ของพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคลได้มีการกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ อาทิ ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มี สิทธิเข้าถึงข้อมูลส่วนบุคคล และเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น การใช้หรือการเปิดเผย การปฏิเสธคำขอ หรือการคัดค้าน คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย เป็นต้น สำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ดำเนินงานโครงการแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GPPC) ให้กับหน่วยงานภาครัฐ จำนวนมากกว่า ๔๐๐ หน่วยงาน พร้อมทั้ง ให้บริการให้คำปรึกษาด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพื่อให้หน่วยงานปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วน บุคคลมากกว่า ๑๘ หน่วยงาน ให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ พร้อมทั้งได้มีการ เพิ่มประสิทธิภาพสำหรับแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GPPC) และเพิ่มประสิทธิภาพการรักษาความมั่นคงปลอดภัยสารสนเทศ และการสำรองข้อมูลสำหรับแพลตฟอร์มภาครัฐฯ เพื่อให้หน่วยงานภาครัฐสามารถปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ อีกทั้งสร้างความ น่าเชื่อถือให้กับหน่วยงานภาครัฐในการใช้บริการแพลตฟอร์มภารรัฐฯ แต่อย่างไรก็ตาม การปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มีรายละเอียด ค่อนข้างมาก ดังนั้น สคส. มีความจำเป็นต้องเพิ่มประสิทธิภาพสำหรับแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคล (GPPC) ให้ครอบคลุมสอดคล้องกับกฎหมายลำดับรอง และแนวทางการปฏิบัติ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับหน่วยงานภาครัฐให้สามารถดำเนินการได้อย่างมีประสิทธิภาพมาก ยิ่งขึ้น พร้อมทั้งยังมีการเพิ่มประสิทธิภาพการรักษาความมั่นคงปลอดภัยสารสนเทศ และการสำรองข้อมูลสำหรับ ๒. วัตถุประสงค์โครงการ และช่วยลดงบประมาณในการดำเนินการของหน่วยงานอีกทางหนึ่ง ๒.๑ เพื่อดำเนินการจัดทำกิจกรรมสนับสนุนการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้กับ หน่วยงานภาครัฐเป้าหมาย ให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ๒.๒ เพื่อปรับปรุงเพิ่มประสิทธิภาพสำหรับแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครอง ข้อมูลส่วนบุคคล (GPPC) ๒.๓ เพื่อปรับปรุงเพิ่มประสิทธิภาพการรักษาความมั่นคงปลอดภัยสารสนเทศ และการสำรองข้อมูลสำหรับ แพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GPPC) ให้มีประสิทธิภาพมากยิ่งขึ้น สร้างความน่าเชื่อถือให้กับหน่วยงานภาครัฐที่ใช้บริการ ๒.๔ เพื่อจัดกิจกรรมเพื่อเสริมสร้างองค์ความรู้ความเข้าใจด้านการคุ้มครองข้อมูลส่วนบุคคล และการใช้ แพลตฟอร์มภาครัฐฯ ให้กับกลุ่มเป้าหมาย ๓. คุณสมบัติผู้เสนอราคา ๓.๑ มีความสามารถตามกฎหมาย ๓.๒ ไม่เป็นบุคคลล้มละลาย ๓.๓ ไม่อยู่ระหว่างเลิกกิจการ ๓.๔ ไม่เป็นผู้ที่ถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานของทางราชการ และได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงาน ของหน่วยงานของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็น หุ้นส่วน ผู้จัดการ กรรมการ ผู้จัดการ ผู้บริหาร ผู้มีอำนาจในการดำเนินงานในกิจการของนิติบุคคลนั้นด้วย ๓.๕ ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐไว้ชั่วคราว ตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ๓.๖ มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการบริหาร พัสดุภาครัฐกำหนดในราชกิจจานุเบกษา ๓.๗ ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้เสนอราคารายอื่นที่เข้ายื่นข้อเสนอให้แก่สำนักงานคณะกรรมการ การคุ้มครองข้อมูลส่วนบุคคล ณ วันยื่นข้อเสนอหรือไม่เป็นผู้กระทำการอันเป็นการขัดขวางการแข่งขันอย่างเป็น ธรรมในการยื่นข้อเสนอครั้งนี้ ๓.