จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างโครงการแพลตฟอร์มเพื่อสนับสนุนการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับภาคเอกชน

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 68059413712

฿79,959,800 ปีงบ 2568 ประกาศ 28 พ.ค. 2568 กรุงเทพมหานคร

รายละเอียดการจ้าง

โครงการนี้มีวัตถุประสงค์หลักในการออกแบบและพัฒนาแพลตฟอร์มเพื่อรองรับกฎหมาย PDPA สำหรับหน่วยงานภาคเอกชน เพื่อช่วยให้หน่วยงานเหล่านั้นสามารถปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ แพลตฟอร์มนี้จะประกอบด้วยระบบต่างๆ ที่สำคัญ เช่น ระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (RoPA), ระบบบริหารจัดการความยินยอม (Consent Management) และระบบจัดการคุกกี้แบนเนอร์ (Cookies Consent Management), ระบบจัดการคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request: DSAR), และระบบจัดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification Management)

นอกจากนี้ โครงการยังรวมถึงการให้คำปรึกษาและข้อเสนอแนะแก่หน่วยงานภาคเอกชนในการใช้แพลตฟอร์ม, การจัดกิจกรรมเพื่อเสริมสร้างความรู้ความเข้าใจด้านการคุ้มครองข้อมูลส่วนบุคคลและการใช้แพลตฟอร์ม, และการจัดทำแนวปฏิบัติสำหรับ SME ที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้เพื่อให้หน่วยงานภาคเอกชนมีความพร้อมในการปฏิบัติตามกฎหมายและสร้างความเชื่อมั่นให้กับประชาชนในการใช้เทคโนโลยีดิจิทัล

เป้าหมายหลักคือการสร้างแพลตฟอร์มที่ใช้งานง่าย มีประสิทธิภาพ และสอดคล้องกับมาตรฐานสากล เพื่อสนับสนุนการพัฒนาเศรษฐกิจดิจิทัลของประเทศ

English summary

This project aims to design and develop a platform to support PDPA compliance for private sector organizations, enabling them to effectively adhere to personal data protection laws. The platform includes systems such as Records of Processing Activities (RoPA), Consent Management, Cookies Consent Management, Data Subject Access Request (DSAR), and Data Breach Notification Management.

The project also involves providing consultation and recommendations to private sector organizations on using the platform, organizing activities to enhance understanding of personal data protection and platform usage, and developing guidelines for SMEs related to personal data protection laws. The goal is to ensure private sector organizations are prepared to comply with the law and build public trust in digital technology, ultimately supporting the country’s digital economy development.

สถานที่ดำเนินการ

คำสำคัญ

PDPA กฎหมายคุ้มครองข้อมูลส่วนบุคคล แพลตฟอร์ม PDPA Consent Management Data Breach Notification ROPA DSAR การปฏิบัติตาม PDPA คุ้มครองข้อมูลส่วนบุคคล Open Source

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์ ปลดล็อกแล้ว

เป้าหมายโครงการ

เพื่อออกแบบและพัฒนาแพลตฟอร์มรองรับกฎหมาย PDPA สำหรับหน่วยงานภาคเอกชน (PDPA Platform for Private Sector)
เพื่อให้คำปรึกษา และให้ข้อเสนอแนะกับหน่วยงานภาคเอกชนในการใช้แพลตฟอร์มรองรับกฎหมาย PDPA สำหรับหน่วยงานภาคเอกชน ให้เป็นไปตามการปฏิบัติกฎหมายคุ้มครองข้อมูลส่วนบุคคล
เพื่อจัดกิจกรรมเพื่อเสริมสร้างองค์ความรู้ความเข้าใจด้านการคุ้มครองข้อมูลส่วนบุคคล และการใช้แพลตฟอร์มให้กับหน่วยงานภาคเอกชน

ขอบเขตของงาน

จัดทำแผนการดำเนินงานโครงการฯ และรายงานการศึกษาเบื้องต้น (Inception Report)
จัดกิจกรรมประชาสัมพันธ์เปิดตัวโครงการฯ จำนวน 1 ครั้ง
ศึกษาแพลตฟอร์มรองรับกฎหมาย PDPA สำหรับหน่วยงานภาคเอกชน พร้อมทั้งจัดทำรายละเอียดที่เกี่ยวข้องกับแพลตฟอร์มฯ และทำการออกแบบระบบและสถาปัตยกรรมของแพลตฟอร์มฯ
- ระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities : RoPA)
- ระบบบริหารจัดการความยินยอม (Consent Management) และระบบจัดการคุกกี้แบนเนอร์ (Cookies Consent Management : CKCM)
- ระบบจัดการคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request : DSAR)
- ระบบจัดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification Management : DBNM)
พัฒนาแพลตฟอร์มเพื่อสนับสนุนการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับภาคเอกชน (PDPA Platform for Private Sector) โดยอิงตามหลักการของระบบนิเวศซอฟต์แวร์ (Software Ecosystems : SECO) และใช้ทรัพยากรโครงสร้างพื้นฐานจากระบบคลาวด์กลางภาครัฐ (Government Data Center And Cloud Service : GDCC)
- คุณสมบัติทั่วของแพลตฟอร์มภาคเอกชน: พัฒนาในรูปแบบ Web Application, โครงสร้างสถาปัตยกรรมแบบ Microservice, มี API สำหรับเชื่อมต่อกับระบบงานต่าง ๆ, พัฒนาบนพื้นฐานหลักการโอเพนซอร์ส (Open Source)
- ระบบบริหารจัดการข้อมูลหน่วยงาน (Organization Management Module)
- ระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities Management)
- ระบบบริหารจัดการความยินยอม (Consent Management)
  - ระบบจัดการ Cookie Consent Management (CKCM)
  - ระบบ Consent Management (CSM)
- ระบบจัดการคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request Management)
- ระบบจัดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification Management)
- ระบบซอฟต์แวร์ตรวจสอบและการวิเคราะห์ Application Performance Monitoring Service & Dashboard
- ปรับปรุงเว็บไซต์ของโครงการ GPPC (https://gppc.pdpc.or.th/)
- แพลตฟอร์มต้องทำการเข้ารหัสข้อมูลส่วนบุคคล
แพลตฟอร์มภาคเอกชน จะต้องมีการรักษาความมั่นคงปลอดภัยตามมาตรฐานด้านเทคโนโลยีสารสนเทศ
- จัดให้มีการทดสอบความมั่นคงปลอดภัยของแพลตฟอร์มภาคเอกชน (Pen-test, Vulnerability Assessment)
- ทำการทดสอบความมั่นคงปลอดภัยสารสนเทศระบบและแพลตฟอร์มของสำนักงานคุ้มครองข้อมูลส่วนบุคคล (VA Scan และ Pentest)
- จัดทำรายงานผลการทดสอบการรักษาความมั่นคงปลอดภัยและรายละเอียดการดำเนินการในการปิดช่องโหว่
จัดทำรายงานสรุปผลการติดตั้งแพลตฟอร์มรองรับกฎหมาย PDPA สำหรับหน่วยงานภาคเอกชน
ให้คำปรึกษา แนะนำด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล สำหรับหน่วยงานเป้าหมาย 10 หน่วยงาน (SME)
- การจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) และประเมินความเสี่ยงเบื้องต้น
- ตรวจสอบรายงานบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA Report)
- จัดทำเอกสารทางกฎหมายพื้นฐาน (Privacy Policy, Consent Form, Privacy Notice, Data Processing Agreement)
ศึกษาและจัดทำแนวปฏิบัติหน่วยงาน SME ที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA Guideline for SME) ฉบับภาษาไทยและภาษาอังกฤษ
จัดให้มีกิจกรรมเพื่อเสริมสร้างความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และการใช้แพลตฟอร์ม
- จัดอบรมผ่านทางช่องทางออนไลน์ (Online Training)
- การอบรมให้ความรู้ที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้ปฏิบัติงานในหน่วยงาน
- การอบรมหลักสูตรเชิงปฏิบัติการสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)
จัดให้มีการสอบวัดผลและการออกใบประกาศนียบัตรรับรองความรู้หลักสูตรความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้ปฏิบัติงาน
ออกแบบหน้าจอแสดงผลส่วนต่อประสานกับผู้ใช้งาน (User Interface, UI) และส่วนประสบการณ์ของผู้ใช้งาน (User experience, UX)

สิ่งที่ต้องส่งมอบ

แผนการดำเนินงานโครงการฯ และรายงานการศึกษาเบื้องต้น (Inception Report)
รายงานผลการวิเคราะห์และออกแบบแพลตฟอร์มรองรับกฎหมาย PDPA สำหรับหน่วยงาน (PDPA Platform for Private Sector)
แพลตฟอร์มรองรับกฎหมาย PDPA สำหรับหน่วยงานเอกชน (PDPA Platform for Private Sector)
รายงานผลการทดสอบและใช้งานแพลตฟอร์ม
รายงานผลการฝึกอบรมกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้ปฏิบัติงานจากหน่วยงานเอกชนเป้าหมาย
รายงานการฝึกอบรมหลักสูตรเชิงปฏิบัติการสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)
รายงานสรุปผลการใช้งานแพลตฟอร์มเพื่อสนับสนุนการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับภาคเอกชน
รายงานการจัดสอบวัดผล
รายงานฉบับสมบูรณ์
แนวปฏิบัติหน่วยงาน SME ที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA Guideline for SME) ฉบับภาษาไทยและภาษาอังกฤษ ในรูปแบบเอกสารและไฟล์อิเลกทรอนิกส์
การเข้าใช้งานการฝึกอบรมหลักสูตรความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ระยะเวลาดำเนินการ

ระยะเวลา 360 วันนับถัดจากวันลงนามในสัญญา
งวดงานที่ 1: ภายใน 30 วันนับถัดจากวันลงนามในสัญญาจ้าง
งวดงานที่ 2: ภายใน 60 วันนับถัดจากวันลงนามในสัญญาจ้าง
งวดงานที่ 3: ภายใน 180 วันนับถัดจากวันลงนามในสัญญาจ้าง
งวดงานที่ 4: ภายใน 360 วันนับถัดจากวันลงนามในสัญญาจ้าง

คุณสมบัติผู้เสนอราคา

ผู้ยื่นข้อเสนอต้องเป็นนิติบุคคลและมีผลงานด้านการพัฒนาระบบสารสนเทศหรือพัฒนาระบบงานคอมพิวเตอร์ หรือด้านพัฒนาแพลตฟอร์มการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือผลงานในด้านพัฒนาระบบที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในวงเงินไม่น้อยกว่า 30,000,000 บาท (สามสิบล้านบาท) ต่อสัญญา และเป็นผลงานที่เป็นคู่สัญญาโดยตรงกับส่วนราชการหรือหน่วยงานตามกฎหมายว่าด้วยระเบียบบริหารราชการส่วนท้องถิ่น หรือรัฐวิสาหกิจ หรือหน่วยงานของรัฐ ทั้งนี้ ผลงานจะต้องย้อนหลังไม่เกิน 5 ปี นับย้อนจากวันที่ยื่นเอกสารประกวดราคาอิเล็กทรอนิกส์
ผู้ยื่นข้อเสนอต้องมีประสบการณ์จัดอบรมหรือมีความร่วมมือกับสถาบันการศึกษาของรัฐ ที่มีประสบการณ์จัดอบรมในหลักสูตรความรู้ที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และได้มีการออกใบรับรองผ่านการฝึกอบรมมาแล้วไม่น้อยกว่า 2,000 คน

เกณฑ์การพิจารณา

เกณฑ์ราคา (20%)
- ผู้ยื่นเสนอราคาต่ำสุดได้คะแนน 100
- ผู้ยื่นเสนอราคารายอื่นเสนอราคาลำดับรองลงมาจะได้คะแนนตามสัดส่วน
เกณฑ์การประเมินข้อเสนอด้านเทคนิค (80%)
- ผลงานของประสบการณ์จากโครงการที่ผ่านมาของผู้ยื่นข้อเสนอ (50 คะแนน)
  - จำนวนโครงการที่ดำเนินการสำเร็จ/โครงการที่อ้างอิง (25 คะแนน)
  - มูลค่าผลงานและประสบการณ์ที่อ้างถึง (25 คะแนน)
- บุคลากรและประสบการณ์ของบุคลากรของผู้ยื่นข้อเสนอ (50 คะแนน)
  - โครงสร้างทีมงาน (25 คะแนน)
    - ในกรณีเสนอบุคลากรด้านกฎหมายในโครงการที่มีใบประกาศนียบัตรตาม มาตรฐานสากล ที่รับรองโดยสถาบัน International Association of Privacy Professionals (IAPP) อาทิ CIPP, CIPM หรือ CIPT จะได้คะแนนเพิ่ม
  - ประสบการณ์ของบุคลากร (25 คะแนน)
    - หัวหน้าโครงการ (Project Manager)
    - ผู้เชี่ยวชาญด้านกฎหมาย (PDPA-Compliance/Law)
    - ผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศ (ด้าน Data Management/ Platform Development)
    - ผู้เชี่ยวชาญด้านการวิเคราะห์ช่องว่างด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ข้อกำหนดทางเทคนิค

แพลตฟอร์มต้องพัฒนาในรูปแบบ Web Application มีโครงสร้างสถาปัตยกรรมแบบ Microservice และมี API สำหรับเชื่อมต่อกับระบบงานต่าง ๆ โดยเป็นการพัฒนาบนพื้นฐานหลักการโอเพนซอร์ส (Open Source)
ระบบหน้าบ้าน (Front-End) ต้องพัฒนาบนพื้นฐานหลักการโอเพนซอร์ส (Open Source) แบบต่อยอด และอนุญาตให้หน่วยงานภาคเอกชนต่าง ๆ สามารถนำไปแก้ไขดัดแปลงได้ภายใต้เงื่อนไขที่กำหนดเพื่อความเหมาะสมของการใช้งาน
ระบบหลังบ้าน (Back-End) สามารถรับข้อมูลเป็นภาษาไทยและภาษาอังกฤษได้ และสามารถทำงานบนมาตรฐาน SMTP เพื่อทำการส่งจดหมายอิเล็กทรอนิกส์ที่จำเป็นต่อการใช้งานได้
รองรับจำนวนผู้ใช้งานได้ไม่น้อยกว่า 1,000 ผู้ใช้งาน
ระบบหน้าบ้านและระบบหลังบ้านของแพลตฟอร์มฯ ต้องสามารถทำงานบน Virtual Machines ของ GDCC (Government Data Center and Cloud Services)
มีซอฟต์แวร์ระบบบริหารจัดการ Container Technology แบบ Kubernetes ในการบริหารจัดการแพลตฟอร์มภาคเอกชน
มีการเชื่อมโยงแพลตฟอร์มภาคเอกชน โดยหน่วยงานสามารถเชื่อมโยงกับแพลตฟอร์มภาคเอกชน เพื่อเข้าใช้งานได้ 2 รูปแบบ (เพิ่ม Script ในเว็บไซต์, ใช้ API)
แพลตฟอร์มต้องทำการเข้ารหัสข้อมูลส่วนบุคคล ตามมาตรฐาน RSA, AES Diffie-Hellman, Camellia และ 3DES อย่างใดอย่างหนึ่งได้เป็นอย่างน้อย หรือตามที่ สคส. กำหนด ก่อนบันทึกลงในฐานข้อมูลโดยผ่าน Data Tokenize ของ สคส. เดิมได้

เงื่อนไขสัญญา

ผู้ว่าจ้างจะจ่ายเงินให้แก่ผู้รับจ้างเป็นรายงวดงานที่ดำเนินการแล้วเสร็จ และผ่านการตรวจรับงานตามระเบียบของทางราชการแล้ว จำนวน 4 งวดงาน
ค่าปรับ: ในกรณีที่ผู้รับจ้างไม่ส่งมอบงานงวดสุดท้ายให้เป็นไปตามกำหนดระยะเวลาการส่งมอบงาน ผู้ว่าจ้างจะดำเนินการปรับเป็นรายวัน ในอัตราร้อยละ 0.10 ของวงเงินค่าจ้างตามสัญญา

คำถามที่พบบ่อย (FAQ)

Q: แพลตฟอร์มนี้รองรับการทำงานบนระบบปฏิบัติการใด?
A: แพลตฟอร์มนี้ต้องสามารถทำงานบน Virtual Machines ของ GDCC (Government Data Center and Cloud Services) และระบบปฏิบัติการ (OS) ที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ใช้สำหรับแพลตฟอร์มภาครัฐ เพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
Q: แพลตฟอร์มนี้มีการรักษาความปลอดภัยของข้อมูลส่วนบุคคลอย่างไร?
A: แพลตฟอร์มนี้ต้องทำการเข้ารหัสข้อมูลส่วนบุคคล ตามมาตรฐาน RSA, AES Diffie-Hellman, Camellia และ 3DES อย่างใดอย่างหนึ่งได้เป็นอย่างน้อย หรือตามที่ สคส. กำหนด ก่อนบันทึกลงในฐานข้อมูลโดยผ่าน Data Tokenize ของ สคส. เดิมได้ และต้องมีการทดสอบความมั่นคงปลอดภัยของแพลตฟอร์ม (Pen-test, Vulnerability Assessment) ตามมาตรฐาน OWASP TOP 10
Q: ใครคือกลุ่มเป้าหมายหลักของการอบรมตามโครงการนี้?
A: กลุ่มเป้าหมายหลักคือหน่วยงานเอกชน โดยเฉพาะวิสาหกิจขนาดกลางและขนาดย่อม (SME) และผู้ปฏิบัติงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลในองค์กร
Q: ผู้ที่ผ่านการอบรมหลักสูตรความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะได้รับอะไร?
A: ผู้ที่เข้าเรียนครบร้อยละ 100 ภายในเวลาที่กำหนด และผ่านการทำแบบทดสอบท้ายบท และผ่านการสอบวัดผลตามเกณฑ์ จะได้รับประกาศนียบัตรการอบรม และสามารถออกใบประกาศนียบัตรผ่านช่องทางออนไลน์ได้
Q: ระบบ Consent Management ประกอบด้วยอะไรบ้าง?
A: ระบบ Consent Management ประกอบด้วย ระบบจัดการ Cookie Consent Management (CKCM) และระบบ Consent Management (CSM)
Q: หน่วยงาน SME จะได้รับประโยชน์อะไรจากโครงการนี้?
A: หน่วยงาน SME จะได้รับแพลตฟอร์มที่ช่วยในการปฏิบัติตาม PDPA, คำปรึกษาด้านกฎหมาย, แนวปฏิบัติสำหรับ SME (PDPA Guideline for SME), และการฝึกอบรมบุคลากร
Q: ระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (RoPA) มีฟังก์ชันอะไรบ้าง?
A: ระบบ RoPA สามารถบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคล, จัดทำชุดคำถามมาตรฐานสำหรับ SME, ตรวจสอบกิจกรรมการส่งข้อมูลไปยังต่างประเทศ, กำหนดรายการข้อมูลที่มีความเสี่ยง, และแสดงรายงานกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
Q: จะมีการทดสอบความมั่นคงปลอดภัยของแพลตฟอร์มอย่างไร?
A: จะมีการทดสอบเจาะระบบ (Pen-test) โดยใช้วิธีการตามมาตรฐาน OWASP TOP 10, ดำเนินการค้นหาช่องโหว่ (Vulnerability Assessment), และตรวจสอบผลการดำเนินการปิดช่องโหว่
Q: การให้คำปรึกษาด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะครอบคลุมอะไรบ้าง?
A: การให้คำปรึกษาจะครอบคลุมการจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA), การจัดทำเอกสารทางกฎหมายพื้นฐาน (Privacy Policy, Consent Form, Privacy Notice, Data Processing Agreement), และการตรวจสอบเอกสารทางกฎหมาย
Q: ผู้ยื่นข้อเสนอต้องมีประสบการณ์ด้านใด?
A: ผู้ยื่นข้อเสนอต้องเป็นนิติบุคคลและมีผลงานด้านการพัฒนาระบบสารสนเทศหรือพัฒนาระบบงานคอมพิวเตอร์ หรือด้านพัฒนาแพลตฟอร์มการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือผลงานในด้านพัฒนาระบบที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในวงเงินไม่น้อยกว่า 30,000,000 บาท