๘ ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกันซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย ๓.๙ ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ "กิจการร่วมค้า" ต้องมีคุณสมบัติ ดังนี้ กิจการร่วมค้าที่ยื่นข้อเสนอ ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กำหนดไว้ใน เอกสารเชิญชวน เว้นแต่ในกิจการร่วมค้าที่มีข้อตกลงระหว่างผู้เข้าร่วมค้ากำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่ง เป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้านั้นสามารถใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของ กิจการ ร่วมค้าที่ยื่นข้อเสนอ กรณีมีข้อตกลงระหว่างผู้เข้าร่วมค้ากำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้า หลัก ดังกล่าวจะต้องมีการกำหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตาม สัญญามากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย ๓.๑๐ ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้ (ตาราง 1: คุณสมบัติผู้เสนอราคา) (ตาราง 2: คุณสมบัติผู้เสนอราคา) ๔.๔.๒.๔. ระบบหน้าบ้านและระบบหลังบ้านของการเพิ่มประสิทธิภาพของแพลตฟอร์ม ภาครัฐฯ ต้องสามารถทำงานบน Virtual Machines ของ GDCC (Government Data Center and Cloud Services) ที่สำนักงานคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ จัดให้ตามความต้องการของ โครงการฯ ๔.๔.๓. ระบบจัดเตรียมบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลฉบับมาตรฐาน (ROPA Template Generator) โดยมีรายละเอียดของระบบหน้าบ้าน (Front End) และระบบหลังบ้าน (Back End) อย่างน้อย ดังนี้ ๔.๔.๓.๑. ระบบต้องจัดเตรียมกิจกรรมมาตรฐาน สำหรับกิจกรรมมาตรฐานในส่วนงาน สนับสนุน (Back Office) โดยกิจกรรมมาตรฐานต้องประกอบด้วยรายการกิจกรรมและรายละเอียดการประมวลผล ข้อมูลส่วนบุคคลมีรายละเอียดตามข้อกำหนดของกฎหมาย อย่างน้อย ๑๐ กิจกรรม ในระบบบันทึกกิจกรรมการ การประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities Management) ของแพลตฟอร์มภาครัฐ เพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GPPC) ในปัจจุบันได้อย่างมีประสิทธิภาพไร้รอยต่อ (Seamless) โดยมีรายละเอียดหลัก ดังนี้ ๑) ระบบต้องแสดงรายการในกิจกรรมมาตรฐานที่ให้ผู้ใช้งานสามารถเลือก ได้ โดยต้องแสดงข้อมูลที่จำเป็นเพื่อประกอบการตัดสินใจเลือกรายการอย่างเหมาะสม ๒) ระบบต้องสามารถสร้างรายการกิจกรรมพร้อมรายละเอียดที่เกี่ยวข้อง โดยอัตโนมัติจากกิจกรรมมาตรฐานที่ผู้ใช้งานเลือก โดยข้อมูลที่สร้างขึ้นอย่างน้อยต้องประกอบด้วย (๑) ชื่อกิจกรรม (๒) วัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคล (๓) บทบาทการเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคล (๔) ฐานกฎหมายในการประมวลผล (๕) เจ้าของข้อมูลส่วนบุคคล และ ข้อมูลส่วนบุคคล (๖) ระยะเวลาการบันทึกจัดเก็บข้อมูลส่วนบุคคล ๓) ระบบต้องสามารถสร้างงาน (Task) สำหรับการตรวจสอบรายการ กิจกรรมที่สร้างขึ้นใหม่โดยอัตโนมัติ โดยงานดังกล่าวจะต้องอยู่ในสถานะ "รอการมอบหมาย" ๔) ระบบต้องกำหนดให้รายการกิจกรรมที่สร้างขึ้นใหม่อยู่ในสถานะ "รอการ ตรวจสอบ" โดยอัตโนมัติ เพื่อรอการทบทวนและยืนยันความถูกต้องจากผู้ใช้งานที่รับผิดชอบ งานตรวจสอบ ซึ่งประกอบด้วย ๕) ระบบต้องจัดเก็บและแสดงข้อมูลที่จำเป็นสำหรับการติดตามสถานะของ (๑) รายละเอียดของกิจกรรมที่ต้องตรวจสอบ (๒) สถานะปัจจุบันของงาน つ (๓) กำหนดเวลาที่ต้องดำเนินการ (๔) ผู้ใช้งานที่รับผิดชอบในการดำเนินการ ๖) ระบบต้องสามารถแจ้งเตือนไปยังผู้ที่เกี่ยวข้องเมื่อมีการมอบหมายงาน ตรวจสอบ และต้องมีกลไกในการติดตามความคืบหน้าของงานตรวจสอบอย่างเป็นระบบ ๗) ระบบต้องอนุญาตให้ผู้ใช้งานสามารถแก้ไขปรับปรุงข้อมูลในรายการ กิจกรรมที่สร้างจากกิจกรรมมาตรฐานได้ เพื่อให้สอดคล้องกับบริบทการทำงานจริงขององค์กร ๘) ระบบต้องเก็บประวัติการแก้ไขบันทึกรายการกิจกรรมมาตรฐาน เพื่อใช้ ในการตรวจสอบและติดตามการเปลี่ยนแปลงเก็บไว้ในประวัติการใช้งาน ๙) ระบบต้องสามารถนำเข้าและส่งออกข้อมูลในรูปแบบ File Excel ที่มี รูปแบบหัวข้อตรงกับแพลตฟอร์มได้ โดยสามารถเลือกที่จะเปิด/ปิดการใช้งานระบบนี้ได้ ๔.๔.๔. ระบบจัดการเอกสารทางกฎหมาย (Legal Document Generator) โดยมีรายละเอียด ของระบบหน้าบ้าน (Front End) และระบบหลังบ้าน (Back End) อย่างน้อย ดังนี้ ถ่ายโอนข้อมูล การลบข้อมูล รวมไปถึงมาตรการด้านนโยบายและด้านเทคนิค เพื่อความมั่นคงปลอดภัยของข้อมูลส่วน บุคคลโดยใช้ระบบบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities) ช่วยเหลือใน การดำเนินงาน ๕) ให้คำแนะนำเจ้าหน้าที่ ผู้รับผิดชอบกิจกรรม และสอบถามข้อมูลเพิ่มเติมเพื่อ แก้ไขให้บันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROP) สมบูรณ์เป็นปัจจุบัน ๔.๖.๑.๒. ปรับปรุงระบบสารสนเทศ หรือระบบงานคอมพิวเตอร์ หรือ Application ที่มี อยู่ (เดิม) เช่น Cookie Consent เป็นต้น ๔.๖.๑.๓. ตรวจสอบรายงานบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROP Report) เพื่อสร้างประวัติการจัดทำบันทึกรายการกิจกรรมฉบับ ๔.๖.๑.๔. จัดทำเอกสารทางกฎหมายพื้นฐาน โดยร่างและจัดทำแบบนโยบาย และเอกสารทางกฎหมายที่จำเป็นในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เพื่อแก้ไขและ ลดช่องว่างตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ได้แก่ ๑) นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ๒) หนังสือให้ความยินยอมฉบับมาตรฐาน ที่จำเป็นตามรูปแบบองค์กรกิจกรรม (Consent Form) ๓) ประกาศความเป็นส่วนตัว (Privacy Notice) ข้อตกลงการประมวลผลข้อมูลฉบับมาตรฐาน ที่จำเป็นตามรูปแบบองค์กรและ กิจกรรม (Data Processing Agreement) ๕) แก้ไขและปรับปรุงแบบฟอร์มเอกสารทางกฎหมายให้สอดคล้องกับกิจกรรม ขององค์กร ๖) ตรวจสอบและให้คำแนะนำเกี่ยวกับเอกสารทางกฎหมายที่จำเป็นในการ ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ๔.๗. จัดให้มีกิจกรรมการฝึกอบรมเชิงปฏิบัติการด้านการคุ้มครองข้อมูลส่วนบุคคล รวมเป็นจำนวนไม่น้อยกว่า ๕ ครั้ง อย่างน้อยครั้งละไม่น้อยกว่า ๒๐๐ คน ณ สถานที่ของเอกชนในเขตกรุงเทพมหานคร ๔.๘. ระบบบริหารจัดการกุญแจแบบรวมศูนย์ Key Management Server จำนวน ๑ ระบบ มีคุณสมบัติดังนี้ ๔.๘.๑. เป็นโซลูชั่นที่ออกแบบมาเพื่อเป็น Key Management Server โดยเฉพาะ ๔.๘.๒. สามารถทำงานเป็น KMIP Server รองรับ KMIP Protocol เวอร์ชั่น ๑.๐, ๑.๑, ๑.๒, ๑.๓, ๑.๔, ๒.๐, ๒.๑, ๓.๐ เพื่อรองรับกับความหลากหลายในการเชื่อมต่อกับ Client ประเภทต่างๆ โดยสามารถทำงาน เป็นแบบ Multi-tenancy แยกการใช้งานคีย์แบบ Decentralized ได้ ๔.๘.๓. ผ่านการรับรองและอยู่ในรายชื่อ Certified KMS สำหรับ VMWare โดยสามารถทำงานกับ vSphere, vSAN และ vSphere Trust Authority ได้ อย่างน้อย ๔.๘.๔. สามารถทำงานร่วมกับแพลตฟอร์ม Hypervisor: ESXi, AWS, Azure, KVM, GCP ได้เป็น ๔.๘.๕. สามารถ Deploy ในรูปแบบ ISO, OVA (Open Virtual Appliance), AMI (Amazon Web Services marketplace), VHD (Microsoft Azure marketplace) ได้เป็นอย่างน้อย ๔.๘.๖. สามารถทำ High Availability ในรูปแบบActive-Active ได้ ๔.๘.๗. สามารถบริหารจัดการการตั้งค่าผ่าน Web UI และ REST API เพื่อบริหารจัดการจาก ภายนอกแบบอัตโนมัติได้ ๔.๘.