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

- 1 -
ขอบเขตและรายละเอียดของงาน (Terms of Reference : TOR)
โครงการแพลตฟอร์มเพื่อสนับสนุนการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับภาคเอกชน

หลักการและเหตุผล
ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ได้มีการประกาศในราชกิจจานุเบกษา เมื่อวันที่ ๒๗ พฤษภาคม ๒๕๖๒ โดยมีวัตถุประสงค์เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแล เกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป และได้กำหนดให้มีการจัดตั้งสำนักงาน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยมีวัตถุประสงค์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมทั้ง ส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ โดยพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มีลักษณะเป็นกฎหมายกลาง ที่ครอบคลุมการดำเนินการของบุคคล หรือนิติบุคคลที่เป็นหน่วยงานภาครัฐและภาคเอกชนที่ทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องปฏิบัติตามหลักเกณฑ์ วิธีการ และเงื่อนไขตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ กำหนด ส่งผลทำให้ทุกหน่วยงานแม้กระทั่งหน่วยงานภาครัฐต้องปรับตัวเพิ่มมากยิ่งขึ้นในการทำความเข้าใจต่อ กฎหมาย การดูแลเรื่องความปลอดภัยข้อมูลส่วนบุคคล รวมถึง การสร้างความรู้ความเข้าใจให้กับบุคลากรของ หน่วยงาน และจากประเด็นของการปฏิบัติตามหลักเกณฑ์ วิธีการ เงื่อนไขตามที่พระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. ๒๕๖๒ ที่มีรายละเอียดมากและซับซ้อน ตัวอย่างหลักเกณฑ์ของพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล ได้มีการกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานสามารถตรวจสอบได้อาทิ ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม วัตถุประสงค์ของการเก็บ รวบรวมข้อมูลส่วนบุคคลแต่ละประเภท ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ระยะเวลาการเก็บรักษา ข้อมูลส่วนบุคคล สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วน บุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น การใช้หรือการเปิดเผย การปฏิเสธคำขอหรือการคัดค้าน คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย เป็นต้น
อย่างไรก็ตาม ทั้งหน่วยงานภาครัฐ หน่วยงานภาคเอกชน เริ่มมีความตื่นตัวในการศึกษารายละเอียด ของข้อกฎหมาย และเริ่มวางแผนจัดทำโครงการเพื่อรองรับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. ๒๕๖๒ ดังกล่าวเป็นวงกว้าง โดยจะเห็นจากหน่วยงานภาครัฐหลายหน่วยงานเริ่มขอ งบประมาณเพื่อดำเนินการปรับปรุงกระบวนการของระบบสารสนเทศ กระบวนการด้านความมั่นคงปลอดภัย ของเทคโนโลยีสารสนเทศ (IT Security) รวมถึงกระบวนการอื่นๆ ที่เกี่ยวข้อง เพื่อให้มีการดำเนินงานให้เป็นไป ตามพระราชบัญญัติฯ กำหนด แต่ด้วยความที่หน่วยงานต่างๆ โดยเฉพาะหน่วยงานภาคเอกชนอาจจะไม่มี
ความเข้าใจเพียงพอในกรอบของข้อกฎหมายทำให้เกิดค่าใช้จ่ายที่สูงเกินความจำเป็น ส่งผลเสียต่อการพัฒนา ประเทศ นอกจากนี้ ระบบ consent management ที่มีให้บริการอยู่ทั่วไปตามท้องตลาดล้วนเป็น แพลตฟอร์มของต่างประเทศซึ่งจะคิดค่าใช่จ่ายเป็นรายปี (subscription) ทำให้หน่วยงานเมื่อเริ่มใช้แล้ว ก็จะต้องตั้งงบประมาณผูกผันในปีต่อไปทุกปี ทำให้สิ้นเปลืองงบประมาณจำนวนมาก เพื่อเป็นการช่วยเหลือ และส่งเสริมให้เกิดการขับเคลื่อนตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลในหน่วยงานภาคเอกชนให้ เป็นไปอย่างมีประสิทธิภาพ และสอดคล้องกับมาตรฐานสากล ในการนี้คณะกรรมการดิจิทัลเพื่อเศรษฐกิจและ สังคมแห่งชาติ ได้มีมติเมื่อคราวประชุมครั้งที่ ๓/๒๕๖๔ เมื่อวันที่ ๑๘ พฤศจิกายน ๒๕๖๔ เห็นชอบต่อ (ร่าง) นโยบายการพัฒนาแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Government Platform for PDPA Compliance : GPPC) เพื่อเป็นกรอบทิศทางและเป้าหมายการพัฒนา แพลตฟอร์มฯ ช่วยสนับสนุนการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับหลักเกณฑ์ เงื่อนไข ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เพื่อให้บริการหน่วยงานภาครัฐและภาคเอกชน

2 -
ดังนั้น เพื่อเป็นการส่งเสริมให้เกิดการดำเนินการขับเคลื่อนตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล สำหรับหน่วยงานภาคเอกชน จึงมีความจำเป็นต้องจัดทำโครงการแพลตฟอร์มเพื่อสนับสนุน การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับภาคเอกชน (โครงการฯ) ให้กับหน่วยงานภาคเอกชน เพื่อให้มีกระบวนการและความพร้อมในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล สร้างความเชื่อมั่น ให้กับประชาชนในการใช้เทคโนโลยีดิจิทัล และสนับสนุนการพัฒนาเศรษฐกิจดิจิทัล ตามนโยบายและแผน ระดับชาติว่าด้วยการพัฒนาดิจิทัลฯ ระยะ ๒๐ ปี (พ.ศ. ๒๕๖๑-๒๕๘๐)
๒. วัตถุประสงค์โครงการ
๒.๑ เพื่อออกแบบและพัฒนาแพลตฟอร์มรองรับกฎหมาย PDPA สำหรับหน่วยงานภาคเอกชน เพื่อให้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA Platform for Private Sector) ๒.๒ เพื่อให้คำปรึกษา และให้ข้อเสนอแนะกับหน่วยงานภาคเอกชนในการใช้แพลตฟอร์มรองรับ กฎหมาย PDPA สำหรับหน่วยงานภาคเอกชน ให้เป็นไปตามการปฏิบัติกฎหมายคุ้มครองข้อมูลส่วนบุคคล ๒.๓ เพื่อจัดกิจกรรมเพื่อเสริมสร้างองค์ความรู้ความเข้าใจด้านการคุ้มครองข้อมูลส่วนบุคคล และการใช้แพลตฟอร์มให้กับหน่วยงานภาคเอกชน
๓. คุณสมบัติผู้ยื่นข้อเสนอ
๓.๑ มีความสามารถตามกฎหมาย
๓.๒ ไม่เป็นบุคคลล้มละลาย
๓.๓ ไม่อยู่ระหว่างเลิกกิจการ
๓.๔ ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกำหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
๓.๕ ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงาน ของหน่วยงานของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็น หุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอำนาจในการดำเนินงานในกิจการของนิติบุคคลนั้นด้วย
๓.๖ มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้าง และการบริหารพัสดุภาครัฐกำหนดในราชกิจจานุเบกษา
๓.๗ เป็นบุคคลธรรมดาหรือนิติบุคคลผู้มีรับจ้างงานที่ประกวดราคาอิเล็กทรอนิกส์ดังกล่าว ๓.๘ ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่สำนักงาน คณะกรรมการ การคุ้มครองข้อมูลส่วนบุคคล ณ วันยื่นข้อเสนอหรือไม่เป็นผู้กระทำการอันเป็นการขัดขวาง การแข่งขันอย่างเป็นธรรมในการยื่นข้อเสนอครั้งนี้
๓.๙ ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่น ข้อเสนอได้มีคำสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
๓.๑๐ ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติ ดังนี้ ๑) การกำหนดสัดส่วนในการเข้าร่วมค้าของคู่สัญญา กรณีที่ข้อตกลงฯ กำหนดให้ผู้เข้าร่วมค้า รายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงฯ จะต้องมีการกำหนดสัดส่วนหน้าที่ และความรับผิดชอบ ในปริมาณงาน สิ่งของหรือมูลค่าตามสัญญาของผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย ๒) กรณีที่ข้อตกลงฯ กำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลักกิจการร่วมค้า นั้นต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอสำหรับข้อตกลงฯ
3 -
ที่ไม่ได้กำหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตาม เงื่อนไขที่กำหนดไว้ในเอกสารเชิญชวน
๓) การยื่นข้อเสนอของกิจการร่วมค้า
(๑) กรณีที่ข้อตกลงฯ กำหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่น ข้อเสนอในนามกิจการร่วมค้าการยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอำนาจสำหรับข้อตกลงฯ ที่ไม่ได้ กำหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ ผู้เข้าร่วมค้าทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอำนาจให้ ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการร่วมค้า
(๒) การยื่นข้อเสนอด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e - bidding) ให้ผู้เข้าร่วมค้า ที่ได้รับมอบหมายหรือมอบอำนาจตามข้อ (๑) ดำเนินการซื้อเอกสารประกวดราคาอิเล็กทรอนิกส์ กรณีที่มี การจำหน่ายเอกสารซื้อหรือจ้าง
๓.๑๑ ผู้ยื่นข้อเสนอต้องลงทะเบียนที่มีข้อมูลถูกต้องครบถ้วนในระบบจัดซื้อจัดจ้างภาครัฐด้วย อิเล็กทรอนิกส์ (Electronic Government Procurement : e - GP) ของกรมบัญชีกลาง ๓.๑๒ ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการ ดังนี้

กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยหรือต่างประเทศซึ่งได้ จดทะเบียนเกินกว่า ๑ ปี ต้องมีมูลค่าสุทธิของกิจการจากผลต่างระหว่างสินทรัพย์สุทธิหักด้วยหนี้สินสุทธิ ที่ปรากฏในงบแสดงฐานะการเงินที่มีการตรวจรับรองแล้ว ซึ่งจะต้องแสดงค่าเป็นบวก ๑ ปีสุดท้ายก่อนวันยื่น ข้อเสนองบแสดงฐานะการเงิน ๑ ปีสุดท้ายก่อนวันยื่นข้อเสนอ หมายถึง งบแสดงฐานะการเงินย้อนไปก่อนวันที่ หน่วยงานของรัฐกำหนดให้เป็นวันยื่นข้อเสนอ ๑ ปีปฏิทิน เว้นแต่กรณีนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย หากวันยื่นข้อเสนอเป็นช่วงระยะเวลาที่กรมพัฒนาธุรกิจการค้ากำหนดให้นิติบุคคล ยื่นงบแสดงฐานะการเงิน
กับกรมพัฒนาธุรกิจการค้าซึ่งจะอยูในช่วงเดือนมกราคมเดือนพฤษภาคมของทุกปี โดยนิติบุคคลที่เป็น ผู้ยื่นข้อเสนอนั้นยังอยู่ในช่วงของการยื่นงบแสดงฐานะการเงินกับกรมพัฒนาธุรกิจการค้า คือ ช่วงเดือน มกราคม - เดือนพฤษภาคม กรณีนี้ให้สามารถยื่นงบแสดงฐานะการเงินย้อนไปอีก ๑ ปี ได้
กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย ซึ่งยังไม่มีการรายงานงบแสดง ฐานะการเงินกับกรมพัฒนาธุรกิจการค้าหรือกรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมาย ต่างประเทศซึ่งยังไม่มีการรายงานงบแสดงฐานะการเงิน ให้พิจารณาการกำหนดมูลค่าของทุนจดทะเบียนโดย ผู้ยื่นข้อเสนอจะต้องมีทุนจดทะเบียนที่เรียกชำระมูลค่าหุ้นแล้ว ณ วันที่ยื่นข้อเสนอ ดังนี้
(๑) มูลค่าการจัดซื้อจัดจ้างไม่เกิน ๑ ล้านบาท ไม่ต้องกำหนดทุนจดทะเบียน
(๒) มูลค่าการจัดซื้อจัดจ้างเกิน ๑ ล้านบาท แต่ไม่เกิน ๕ ล้านบาท ต้องมีทุนจดทะเบียนไม่ ต่ำกว่า ๑ ล้านบาท
(๓) มูลค่าการจัดซื้อจัดจ้างเกิน ๑ ล้านบาทแต่ไม่เกิน ๑๐ ล้านบาท ต้องมีทุนจดทะเบียน ไม่ต่ำกว่า ๒ ล้านบาท
(๔) มูลค่าการจัดซื้อจัดจ้างเกิน ๑๐ ล้านบาท แต่ไม่เกิน ๒๐ ล้านบาท ต้องมีทุนจด ทะเบียนไม่ต่ำกว่า ๓ ล้านบาท
(๕) มูลค่าการจัดซื้อจัดจ้างเกิน ๒๐ ล้านบาท แต่ไม่เกิน ๖๐ ล้านบาท ต้องมีทุนจด ทะเบียนไม่ต่ำกว่า ๘ ล้านบาท
(๖) มูลค่าการจัดซื้อจัดจ้างเกิน ๖๐ ล้านบาท แต่ไม่เกิน ๑๕๐ ล้านบาท ต้องมีทุนจด ทะเบียนไม่ต่ำกว่า ๒๐ ล้านบาท
(๗) มูลค่าการจัดซื้อจัดจ้างเกิน ๑๕๐ ล้านบาท แต่ไม่เกิน ๓๐๐ ล้านบาท ต้องมีทุนจด ทะเบียนไม่ต่ำกว่า ๖๐ ล้านบาท

4 -
(๘) มูลค่าการจัดซื้อจัดจ้างเกิน ๓๐๐ ล้านบาท แต่ไม่เกิน ๕๐๐ ล้านบาท ต้องมีทุนจด ทะเบียนไม่ต่ำกว่า ๑๐๐ ล้านบาท
(๙) มูลค่าการจัดซื้อจัดจ้างเกิน ๕๐๐ ล้านบาทขึ้นไป ต้องมีทุนจดทะเบียนไม่ต่ำกว่า ๒๐๐ ล้านบาท

สำหรับการจัดซื้อจัดจ้างครั้งหนึ่งที่มีวงเงินเกิน ๕๐๐,๐๐๐ บาทขึ้นไป กรณีผู้ยื่นข้อเสนอ เป็นบุคคลธรรมดาให้พิจารณาจากหนังสือรับรองบัญชีเงินฝากไม่เกิน ๙๐ วัน ก่อนวันยื่นข้อเสนอ โดยต้องมี เงินฝากคงเหลือในบัญชีธนาคารเป็นมูลค่า ๑ ใน ๔ ของมูลค่างบประมาณของโครงการหรือรายการ ที่ยื่นข้อเสนอในแต่ละครั้ง และหากเป็นผู้ชนะการจัดซื้อจัดจ้างหรือเป็นผู้ได้รับการคัดเลือกจะต้องแสดง หนังสือรับรองบัญชีเงินฝากที่มีมูลค่าดังกล่าวอีกครั้งหนึ่งในวันลงนามในสัญญา
กรณีที่ผู้ยื่นข้อเสนอไม่มีมูลค่าสุทธิของกิจการหรือทุนจดทะเบียนหรือมีแต่ไม่เพียงพอที่จะ เข้ายื่นข้อเสนอสามารถดำเนินการได้ดังนี้
(๑) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยหรือบุคคลธรรมดาที่ถือ สัญชาติไทย ผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อโดยต้องมีวงเงินสินเชื่อ ๑ ใน ๔ ของมูลค่างบประมาณของ โครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้ง จะเป็นสินเชื่อที่ธนาคารภายในประเทศหรือบริษัทเงินทุนหรือ บริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบธุรกิจ ค้ำประกันตามประกาศของธนาคารแห่งประเทศไทยตามรายชื่อบริษัทเงินทุนที่ธนาคารแห่งประเทศไทย แจ้งเวียนให้ทราบโดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สำนักงานใหญ่รับรองหรือที่สำนักงานสาขา รับรอง (กรณีได้รับมอบอำนาจจากสำนักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอ นับถึงวันยื่นข้อเสนอไม่เกิน ๙๐ วัน
(๒) กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศหรือบุคคล ธรรมดาที่มิได้ถือสัญชาติไทยผู้ยื่นข้อเสนอสามารถขอวงเงินสินเชื่อ โดยต้องมีวงเงินสินเชื่อ ๑ ใน ๔ ของมูลค่า งบประมาณของโครงการหรือรายการที่ยื่นข้อเสนอในแต่ละครั้งจะเป็นสินเชื่อที่ธนาคารต่างประเทศหรือบริษัท เงินทุนหรือบริษัทเงินทุนหลักทรัพย์ที่ได้รับอนุญาตให้ประกอบกิจการเงินทุนเพื่อการพาณิชย์และประกอบ
ธุรกิจ ค้ำประกันตามประกาศของธนาคารกลางต่างประเทศนั้น ตามรายชื่อบริษัทที่ธนาคารกลางต่างประเทศ นั้นแจ้งเวียนให้ทราบโดยพิจารณาจากยอดเงินรวมของวงเงินสินเชื่อที่สำนักงานใหญ่รับรองหรือที่สำนักงาน สาขารับรอง (กรณีได้รับมอบอำนาจจากสำนักงานใหญ่) ซึ่งออกให้แก่ผู้ยื่นข้อเสนอนับถึงวันยื่นข้อเสนอไม่เกิน ๙๐ วัน
กรณีผู้ยื่นข้อเสนอเป็นนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายต่างประเทศ หรือบุคคล ธรรมดาที่ มิได้ถือสัญชาติไทยตามข้อ ๒ ข้อ ๓ และข้อ ๔ (๒) มูลค่าจะต้องเป็นไปตามอัตราแลกเปลี่ยนเงินตราตาม ประกาศที่ธนาคารแห่งประเทศไทยกำหนด ในช่วงระหว่างวันที่เผยแพร่ประกาศและเอกสารประกวดราคา ในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e - GP) จนถึงวันยื่นข้อเสนอ
ทั้งนี้ ผู้ยื่นข้อเสนอจะต้องยื่นเอกสารที่แสดงให้เห็นถึงข้อมูลเกี่ยวกับมูลค่าสุทธิของกิจการ แล้วแต่กรณี ประกอบกับเอกสารดังกล่าวจะต้องผ่านการรับรองตามระเบียบกระทรวงการต่างประเทศว่าด้วย การรับรองเอกสาร พ.ศ. ๒๕๓๙ และที่แก้ไขเพิ่มเติมกำหนดโดยจะต้องยื่นเอกสารดังกล่าวในวันยื่นข้อเสนอ หากผู้ยื่นข้อเสนอมิได้มีการยื่นเอกสารดังกล่าวมาพร้อมกับการยื่นข้อเสนอให้ถือว่าผู้ยื่นข้อเสนอรายนั้น ยื่นเอกสารไม่ครบถ้วนตามเงื่อนไขที่กำหนดไว้ในเอกสารประกวดราคา
กรณีตามข้อ ๑ - ข้อ ๕ ไม่ใช้บังคับกับกรณีดังต่อไปนี้
(๖.๑) กรณีที่ผู้ยื่นข้อเสนอเป็นหน่วยงานของรัฐภายในประเทศ
(๖.๒) นิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยที่อยู่ระหว่างการฟื้นฟูกิจการตา ม พระราชบัญญัติล้มละลาย พ.ศ. ๒๔๘๓ และที่แก้ไขเพิ่มเติม

5 -
(๖.๓) งานจ้างก่อสร้างที่กรมบัญชีกลางได้ขึ้นทะเบียนผู้ประกอบการงานก่อสร้างแล้ว และงานจ้างก่อสร้างที่หน่วยงานของรัฐที่ได้มีการจัดทำบัญชีผู้ประกอบการงานก่อสร้างที่มีคุณสมบัติเบื้องต้นไว้ แล้ว ก่อนวันที่พระราชบัญญัติการจัดซื้อจัดจ้างฯ มีผลใช้บังคับ
(๖.๔) การจัดซื้อจัดจ้างตามมาตรา ๕๖ วรรคหนึ่ง (๒) (ข) และ (ค) แห่งพระราชบัญญัติ การจัดซื้อจัดจ้างฯ
(๖.๕) การซื้ออสังหาริมทรัพย์และการเช่าอสังหาริมทรัพย์
(๖.๖) กรณีงานจ้างบริการหรืองานจ้างเหมาบริการกับบุคคลธรรมดา เช่น จ้างพนักงาน ขับรถ ครูชาวต่างชาติ พนักงานเก็บขยะ พนักงานบันทึกข้อมูล เป็นต้น
๓.๑๓ ผู้ยื่นข้อเสนอจะต้องมีนโยบายและแนวทางการป้องกันการทุจริตในการจัดซื้อจัดจ้าง
๓.๑๔ ผู้ยื่นข้อเสนอจะต้องลงนามในข้อตกลงคุณธรรม กรณีโครงการจัดซื้อจัดจ้างที่มีวงเงินตั้งแต่ ๑,๐๐๐ ล้านบาทขึ้นไป
๓.๑๕ ผู้ยื่นข้อเสนอต้องเป็นนิติบุคคลและมีผลงานด้านการพัฒนาระบบสารสนเทศหรือพัฒนา ระบบงานคอมพิวเตอร์ หรือด้านพัฒนาแพลตฟอร์มการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือผลงานในด้านพัฒนาระบบที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในวงเงินไม่น้อยกว่า ๓๐,๐๐๐,๐๐๐ บาท (สามสิบล้านบาท) ต่อสัญญา และเป็นผลงานที่เป็นคู่สัญญาโดยตรงกับส่วนราชการหรือ หน่วยงานตามกฎหมายว่าด้วยระเบียบบริหารราชการส่วนท้องถิ่น หรือรัฐวิสาหกิจ หรือหน่วยงานของรัฐ ทั้งนี้ ผลงานจะต้องย้อนหลังไม่เกิน ๕ ปี นับย้อนจากวันที่ยื่นเอกสารประกวดราคาอิเล็กทรอนิกส์ โดยต้องยื่น หลักฐานสำเนาสัญญาหรือหนังสือรับรองจากคู่สัญญาในวันยื่นเอกสารข้อเสนอโครงการฯ
๓.๑๖ ผู้ยื่นข้อเสนอต้องมีประสบการณ์จัดอบรมหรือมีความร่วมมือกับสถาบันการศึกษาของรัฐ ที่มีประสบการณ์จัดอบรมในหลักสูตรความรู้ที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และได้มีการ ออกใบรับรองผ่านการฝึกอบรมมาแล้วไม่น้อยกว่า ๒,๐๐๐ คน โดยต้องยื่นหลักฐานหรือเอกสารประสบการณ์ ในวันยื่นเอกสารข้อเสนอโครงการฯ
๔. ขอบเขตการดำเนินงาน
๔.๑.จัดทำแผนการดำเนินงานโครงการฯ ที่ระบุกิจกรรมการดำเนินงานอย่างละเอียด ระยะเวลาการ ดำเนินงาน วันที่ส่งมอบงาน รายละเอียดสิ่งส่งมอบงาน และ รายงานการศึกษาเบื้องต้น (Inception Report) ประกอบด้วย (๑) ทฤษฎี/แนวคิด (๒) ขอบเขตการดำเนินงาน (๓) แผนการดำเนินงาน (๔) ผลที่คาดว่าจะได้รับ
๔.๒.จัดกิจกรรมประชาสัมพันธ์เปิดตัวโครงการฯ เพื่อสร้างการรับรู้สำหรับหน่วยงานภาคเอกชน จำนวน ๑ ครั้ง
๔.๓.ศึกษาแพลตฟอร์มรองรับกฎหมาย PDPA สำหรับหน่วยงานภาคเอกชน พร้อมทั้งจัดทำ รายละเอียดที่เกี่ยวข้องกับแพลตฟอร์มฯ และทำการออกแบบระบบและสถาปัตยกรรมของแพลตฟอร์มรองรับ กฎหมายสำหรับหน่วยงานภาคเอกชนและการติดตามตรวจสอบการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วน บุคคล (PDPA Audit for Private Sector) ประกอบด้วยรายละเอียดอย่างน้อย ดังนี้ Systems Description,
6 -
Use Case Diagram, Use Case Specification, ER Diagram, Data Dictionary, Sequence Diagram, Data Flow Diagram, User Interface (UI) โดยมีระบบงานอย่างน้อย ดังนี้
๔.๓.๑. ระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities : RoPA) สำหรับหน่วยงานภาคเอกชน รองรับตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. ๒๕๖๒
๔.๓.๒. ระบบบริหารจัดการความยินยอม (Consent Management) และระบบจัดการคุกกี้ แบนเนอร์ (Cookies Consent Management : CKCM) รองรับตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
๔.๓.๓. ระบบจัดการคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request : DSAR) รองรับตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ๔.๓.๔. ระบบจัดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification Management : DBNM) รองรับตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ๔.๔.พัฒนาแพลตฟอร์มเพื่อสนับสนุนการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับ ภาคเอกชน โดยมีรายละเอียดอย่างน้อย ดังนี้
โดยการพัฒนาแพลตฟอร์มรองรับกฎหมาย PDPA สำหรับหน่วยงานเอกชน (PDPA Platform for Private Sector) เพื่อเป็นเครื่องมืออำนวยความสะดวกและช่วยสนับสนุนการดำเนินการด้านการคุ้มครอง ข้อมูลส่วนบุคคลให้กับหน่วยงานภาคเอกชนที่สอดคล้องกับเกณฑ์ เงื่อนไข ตามที่พระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒ และสอดคล้องกับมาตรฐานสากล
โดยแพลตฟอร์มที่จะพัฒนานั้น จะอิงตามหลักการของระบบนิเวศซอฟต์แวร์ (Software Ecosystems : SECO) ซึ่งจะประกอบด้วย ซอฟต์แวร์ระบบปฏิบัติการ ซอฟต์แวร์ระบบควบคุมโปรแกรม ประยุกต์ ซอฟต์แวร์ระบบฐานข้อมูลซึ่งซอฟต์แวร์อื่นๆ มาทำงานบูรณาการร่วมกันและต่อเชื่อมกันระบบอื่นๆ หรือแพลตฟอร์มอื่นกลายเป็น Software Ecosystem เนื่องด้วยการพัฒนาแพตฟอร์มขึ้นมาจะต้องใช้ Software หลากหลายชนิดเพื่อจะได้ทำให้การดำเนินธุรกิจได้สมบูรณ์อีกทั้งถ้ามีการแจกจ่ายแพลตฟอร์มให้กับ บุคคลอื่นได้นำไปใช้งานจึงจำเป็นต้องใช้เงินลงทุนค่าลิขสิทธิ์ Software ที่เกี่ยวข้องเป็นจำนวนมากทำให้ไม่ สามารถควบคุมค่าใช้จ่ายในการพัฒนาแพลตฟอร์มได้ จึงจำเป็นต้องนำซอฟต์แวร์แบบโอเพนซอร์ส (Open source software : OSS) มาเป็นองค์ประกอบการพิจารณา Open Source Software Ecosystems ในการพัฒนาระบบงานแพลตฟอร์ม ซึ่งจะใช้ทรัพยากรโครงสร้างพื้นฐานจากระบบคลาวด์กลางภาครัฐ (Government Data Center And Cloud Service : GDCC) เนื่องจาก GDCC เป็นระบบกลางใน การให้บริการ Cloud Service สำหรับหน่วยงานภาคเอกชนที่มีมาตรฐานและปลอดภัยอีกทั้งแพลตฟอร์มที่จะ พัฒนาขึ้นนี้ยังมีการอิงตามหลักการออกแบบของแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมาย คุ้มครองข้อมูลส่วนบุคคล (Government Platform for PDPA Compliance: GPPC) เพื่อเป็นการต่อยอด แพลตฟอร์มภาครัฐฯ และประยุกต์ใช้งานอย่างคุ้มค่า มีประสิทธิภาพสูงสุด และเกิดประโยชน์สูงสุดต่อ หน่วยงานและประชาชนทั่วไปโดยมี Software Architecture ดังภาพ
7 -

ภาพรวมของแพลตฟอร์มรองรับกฎหมาย PDPA สำหรับหน่วยงานเอกชน ประกอบด้วย ๔ ระบบ ดังนี้
๔.๔.๑. คุณสมบัติทั่วของแพลตฟอร์มภาคเอกชน โดยมีรายละเอียดอย่างน้อย ดังนี้ ๔.๔.๑.๑. แพลตฟอร์มภาคเอกชน ที่พัฒนาขึ้นต้องพัฒนาในรูปแบบ Web Application มีโครงสร้างสถาปัตยกรรมแบบ Microservice และมี API สำหรับเชื่อมต่อกับระบบงานต่าง ๆ โดยทุกระบบต้องประกอบด้วยระบบหน้าบ้าน (Front-End) และระบบหลังบ้าน (Back-End) โดยเป็นการ พัฒนาบนพื้นฐานหลักการโอเพนซอร์ส (Open Source) แบบต่อยอดจากโครงการพัฒนาแพลตฟอร์มภาครัฐ เพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Government Platform PDPA for Compliance: GPPC) ดังนี้
๔.๔.๑.๑.๑. ระบบหน้าบ้าน (Front-End) ต้องพัฒนาบนพื้นฐาน
หลักการโอเพนซอร์ส (Open Source) แบบต่อยอด และอนุญาตให้หน่วยงานภาคเอกชนต่าง ๆ สามารถนำไป แก้ไขดัดแปลงได้ภายใต้เงื่อนไขที่กำหนดเพื่อความเหมาะสมของการใช้งาน โดยมีคุณสมบัติอย่างน้อย ดังนี้ ๑) เปิดเผยซอร์สโค้ด (source code) ที่พัฒนาโดยใช้ Javascript
หรือ Typescript Based Framework เช่น React เป็นต้น
๒) สามารถเชื่อมต่อโดยใช้ API กับระบบหลังบ้านได้
๓) สามารถใช้งานบนเว็ปบราวเซอร์ ที่เป็นปัจจุบัน ดังนี้ Chrome,
Safari, Microsoft Edge, Firefox และ Samsung Internet

8 -
๔) สามารถรับและแสดงผลข้อมูลเป็นภาษาไทยและภาษาอังกฤษได้
๕) สามารถทำงานบนมาตรฐาน SMTP เพื่อทำการส่งจดหมาย
อิเล็กทรอนิกส์ที่จำเป็นต่อการใช้งานได้
๔.๔.๑.๑.๒. ระบบหลังบ้าน (Back-End) มีคุณสมบัติอย่างน้อย ดังนี้
๑) สามารถรับข้อมูลเป็นภาษาไทยและภาษาอังกฤษได้
๒) สามารถทำงานบนมาตรฐาน SMTP เพื่อทำการส่งจดหมาย
อิเล็กทรอนิกส์ที่จำเป็นต่อการใช้งานได้
๔.๔.๑.๑.๓. รองรับจำนวนผู้ใช้งานได้ไม่น้อยกว่า ๑,๐๐๐ ผู้ใช้งาน
๔.๔.๑.๑.๔. ระบบหน้าบ้านและระบบหลังบ้านของแพลตฟอร์มฯ
ต้องสามารถทำงานบน Virtual Machines ของ GDCC (Government Data Center and Cloud Services) และระบบปฏิบัติการ (OS) ที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ใช้สำหรับแพลตฟอร์มภาครัฐ เพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Government Platform for PDPA Compliance: GPPC) เพื่อเป็นการต่อยอดแพลตฟอร์มภาครัฐฯ
๔.๔.๑.๑.๕. มีซอฟต์แวร์ระบบบริหารจัดการ Container
Technology แบบ Kubernetes ในการบริหารจัดการแพลตฟอร์มภาคเอกชน ที่มีคุณสมบัติอย่างน้อย ดังนี้ ๑) เป็น Kubernetes application platform สำหรับองค์กร
๒) สนับสนุนมาตรฐานคอนเทนเนอร์ตามมาตรฐาน Open
Container Initiative (OCI) และเป็น Cloud Native Computing Foundation (CNCF) certified Kubernetes
๓) เป็นแพลตฟอร์มที่สามารถพัฒนาติดตั้งบนโครงสร้างพื้นฐานที่
หลากหลายได้แก่ VMware vSphere, OpenStack, AWS, Microsoft Azure, Google Cloud และAlibaba เป็นอย่างน้อย
๔) มีอิมเมจเริ่มต้น (Base Image) ที่รับรองมาตรฐาน OCI และได้รับ
การสนับสนุนจากเจ้าของผลิตภัณฑ์
๕) มีระบบปฏิบัติการ Enterprise Linux ที่มีจุดประสงค์เป็น
ระบบปฏิบัติการสำหรับ container เพียงอย่างเดียวและไม่ให้ปรับแต่งได้ (controlled immutability) ๖) รองรับการใช้งานผ่าน Web Console โดยมีมุมมองสำหรับ
นักพัฒนา (Developer) และผู้ดูแลระบบ (Administrator)
๗) มีเครื่องมือทำCI/CD ที่เป็น Kubernetes-native
๘) เอกสารรับรองการสนับสนุนการให้บริการจากเจ้าของผลิตภัณฑ์
หรือสาขาเจ้าของผลิตภัณฑ์ในประเทศไทย หรือตัวแทนจำหน่ายในประเทศไทยสำหรับโครงการนี้และ มีเอกสารยืนยันในวันยื่นข้อเสนอ
๔.๔.๑.๑.๖. มีการเชื่อมโยงแพลตฟอร์มภาคเอกชน โดยหน่วยงาน
สามารถเชื่อมโยงกับแพลตฟอร์มภาคเอกชน เพื่อเข้าใช้งานได้ ๒ รูปแบบ ดังนี้
๑) รูปแบบการเชื่อมโยงด้วยการเพิ่ม Script ในเว็บไซต์ของหน่วยงาน
๒) รูปแบบการเชื่อมโยงด้วยการใช้ Application Programming
Interface (API) เพื่อการทำงานร่วมกับ Workflow ต่าง ๆ ของหน่วยงาน เช่น เว็บไซต์, Mobile Application หรือระบบอื่น ๆ
9 -
๔.๔.๑.๒. จัดให้มีระบบบริหารจัดการข้อมูลหน่วยงาน (Organization Management
Module) ดังนี้
๔.๔.๑.๒.๑.มีระบบหน้าบ้าน อย่างน้อยดังนี้
๑) มีระบบบริหารจัดการข้อมูลหน่วยงาน (Organization Management
Module) สำหรับให้หน่วยงานภาคเอกชน โดยมีรายละเอียดดังนี้
(๑) รองรับการบริหารจัดการข้อมูลหน่วยงานภายในระบบโดยไม่
เข้าถึงข้อมูลส่วนบุคคล และข้อมูลอ่อนไหวของหน่วยงานนั้น ๆ
(๒) มีช่องทางให้หน่วยงานสามารถลงทะเบียนขอเข้าใช้งานระบบแพลตฟอร์ม
(๓) มีการแสดงผลเอกสารทางกฎหมายเกี่ยวกับการใช้งานระบบใน
การลงทะเบียน ประกอบด้วย เงื่อนไขการให้บริการ (Terms of Service) และประกาศความเป็นส่วนตัว (Privacy Notice) เป็นอย่างน้อย
(๔) มีชุดคำถามเพื่อการประเมินขนาดของกิจการตามคุณลักษณะของ
วิสาหกิจขนาดกลางและขนาดย่อม หรือหน่วยงานที่เป็นภาคเอกชนทั่วไป ตามเงื่อนไขของกฎกระทรวงกำหนด ลักษณะของวิสาหกิจขนาดกลางและขนาดย่อม พ.ศ. 2562 ดังตารางด้านล่าง และตามประเภทของกลุ่ม อุตสาหกรรมของหน่วยงานเอกชน ทั้งนี้ หน่วยงานดังกล่าวสามารถแก้ไขเพิ่มเติมคุณลักษณะของกิจการ ภายหลังได้หากมีการเปลี่ยนแปลง

ที่มา: กฎกระทรวงกำหนดลักษณะของวิสาหกิจขนาดกลางและขนาดย่อม พ.ศ. ๒๕๖๒
(๕) มีช่องทางให้ผู้ดูแลแพลตฟอร์ม สามารถตรวจสอบและยืนยัน
ข้อมูลการลงทะเบียนของหน่วยงาน โดยสามารถอนุมัติ หรือปฏิเสธการขอใช้บริการของหน่วยงานได้ (๖) สามารถแสดงผลข้อมูลในรูปแบบ Dashboard และกราฟ
แสดงข้อมูลทางสถิติ โดยแสดงข้อมูลหน่วยงานที่ใช้งาน หน่วยงานที่สมัครเข้าร่วมใช้งานระบบ ได้เป็นอย่างน้อย (๗) สามารถจัดทำรายงานสรุปการดำเนินการของระบบบริหาร
จัดการข้อมูลหน่วยงาน โดยสามารถออกรายงานในรูปแบบไฟล์ประเภทต่าง ๆ ได้แก่ PDF File โดยสามารถ กำหนดช่วง หรือระยะเวลาการออกรายงานได้
(๘) เมื่อหน่วยงานเอกสารได้รับการอนุมัติเข้าร่วมโครงการระบบ
ต้องมีชุดคำถามเพื่อประเมินหน่วยงานภาคเอกชน โดยแบ่ง ชุดคำถามเพื่อประเมินกิจกรรมที่มีการประมวลผล ข้อมูลส่วนบุคคลอ่อนไหว การประเมินกิจกรรมที่มีการส่งหรือโอนข้อมูลไปยังต่างประเทศหรือการประเมิน กิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่มีการประมวลผลข้อมูลจำนวนมากเป็นอย่างน้อยเพื่อให้ระบบแสดง