๔. รองรับการสร้าง Vaults แบบ Decentralized architecture เพื่อแยกใช้งานสำหรับ Databases key management(Oracle, MySQL, MS SQL, MongoDB, DB2), KMIP(Including VMWare), CloudKey Management (BYOK, HYOK), Privileged Account & Session Management(PASM), SSH, VM Disk Encryption ได้เป็นอย่างน้อย ๔.๘.๙. มีระบบบริหารจัดการแบบรวมศูนย์สำหรับบริหารจัดการควบคุม Vaults ทั้งหมดในองค์กร โดยมี Dashboard กลางแสดงตำแหน่งและข้อมูล Meta data ของ Keys และ Secrets ใน Vaults และสามารถ ตรวจสอบตามเงื่อนไขได้อย่างน้อยดังนี้ ๔.๘.๙.๑. ความยาวขั้นต่ำของคีย์ (Minimum key length) ๔.๘.๙.๒. ระยะเวลาขั้นต่ำที่คีย์ถูก Rotate (Minimum last rotation date of keys) ๔.๘.๙.๓. ประเภทของ Crypto Algorithm ที่ใช้ ๔.๘.๑๐. มีระบบบริหารแบบรวมศูนย์สามารถสร้าง Key compliance template ให้เหมาะสม กับความต้องการในการตรวจสอบ Compliance ได้ ๔.๘.๑๑. มีระบบบริหารแบบรวมศูนย์สามารถสร้าง Key inventory และ softcopy documentation สำหรับใช้ในการตรวจสอบกับมาตรฐาน Compliance GDPR, HIPPA, PCI DSS, CF1, FINMA และ Custom documentation template อื่นๆ ได้ ๔.๘.๑๒. มีระบบบริการแบบรวมศูนย์สามารถทำ Key documentation และมีรายงาน รายละเอียดของคีย์เช่น Key owner, key deployment environment, key usage, history, how is the key generated, purpose และ critical level เป็นต้น ๔.๘.๑๓. มีAudit log สามารถ Export ในรูปแบบ CSV และ XML สำหรับการทำรายงานแบบ Customized ได้ ๔.๘.๑๔. สามารถทำงานร่วมกับระบบ Hardware Security Module ของสำนักงาน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ และผ่านมาตรฐาน FIPS 140-2 Level 3 เพื่อป้องกันคีย์ที่ใช้ในการ เข้ารหัสข้อมูล โดยได้รับการรับรองการทำงานร่วมกันโดยมีเอกสารยืนยันจากเจ้าของผลิตภัณฑ์ หรือตัวแทน จำหน่ายจากเจ้าของผลิตภัณฑ์ ๔.๘.๑๕. ผู้เสนอราคาต้องได้รับแต่งตั้งให้เป็นตัวแทนจำหน่ายและการให้บริการหลังการขาย จาก เจ้าของผลิตภัณฑ์หรือสาขาของเจ้าของผลิตภัณฑ์ในประเทศไทย หรือตัวแทนจำหน่ายจากเจ้าของผลิตภัณฑ์ใน ประเทศไทย ๔.๙. ผู้รับจ้างต้องดำเนินการบำรุงรักษาแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมาย คุ้มครองข้อมูลส่วนบุคคล (GPPC) ได้แก่ (๑) ระบบจัดการการขอความยินยอม (Consent Management) รองรับตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (มาตรา ๑๙) (๒) ระบบบริหารบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities Management) รองรับตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (มาตรา ๓๙) (๓) ระบบจัดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach NotificationมManagement) รองรับตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (มาตรา ๓๗) (๔) ระบบจัดการคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request Management) รองรับตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (มาตรา ๓๐ ถึงมาตรา ๓๖) (๕) ระบบงานสำหรับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Office of The Personal Data Projection Committee :OPDPC) ๔.๙.๑. ผู้รับจ้างต้องจัดให้ผู้มีความรู้ความชำนาญดำเนินการตรวจสอบบำรุงรักษาแพลตฟอร์ม ภาครัฐฯ ทุก ๒ เดือน ในกรณีแพลตฟอร์มภาครัฐฯ ขัดข้องใช้การไม่ได้ตามปกติ ผู้รับจ้างจะต้องจัดการซ่อมแซม แก้ไขให้อยู่ในสภาพใช้การได้ดีดังเดิม โดยต้องเริ่มจัดการซ่อมแซมแก้ไขภายในระยะเวลา ๗๒ ชั่วโมง นับตั้งแต่ เวลาที่ได้รับแจ้งจากผู้ว่าจ้าง หรือผู้ที่ได้รับมอบหมายหรือทางโทรศัพท์ และผู้รับจ้างจะต้องซ่อมแซมแก้ไข ให้เสร็จ เรียบร้อยภายในระยะเวลาตามที่กำหนดนับแต่เวลาที่ได้รับแจ้ง ในกรณีที่ไม่สามารถแก้ไขปัญหาได้ภายใน ๗๒ ชั่วโมง กรณีเป็นเรื่องร้ายแรง และภายใน ๕ วันทำการ กรณีทั่วไป ผู้รับจ้างจะต้องแจ้งให้ สคส. ทราบถึงเหตุผล และความจำเป็นนั้นๆ เพื่อพิจารณาเป็นรายกรณีไป ๔.