10 -
คำแนะนำและแนวทางในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลต่อไป โดยหน่วยงานภาคเอกชน สามารถอัพโหลดหลักฐานประกอบกับคำถามที่เกี่ยวข้องในแต่ละข้อได้
(๙) ผู้ดูแลระบบ (สคส.) สามารถกำหนดคะแนนของคำถามแต่ละข้อได้
(๑๐) ผู้ดูแลระบบ (สคส.) สามารถกำหนดสูตรคำนวณคะแนนในแต่
ละกลุ่มคำถาม เช่น การบวก ลบ คูณ หรือ หาร จากคะแนนของคำถามในแต่ละข้อได้ (๑๑) ผู้ดูแลระบบ (สคส.) สามารถกำหนดเกณฑ์คะแนนในแต่ละ
กลุ่มคำถามรวมไปถึงเกณฑ์คะแนนรวมเพื่อใช้เป็นผลการประเมินการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วน บุคคลของหน่วยงานภาคเอกชนได้
๒) มี API สำหรับเชื่อมต่อระบบหน้าบ้านและระบบหลังบ้าน
๔.๔.๑.๒.๒. มีระบบหลังบ้าน ดังนี้
๑) ระบบบริหารจัดการข้อมูลหน่วยงาน (Organization Management
Module) สำหรับให้หน่วยงานภาคเอกชน โดยมีรายละเอียดดังนี้
(๑)รองรับการบริหารจัดการข้อมูลหน่วยงานภายในระบบโดยไม่เข้าถึง
ข้อมูลส่วนบุคคล และข้อมูลอ่อนไหวของหน่วยงานนั้น ๆ
(๒) มีช่องทางให้หน่วยงาน สามารถลงทะเบียนขอเข้าใช้งานระบบแพลตฟอร์ม
(๓)รองรับการแสดงผลเอกสารทางกฎหมายเกี่ยวกับการใช้งานระบบ
ในการลงทะเบียน ประกอบด้วย เงื่อนไขการให้บริการ (Terms of Service) ข้อตกลงการประมวลผลข้อมูล ส่วนบุคคล (Data Processing Agreement) ประกาศความเป็นส่วนตัว (Privacy Notice) เป็นอย่างน้อย (๔)มีชุดคำถามเพื่อ การประเมินขนาดของกิจการตามคุณลักษณะของ
วิสาหกิจขนาดกลางและขนาดย่อม หรือหน่วยงานที่เป็นภาคเอกชนทั่วไป ตามเงื่อนไขของกฎกระทรวงกำหนด ลักษณะของวิสาหกิจขนาดกลางและขนาดย่อม พ.ศ. 2562 ดังตารางด้านล่าง และตามประเภทของกลุ่ม อุตสาหกรรมของหน่วยงานเอกชน ทั้งนี้ หน่วยงานดังกล่าวสามารถแก้ไขเพิ่มเติมคุณลักษณะของกิจการ ภายหลังได้หากมีการเปลี่ยนแปลง ให้เหมาะสมกับลักษณะของกิจการ

11 -
(๖) สามารถแสดงผลข้อมูลในรูปแบบ Dashboard และกราฟ
แสดงข้อมูลทางสถิติ โดยแสดงข้อมูลหน่วยงานที่ใช้งาน หน่วยงานที่สมัครเข้าร่วมใช้งานระบบ ได้เป็นอย่างน้อย (๗) สามารถจัดทำรายงานสรุปการดำเนินการของระบบบริหาร
จัดการข้อมูลหน่วยงาน โดยสามารถออกรายงานในรูปแบบไฟล์ประเภทต่าง ๆ ได้แก่ PDF File โดยสามารถ กำหนดช่วง หรือระยะเวลาการออกรายงานได้
(๘) เมื่อหน่วยงานเอกสารได้รับการอนุมัติเข้าร่วมโครงการระบบ
ต้องมีชุดคำถามเพื่อประเมินหน่วยงานภาคเอกชน โดยแบ่ง ชุดคำถามเพื่อประเมินกิจกรรมที่มีการประมวลผล ข้อมูลส่วนบุคคลอ่อนไหว การประเมินกิจกรรมที่มีการส่งหรือโอนข้อมูลไปยังต่างประเทศ หรือ การประเมิน กิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่มีการประมวลผลข้อมูลจำนวนมากเป็นอย่างน้อย เพื่อให้ระบบ แสดงคำแนะนำและแนวทางในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลต่อไป โดยหน่วยงาน ภาคเอกชน สามารถอัพโหลดหลักฐานประกอบกับคำถามที่เกี่ยวข้องในแต่ละข้อได้
(๑) ผู้ดูแลระบบ (สคส.) สามารถกำหนดคะแนนของคำถาม
แต่ละข้อได้
(๒) ผู้ดูแลระบบ (สคส.) สามารถกำหนดสูตรคำนวณคะแนน
ในแต่ละกลุ่มคำถาม เช่น การบวก ลบ คูณ หรือ หาร จากคะแนนของคำถามในแต่ละข้อได้ (๓) ผู้ดูแลระบบ (สคส.) สามารถกำหนดเกณฑ์คะแนนในแต่
ละกลุ่มคำถาม รวมไปถึงเกณฑ์คะแนนรวม เพื่อใช้เป็นผลการประเมินการปฏิบัติตามกฎหมายคุ้มครองข้อมูล ส่วนบุคคลของหน่วยงานภาคเอกชนได้
(๔) ผู้ดูแลระบบ (สคส.) สามารถมอบหมายให้ผู้ตรวจสอบ
(Auditor / Certified Bodies) เข้ามาตรวจและวิเคราะห์ผลการประเมินตนเองของหน่วยงานภาคเอกชน ๒) มี API สำหรับเชื่อมต่อระบบหน้าบ้านและระบบหลังบ้าน
๔.๔.๑.๓. จัดให้มีระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วน
บุคคล (Records of Processing Activities Management) สำหรับหน่วยงานภาคเอกชน เพื่อรองรับตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ โดยมีรายละเอียดอย่างน้อย ดังนี้ ตามมาตรา ๓๙ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. ๒๕๖๒ กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล ส่วนบุคคล Records of Processing Activities หรือ (ROPA) ซึ่งถือเป็นหน้าที่ของผู้ควบคุมข้อมูลที่จะต้อง กระทำเพื่อแสดงให้เห็นถึงการประมวลผลข้อมูลส่วนบุคคลภายในหน่วยงานนั้นๆ ซึ่งไม่ว่าผู้ควบคุมข้อมูล ส่วนบุคคลจะประมวลผลข้อมูลส่วนบุคคลอะไร ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นที่จะต้องอธิบายให้ได้ถึง วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล ถ้าหากผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถอธิบายถึงเหตุผล ในการประมวลผลได้ อาจถือว่าเป็นการประมวลผลที่ไม่ถูกต้องตามพระราชบัญญัติฉบับนี้ได้ อีกทั้งมาตรา ๔๐ วรรคหนึ่ง (๓) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ กำหนดให้ผู้ประมวลผลข้อมูล ส่วนบุคคลมีหน้าที่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
เช่นเดียวกันประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องการยกเว้นการบันทึกรายการของผู้ควบคุม ข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. ๒๕๖๕ ซึ่งแม้จะยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูล ส่วนบุคคลของผู้ควบคุมข้อมูลซึ่งเป็นกิจการขนาดเล็ก แต่อย่างไรก็ตาม หน่วยงานซึ่งมีบทบาทเป็น
12 -
ผู้ประมวลผลข้อมูลส่วนบุคคลและเป็นผู้ควบคุมข้อมูลซึ่งเป็นกิจการขนาดเล็ก ยังคงมีหน้าที่ต้องจัดทำเอกสาร ทางกฎหมาย และจัดทำการบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หากมีการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล ส่วนบุคคล ดังนั้น ระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (RoPA) จะมีการตรวจสอบใน เบื้องต้น (Self-Assessment) เพื่อประโยชน์สำหรับหน่วยงานที่เป็นกิจการขนาดเล็กในการจัดทำการบันทึก รายการของผู้ควบคุมข้อมูลส่วนบุคคลเพื่อจัดสรรชุดคำถามที่เหมาะสมกับหน่วยงานที่เป็นกิจการขนาดเล็ก ในแบบอัตโนมัติ (Automate RoPA Generation) โดยระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูล ส่วนบุคคล มีแนวคิดการออกแบบ ดังนี้

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องทำ การบันทึกการข้อมูล ดังต่อไปนี้

วัตถุประสงค์ของการใช้ข้อมูลส่วนบุคคล กล่าวคือ จะมีการนำข้อมูลส่วนบุคคลไปใช้ใน กิจกรรมใดบ้าง เช่น เพื่อปฏิบัติตามสัญญา เพื่อการโฆษณา เป็นต้น
แหล่งที่มาของข้อมูลจัดเก็บรวบรวมข้อมูลส่วนบุคคลและวิธีการในการได้มาซึ่งข้อมูลส่วน บุคคล เช่น มีการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลโดยตรง (เก็บข้อมูลทางตรง) หรือแหล่งอื่นๆ ที่ไม่ใช้เจ้าของข้อมูลส่วนบุคคล (เก็บข้อมูลทางอ้อม) และมีการได้มาในรูปแบบของอิเล็กทรอนิกส์ หรือจากการสอบถาม เป็นต้น
การจัดเก็บข้อมูลส่วนบุคคล กล่าวคือ มีการเก็บข้อมูลไว้ในรูปแบบใดและมีการเก็บไว้รูปแบบ ใด เช่น มีการจัดเก็บในระบบเซิร์ฟเวอร์ของหน่วยงานหรือถ่ายเอกสาร เป็นต้น
การใช้ข้อมูลส่วนบุคคล กล่าวคือ ข้อมูลส่วนบุคคลถูกนำไปใช้ตามวัตถุประสงค์อย่างไร และใครบ้างที่สามารถใช้ข้อมูลส่วนบุคคลได้
การโอนข้อมูลส่วนบุคคล กล่าวคือ มีการส่งออกข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก เช่น Outsource หรือไม่ หรือมีการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือไม่
13 -
การทำลายข้อมูลส่วนบุคคล กล่าวคือ ผู้ควบคุมข้อมูลจะต้องอธิบายให้ได้ถึงวิธีการในการ ทำลายข้อมูลส่วนบุคคล รวมถึงระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลก่อนที่จะถูกนำมาทำลาย - บันทึกรายการรายละเอียดความปลอดภัยของข้อมูล
บันทึกถึงรายการเข้ารหัสของข้อมูลส่วนบุคคล กล่าวคือ จะต้องมีการบันทึกว่าในการที่จะ เข้าถึงข้อมูลส่วนบุคคลนั้นผู้ควบคุมข้อมูลจะต้องมีการเข้ารหัสในการเข้าถึงข้อมูลส่วนบุคคลหรือไม่ เป็นการเข้ารหัสแบบใด
ระบบรับรองเมื่อมีข้อมูลรั่วไหล กล่าวคือ จะต้องมีการบันทึกถึงการรั้วไหลของข้อมูลและ รายละเอียดของระบบรับรองเมื่อมีข้อมูลรั่วไหล
ระบบสำรองข้อมูล
กระบวนการรองรับสิทธิของข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดไว้
และเพื่อให้ครอบคลุมมาตรา ๔๐ วรรคหนึ่ง (๓) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องการยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูล ส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. ๒๕๖๕ ระบบรองรับการจัดทำบันทึกรายการของกิจกรรมการ ประมวลผลข้อมูลส่วนบุคคล ตามมาตรฐานของกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูล ส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก
นอกจากนี้ เพื่อเพิ่มประสิทธิภาพในการจัดทำ ROPA ผู้ควบคุมข้อมูลยังจะต้องมีการจัดทำ ROPA Management System, Risk Assessment และ ROPA Report ประกอบกับการจัดทำ ROPA ด้วย
ROPA Management System ผู้ควบคุมข้อมูลจะต้องจัดให้มีระบบการจัดการ ROPA ที่สามารถจะตรวจสอบความถูกต้องของ ROPA และอัพเดตรายการกิจกรรมการประมวลผลได้อย่างทันที - Risk Assessment การประเมินความเสี่ยงเบื้องต้นที่อาจเกิดขึ้นกับข้อมูลส่วนบุคคลได้ โดยประเมินจาก “ความน่าจะเป็น” ที่ความเสี่ยงนั้นอาจเกิดขึ้นจากบ่อเกิดของความเสี่ยงต่าง ๆ ทั้งภายใน องค์กรและภายนอกองค์กร เช่น การเข้าถึงระบบโดยมิชอบหรือการดัดแปลข้อมูลส่วนบุคคล เป็นต้น และประเมินความเสี่ยงจาก “ความร้ายแรง” หากความเสี่ยงนั้นเกิดขึ้น ไม่ว่าจะเป็นความร้ายแรงต่อร่างกาย จิตใจ ชื่อเสียงหรือความเสียหายทางเศรษฐกิจ
ROPA Report ผู้ควบคุมข้อมูลจะต้องจัดให้มีการทำรายงานบันทึกรายการกิจกรรมการ ประมวลผลข้อมูลส่วนบุคคลขึ้น ซึ่งในรายงานจะต้องประกอบด้วยข้อมูลการประมวลผลจาก ROPA ตามมาตรา ๓๙ รวมถึง Risk Assessment มารวบรวมและจัดทำเป็นรูปแบบของรายงานไม่ว่าจะเป็นใน รูปแบบหนังสือหรืออิเล็กทรอนิกส์
มาตรา ๓๙ ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงาน สามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
(๑) ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
(๒) วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
14 -
(๓) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
(๔) ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
(๕) สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและ เงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
(๖) การใช้หรือเปิดเผยตามมาตรา ๒๗ วรรคสาม
(๗) การปฏิเสธคำขอหรือการคัดค้านตามมาตรา ๓๐ วรรคสาม มาตรา ๓๑ วรรคสาม มาตรา ๓๒ วรรคสาม และ มาตรา ๓๖ วรรคหนึ่ง
(๘) คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา ๓๗ (๑)
ความในวรรคหนึ่งให้นำมาใช้บังคับกับตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา ๕ วรรคสอง โดยอนุโลม ความใน (๑) (๒) (๓) (๔) (๕) (๖) และ (๘) อาจยกเว้นมิให้นำมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาด เล็กตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด เว้นแต่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความ เสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือมิใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลเป็นครั้งคราว หรือมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๒๖

๔.๔.๑.๓.๑. มีระบบหน้าบ้าน อย่างน้อยดังนี้
๑) สามารถบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคลพร้อมรายละเอียด
ได้ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
๒) สามารถจัดทำชุดคำถามฉบับมาตรฐาน สำหรับหน่วยงานภาคเอกชน
เป้าหมายเฉพาะ (วิสาหกิจรายย่อย วิสาหกิจขนาดย่อม และวิสาหกิจขนาดกลาง)
๓) สามารถตรวจสอบและดึงข้อมูลชุดคำถามจากรายการกิจกรรมใน
ระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities Management) ของแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GPPC) ในปัจจุบันเพื่อเตรียมพัฒนาต่อยอดเป็นชุดคำถามสำหรับหน่วยงานภาคเอกชน โดยแบ่งกลุ่มชุดคำถามตาม ลักษณะขนาดของธุรกิจ และประเภทของกลุ่มธุรกิจ
๔) สามารถบันทึกรายการประมวลผลข้อมูลส่วนบุคคลและดาวน์โหลด
บันทึกรายการประมวลผลข้อมูลส่วนบุคคลฉบับย่อเพื่อให้เจ้าของข้อมูลส่วนบุคคลและ สคส. สามารถ ตรวจสอบเมื่อมีการร้องขอในทุกกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลได้
๕) สามารถเก็บข้อมูลที่เกี่ยวข้องกับ Data Subjects, Plls, Legal Basis
ได้ โดยสามารถเพิ่มชนิดและรายละเอียดที่จำเป็นของเจ้าของข้อมูลส่วนบุคคล (Data Subject) และข้อมูล ส่วนบุคคล (Personally Identifiable Information, PII) รวมถึงสามารถกำหนด Legal Basis ของแต่ละ กิจกรรมได้ (มากกว่า ๑ กิจกรรม)
๖) สามารถตรวจสอบกิจกรรมการส่งข้อมูลไปยังต่างประเทศ (Cross
border Transfer) โดยต้องสามารถตรวจสอบกิจกรรมที่มีการส่งข้อมูลไปต่างประเทศ ทั้งในประเทศ ใน สหภาพยุโรป สหรัฐอเมริกา และประเทศอื่น ๆ ได้
๗) สามารถกำหนดรายการข้อมูลที่มีความเสี่ยง รวมถึงสามารถบันทึก
ประเภทความเสี่ยง ระดับความเสี่ยงของกระบวนงานที่จัดเก็บ การนําข้อมูลไปประมวลผล และการส่งข้อมูลได้ โดยสามารถบันทึกความเสี่ยงจากชุดคำถามในข้อมูลค่าตั้งต้นสินทรัพย์ในระบบการบันทึกรายการกิจกรรมใน ระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities

15 -
Management) สามารถทบทวนช่องว่างทางกฎหมายและบันทึกการปิดช่องว่างทางกฎหมายของแต่ละ กิจกรรมได้
๘) สามารถนําข้อมูลไปประมวลผล และบันทึกประเภทช่องว่างทาง
กฎหมาย และระดับความเสี่ยงของช่องว่างทางกฎหมาย ได้
๙) สามารถแสดงรายงานกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ได้แก่
สรุปการประมวลผล แยกตามแต่ละประเภทกิจกรรม และรายงานสรุป
ช่องว่างทางกฎหมายตามระดับความเสี่ยงที่รองรับการทบทวนความเสี่ยงและบันทึกการปิดความเสี่ยงของแต่ ละกิจกรรมได้
๑๐) สามารถจัดทำรายงานสรุป (Reports) และ Dashboard โดยมี
รายละเอียดอย่างน้อย ดังนี้
(๑) สามารถ Export รายงานเป็นไฟล์ประเภทต่าง ๆ ได้แก่ PDF File,
Excel/CSV File โดยสามารถกำหนดช่วงหรือระยะเวลาการออกรายงานทุกประเภทในภาพรวมได้เป็นรายวัน รายเดือนหรือตามช่วงเวลาที่กำหนด
(๒) สามารถเรียกดูและจัดพิมพ์รายงานสำหรับการบริหารในเชิงสถิติ
เปรียบเทียบในรูปแบบกราฟและสามารถกำหนดช่วงเวลาในการสืบค้นได้
(๓) สามารถจัดเก็บรายงาน (Archiving of Report) เพื่อใช้อ้างอิงใน
อนาคตได้
๑๑) สามารถบริหารจัดการระบบงานผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน โดยมี
รายละเอียดอย่างน้อย ดังนี้
(๑) สามารถสร้าง แก้ไข ยกเลิกผู้ใช้งานและ/หรือกลุ่มผู้ใช้งานได้
(๒) สามารถกำหนดบทบาท (Role) และกำหนดสิทธิ์ (Authority)
ของผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน ให้สามารถเข้าถึงข้อมูลและสิทธิ์ในการใช้งานระบบต่าง ๆ ตามบทบาทที่ กำหนดได้
(๓) สามารถกําหนดให้ระบบส่งข้อความแจ้งเตือนสถานะของการ
ดําเนินงานในแต่ละขั้นตอนให้ผู้เกี่ยวข้องตามที่หน่วยงานภาคเอกชนกำหนดได้
๔.๔.๑.๓.๒. มีระบบหลังบ้าน อย่างน้อยดังนี้
๑) สามารถเชื่อมต่อเพื่อรับข้อมูลบันทึกกิจกรรมประมวลผลข้อมูล
ส่วนบุคคล พร้อมรายละเอียดได้ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ๒) สามารถบันทึกรายการประมวลผลข้อมูลส่วนบุคคลและดาวน์โหลด
บันทึกรายการประมวลผลข้อมูลส่วนบุคคลฉบับย่อเพื่อให้เจ้าของข้อมูลส่วนบุคคลและ สคส. สามารถ ตรวจสอบเมื่อมีการร้องขอในทุกกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลได้ โดยมีระบบการเก็บข้อมูล การจัดทำตารางบันทึก และการประมวลผลในรูปแบบอิเล็กทรอนิกส์
๓) สามารถจัดทำชุดคำถามฉบับมาตรฐาน สำหรับหน่วยงานภาคเอกชน
เป้าหมายเฉพาะ (วิสาหกิจรายย่อย วิสาหกิจขนาดย่อม และวิสาหกิจขนาดกลาง)
๔) สามารถเก็บข้อมูลที่เกี่ยวข้องกับ Data Subjects, Plls, Legal Basis
ได้ โดยสามารถเพิ่มชนิดและรายละเอียดที่จำเป็นของเจ้าของข้อมูลส่วนบุคคล (Data Subject) และข้อมูล
16 -
ส่วนบุคคล (Personally Identifiable Information, PII) รวมถึงสามารถกำหนด Legal Basis ของแต่ละ กิจกรรมได้ (มากกว่า ๑ กิจกรรม)
๕) สามารถตรวจสอบกิจกรรมการส่งข้อมูลไปยังต่างประเทศ (Cross
border Transfer) โดยต้องสามารถตรวจสอบกิจกรรมที่มีการส่งข้อมูลไปต่างประเทศ ทั้งในประเทศ ในสหภาพยุโรป สหรัฐอเมริกา และประเทศอื่น ๆ ได้
๖) สามารถประมวลผลการกำหนดรายการข้อมูลที่มีความเสี่ยงรวมถึง
สามารถบันทึกประเภทความเสี่ยง ระดับความเสี่ยงของการกระบวนงานที่จัดเก็บ การนําข้อมูลไปประมวลผล และการส่งข้อมูลได้ โดยสามารถบันทึกความเสี่ยงจากชุดคำถามในข้อมูลค่าตั้งต้นสินทรัพย์ในระบบการบันทึก รายการกิจกรรมในระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities Management)
๗) สามารถทบทวนความเสี่ยงและบันทึกการปิดความเสี่ยงของแต่ละ
ประเภทกิจกรรมได้
๘) สามารถบันทึกประเภทความเสี่ยง ระดับความเสี่ยงของการกระบวนงาน
ที่จัดเก็บ การนําข้อมูลไปประมวลผล และการส่งข้อมูลได้
๙) สามารถเตรียมข้อมูลเพื่อแสดงรายงานกิจกรรมการประมวลผลข้อมูล
ส่วนบุคคล ได้แก่ สรุปการประมวลผล แยกตามแต่ละประเภทกิจกรรม และรายงานสรุปความเสี่ยงตามระดับ ความเสี่ยงที่รองรับการทบทวนความเสี่ยงและบันทึกการปิดความเสี่ยงของแต่ละประเภทกิจกรรมได้ ๑๐) สามารถประมวลผลเพื่อจัดทำรายงานสรุป (Reports) และ
Dashboard โดยระบบต้องสามารถจัดทำรายงานที่มีความสามารถอย่างน้อย ดังนี้
(๑) สามารถ Export รายงานเป็นไฟล์ประเภทต่าง ๆ ได้แก่ PDF File,
Excel/CSV File โดยสามารถกำหนดช่วงหรือระยะเวลาการออกรายงานทุกประเภทในภาพรวมได้เป็นรายวัน รายเดือน หรือตามช่วงเวลาที่กำหนด
(๒) สามารถประมวลผลเพื่อจัดทำรายงานสำหรับการบริหารในเชิง
สถิติเปรียบเทียบในรูปแบบกราฟ และสามารถกำหนดช่วงเวลาในการสืบค้นได้
(๓) สามารถจัดเก็บรายงาน (Archiving of Report) เพื่อใช้อ้างอิงใน
อนาคตได้
๑๑) สามารถบริหารจัดการระบบงานผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน
โดยมีรายละเอียดอย่างน้อย ดังนี้
(๑) สามารถสร้าง แก้ไข ยกเลิกผู้ใช้งานและ/หรือกลุ่มผู้ใช้งานได้
(๒) สามารถกำหนดบทบาท (Role) และกำหนดสิทธิ์ (Authority)
ของผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน ให้สามารถเข้าถึงข้อมูลและสิทธิ์ในการใช้งานระบบต่าง ๆ ตามบทบาทที่ กำหนดได้
(๓) สามารถกําหนดให้ระบบส่งข้อความแจ้งเตือนสถานะของการ
ดําเนินงานในแต่ละขั้นตอนให้ผู้เกี่ยวข้องตามที่หน่วยงานภาคเอกชนกำหนดได้
๔.๔.๑.๓.๓. มี API สำหรับเชื่อมต่อระบบหน้าบ้านและระบบหลังบ้าน
17 -
๔.๔.๑.๔. จัดให้มีระบบบริหารจัดการความยินยอม (Consent
Management) รองรับตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ประกอบด้วย ๒ ระบบ ดังนี้ ตามมาตรา ๑๙ ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. ๒๕๖๒ กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้ ดังนั้นการให้ความยินยอม (Consent) ถือเป็นสิ่งที่ สำคัญมากที่ผู้ควบคุมข้อมูลจำเป็นต้องให้ความสำคัญและปฏิบัติตาม ถ้าหากว่าผู้ควบคุมข้อมูลส่วนบุคคล ทำการฝ่าฝืนประมวลผลข้อมูลส่วนบุคคลโดยที่ไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก็อาจมี
ความผิดและได้รับโทษตามพระราชบัญญัติฉบับนี้ได้โดยระบบบริหารจัดการความยินยอม จะมีการจัดทำ รูปแบบเอกสารทางกฎหมาย (Template legal document) การให้ความยินยอมที่เหมาะสมกับวัตถุประสงค์ ของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับหน่วยงานภาคเอกชนที่เป็นมาตรฐานมาให้เลือกใช้ โดยระบบบริหารจัดการความยินยอมมีแนวคิดการออกแบบ ดังนี้

แพลตฟอร์ม

18 -
เมื่อได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลต้องจัดให้มี Consent Management หรือ ระบบบริหารจัดการความยินยอม ซึ่งถือจะเป็นระบบหรือกระบวนการสำหรับการ สอบถามความยินยอมจากเจ้าของข้อมูลส่วนบุคคลว่าจะให้ความยินยอมแก่ผู้ควบคุมข้อมูลในการประมวลผล ข้อมูลส่วนบุคคลใดบ้างบนแพลตฟอร์มดิจิทัล เพื่อที่จะทำให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบว่าเจ้าของข้อมูล ส่วนบุคคลได้ให้ความยินยอมหรือถอนความยินยอมในการประมวลผลโดยทันทีและตลอดเวลา เช่น ถ้าเกิดว่า เจ้าของข้อมูลทำการถอนความยินยอมเมื่อไหร่ ระบบประมวลผลจะต้องทำการหยุดประมวลผลข้อมูล ส่วนบุคคล พร้อมกับแจ้งไปยังผู้ควบคุมข้อมูลและเจ้าของข้อมูลทราบทันทีโดย Consent Management จะประกอบด้วย Consent Form Generator และ Cookie Consent Management (ระบบแจ้งเตือนและ ขอความยินยอมในการเก็บ Cookie)

ในการจัดทำระบบบริหารจัดการความยินยอม (Consent Management) เพื่อใช้ในการขอ ความยินยอมจากเจ้าของข้อมูลในการเก็บรวบรวม จัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูล จะต้องทำการแจ้งเจ้าของข้อมูลถึงวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลพร้อมจัดให้การขอความ ยินยอมผ่านทาง Consent Form Generator และ Cookie Consent Management ดังต่อไปนี้ - ความยินยอมจะต้องมีการขอก่อนที่จะมีการประมวลผลข้อมูลส่วนบุคคลเกิดขึ้นเจ้าของข้อมูล ส่วนบุคคลจะต้องให้ความยินยอมก่อนที่จะมีการประมวลผลมิเช่นนั้นจะไม่สามารถรวบรวม จัดเก็บ เปิดเผย ไม่สามารถที่จะขอความยินยอมภายหลังจากที่มีการประมวลผลแล้ว

ต้องมีการแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลโดยชัดแจ้ง ผู้ควบคุมข้อมูล จะต้องมีการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงการประมวลผลของข้อมูลส่วนบุคคลให้ชัดเจนและเจาะจง โดยเฉพาะโดยผู้ควบคุมข้อมูลมีหน้าที่จะต้องมีการแจ้งข้อมูลส่วนบุคคลที่จะใช้ในการประมวลผลและ วัตถุประสงค์ในการประมวลผล
ความยินยอมจะต้องชัดเจนไม่คลุมเครือ การขอความยินยอมจะต้องใช้ภาษาที่เข้าใจง่ายและ ไม่เป็นการหลอกลวงเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลจะต้องมีการออกแบบ Consent Form Generator และ Cookie Consent Management ที่มีช่องให้เจ้าของข้อมูลให้ความยินยอมได้อย่างชัดเจน (Clear affirmative action) โดยต้องไม่เป็นความยินยอมในลักษณะที่มีการกำหนดไว้ล่วงหน้า และเจ้าของ ข้อมูลส่วนบุคคลจะต้องสมัครใจที่จะให้ความยินยอมด้วย นอกจากนี้ ผู้ควบคุมข้อมูลจะต้องมีการบันทึกความ ยินยอมดังกล่าวไว้ด้วย ทั้งนี้ ข้อมูลส่วนบุคคลชุดเดียวกันที่ใช้ในการประมวลผลในวัตถุประสงค์เดียวกัน สามารถที่จะรวมอยู่ในความยินยอมครั้งเดียวกันได้ แต่ถ้าใช้ในการประมวลผลคนละวัตถุประสงค์ก็จะต้องแจ้ง แยกออกจากกันให้ชัดเจน
19 -
ความยินยอมจะต้องแยกออกจากข้อความอื่นอย่างชัดเจน การขอความยินยอมจะต้องไม่เป็น ส่วนหนึ่งของเงื่อนไขในการให้บริการ และจะต้องแยกส่วนกับเงื่อนไขในการใช้บริการ โดยต้องไม่ทำให้เจ้าของ ข้อมูลส่วนบุคคลสับสนว่าถ้าไม่ได้ให้ความยินยอมก็จะไม่ได้รับบริการ
เจ้าของข้อมูลส่วนบุคคลจะต้องถอนความยินยอมได้ กล่าวคือ เจ้าของข้อมูลส่วนบุคคล สามารถที่จะสมัครใจถอนความยินยอมเมื่อไหร่ก็ได้ และการถอนความยินยอมนั้นจะต้องทำได้ง่ายเช่นเดียวกับ การให้ความยินยอม และผู้ควบคุมข้อมูลจะต้องมีหน้าที่ในการแจ้งเจ้าของข้อมูลส่วนบุคคลถึงผลกระทบในการ ถอนความยินยอมนั้นด้วย
มาตรา ๑๙ วรรคแรกผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้
การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน บุคคลไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษา ที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว ทั้งนี้ คณะกรรมการจะให้ผู้ควบคุมข้อมูลส่วน บุคคลขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามแบบและข้อความที่คณะกรรมการประกาศกำหนดก็ได้
ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคล ในการให้ความยินยอม ทั้งนี้ในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น
เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิ ในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กำหนดไว้ในหมวดนี้
ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใดผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ ถึงผลกระทบจากการถอนความยินยอมนั้น
การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามที่กำหนดไว้ในหมวดนี้ ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล และไม่ทำให้ผู้ควบคุม ข้อมูลส่วนบุคคลสามารถทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้

๔.๔.๑.๔.๑.ระบบจัดการ Cookie Consent Management (CKCM)
โดยมีรายละเอียดอย่างน้อย ดังนี้
๑) มีระบบหน้าบ้าน อย่างน้อยดังนี้
(๑) สามารถตรวจสอบการจัดเก็บคุกกี้ (Cookies) ของเว็บไซต์ได้
(๒) สามารถสร้างคุกกี้แบนเนอร์แบบปรับแต่งได้ (Customized
Cookie Banner)
(๓) สามารถรองรับภาษาในการทําคุกกี้แบนเนอร์ได้ทั้งภาษาไทยและ
ภาษาอังกฤษ
(๔) ผู้ใช้งานสามารถให้ความยินยอมสิทธิ์ในการเก็บและใช้ข้อมูลใน
เว็บไซต์ต่าง ๆ ของหน่วยงานได้โดยมีแบนเนอร์ให้เลือกในการใช้งานครั้งแรก
(๕) สามารถจดจําความยินยอมที่ผู้ใช้งานเลือกในการใช้งานครั้งต่อไป
ได้โดยไม่ได้แจ้งเตือนอีก
(๖) สามารถปรับแต่งการจัดการความยินยอมโดยใช้กล่องข้อความ
(Overlay) บนหน้าเว็บไซต์ได้
(๗) สามารถขอความยินยอมใช้ข้อมูลที่อยู่ปัจจุบัน (Geo-Location) ได้