๙.๒. ผู้รับจ้างต้องรับผิดชอบในการประสานงานทางด้านเทคนิคกับผู้ให้บริการระบบคลาวด์ กลางภาครัฐ (Government Data Center and Cloud Service: GDCC) ซึ่งเป็นผู้ให้บริการในการติดตั้ง แพลตฟอร์มภาครัฐ เพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GPPC) โดยทาง สคส. จะเป็น ผู้ประสานงานในเบื้องต้นให้กับผู้รับจ้าง ๔.๙.๓. ผู้รับจ้างจะต้องจัดทำแผนการทำ PM โดยแจ้งกำหนดวัน เวลา สถานที่ พร้อมรายชื่อ ผู้ชำนาญการฯ และ/หรือเจ้าหน้าที่ที่จะเข้าทำการบำรุงรักษา ให้ผู้ว่าจ้างทราบล่วงหน้าไม่น้อยกว่า ๕ วันทำการ ของรอบระยะเวลาการบำรุงรักษาแต่ละงวด ๔.๙.๔. ต้องเสนอรายละเอียดของการทำ PM โดยแยกตามรายการ ดังนี้ ๔.๙.๕. ผู้ว่าจ้างสามารถแจ้งเหตุข้อขัดข้อง ผ่านทางโทรศัพท์ หรือ e-mail โดยถือว่าเป็นส่วนหนึ่ง ของการแจ้งเหตุขัดข้อง ๔.๙.๖. ผู้รับจ้างต้องให้บริการติดตั้ง Bug-fix (Patch) และให้บริการ Upgrade Version ของ แพลตฟอร์มภาครัฐฯ ซึ่งต้องไม่กระทบต่อการทำงานของแพลตฟอร์มภาครัฐฯ โดยรวม โดยต้องได้รับความ เห็นชอบร่วมกันระหว่าง สคส. และผู้รับจ้าง ก่อนดำเนินการ ๔.๙.๗. ผู้รับจ้างจะต้องสำรองข้อมูลของแพลตฟอร์มภาครัฐฯ แบบ Full Backup จำนวนอย่างน้อย ๑ ครั้งเป็นรายสัปดาห์ และรายเดือน และ/หรือแบบ Incremental Backup ทุกวัน แบบอัตโนมัติผ่านซอฟต์แวร์ สำรองข้อมูลที่ผู้ว่าจ้างจัดเตรียมให้ ๔.๔.๘. ผู้รับจ้างจะต้องดำเนินการจัดทำรายงานสรุปการบำรุงรักษาเป็นรายงวด ๆ ตลอดระยะเวลา การจ้าง ส่งมอบให้คณะกรรมการตรวจรับพัสดุ ในรูปแบบเอกสารและไฟล์อิเล็กทรอนิกส์ จำนวนไม่น้อยกว่า ๒ ชุด โดยต้องมีข้อมูลอย่างน้อยดังนี้ น้อยดังนี้ ๔.๙.๔.๑. ๔.๙.๔.๒. CM) อย่างน้อย รายงานสรุปการบำรุงรักษา (Preventive Maintenance : PM) อย่าง ๕. คุณสมบัติของบุคลากรหลัก ๕.๑ ข้อกำหนดด้านบุคลากรหลัก ต้องประกอบด้วยบุคลากรที่มีความรู้ความสามารถ ประสบการณ์ ด้านการพัฒนาระบบเทคโนโลยีสารสนเทศ หรือด้านที่เกี่ยวข้อง หรืองานในลักษณะเดียวกันกับงานโครงการฯ และต้อง มีประสบการณ์ในการทำงานไม่น้อยกว่าที่กำหนดไว้ เพื่อปฏิบัติงานอย่างน้อย ดังนี้
ลำดับ รายการ ประสบการณ์ (อัตรา) ในด้านที่เกี่ยวข้อง (ปี) วุฒิการศึกษา (ขั้นต่ำ)
๑. หัวหน้าโครงการ (Project Manager)
๒. ผู้เชี่ยวชาญด้านเทคโนโลยี สารสนเทศ (ด้าน Data Management/ Platform Development)
๓. ผู้ชำนาญการด้านกฎหมาย (PDPA-Compliance/Law)
๔. ผู้ชำนาญการด้านการพัฒนา ระบบ (Programmer & Developer)
๕. ผู้ชำนาญการด้านการทดสอบ ระบบ (Tester)
ประสบการณ์ จำนวน ลำดับ รายการ ในด้าน วุฒิการศึกษา (ขั้นต่ำ) (อัตรา) ที่เกี่ยวข้อง (ปี) คอมพิวเตอร์ หรือวิศวกรรมคอมพิวเตอร์ หรือ สาขาที่เกี่ยวข้องกับวิชาชีพ เทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ๗. กลุ่มบุคลากรสนับสนุนด้านดิจิทัล ៦. บุคลากรสนับสนุน (เจ้าหน้าที่ ภาคสนามสำหรับบันทึกข้อมูล) เลขานุการโครงการ ๑ ปี ขึ้นไป วุฒิปริญญาตรีขึ้นไป ๑ ปีขึ้นไป วุฒิปริญญาตรีขึ้นไป ๕.๒ แบบฟอร์ม “ประวัติบุคลากรที่เสนอในโครงการฯ” ซึ่งมีรายละเอียดดังนี้ แบบฟอร์มประวัติบุคลากรหลักที่เสนอในโครงการเพิ่มประสิทธิภาพและขยายการให้บริการแพลตฟอร์ม ภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Enhance Feature of Government Platform for PDPA Compliance : GPPC) ประวัติส่วนตัว ชื่อ – นามสกุล ตำแหน่งที่เสนอในโครงการ ที่อยู่ปัจจุบัน ประวัติการศึกษา ๑. ปริญญาตรี : มหาวิทยาลัย สาขา คณะ ปีที่สำเร็จ ๒. ปริญญาโท : มหาวิทยาลัย สาขา คณะ ปีที่สำเร็จ ๓. ปริญญาเอก : มหาวิทยาลัย สาขา คณะ ปีที่สำเร็จ ประวัติการทำงาน (ปัจจุบัน ถึง อดีต) ๑. ระบุเดือน – ปี ถึง ปัจจุบัน ตำแหน่ง หน่วยงาน รายละเอียด ๒. ระบุเดือน – ปี ถึง ปัจจุบัน ตำแหน่ง หน่วยงาน รายละเอียด ๓. ระบุเดือน – ปี ถึง ปัจจุบัน ตำแหน่ง หน่วยงาน รายละเอียด การฝึกอบรม (ปัจจุบัน ถึง อดีต) ๑. ปี..................หลักสูตร ๒. ปี หลักสูตร ๓. ปี....................หลักสูตร เอกสารประกอบ ๑. สำเนาใบรายงานผลการศึกษา (Transcript) หรือสำเนาวุฒิการศึกษา พร้อมลงนามรับรองสำเนาถูกต้อง ๒. สำเนาใบรับรองการฝึกอบรม (Certification) พร้อมลงนามรับรองสำเนาถูกต้อง (ถ้ามี) ៦. ระยะเวลาการดำเนินการ ระยะเวลา ๒๑๐ วัน นับถัดจากวันลงนามในสัญญา ๗. เงื่อนไขการส่งมอบงานและการชำระเงิน ผู้ว่าจ้างจะจ่ายเงินให้แก่ผู้รับจ้างเป็นรายงวดงานที่ดำเนินการแล้วเสร็จ และผ่านการตรวจรับงาน ตามระเบียบของทางราชการแล้ว จำนวน ๓ งวดงาน ดังนี้ ส่งมอบ ภายใน งวดงาน ที่ การจ่ายเงิน รายละเอียดงานที่ส่งมอบ (นับถัดจาก (ร้อยละ) วันลงนาม ในสัญญา) เมื่อดำเนินการตามข้อ ๔.๑ แล้วเสร็จ และคณะกรรมการฯ ตรวจรับ ๓๐ วัน ๒๐ มอบงานแล้ว ๒ เมื่อดำเนินการตามข้อ ๔.๒, ๔.๓ และ ข้อ ๔.๙ (ครั้งที่ ๑) แล้ว เสร็จ และคณะกรรมการฯ ตรวจรับมอบงานแล้ว เมื่อดำเนินการตามข้อ ๔.๔,๔.๕,๔.๖,๔,๒,๔,๘ และ ๔.๙ (ครั้งที่ ๙๐ วัน ๔๐ ๒,๓,๔) แล้วเสร็จ และคณะกรรมการฯ ตรวจรับมอบงานแล้ว อนึ่ง ผู้รับจ้างจะต้องดำเนินการจัดส่งสิ่งส่งมอบในแต่ละงวดงานข้างต้น โดยจัดส่งเอกสาร จำนวน ๕ ชุด (ต้นฉบับ ๑ ชุดและสำเนา ๔ ชุด) พร้อมไฟล์อิเล็กทรอนิกส์ในรูปแบบที่ปรับแก้ได้ (Ms Office) และปรับแก้ไขไม่ได้ (PDF) พร้อมบันทึกลงใน USB Flash Drive หรือสื่อแบบถอดได้อื่น ๆ (Removable) จำนวน ๒ ชุด หลักเกณฑ์และสิทธิในการพิจารณา ๘. L.O จะพิจารณาผลการยื่นข้อเสนอประกวดราคาจ้างด้วยวิธีการทางอิเล็กทรอนิกส์ครั้งนี้ โดยใช้ หลักเกณฑ์ราคาประกอบเกณฑ์อื่น โดยพิจารณาให้คะแนนตามปัจจัยหลักและน้ำหนัก ดังนี้ (๑) เกณฑ์ราคา กำหนดน้ำหนักเท่ากับร้อยละ ๒๐ ๑) ผู้ยื่นเสนอราคาต่ำสุด เกณฑ์การพิจารณาการให้คะแนนด้านราคา ๒) ผู้ยื่นเสนอราคารายอื่นเสนอราคาลำดับรองลงมาจะได้คะแนนตามสัดส่วน จะคิดจากสูตร การคำนวณ ดังนี้ ๑๐๐ - (ราคาของผู้ยื่นเสนอราคารายอื่น – ราคาของผู้ยื่นเสนอราคาต่ำสุด) x๑๐๐ = คะแนน ราคาผู้ยื่นเสนอราคาต่ำสุด (๒) เกณฑ์การประเมินข้อเสนอด้านเทคนิค กำหนดน้ำหนักรวม เท่ากับร้อยละ ๘๐ โดยมีรายละเอียดดังนี้ สคส. จะพิจารณาผลการยื่นข้อเสนอด้านเทคนิคที่กำหนดไว้ โดยมีคะแนนเต็ม ๑๐๐ คะแนน ตามหัวข้อการประเมิน ดังนี้ ๑) ผลงานของประสบการณ์จากโครงการที่ผ่านมาของผู้เสนอราคา (คะแนนเต็ม ๕๐ คะแนน) ๑.๑) จำนวนโครงการที่ดำเนินการสำเร็จ/โครงการที่อ้างอิง (๒๕ คะแนน) พิจารณาจำนวนผลงานในด้านการพัฒนาระบบสารสนเทศ หรือพัฒนาระบบงาน คอมพิวเตอร์ภายในประเทศ หรือด้านพัฒนาแพลตฟอร์มการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วน โดยมีมูลค่า โครงการไม่น้อยกว่า ๓๕,๐๐๐,๐๐๐ บาท (สามสิบห้าล้านบาทถ้วน) ต่อสัญญา โดยพิจารณาจากหนังสือสัญญา หรือหนังสือรับรองผลงานจากคู่สัญญาที่สิ้นสุดแล้วของผู้เสนอราคา โดยพิจารณาทั้งกรณีที่ ๑ และกรณีที่ ๒ รวม คะแนนกัน ดังนี้ รายละเอียดประกอบการพิจารณา คะแนน กรณีที่ ๑ ผลงานในด้านการพัฒนาระบบสารสนเทศ หรือพัฒนาระบบงานคอมพิวเตอร์ภายในประเทศหรือ ด้านพัฒนาแพลตฟอร์มการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วน มี ๔ โครงการขึ้นไป มี ๒ ๓ โครงการ มี ๑ โครงการ ไม่มีโครงการ กรณีที่ ๒ มีโครงการที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล อย่างน้อย ๑ โครงการ ๒๐ คะแนน ๑๕ คะแนน ๑๐ คะแนน ๐ คะแนน มีโครงการที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ๕ คะแนน (บวกเพิ่มคะแนนจากกรณีที่ ๑) ๑.