20 -
(๘) สามารถกำหนดระยะเวลาการให้การยินยอม รวมไปถึงการขอ
ทบทวนการให้ความยินยอมใหม่ (Renew Consent) และกำหนดขอถอนความยินยอม (Withdrawal) ได้ (๙) สามารถจัดทำรายงาน (Reports) และ Dashboard โดยมี
รายละเอียดอย่างน้อย ดังนี้
สร้างรายงานมาตรฐานในการติดตามและวิเคราะห์ความยินยอมคุกกี้ได้
สามารถ Export รายงานเป็นไฟล์ประเภทต่าง ๆ ได้แก่ PDF File
โดยสามารถกำหนดช่วงหรือระยะเวลาการออกรายงานทุกประเภทในภาพรวมเป็นรายวัน รายเดือน หรือตาม ช่วงเวลาที่กำหนดได้
สามารถเรียกดูและจัดพิมพ์รายงานสำหรับการบริหารในเชิงสถิติ
เปรียบเทียบในรูปแบบกราฟ และสามารถกำหนดช่วงเวลาในการสืบค้นได้
(๑๐) สามารถบริหารจัดการระบบงานได้อย่างน้อย ดังนี้
สามารถสร้าง แก้ไข ยกเลิกผู้ใช้งานและ/หรือกลุ่มผู้ใช้งานได้
สามารถกำหนดบทบาท (Role) และกำหนดสิทธิ์ (Authority)
ของผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน ให้สามารถเข้าถึงข้อมูลและสิทธิ์ในการใช้งานระบบต่าง ๆ ตามบทบาทที่ กำหนดได้
สามารถกําหนดให้ระบบส่งข้อความแจ้งเตือนสถานะของการ
ดําเนินงานในแต่ละขั้นตอนให้ผู้เกี่ยวข้องตามที่หน่วยงานภาคเอกชนกำหนดได้
(๑๑) มี API สำหรับเชื่อมต่อระบบหน้าบ้านและระบบหลังบ้าน
๒) มีระบบหลังบ้าน อย่างน้อยดังนี้
(๑) สามารถตรวจสอบการจัดเก็บคุกกี้ (Cookies) ของเว็บไซต์ได้
(๒) สามารถสร้างคุกกี้แบนเนอร์แบบปรับแต่ง (Customized Cookie
Banner) ได้
(๓) สามารถรองรับภาษาในการทําคุกกี้แบนเนอร์ได้ทั้งภาษาไทยและ
ภาษาอังกฤษ
(๔) สามารถประมวลผลการให้ความยินยอมของผู้ใช้งานในการเก็บ
และใช้ข้อมูลในเว็บไซต์ต่าง ๆ ของหน่วยงานได้ โดยมีแบนเนอร์ให้เลือกในการใช้งานครั้งแรก (๕) สามารถจดจําความยินยอมที่ผู้ใช้งานเลือกในการใช้งานครั้งต่อไป
ได้โดยไม่ได้แจ้งเตือนอีก
(๖) สามารถกำหนดระยะเวลาการให้การยินยอม รวมไปถึงการขอ
ทบทวนการให้ความยินยอมใหม่ (Renew Consent) และกำหนดขอถอนความยินยอม (Withdrawal) ได้ (๗) สามารถประมวลผลเพื่อจัดทำรายงาน (Reports) และ Dashboard
โดยมีรายละเอียดอย่างน้อย ดังนี้
สร้างรายงานมาตรฐานในการติดตามและวิเคราะห์ความ
ยินยอมได้
21 -
สามารถ Export รายงานเป็นไฟล์ประเภทต่าง ๆ ได้แก่ PDF
File โดยสามารถกำหนดช่วงหรือระยะเวลาการออกรายงานทุกประเภทในภาพรวมเป็นรายวัน รายเดือน หรือตามช่วงเวลาที่กำหนดได้
สามารถประมวลผลเพื่อจัดทำรายงานสำหรับการบริหารใน
เชิงสถิติเปรียบเทียบในรูปแบบกราฟ โดยสามารถกำหนดช่วงเวลาในการสืบค้นได้
(๘) สามารถบริหารจัดการระบบงานได้อย่างน้อย ดังนี้
สามารถสร้าง แก้ไข ยกเลิกผู้ใช้งานและ/หรือกลุ่มผู้ใช้งานได้
สามารถกำหนดบทบาท (Role) และกำหนดสิทธิ์ (Authority)
ของผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน ให้สามารถเข้าถึงข้อมูลและสิทธิ์ในการใช้งานระบบต่าง ๆ ตามบทบาทที่ กำหนดได้
สามารถกําหนดให้ระบบส่งข้อความแจ้งเตือนสถานะของการ
ดําเนินงานในแต่ละขั้นตอนให้ผู้เกี่ยวข้องตามที่หน่วยงานภาคเอกชนกำหนดได้
(๙) มี API สำหรับเชื่อมต่อระบบหน้าบ้านและระบบหลังบ้าน
๔.๔.๑.๔.๒.จัดให้มีระบบ Consent Management (CSM) โดยมี
รายละเอียดอย่างน้อย ดังนี้
๑) มีระบบหน้าบ้าน อย่างน้อยดังนี้
(๑) สามารถดำเนินการเกี่ยวกับการพิสูจน์และยืนยันตัวตนเจ้าของ
ข้อมูลส่วนบุคคลได้
(๒) เจ้าของข้อมูลส่วนบุคคล หรือหน่วยงานที่รับผิดชอบสามารถ
บันทึกเปลี่ยนแปลง แก้ไข การให้ความยินยอม (Consent Management) ได้
(๓) สามารถจัดเก็บประวัติการให้หรือถอนความยินยอมของเจ้าของ
ข้อมูลส่วนบุคคล พร้อมบันทึก Version ของแบบฟอร์มความยินยอม
(๔) สามารถดูการเปลี่ยนแปลงหรือ Version Control ของ
แบบฟอร์มการขอความยินยอมได้
(๕) สามารถรองรับการทบทวนการให้ความยินยอม (Re-Consent)
ภายในระยะเวลาที่กำหนดได้
(๖) สามารถให้เจ้าหน้าที่และผู้ปฏิบัติงานของหน่วยงานภาคเอกชน
บันทึกเปลี่ยนแปลงข้อมูลการให้ความยินยอม (consent) จากเอกสารที่เจ้าของข้อมูลส่วนบุคคลกรอก (Offline Consent) ได้
(๗) มีหน้าจอ (Dashboard) ในการดูรายงานการจัดเก็บสถานะและ
ประวัติการให้ความยินยอมของเจ้าของข้อมูลส่วนบุคคล
(๘) สามารถดูประวัติการให้ความยินยอมของเจ้าของข้อมูลส่วน
บุคคล โดยมีรายละเอียดอย่างน้อย ดังนี้
รายละเอียดการให้ หรือไม่ให้ หรือถอนความยินยอม
ช่องทางที่ให้ความยินยอม
วัน เวลา ที่ให้ความยินยอม
รุ่น (Version) ของแบบฟอร์มการให้ความยินยอม
22 -
(๙) ผู้ดูแลระบบสามารถบริหารจัดการการขอความยินยอมจาก
เจ้าของข้อมูลส่วนบุคคลได้ (Consent Management) ได้
(๑๐) สามารถสร้างแบบฟอร์มการขอความยินยอมและหน้าจอ
รายงานที่ใช้ได้
(๑๑) ให้เจ้าหน้าที่ของหน่วยงานหรือผู้ดูแลระบบสามารถเรียกดู
ข้อมูลความยินยอมได้ตามสิทธิที่กำหนด
(๑๒) ผู้ใช้งานสามารถให้ความยินยอมสิทธิ์ในการเก็บและใช้ข้อมูลใน
Mobile Application ของทางหน่วยงานภาคเอกชนได้ในการใช้งานครั้งแรก หรือกรณีมีการปรับปรุงแก้ไข หรือเพิ่มเติมสิทธิ์ในการใช้งานข้อมูลที่ทางหน่วยงานภาคเอกชนกำหนด
(๑๓) สามารถจัดทำรายงานสรุป (Reports) และ Dashboard โดยมี
รายละเอียดอย่างน้อย ดังนี้
สร้างรายงานมาตรฐานในการติดตามและวิเคราะห์ความ
ยินยอมได้
สามารถ Export รายงานเป็นไฟล์ประเภทต่าง ๆ ได้แก่ PDF
File โดยสามารถกำหนดช่วงหรือระยะเวลาการออกรายงานทุกประเภทในภาพรวม เช่นรายวัน รายเดือน หรือ ตามช่วงเวลาที่กำหนดได้
สามารถเรียกดูและจัดพิมพ์รายงานสำหรับการบริหารในเชิง
สถิติเปรียบเทียบในรูปแบบกราฟ และสามารถกำหนดช่วงเวลาในการสืบค้นได้
(๑๔) สามารถบริหารจัดการระบบงานผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน
โดยมีรายละเอียดอย่างน้อย ดังนี้
สามารถสร้าง แก้ไข ยกเลิกผู้ใช้งานและ/หรือกลุ่มผู้ใช้งานได้
สามารถกำหนดบทบาท (Role) และกำหนดสิทธิ์ (Authority)
ของผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน ให้สามารถเข้าถึงข้อมูลและสิทธิ์ในการใช้งานระบบต่าง ๆ ได้ตามบทบาทที่ กำหนด
สามารถกําหนดให้ระบบส่งข้อความแจ้งเตือนสถานะของการ
ดําเนินงานในแต่ละขั้นตอนให้ผู้เกี่ยวข้องตามที่หน่วยงานภาคเอกชนกำหนดได้
๒) มีระบบหลังบ้าน อย่างน้อยดังนี้
(๑) สามารถดำเนินการเกี่ยวกับการพิสูจน์และยืนยันตัวตนเจ้าของ
ข้อมูลส่วนบุคคลได้
(๒) สามารถประมวลผลการบันทึก เปลี่ยนแปลง แก้ไข และการให้
ความยินยอมของเจ้าของข้อมูลส่วนบุคคลหรือหน่วยงานที่รับผิดชอบได้
(๓) สามารถจัดเก็บประวัติการให้หรือถอนความยินยอมของเจ้าของ
ข้อมูลส่วนบุคคล พร้อมบันทึก Version ของแบบฟอร์มความยินยอม
(๔) สามารถจัดเก็บการเปลี่ยนแปลงหรือ Version Control ของ
แบบฟอร์มการขอความยินยอมได้
(๕) สามารถรองรับการจัดเก็บข้อมูลการขอความยินยอมได้จากหลาย
ช่องทางได้
(๖) สามารถรองรับการทบทวนการให้ความยินยอม (Re-Consent)
ภายในระยะเวลาที่กำหนดได้
23 -
(๗) สามารถประมวลผลการบันทึกเปลี่ยนแปลงข้อมูลการให้ความ
ยินยอม จากเอกสารที่เจ้าของข้อมูลส่วนบุคคลกรอกแบบออฟไลน์ (Offline Consent) ของเจ้าหน้าที่หรือ ผู้ปฏิบัติงานของหน่วยงานภาคเอกชนได้
(๘) สามารถประมวลผลข้อมูลเพื่อแสดงหน้าจอ (Dashboard)
ในระบบหน้าบ้านเพื่อการดูรายงานการจัดเก็บสถานะและประวัติการให้ความยินยอมของเจ้าของข้อมูล ส่วนบุคคลได้
(๙) สามารถประมวลผลประวัติการให้ความยินยอมของเจ้าของข้อมูล
ส่วนบุคคล โดยมีรายละเอียดอย่างน้อย ดังนี้
รายละเอียดการให้ หรือไม่ให้ หรือถอนความยินยอม
ช่องทางที่ให้ความยินยอม
วัน เวลา ที่ให้ความยินยอม
รุ่น (Version) ของแบบฟอร์มการให้ความยินยอม
(๑๐) ผู้ดูแลระบบสามารถบริหารจัดการการขอความยินยอมจาก
เจ้าของข้อมูลส่วนบุคคลได้ (Consent Management) ได้
(๑๑) สามารถสร้างแบบฟอร์มการขอความยินยอมและหน้าจอ
รายงานที่ใช้ได้
(๑๒) สามารถประมวลผลการเรียกดูข้อมูลความยินยอมตามสิทธิ
ที่กำหนดของเจ้าหน้าที่ของหน่วยงานหรือผู้ดูแลระบบได้
(๑๓) สามารถประมวลผลเพื่อให้ผู้ใช้งานสามารถให้ความยินยอมสิทธิ์
ในการเก็บและใช้ข้อมูลใน Mobile Application ของทางหน่วยงานภาคเอกชนได้ในการใช้งานครั้งแรก หรือกรณีมีการปรับปรุงแก้ไข เพิ่มเติมสิทธิ์ในการใช้งานข้อมูลที่ทางหน่วยงานภาคเอกชนกำหนด (๑๔) สามารถประมวลผลเพื่อจัดทำรายงานสรุป (Reports)
และ Dashboard โดยมีรายละเอียดอย่างน้อย ดังนี้
สร้างรายงานมาตรฐานในการติดตามและวิเคราะห์ความยินยอมได้
สร้างรายงานมาตรฐานเพิ่มเติม โดยไม่ต้องเขียนโปรแกรมได้
สร้าง แก้ไข และยกเลิก รูปแบบรายงานได้ตามความต้องการ
ของผู้ใช้งาน
สามารถรองรับข้อมูลได้ทั้งภาษาไทยและภาษาอังกฤษ
สามารถ Export รายงานเป็นไฟล์ประเภทต่าง ๆ ได้แก่ PDF
File, Excel/CSV File โดยสามารถกำหนดช่วงหรือระยะเวลาการออกรายงานทุกประเภทในภาพรวมได้เป็น รายวัน รายเดือน หรือตามช่วงเวลาที่กำหนด
สามารถประมวลผลเพื่อจัดทำรายงานสำหรับการบริหาร
ในเชิงสถิติเปรียบเทียบในรูปแบบกราฟ และสามารถกำหนดช่วงเวลาในการสืบค้นได้ - สามารถจัดเก็บรายงาน (Archiving of Report) เพื่อใช้อ้างอิง
ในอนาคตได้
(๑๕) สามารถบริหารจัดการระบบงานผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน
โดยมีรายละเอียดอย่างน้อย ดังนี้
สามารถสร้าง แก้ไข ยกเลิกผู้ใช้งานและ/หรือกลุ่มผู้ใช้งานได้
24 -
สามารถกำหนดบทบาท (Role) และกำหนดสิทธิ์ (Authority)
ของผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน ให้สามารถเข้าถึงข้อมูลและสิทธิ์ในการใช้งานระบบต่าง ๆ ตามบทบาทที่ กำหนดได้
สามารถกําหนดให้ระบบส่งข้อความแจ้งเตือนสถานะของการ
ดําเนินงานในแต่ละขั้นตอนให้ผู้เกี่ยวข้องตามที่หน่วยงานภาคเอกชนกำหนดได้
(๑๖) มี API สำหรับเชื่อมต่อระบบหน้าบ้านและระบบหลังบ้าน
๔.๔.๑.๕. จัดให้มีระบบจัดการคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
(Data Subject Access Request Management) รองรับตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ โดยมีรายละเอียดอย่างน้อย ดังนี้

ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นที่จะต้องจัดให้มีระบบหรือช่องทางที่สามารถทำให้เจ้าของข้อมูล ส่วนบุคคลสามารถที่จะใช้สิทธิในข้อมูลส่วนบุคคลของตนเองได้ โดยสิทธิของเจ้าของข้อมูลส่วนบุคคล ที่ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นที่จะต้องจัดให้มี ได้แก่สิทธิดังกล่าวตามที่พระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. ๒๕๖๒ ได้วางหลักการไว้

สิทธิที่จะขอเพิกถอนความยินยอม (Right to withdraw consent)
สิทธิในการได้รับแจ้งข้อมูล (Right to be informed)
สิทธิที่จะเข้าถึงข้อมูลส่วนบุคคล (Right to access) ไม่ว่าจะเป็นสิทธิในการขอสำเนาข้อมูลส่วนบุคคล ของตนเอง รวมถึงสิทธิในการให้ทางผู้ประมวลผลข้อมูลส่วนบุคคลเปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลได้ - สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to rectification)
สิทธิที่จะขอให้ผู้ควบคุมข้อมูลส่วนบุคคล ลบทิ้ง, ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่ สามารถระบุตัวได้ (Right to erasure)
สิทธิในการห้ามไม่ให้มีการประมวลผลข้อมูลส่วนบุคคล (Right to data portability) - สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to object)
สิทธิในการโอนย้ายข้อมูลส่วนบุคคล (Right to data portability)
สิทธิในการไม่ตกอยู่ภายใต้การตัดสินใจอัตโนมัติเพียงอย่างเดียว (Right not to be subject to automated individual decision – making)
อย่างไรก็ดี แม้ว่าผู้ควบคุมข้อมูลส่วนบุคคลจะไม่สามารถที่จะปฏิเสธคำขอของเจ้าของข้อมูลได้ เว้นแต่ พระราชบัญญัติฉบับนี้ได้วางหลักเอาไว้ แต่ถ้าหากว่าผู้ควบคุมข้อมูลส่วนบุคคลต้องทำการปฏิเสธคำร้องในการ ใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูล จะต้องทำบันทึกรายการปฏิเสธพร้อมเหตุผลไว้ใน ROPA ด้วยเช่นกัน
25 -
ในการรับรองสิทธิของเจ้าของข้อมูลส่วนบุคคลนี้ ผู้ควบคุมข้อมูลส่วนบุคคลอาจมีการจัดตั้งเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) มาเป็นผู้ที่ติดต่อประสานงานระหว่าง หน่วยงานที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลกับเจ้าของข้อมูลส่วนบุคคลในการกำกับดูแลและพิจารณาคำร้องขอ ใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตลอดจนประสานหน่วยงานภาครัฐอื่นๆ ที่เกี่ยวข้อง เช่น สำนักงาน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น และผู้ประมวลผลข้อมูลส่วนบุคคลต้องมีการตั้ง DPO
ตามกรณีมาตรา ๔๑ ดังต่อไปนี้
• ผู้ควบคุมข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่สำนักงานคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล กำหนดหรือ
• ในการดำเนินกิจกรรมเพื่อให้บรรลุวัตถุประสงค์ของผู้ประมวลผลข้อมูลส่วนบุคคล จำเป็นต้องมีการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นจำนวนมาก โดยพิจารณาจากจำนวนสัดส่วนกลุ่มบุคคลที่ เกี่ยวข้องตามที่ DPO ประกาศ หรือ
• ในการดำเนินกิจกรรมเพื่อให้บรรลุวัตถุประสงค์ของผู้ประมวลผลข้อมูลส่วนบุคคลมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลอ่อนไหว (Sensitive data)
เมื่อมีการขอใช้สิทธิจากเจ้าของข้อมูลส่วนบุคคล DPO จะต้องทำการรับเรื่องและทำการพิจารณาคำร้อง ตามมาตรา ๓๐ – ๓๖ และตอบกลับไปยังเจ้าของข้อมูลส่วนบุคคลภายใน ๓๐ วันนับแต่วันที่ได้รับคำขอจาก เจ้าของข้อมูลส่วนบุคคล พร้อมส่งต่อรายงานคำร้องให้กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ต่อไป นอกจากนี้ DPO ที่ถูกแต่งตั้งขึ้นยังมีหน้าที่ในกำกับดูแลเรื่องการประมวลผลข้อมูลส่วนบุคคลภายใน หน่วยงานที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลยังมีหน้าที่ในการให้คำแนะนำแก่ ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือบุคคลภายในหน่วยงาน ตลอดจน ตรวจสอบ การดำเนินงานเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒

๔.๔.๑.๕.๑. มีระบบหน้าบ้าน อย่างน้อยดังนี้
๑) สามารถพิสูจน์และยืนยันตัวตนเจ้าของข้อมูลส่วนบุคคลได้

26 -
๒) มีหน้าจอให้เจ้าของข้อมูลขอใช้สิทธิตามพระราชบัญญัติคุ้มครองข้อมูล
ส่วนบุคคล พ.ศ. ๒๕๖๒ และตรวจสอบสถานะการดําเนินงานตามที่ขอใช้สิทธิได้
๓) มีหน้าจอสำหรับเจ้าของข้อมูลส่วนบุคคล หรือหน่วยงานที่รับผิดชอบ
บันทึกเปลี่ยนแปลง แก้ไขการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
๔) มีหน้าจอให้หน่วยงานที่เกี่ยวข้องตรวจสอบสถานะการดําเนินงาน
ตามที่ขอใช้สิทธิ
๕) สามารถแสดงสถานะ และรองรับการจัดเก็บสถานะและประวัติการขอ
ใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้
๖) สามารถออกรายงานเกี่ยวกับการขอใช้สิทธิของเจ้าของข้อมูลส่วน
บุคคลของผู้ดูแลระบบงานได้
๗) สามารถรองรับการใช้งานเมื่อเจ้าของข้อมูลส่วนบุคคลขอรายงาน
ข้อมูลส่วนตัวได้
๘) สามารถเรียกดูการเปลี่ยนแปลงหรือ Version Control ของ
แบบฟอร์มการขอใช้สิทธิได้
๙) สามารถให้เจ้าหน้าที่และผู้ปฏิบัติงานของหน่วยงานในการบันทึก
เปลี่ยนแปลง สถานะการดําเนินงานตามการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ ๑๐) สามารถบันทึกข้อพิจารณาเรื่องร้องเรียนและส่งต่อไปยังผู้
ประมวลผลข้อมูลของกิจกรรมได้
๑๑) สามารถบันทึกผลตรวจสอบการกระทำของผู้ควบคุมข้อมูลส่วน
บุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของบุคคลดังกล่าวได้ ๑๒) สามารถเปิดให้กับเจ้าของข้อมูลส่วนบุคคลยื่นอุทธรณ์และส่งคํา
อุทธรณ์ไปยังคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้
๑๓) สามารถบันทึกผลได้อย่างน้อย ดังนี้
(๑) บันทึกการสั่งให้แก้ไขข้อมูลหรือข้อผิดพลาดที่เกิดขึ้น
(๒) บันทึกการสั่งห้ามกระทำการที่ก่อให้เกิดความเสียหาย
(๓) บันทึกคำสั่งการบังคับทางปกครอง
๑๔) สามารถจัดทำรายงานสรุป (Reports) และ Dashboard โดยมี
รายละเอียดอย่างน้อย ดังนี้
(๑) สามารถ Export รายงานเป็นไฟล์ประเภทต่าง ๆ ได้แก่ PDF
File โดยสามารถกำหนดช่วงหรือระยะเวลาการออกรายงานทุกประเภทในภาพรวมได้เป็นรายวัน รายเดือน หรือตามช่วงเวลาที่กำหนด
(๒) สามารถเรียกดูและจัดพิมพ์รายงานสำหรับการบริหารในเชิง
สถิติเปรียบเทียบในรูปแบบกราฟ และสามารถกำหนดช่วงเวลาในการสืบค้นได้
(๓) สามารถจัดเก็บรายงาน (Archiving of Report) เพื่อใช้อ้างอิง
ในอนาคตได้
๑๕) สามารถบริหารจัดการระบบงานผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน โดย
มีรายละเอียดอย่างน้อย ดังนี้
(๑) สามารถสร้าง แก้ไข ยกเลิกผู้ใช้งานและ/หรือกลุ่มผู้ใช้งานได้
(๒) สามารถกำหนดบทบาท (Role) และกำหนดสิทธิ์ (Authority)
27 -
ของผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน ให้สามารถเข้าถึงข้อมูลและสิทธิ์ในการใช้งานระบบต่าง ๆ ตามบทบาทที่ กำหนดได้
(๓) สามารถกําหนดให้ระบบส่งข้อความแจ้งเตือนสถานะของการ
ดําเนินงานในแต่ละขั้นตอนให้ผู้เกี่ยวข้องตามที่หน่วยงานภาคเอกชนกำหนดได้
๔.๔.๑.๕.๒. มีระบบหลังบ้าน อย่างน้อยดังนี้
๑) สามารถพิสูจน์และยืนยันตัวตนเจ้าของข้อมูลส่วนบุคคลได้
๒) สามารถประมวลผลการขอใช้สิทธิตามพระราชบัญญัติคุ้มครองข้อมูล
ส่วนบุคคล พ.ศ. ๒๕๖๒ และสถานะการดําเนินงานตามที่ขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ ๓) สามารถประมวลผลการบันทึกเปลี่ยนแปลง แก้ไขการขอใช้สิทธิของ
เจ้าของข้อมูลส่วนบุคคลได้
๔) สามารถจัดเก็บสถานะ และประวัติการขอใช้สิทธิของเจ้าของข้อมูล
ส่วนบุคคลได้
๕) สามารถประมวลผลข้อมูลเพื่อจัดทำรายงานเกี่ยวกับการขอใช้สิทธิ
ของเจ้าของข้อมูลส่วนบุคคลของผู้ดูแลระบบงานได้
๖) สามารถจัดเก็บการเปลี่ยนแปลงหรือ Version Control ของ
แบบฟอร์มการขอใช้สิทธิได้
๗) สามารถประมวลผลการบันทึก เปลี่ยนแปลง สถานะการดําเนินงาน
ตามการขอใช้สิทธิ ของเจ้าหน้าที่และผู้ปฏิบัติงานของหน่วยงานได้
๘) สามารถบันทึกข้อพิจารณาเรื่องร้องเรียนและส่งต่อไปยัง
ผู้ประมวลผลข้อมูลของกิจกรรมได้
๙) สามารถบันทึกผลตรวจสอบการกระทำของผู้ควบคุมข้อมูลส่วน
บุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของบุคคลดังกล่าวได้ ๑๐) สามารถส่งต่อคําอุทธรณ์ของเจ้าของข้อมูลส่วนบุคคลไปยัง
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้
๑๑) สามารถบันทึกผลได้อย่างน้อย ดังนี้
(๑) บันทึกการสั่งให้แก้ไขข้อมูลหรือข้อผิดพลาดที่เกิดขึ้น
(๒) บันทึกการสั่งห้ามกระทำการที่ก่อให้เกิดความเสียหาย
(๓) บันทึกคำสั่งการบังคับทางปกครอง
๑๒) สามารถประมวลผลเพื่อจัดทำรายงานสรุป (Reports) และ
Dashboard โดยระบบต้องสามารถจัดทำรายงานที่มีความสามารถอย่างน้อย ดังนี้
(๑) สามารถ Export รายงานเป็นไฟล์ประเภทต่าง ๆ ได้แก่ PDF
File โดยสามารถกำหนดช่วงหรือระยะเวลาการออกรายงานทุกประเภทในภาพรวมเป็นรายวันรายเดือน หรือ ตามช่วงเวลาที่กำหนดได้
(๒) สามารถประมวลผลเพื่อจัดทำรายงานสำหรับการบริหารในเชิง
สถิติเปรียบเทียบในรูปแบบกราฟ และสามารถกำหนดช่วงเวลาในการสืบค้นได้
(๓) สามารถจัดเก็บรายงาน (Archiving of Report) เพื่อใช้อ้างอิง
ในอนาคตได้
๑๓) สามารถบริหารจัดการระบบงานผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน
โดยมีรายละเอียดอย่างน้อย ดังนี้
28 -
(๑) สามารถสร้าง แก้ไข ยกเลิกผู้ใช้งานและ/หรือกลุ่มผู้ใช้งานได้
(๒) สามารถกำหนดบทบาท (Role) และกำหนดสิทธิ์ (Authority)
ของผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน ให้สามารถเข้าถึงข้อมูลและสิทธิ์ในการใช้งานระบบต่าง ๆ ตามบทบาทที่ กำหนดได้
(๓) สามารถกําหนดให้ระบบส่งข้อความแจ้งเตือนสถานะของการ
ดําเนินงานในแต่ละขั้นตอนให้ผู้เกี่ยวข้องตามที่หน่วยงานภาคเอกชนกำหนดได้
๔.๔.๑.๕.๓. มี API สำหรับเชื่อมต่อระบบหน้าบ้านและระบบหลังบ้าน
๔.๔.๑.๖. จัดให้มีระบบจัดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data
Breach Notification Management) รองรับตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ โดย มีรายละเอียดอย่างน้อย ดังนี้
ตามมาตรา ๓๗ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. ๒๕๖๒ วางหลักการเอาไว้ ในกรณีที่มีเหตุละเมิดข้อมูลส่วนบุคคลเกิดขึ้น ผู้ควบคุมข้อมูลส่วนบุคคลมี หน้าที่จะต้องจัดให้มีระบบรองรับหรือแพลตฟอร์มในการแจ้งเหตุละเมิดดังกล่าวให้แก่สำนักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน ๗๒ ชั่วโมงนับตั้งแต่ทราบเหตุดังกล่าวโดยทันที ไม่ว่าด้วยวิธีใดก็ตาม และจะต้องมีการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงการละเมิดนั้นพร้อมแนวทางการเยียวยาภายใน ๒๔ ชั่วโมงด้วยเช่นกันเฉพาะในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของ
เจ้าของข้อมูลส่วนบุคคล