๒) มูลค่าผลงานและประสบการณ์ที่อ้างถึง (๒๕ คะแนน) พิจารณามูลค่าผลงานในด้านพัฒนาแพลตฟอร์มการปฏิบัติตามกฎหมายคุ้มครอง ข้อมูลส่วนบุคคลมาแล้ว ไม่น้อยกว่า ๑ โครงการ ทั้งนี้ ผลงานจะต้องย้อนหลังไม่เกิน ๕ ปี โดยมีมูลค่าโครงการไม่ น้อยกว่า ๑๐,๐๐๐,๐๐๐ บาท (สิบล้านบาท) ต่อสัญญา โดยพิจารณาจากหนังสือสัญญา หรือหนังสือรับรองผลงาน โดยพิจารณาจากกรณีดังนี้ รายละเอียดประกอบการพิจารณา คะแนน ผู้ยื่นข้อเสนอโครงการ นำเสนอโครงการที่มีผลงานด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลภายในประเทศ มีมูลค่าผลงานตั้งแต่ ๒๐๐ ล้านบาท ขึ้นไป มีมูลค่าผลงานตั้งแต่ ๑๕๐ - ๒๐๐ ล้านบาท มีมูลค่าผลงานตั้งแต่ ๑๐๐ ๑๕๐ ล้านบาท มีมูลค่าผลงานตั้งแต่ ๕๐ ๑๐๐ ล้านบาท มีมูลค่าผลงานตั้งแต่ ๑๐ ๕๐ ล้านบาท ๒๕ คะแนน ๒๐ คะแนน ๑๕ คะแนน ๑๐ คะแน แนน ๕ คะแนน มีมูลค่าผลงานน้อยกว่า ๑๐ ล้านบาท ๐ ะแนน รายละเอียดประกอบการพิจารณา ๒) มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ จำนวน ๑๔ โครงการ ๓) มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ จำนวน ๕ - ๙ โครงการ ๔) มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ จำนวน น้อยกว่า ๕ โครงการ ผู้ชำนาญการด้านกฎหมาย (PDPA-Compliance/Law) วุฒิปริญญาตรีทาง ด้านกฎหมาย โดยมีผลงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล (กลุ่มวิชาชีพกฎหมาย) ประสบการณ์ ๒ ปีขึ้นไป จำนวน ๑ คน ๑) มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวน ตั้งแต่ ๑๑ โครงการขึ้นไป ๒) มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวน ๖ ๑๐ โครงการ ๓) มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวน ๓ ๕ โครงการ ๔) มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวนน้อยกว่า ๓ โครงการ ในกรณีที่เสนอบุคลากรด้านกฎหมายที่มีใบประกาศนียบัตรตามมาตรฐานสากล ที่รับรองโดยสถาบัน International Association of Privacy Professionals (IAPP) อาทิ CIPP, CIPM หรือ CIPT บวกเพิ่มเติมอีก ๓ คะแนนให้กับ ผู้ชำนาญการด้านกฎหมาย
รายละเอียด คะแนน
๑๔ โครงการ Ø
๕ - ๙ โครงการ Ø
น้อยกว่า ๕ โครงการ Ø
ตั้งแต่ ๑๑ โครงการขึ้นไป Ø
๖ ๑๐ โครงการ Ø
๓ - ๕ โครงการ Ø
น้อยกว่า ๓ โครงการ Ø
๘.๒ ในการตัดสินการประกวดราคาจ้างด้วยวิธีการทางอิเล็กทรอนิกส์ในการทำสัญญา คณะกรรมการ พิจารณาผลการประกวดราคาจ้างด้วยวิธีการทางอิเล็กทรอนิกส์มีสิทธิให้ผู้เสนอราคาชี้แจงข้อเท็จจริง สภาพฐานะ หรือข้อเท็จจริงอื่นใดที่เกี่ยวข้องกับผู้เสนอราคาได้ โดย สคส. มีสิทธิที่จะไม่รับข้อเสนอ ไม่รับราคา หรือไม่ทำ สัญญา หากหลักฐานดังกล่าวไม่มีความเหมาะสมหรือไม่ถูกต้อง ๘.๓ ในกรณีที่ปรากฏข้อเท็จจริงภายหลังจากการพิจารณาข้อเสนอว่า ผู้เสนอราคาที่มีสิทธิได้รับการ คัดเลือกเป็นผู้เสนอราคาที่มีผลประโยชน์ร่วมกันกับผู้เสนอราคารายอื่น ณ วันประกาศประกวดราคาจ้างด้วย วิธีการทางอิเล็กทรอนิกส์หรือเป็นผู้เสนอราคาที่กระทำการอันเป็นการขัดขวางการแข่งขันราคาอย่างเป็นธรรม สคส. มีอำนาจที่จะตัดรายชื่อผู้เสนอราคาที่ได้รับคัดเลือกรายดังกล่าวออก และจะพิจารณาลงโทษผู้เสนอราคาราย นั้นเป็นผู้ทิ้งงาน ๙. เงื่อนไขการบริการและการรับประกัน ผู้รับจ้างต้องให้บริการและรับประกันแพลตฟอร์มภาครัฐฯ เป็นระยะเวลา ๑ ปี ภายหลังจากสิ้นสุด โครงการฯ โดยต้องปฏิบัติตามเงื่อนไข ดังนี้ ๙.๑ ผู้รับจ้างต้องตรวจสอบการทำงานของแพลตฟอร์มภาครัฐฯ ให้สามารถทำงานได้อย่างต่อเนื่อง มีความมั่นคงปลอดภัย มีประสิทธิภาพ โดยรวมถึงการบำรุงรักษา ซ่อมแซม และแก้ปัญหาในการให้บริการ ๙.