การทำ Data Breach Notification จึงเป็นกระบวนการที่ผู้ควบคุมข้อมูล
ส่วนบุคคลจะต้องมีหน้าที่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลให้กับบุคคลตามที่มาตรา ๓๗ แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
มาตรา ๓๗ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
(๔) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมงนับแต่ทราบ เหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของ บุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้ เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้ เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

๔.๔.๑.๖.๑. มีระบบหน้าบ้าน อย่างน้อยดังนี้
๑) สามารถรับแจ้งเหตุละเมิดข้อมูลส่วนบุคคล Data Breach Notification
โดยสามารถออกรับแจ้งสถานะของเหตุรับแจ้งได้
๒) สามารถส่งต่อเหตุรับแจ้งไปยังผู้เกี่ยวข้องผ่านทางจดหมายอิเล็กทรอนิกส์ได้
๓) สามารถให้เจ้าหน้าผู้ดูแลข้อมูลส่วนบุคคลสามารถตรวจสอบ และส่งต่อ
เหตุรับแจ้งไปยังผู้เกี่ยวข้องได้

29 -
๔) สามารถดาวน์โหลดแบบฟอร์มการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
และนําส่งเรื่องไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยมีการแจ้งเตือนระยะเวลาให้ ดำเนินการตามกรอบระยะเวลาที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
๕) สามารถจัดทำรายงานสรุป (Reports) และ Dashboard โดยมี
รายละเอียดอย่างน้อย ดังนี้
(๑) สามารถ Export รายงานเป็นไฟล์ประเภทต่าง ๆ ได้แก่ PDF File,
Excel/CSV File โดยสามารถกำหนดช่วงหรือระยะเวลาการออกรายงานทุกประเภทในภาพรวมได้เป็นรายวัน รายเดือน หรือตามช่วงเวลาที่กำหนด
(๒) สามารถเรียกดูและจัดพิมพ์รายงานสำหรับการบริหารในเชิงสถิติ
เปรียบเทียบในรูปแบบกราฟ และสามารถกำหนดช่วงเวลาในการสืบค้นได้
(๓) สามารถจัดเก็บรายงาน (Archiving of Report) เพื่อใช้อ้างอิงใน
อนาคตได้
๖) สามารถบริหารจัดการระบบงานผู้ใช้งานและ/หรือกลุ่มผู้ใช้งานโดยมี
รายละเอียดอย่างน้อย ดังนี้
(๑) สามารถสร้าง แก้ไข ยกเลิกผู้ใช้งานและ/หรือกลุ่มผู้ใช้งานได้
(๒) สามารถกำหนดบทบาท (Role) และกำหนดสิทธิ์ (Authority)
ของผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน ให้สามารถเข้าถึงข้อมูลและสิทธิ์ในการใช้งานระบบต่าง ๆ ตามบทบาทที่ กำหนดได้
(๓) สามารถกําหนดให้ระบบส่งข้อความแจ้งเตือนสถานะของการ
ดําเนินงานในแต่ละขั้นตอนให้ผู้เกี่ยวข้องตามที่หน่วยงานภาคเอกชนกำหนดได้
๔.๔.๑.๖.๒. มีระบบหลังบ้าน อย่างน้อยดังนี้
๑) สามารถประมวลผลการรับแจ้งเหตุละเมิดข้อมูลส่วนบุคคล Data
Breach Notification โดยสามารถออกรับแจ้งสถานะของเหตุรับแจ้งได้
๒) สามารถส่งต่อเหตุรับแจ้งไปยังผู้เกี่ยวข้องผ่านทางจดหมาย
อิเล็กทรอนิกส์ได้
๓) สามารถประมวลผลการตรวจสอบของเจ้าหน้าที่ผู้ดูแลข้อมูลส่วนบุคคล
และส่งต่อเหตุรับแจ้งไปยังผู้เกี่ยวข้องได้
๔) สามารถดาวน์โหลดแบบฟอร์มการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
และนําส่งเรื่องไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยมีการแจ้งเตือนระยะเวลาให้ ดำเนินการภายใน ๗๒ ชั่วโมง นับแต่วันที่ยืนยันว่ามีเหตุการณ์ละเมิดข้อมูลส่วนบุคคลเกิดขึ้นจริง ๕) สามารถประมวลผลเพื่อจัดทำรายงานสรุป (Reports) และ Dashboard
โดยมีรายละเอียดอย่างน้อย ดังนี้
(๑) สามารถ Export รายงานเป็นไฟล์ประเภทต่าง ๆ ได้แก่ PDF File,
Excel/CSV File โดยสามารถกำหนดช่วงหรือระยะเวลาการออกรายงานทุกประเภทในภาพรวมได้เป็นรายวัน รายเดือน หรือตามช่วงเวลาที่กำหนด
30 -
(๒) สามารถประมวลผลเพื่อจัดทำรายงานสำหรับการบริหารในเชิง
สถิติเปรียบเทียบในรูปแบบกราฟ และสามารถกำหนดช่วงเวลาในการสืบค้นได้
(๓)สามารถจัดเก็บรายงาน (Archiving of Report) เพื่อใช้อ้างอิงในอนาคตได้
๖) สามารถบริหารจัดการระบบงานผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน โดยมี
รายละเอียดอย่างน้อย ดังนี้
(๑) สามารถสร้าง แก้ไข ยกเลิกผู้ใช้งานและ/หรือกลุ่มผู้ใช้งานได้
(๒) สามารถกำหนดบทบาท (Role) และกำหนดสิทธิ์ (Authority)
ของผู้ใช้งานและ/หรือกลุ่มผู้ใช้งาน ให้สามารถเข้าถึงข้อมูลและสิทธิ์ในการใช้งานระบบต่าง ๆ ตามบทบาทที่ กำหนดได้
(๓) สามารถกําหนดให้ระบบส่งข้อความแจ้งเตือนสถานะของการ
ดําเนินงานในแต่ละขั้นตอนให้ผู้เกี่ยวข้องตามที่หน่วยงานภาคเอกชนกำหนดได้
๔.๔.๑.๖.๓. มี API สำหรับเชื่อมต่อระบบหน้าบ้านและระบบหลังบ้าน
๔.๔.๑.๗.ระบบซอฟต์แวร์ตรวจสอบและการวิเคราะห์ Application
Performance Monitoring Service & Dashboard จำนวน ๑ ระบบ มีคุณสมบัติดังนี้ ๔.๔.๑.๗.๑. สามารถตรวจสอบประสิทธิภาพการทำงานของแอปพลิเคชัน
(Application Performance Monitoring, APM)
๔.๔.๑.๗.๒. เป็นแพลตฟอร์มแบบ Software As a Service (SaaS) ที่
สามารถทำงานร่วมกับ ระบบซอฟต์แวร์ตรวจสอบและการวิเคราะห์ Application Performance Monitoring Service & Dashboard เดิมของทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ โดยได้รับการรับรองจากเจ้าของผลิตภัณฑ์ หรือสาขาเจ้าของผลิตภัณฑ์ในประเทศไทย หรือตัวแทนจำหน่ายใน ประเทศไทยสำหรับโครงการนี้และมีเอกสารยืนยันในวันยื่นข้อเสนอ
๔.๔.๑.๘.ปรับปรุงเว็บไซต์ของโครงการ GPPC(https://gppc.pdpc.or.th/)
เพื่อให้เป็นเว็บไซต์ของโครงการหลัก ในการเชื่อมโยงเพื่อเข้าใช้งานแพลตฟอร์ม GPPC ทั้งหน่วยงานภาครัฐ และหน่วยงานภาคเอกชน และมีวิธีการยืนยันตัวตนเพิ่มเติมหลังจากทำการยืนยันตัวตนโดยการใช้รหัสผ่าน Multifactor Authentication โดยมีกระบวนกวนการอย่างน้อยดังนี้
๔.๔.๑.๘.๑.ต้องสามารถเชื่อมต่อกับระบบยืนยันตัวตนโดยการใช้รหัสผ่าน
Multifactor Authentication เดิมของทาง สคส. ผ่าน API หรือ REST API ได้
๔.๔.๑.๘.๒.ต้องใช้งานผ่านระบบการยืนยันตัวตนเพิ่มเติมหลังจากทำการ
ยืนยันตัวตนโดยการใช้รหัสผ่าน Multifactor Authentication เดิมของทาง สคส. ได้ ๔.๔.๑.๘.๓. จัดทำเอกสารการออกแบบการเชื่อมต่อกับระบบยืนยันตัวตน
โดยการใช้รหัสผ่าน Multifactor Authentication เดิมของทาง สคส. โดยต้องนำเสนอเพื่อขอความเห็นชอบ จาก สคส. ก่อนดำเนินการพัฒนาระบบ
๔.๔.๑.๙.แพลตฟอร์ต้องทำการเข้ารหัสข้อมูลส่วนบุคคล ตามมาตรฐาน
RSA, AES Diffie-Hellman, Camellia และ 3DES อย่างใดอย่างหนึ่งได้เป็นอย่างน้อย หรือตามที่ สคส. กำหนด ก่อนบันทึกลงในฐานข้อมูลโดยผ่าน Data Tokenize ของ สคส. เดิมได้
31 -
๔.๕.แพลตฟอร์มภาคเอกชน จะต้องมีการรักษาความมั่นคงปลอดภัยอย่างน้อยตามข้อเสนอแนะ มาตรฐานด้านเทคโนโลยีสารสนเทศ โดยมีรายละเอียดอย่างน้อย ดังนี้
๔.๕.๑. จัดให้มีการทดสอบความมั่นคงปลอดภัยของแพลตฟอร์มภาคเอกชน โดยมีรายละเอียด อย่างน้อย ดังนี้
๔.๕.๑.๑. ดำเนินการทดสอบเจาะแพลตฟอร์มภาคเอกชน (Pen-test) ที่พัฒนาขึ้น
๔.๕.๑.๒. ดำเนินการทดสอบการเจาะแพลตฟอร์มภาคเอกชน โดยใช้วิธีการที่เป็นไปตาม มาตรฐาน Open Web Application Security Project (OWASP) TOP ๑๐ เป็นอย่างน้อย ๔.๕.๑.๓. ดำเนินการค้นหาช่องโหว่ (Vulnerability Assessment) ประเมินหาจุดอ่อน ประเมินความเสี่ยงและผลกระทบ (Vulnerability Assessment) พร้อมดำเนินการปิดช่องโหว่หลังจากการ ทดสอบการเจาะระบบแล้ว
๔.๕.๑.๔. ดำเนินการทดสอบและวิเคราะห์การเจาะแพลตฟอร์มภาคเอกชน ด้วยตัวบุคคล เองด้วย (Manual Test) มิให้ใช้เครื่องมืออัตโนมัติเพียงอย่างเดียว (Automatic Test Tool) ๔.๕.๑.๕. ดำเนินการตรวจสอบผลการดำเนินการปิดช่องโหว่หรือจุดอ่อน (Retest) เพื่อยืนยันช่องโหว่ที่พบว่าได้รับการแก้ไขแล้ว
๔.๕.๑.๖. ปฏิบัติตามนโยบายความมั่นคงปลอดภัยสารสนเทศของผู้ว่าจ้าง และผู้รับจ้าง โดยมีการลงนามในข้อตกลงไม่เปิดเผยความลับ
๔.๕.๒. ทำการทดสอบความมั่นคงปลอดภัยสารสนเทศระบบและแพลตฟอร์มของสำนักงาน คุ้มครองข้อมูลส่วนบุคคล (VA Scan และ Pentest) กับระบบที่พัฒนาในโครงการนี้ อย่างน้อย ๒ ครั้ง โดยให้ มีการทดสอบความมั่นคงปลอดภัยของแพลตฟอร์มฯ
๔.๕.๓. จัดทำรายงานผลการทดสอบการรักษาความมั่นคงปลอดภัยและรายละเอียด การดำเนินการในการปิดช่องโหว่ ตามข้อ ๔.๕.๑ ประกอบด้วย บทสรุปผู้บริหาร วิธีการและขั้นตอนการ ทดสอบ รายละเอียดช่องโหว่พร้อมประเมินความรุนแรงของช่องโหว่ คำแนะนำในการปิดช่องโหว่ และ รายละเอียดการดำเนินการในการปิดช่องโหว่
๔.๖. จัดทำรายงานสรุปผลการติดตั้งแพลตฟอร์มรองรับกฎหมาย PDPA สำหรับหน่วยงานภาคเอกชน ประกอบไปด้วยข้อมูลอย่างน้อยดังต่อไปนี้
๔.๖.๑. ขอบเขตในการติดตั้งแพลตฟอร์มฯ
๔.๖.๒. ข้อมูลสภาพแวดล้อมของแพลตฟอร์มฯ ประกอบไปด้วย
๔.๖.๒.๑. ข้อมูลฮาร์ดแวร์ที่ใช้ติดตั้งแพลตฟอร์มฯ
๔.๖.๒.๒. ข้อมูลซอฟต์แวร์ที่ใช้ติดตั้งแพลตฟอร์มฯ
๔.๖.๒.๓. ข้อมูลโครงสร้างพื้นฐานที่เกี่ยวข้องกับแพลตฟอร์มฯ
๔.๖.๓. การติดตั้งแพลตฟอร์มฯ ประกอบไปด้วย
๔.๖.๓.๑. รายละเอียดขั้นตอนการติดตั้งแพลตฟอร์มฯ
๔.๖.๓.๒. ปัญหาและอุปสรรคที่พบระหว่างการติดตั้ง พร้อมวิธีการดำเนินการแก้ไข (หากมี) ๔.๖.๔. การทดสอบการใช้งานแพลตฟอร์มฯ ประกอบไปด้วย
๔.๖.๔.๑. รายละเอียดแผนการทดสอบแพลตฟอร์มฯ
๔.๖.๔.๒. ผลการทดสอบแพลตฟอร์มฯ
32 -
๔.๖.๕. คู่มือการใช้งานแพลตฟอร์มฯประกอบไปด้วย
๔.๖.๕.๑. คำแนะนำการใช้งานแพลตฟอร์มฯ สำหรับผู้ดูแลแพลตฟอร์มฯ
๔.๖.๕.๒. คำแนะนำการใช้งานแพลตฟอร์มฯ สำหรับผู้ดูแลระบบ
๔.๖.๕.๓. คำแนะนำการใช้งานแพลตฟอร์มฯ สำหรับผู้ใช้งานระบบ
๔.๖.๖. คู่มือการบำรุงรักษาแพลตฟอร์มฯ
๔.๗.ให้คำปรึกษา แนะนำด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล สำหรับหน่วยงานเป้าหมาย ๑๐ หน่วยงาน ได้แก่ หน่วยงานวิสาหกิจขนาดกลางและขนาดย่อม ๑๐ หน่วยงานซึ่งมีลักษณะเป็นไปตาม เกณฑ์ของกฎกระทรวงกำหนดลักษณะของวิสาหกิจขนาดกลางและขนาดย่อม พ.ศ. ๒๕๖๒ ที่ได้รับคัดเลือก ให้เข้าร่วมโครงการฯ เพื่อให้สามารถใช้งานแพลตฟอร์มฯ ที่พัฒนาได้เต็มประสิทธิภาพ โดยมีแนวทางในการ สนับสนุนการปฏิบัติงานอย่างน้อย ดังนี้
๔.๗.๑. การจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) และประเมินความเสี่ยงเบื้องต้น โดยมีขั้นตอนการดำเนินการ อย่างน้อยดังนี้
๑) จัดอบรมให้ความรู้ หรือการประชุมเชิงปฏิบัติการ (Workshop) ให้แก่เจ้าหน้าที่ ที่เกี่ยวข้องในหน่วยงาน เพื่อเตรียมความพร้อมการดำเนินการให้สอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ๒) เก็บรวบรวมข้อมูลจากเจ้าหน้าที่ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล เกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของหน่วยงานต่าง ๆ ในองค์กร พร้อมประเมินความ
เสี่ยงตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยจัดทำบันทึกข้อมูลผ่านการส่งชุดคำถามให้กับหน่วยงานต่าง ๆ ในองค์กรที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
๓) สอบถามเจ้าหน้าที่เพื่อระบุรายละเอียดเพิ่มเติมเกี่ยวกับข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลอ่อนไหว การเก็บรวบรวม ใช้ และเปิดเผยต่อบุคคลหรือหน่วยงานภายนอก รวมถึงบทบาท ขององค์กร และฐานทางกฎหมายที่ใช้ในการประมวลผลข้อมูล
๔) จัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) เพื่อตรวจสอบกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่องค์กรกำลังดำเนินการอยู่ โดยเริ่มตั้งแต่วิธีการเก็บ การจัดเก็บ การถ่ายโอนข้อมูล การลบข้อมูล รวมไปถึงมาตรการด้านนโยบายและด้านเทคนิค เพื่อความมั่นคง ปลอดภัยของข้อมูลส่วนบุคคลโดยใช้ระบบบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities) ช่วยเหลือในการดำเนินงาน