๒ ผู้รับจ้างต้องทำการบำรุงรักษา การแก้ไข และปรับปรุงแพลตฟอร์มภาครัฐฯ ให้เป็นไปตาม หลักเกณฑ์ที่เป็นปัจจุบันของกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ตลอดระยะเวลารับประกัน ทั้งนี้ ไม่จำกัดการปรับปรุงคุณลักษณะเพิ่มเติมของผู้รับจ้างที่เป็นประโยชน์ต่อการใช้งานของแพลตฟอร์มภาครัฐฯ ๑๐. ข้อกำหนดทั่วไปที่เกี่ยวข้อง กรณีหากเกิดความจำเป็นต้องมีการติดตั้งระบบหรืออุปกรณ์ใด ๆ เพิ่มเติมในโครงการฯ เพื่อให้สามารถทำงาน ได้อย่างมีประสิทธิภาพ ผู้รับจ้างต้องรับผิดชอบค่าใช้จ่ายต่าง ๆ ที่เกิดขึ้นทั้งหมด ทั้งนี้ ต้องคำนึงถึง หลักวิชาการและประโยชน์ของราชการเป็นสำคัญ ๑๑. ค่าปรับ ในกรณีที่ผู้รับจ้างไม่ส่งมอบงานงวดสุดท้ายให้เป็นไปตามกำหนดระยะเวลาการส่งมอบงาน ผู้ว่าจ้าง จะดำเนินการปรับเป็นรายวัน ในอัตราร้อยละ ๐.๑๐ (ศูนย์จุดหนึ่งศูนย์) ของวงเงินค่าจ้างตามสัญญา นับถัดจาก วันที่กำหนดแล้วเสร็จตามสัญญา จนถึงวันที่ผู้รับจ้างปฏิบัติตามสัญญาถูกต้องครบถ้วน และผู้ว่าจ้างได้ตรวจรับงานแล้ว ๑๒. การขอขยายเวลาส่งมอบ ในกรณีที่มีเหตุสุดวิสัย ภัยพิบัติ หรือเหตุใด ๆ อันเนื่องมาจากความผิด หรือความบกพร่องของผู้ว่าจ้าง หรือจากพฤติการณ์อันใดอันหนึ่ง ซึ่งผู้รับจ้างไม่ต้องรับผิดชอบตามกฎหมาย เป็นเหตุให้ผู้รับจ้างไม่สามารถส่งมอบงาน ตามเงื่อนไขและกำหนดเวลาแห่งสัญญาได้ ผู้รับจ้างมีสิทธิขอขยายเวลาทำการตามสัญญาหรือของด หรือลดค่าปรับได้ โดยจะต้องแจ้งเหตุหรือพฤติการณ์ดังกล่าว พร้อมหลักฐานเป็นหนังสือ ให้ผู้ว่าจ้างทราบภายใน ๑๕ วัน นับแต่วันที่เหตุนั้นสิ้นสุดลง ถ้าผู้รับจ้างไม่ปฏิบัติให้เป็นไปตามความในวรรคหนึ่ง ให้ถือว่าผู้รับจ้างได้สละสิทธิ์เรียกร้องในการที่จะขอ ขยายเวลาทำการตามสัญญา หรือของด หรือลดค่าปรับโดยไม่มีเงื่อนไขใด ๆ ทั้งสิ้น เว้นแต่กรณีเหตุเกิดจาก ความผิด หรือความบกพร่องของผู้ว่าจ้าง ซึ่งมีหลักฐานชัดแจ้ง หรือผู้ว่าจ้างทราบดีอยู่แล้วตั้งแต่ต้น การขยายเวลาทำการตามสัญญา หรือของด หรือลดค่าปรับตามวรรคหนึ่ง อยู่ในดุลพินิจของผู้ว่าจ้าง ที่จะพิจารณา ๑๓. ข้อตกลงห้ามเปิดเผยข้อมูล เอกสาร ข้อมูล หรือสัญญาที่เกี่ยวข้องกับโครงการฯ ทั้งหมดที่ร่วมดำเนินการกับผู้รับจ้างรวมทั้งเอกสาร ที่ผู้รับจ้างจัดทำให้ สคส. ตามสัญญา ถือเป็นความลับ และเป็นสมบัติของ สคส. สคส. ให้ความยินยอมแก่ผู้รับจ้างและหรือผู้ที่ผู้รับจ้างว่าจ้างในการเข้าถึงและใช้ซึ่งข้อมูลทั้งหมดที่ สคส. ให้ มอบให้ หากผู้รับจ้างละเมิดโดยการนำไปเผยแพร่ และเปิดเผย โดยไม่ได้รับอนุญาต สคส. จะฟ้องร้อง เรียกค่าเสียหาย และดำเนินการตามกฎหมายตามแต่กรณี ทั้งนี้ บุคลากรของผู้รับจ้างที่ปฏิบัติงานในโครงการฯ ทุกคนจะต้องลงลายมือชื่อรับทราบ ข้อตกลง ห้ามเปิดเผยข้อมูลด้วยตนเอง ๑๔. ข้อสงวนสิทธิ์ ๑๔.๑ ในกรณีที่ผู้ว่าจ้างมีความจำเป็นไม่อาจทำสัญญาได้ หรือมีเหตุจำเป็นด้านอื่น ๆ ที่เป็นอุปสรรค ผู้ว่า จ้างขอสงวนสิทธิที่จะยกเลิกการว่าจ้างครั้งนี้ได้ทุกขั้นตอน โดยไม่จำเป็นต้องแจ้งเหตุผลใด ๆ ให้ผู้ยื่นข้อเสนอทราบ และผู้ยื่นข้อเสนอไม่มีสิทธิโต้แย้งและเรียกร้องค่าใช้จ่ายหรือค่าเสียหายใด ๆ ทั้งสิ้น ๑๔.๒ ผู้ว่าจ้างมีสิทธิที่จะเปลี่ยนแปลง แก้ไข เพิ่มเติม หรือลดเนื้องานตามรายละเอียดในสัญญาได้การเพิ่ม หรือลดเนื้องาน คู่สัญญาทั้งสองฝ่ายจะได้ตกลงเรื่องราคาใหม่โดยถือราคาที่ระบุไว้ในสัญญาเป็นฐาน ถ้าการเพิ่ม หรือลดงาน จำเป็นต้องมีการขยายหรือลดเวลา ให้ตกลงไปในคราวเดียวกัน ๑๔.๓ ผู้รับจ้างห้ามเปลี่ยนแปลงตัวบุคลากรหลัก ตลอดระยะเวลาของสัญญา เว้นแต่กรณีที่มีความจำเป็น ที่ผู้รับจ้างต้องการเปลี่ยนแปลงตัวบุคลากรหลักดังกล่าวข้างต้น จะต้องได้รับความเห็นชอบจาก สคส. เป็นลายลักษณ์อักษรก่อนการเริ่มทำงานโดยตัวบุคลากรหลักใหม่จะต้องมีคุณสมบัติไม่ด้อยกว่า ๑๕. หน่วยงานที่รับผิดชอบ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ๑๖. งบประมาณ วงเงินงบประมาณ ๗๙,๙๓๘,๘๐๐.๐๐ บาท (เจ็ดสิบเก้าล้านเก้าแสนสามหมื่นแปดพันแปดร้อยบาทถ้วน) รวมภาษีมูลค่าเพิ่มแล้ว