๕) ให้คำแนะนำเจ้าหน้าที่ผู้รับผิดชอบกิจกรรม และสอบถามข้อมูลเพิ่มเติมเพื่อแก้ไข ให้บันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) สมบูรณ์เป็นปัจจุบัน ๔.๗.๒. ตรวจสอบรายงานบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA Report) เพื่อสร้างประวัติการจัดทำบันทึกรายการกิจกรรม
๔.๗.๓. จัดทำเอกสารทางกฎหมายพื้นฐาน โดยร่างและจัดทำแบบนโยบายและเอกสารทาง กฎหมายที่จำเป็นในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เพื่อแก้ไขและลดช่องว่าง ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ได้แก่
๑) นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
๒) หนังสือให้ความยินยอมฉบับมาตรฐาน ที่จำเป็นตามรูปแบบองค์กรกิจกรรม (Consent Form)
๓) ประกาศความเป็นส่วนตัว (Privacy Notice)
33 -
๔) ข้อตกลงการประมวลผลข้อมูลฉบับมาตรฐาน ที่จำเป็นตามรูปแบบองค์กรและ กิจกรรม (Data Processing Agreement)
๕) แก้ไขและปรับปรุงแบบฟอร์มเอกสารทางกฎหมายให้สอดคล้องกับกิจกรรมขององค์กร ๖) ตรวจสอบและให้คำแนะนำเกี่ยวกับเอกสารทางกฎหมายที่จำเป็นในการปฏิบัติ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
๔.๘. ศึกษาและจัดทำแนวปฏิบัติหน่วยงาน SME ที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA Guideline for SME) ฉบับภาษาไทยและภาษาอังกฤษ ในรูปแบบเอกสาร จำนวน ๑,๐๐๐ เล่ม และไฟล์อิเลกทรอนิกส์ จำนวน ๑ ชุด
๔.๙. จัดให้มีกิจกรรมเพื่อเสริมสร้างความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และการใช้แพลตฟอร์มเพื่อการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้แก่บุคลากรของหน่วยงาน
กิจกรรมเพื่อเสริมสร้างความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. ๒๕๖๒ ให้แก่บุคลากรของหน่วยงาน
เนื่องจากการปฏิบัติตามหลักเกณฑ์ วิธีการ และเงื่อนไขตามที่พระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. ๒๕๖๒ กำหนด ทำให้ทุกหน่วยงานแม้กระทั่งหน่วยงานเอกชนต้องปรับตัวเพิ่มมากยิ่งขึ้น ในการทำความเข้าใจต่อกฎหมาย รวมถึง การสร้างความรู้ความเข้าใจให้กับบุคคลากรของหน่วยงาน ซึ่งบุคลากรส่วนใหญ่ ยังขาดความรู้ความเข้าใจเกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
ดังนั้น เพื่อให้มีช่องทางในการเสริมสร้างความรู้ความเข้าใจเกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วน บุคคล พ.ศ. ๒๕๖๒ (ซึ่งเป็นภารกิจหน้าที่สอดคล้องตามมาตรา ๔๔ (๗) แห่งพระราชบัญญัติฯ) ในโครงการนี้ จึงจัดให้มีกิจกรรมในรูปแบบของฝึกอบรมเพื่อช่วยสนับสนุนหน่วยงานต่าง ๆ ในการฝึกอบรมบุคลากรของ หน่วยงาน ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ได้ โดยภาพรวมของกิจกรรมเสริมสร้าง ความรู้ PDPA สำหรับหน่วยงานเอกชน ประกอบด้วยกิจกรรมอย่างน้อย ดังนี้
(๑) จัดอบรมผ่านทางช่องทางออนไลน์ (Online Training) ให้กับกลุ่มเป้าหมาย ซึ่งเป็นหน่วยงาน เอกชน เพื่อพัฒนาองค์ความรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลและการใช้แพลตฟอร์มเพื่อการปฏิบัติตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวน ๑๐ หน่วยงาน รวมถึงหน่วยงานเอกชนอื่นที่มีความประสงค์ขอร่วม การฝึกอบรม รวมผู้เข้าร่วม ๑,๐๐๐ คน
(๒) การอบรมให้ความรู้ที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้ปฏิบัติงานใน หน่วยงาน โดยมีระยะเวลาไม่น้อยกว่า 6 ชม. พร้อมสอบ Certificate (โดยคัดเลือกจากหน่วยงานภาคเอกชน เป้าหมายที่ใช้แพลตฟอร์มจำนวน ๑,๐๐๐ หน่วยงาน และหน่วยงานภาคเอกชนอื่นที่มีความประสงค์ขอร่วม การอบรม)
(๓) การอบรมหลักสูตรเชิงปฏิบัติการสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) ระยะเวลา ๕ วัน (โดยคัดเลือกจากหน่วยงานภาคเอกชนที่ปฏิบัติตามกฎหมายคุ้มครองข้อมูล ส่วนบุคคล ๑๐ หน่วยงานและหน่วยงานภาคเอกชนอื่นที่มีความประสงค์ขอร่วมการฝึกอบรม) รวมผู้เข้าร่วมไม่ น้อยกว่าอบรม ๑๐ คน
๔.๙.๑. จัดฝึกอบรมหลักสูตรความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้ปฏิบัติงาน จำนวน ๑,๐๐๐ คน โดยจัดกิจกรรมในรูปแบบออนไลน์ที่ผู้เรียนสามารถเข้าเรียนได้ตลอดเวลาภายในช่วงระยะเวลา
34 -
ที่กำหนด โดยสามารถเรียนได้ผ่านคอมพิวเตอร์ แล็บท็อป โทรศัพท์มือถือ หรือแท็บเล็ต ณ สถานที่ใด ๆ ทั้งนี้ ผู้เรียนสามารถลงทะเบียนเรียนผ่านการเข้าสู่ระบบด้วยช่องทางออนไลน์และเข้าเรียนผ่านระบบการเรียนรู้ สามารถรองรับเจ้าหน้าที่และผู้ปฏิบัติงานของหน่วยงานได้ไม่น้อยกว่า ๑,๐๐๐ คน สำหรับการเข้าอบรมแบบ ออนไลน์ตามวันและเวลาที่สะดวก โดยมีระยะเวลาการให้บริการระบบไม่น้อยกว่า ๑ ปี นับแต่วันที่ส่งมอบบัญชี
การเข้าใช้งาน มีแบบทดสอบเพื่อประเมินความเข้าใจในเนื้อหากฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้เข้าอบรม ทั้งก่อนและหลังการอบรม และเมื่อผู้เข้าอบรมเข้าเรียนครบร้อยละ ๑๐๐ ภายในเวลาที่กำหนด และผ่านการ ทำแบบทดสอบท้ายบท และผ่านการสอบวัดผลตามเกณฑ์ จะได้รับประกาศนียบัตรการอบรม และสามารถออกใบ ประกาศนียบัตรผ่านช่องทางออนไลน์ได้ทั้งนี้ การฝึกอบรมมีเนื้อหาความรู้ที่ครอบคลุมพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ไม่น้อยกว่า ๖ ชั่วโมงต่อหลักสูตร โดยครอบคลุมหัวข้ออย่างน้อย ดังนี้
๔.๙.๑.๑. ข้อมูลส่วนบุคคลและกิจกรรมการประมวลผล
๔.๙.๑.๒. ฐานการประมวลผลข้อมูลส่วนบุคคล
๔.๙.๑.๓. หน้าที่ของหน่วยงานในฐานะผู้ควบคุมข้อมูลส่วนบุคคล
๔.๙.๑.๔. ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล
๔.๙.๑.๕. สิทธิของเจ้าของข้อมูลส่วนบุคคล
๔.๙.๑.๖. การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ทั้งนี้ ผู้รับจ้างจะต้องส่งมอบการเข้าใช้งานการฝึกอบรมหลักสูตรความรู้เกี่ยวกับกฎหมายคุ้มครอง ข้อมูลส่วนบุคคล ภายใน ๙๐ วันนับถัดจากวันลงนามในสัญญา
๔.๙.๒. จัดทำรายงานผลการฝึกอบรมของผู้เข้ารับการฝึกอบรม ในแต่ละงวดของการส่งมอบงาน ๔.๙.๓ จัดให้มีกิจกรรมการฝึกอบรมการใช้งานแพลตฟอร์มฯ ที่พัฒนาขึ้น ระยะเวลา ๑ วันผ่าน ช่องทางออนไลน์ (Online Training) จำนวนไม่น้อยกว่า ๕ ครั้ง
๔.๑๐.จัดให้มีการสอบวัดผลและการออกใบประกาศนียบัตรรับรองความรู้หลักสูตรความรู้เกี่ยวกับ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้ปฏิบัติงาน จำนวนไม่น้อยกว่า ๑,๐๐๐ คน จะต้องดำเนินการ อย่างน้อย ดังนี้
๔.๑๐.๑. ดำเนินการจัดสอบวัดผลในรูปแบบ on-site โดยผู้เข้าสอบสามารถเข้าใช้งานระบบพร้อมกัน ได้ไม่น้อยกว่า ๒๐ คน พร้อมทั้งจัดเตรียมสถานที่และอุปกรณ์ที่ใช้ในการสอบ
๔.๑๐.๒.จัดทำรายละเอียด หลักเกณฑ์ และวิธีการที่เกี่ยวข้องกับการสอบวัดผล
๔.๑๐.๓.จัดให้มีผู้คุมสอบและควบคุมการลงทะเบียนสอบเพื่อยืนยันสิทธิการเข้าสอบวัดผล ๔.๑๐ จัด ให้มีระบบสามารถบริหารจัดการสำหรับการสอบวัดผลความรู้ของผู้เข้ารับการฝึกอบรมและออกใบ ประกาศนียบัตรรับรองความรู้ให้กับผู้ผ่านการฝึกอบรมที่มีคุณสมบัติอย่างน้อย ดังนี้
๔.๑๐.๓.๑. สามารถสร้างคำถามวัดผลรูปแบบปรนัย (Multiple Choices Question) หลายชุดให้ เลือกใช้งาน
๔.๑๐.๓.๒. สามารถสุ่มคำถามสำหรับผู้เข้าสอบ และสามารถสุ่มคำตอบในข้อคำถามได้ ๔.๑๐.๓.๓. สามารถเลือกชุดคำถามวัดผลแบบเฉพาะเจาะจงได้
๔.๑๐.๓.๔. สามารถสร้างชุดข้อสอบ โดยในแต่ละชุดข้อสอบมีการแบ่งหัวข้อหรือหมวดหมู่ของข้อสอบ และสามารถเข้าถึงคลังข้อสอบในแต่ละหัวข้อหรือหมวดหมู่ได้
๔.๑๐.๓.๕. ผู้เข้าสอบสามารถสอบวัดผลได้มากกว่าหนึ่งครั้ง
35 -
๔.๑๐.๓.๖. สามารถกำหนดข้อมูลทั่วไปเกี่ยวกับการสอบวัดผล ระยะเวลาในการสอบ จำนวนคำถาม ในชุดข้อสอบและอื่น ๆ ที่กำหนด พร้อมทั้งสร้าง URL เฉพาะเพื่อส่งให้ผู้ใช้ลงทะเบียนและสอบวัดผลได้โดยใช้ หนึ่งลิงก์ต่อการสอบวัดผลหนึ่งครั้ง
๔.๑๐.๓.๗. เมื่อสิ้นสุดระยะเวลาในการสอบผู้เข้าสอบสามารถทราบผลการสอบได้ทันที และระบบจะ จัดส่งใบประกาศนียบัตรรับรองความรู้ไปยังจดหมายอิเล็กทรอนิกส์ของผู้เข้าสอบที่สอบผ่านเกณฑ์การสอบ วัดผล โดยผู้เข้าสอบจะได้รับคิวอาร์โค้ด (QR code) ซึ่งเชื่อมต่อกับ URL ของเว็บไซต์ที่สามารถตรวจสอบ ตัวตนของผู้ใช้งานได้
๔.๑๐.๓.๘. สามารถแสดงผลการสอบของผู้เข้าสอบรายบุคคลและสามารถส่งออก (Export) ข้อมูล รายชื่อของผู้เข้าสอบที่ผ่านการทดสอบหรือผ่านเกณฑ์คะแนนที่กำหนดไว้ได้
๔.๑๐.๓.๙. จัดทำข้อสอบสำหรับใช้ในการสอบวัดผลอย่างน้อย ๑,๐๐๐ ข้อ และสามารถทำการสุ่ม เพื่อใช้สอบวัดผลได้เป็นชุดคำถามจำนวนข้อตามหลักเกณฑ์
๔.๑๑. ออกแบบหน้าจอแสดงผลส่วนต่อประสานกับผู้ใช้งาน (User Interface, UI) เช่น ออกแบบ โครงสร้างหน้าจอ (Wireframe) การจัดวางองค์ประกอบต่างๆ ปุ่ม เมนู และภาพกราฟิกให้เหมาะสมกับการใช้ งานโดยต้องสอดคล้องกับ Corporate Identity (Color, Font and Icon Set) เป็นต้น รวมถึงส่วน ประสบการณ์ของผู้ใช้งาน (User experience, UX) เช่น ออกแบบโครงสร้างการนำทาง (Navigation Flow) เพื่อลดขั้นตอนที่ซับซ้อน เพิ่มประสิทธิภาพการทำงานของระบบให้สอดคล้องกับพฤติกรรมของผู้ใช้ และการ ดำเนินการทดสอบการใช้งานจริงเพื่อนำมาปรับปรุงให้ตอบโจทย์ผู้ใช้งาน เป็นต้น โดยต้องนำเสนอพร้อมจัดทำ เป็นเอกสารเพื่อขอความเห็นชอบจาก สคส. ก่อนดำเนินการพัฒนาระบบ ในรูปแบบ Wireframe ตามขั้นตอน การให้บริการผู้ใช้งาน (User Journey) ให้ครอบคลุมระบบหน้าบ้าน (Front-end) ของโครงการ อย่างน้อย ดังต่อไปนี้
๔.๑๑.๑. แพลตฟอร์มเพื่อสนับสนุนการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับ ภาคเอกชน
๔.๑๑.๒. ระบบบริหารจัดการข้อมูลหน่วยงาน (Organization Management Module) ๔.๑๑.๓. ระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities Management)
๔.๑๑.๔. ระบบบริหารจัดการความยินยอม (Consent Management)
๔.๑๑.๕. ระบบจัดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach Notification Management) ๔.๑๑.๖. ระบบจัดการคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request Management)
๕. คุณสมบัติของบุคลากรหลัก
๕.๑. ข้อกำหนดด้านบุคลากรหลัก ต้องประกอบด้วยบุคลากรที่มีความรู้ความสามารถ ประสบการณ์
ด้านการพัฒนาระบบเทคโนโลยีสารสนเทศ หรือด้านที่เกี่ยวข้อง หรืองานในลักษณะเดียวกันกับงาน โครงการฯ และต้องมีประสบการณ์ในการทำงานไม่น้อยกว่าที่กำหนดไว้ เพื่อปฏิบัติงานอย่างน้อย ดังนี้
36 -
ที่
รายการ
จำนวน (อัตรา)
ประสบการณ์ ในด้าน
ที่เกี่ยวข้อง
(ปี)
ระยะเวลา (เดือน)
วุฒิการศึกษา (ขั้นต่ำ)
๑.
หัวหน้าโครงการ
(Project Manager)
๑
ตั้งแต่ ๑๖ ปี ขึ้นไป
๑๒ เดือน
วุฒิปริญญาโท สาขาบริหาร เทคโนโลยีสารสนเทศ หรือ ระบบสารสนเทศเพื่อการ จัดการ (MIS) หรือวิทยาศาสตร์ คอมพิวเตอร์ หรือวิศวกรรม คอมพิวเตอร์ หรือ สาขาที่ เกี่ยวข้องกับวิชาชีพเทคโนโลยี
สารสนเทศและการสื่อสาร (ICT)
๒.
ผู้เชี่ยวชาญด้านกฎหมาย (PDPA-Compliance/Law) ที่ ๑ (กลุ่มวิจัยภาคเอกชน)
๒
ตั้งแต่ ๑๑ ปี ขึ้นไป
๑๒ เดือน
วุฒิปริญญาเอกทางด้าน
กฎหมาย โดยมีผลงานที่
เกี่ยวข้องกับการคุ้มครอง ข้อมูลส่วนบุคคล ไม่น้อยกว่า ๑โครงการ
๓.
ผู้เชี่ยวชาญด้านเทคโนโลยี สารสนเทศ (ด้าน Data
Management/ Platform Development)
๑
ตั้งแต่ ๑๑ ปี ขึ้นไป
๑๒ เดือน
วุฒิปริญญาเอก สาขาบริหาร เทคโนโลยีสารสนเทศ หรือระบบ สารสนเทศเพื่อการจัดการ (MIS) หรือวิทยาศาสตร์คอมพิวเตอร์ หรือวิศวกรรมคอมพิวเตอร์ หรือ สาขาที่เกี่ยวข้องกับวิชาชีพ เทคโนโลยีสารสนเทศและการ สื่อสาร (ICT)
๔.
ผู้เชี่ยวชาญด้านการวิเคราะห์ ช่องว่างด้านกฎหมายคุ้มครอง ข้อมูลส่วนบุคคลที่ ๑
(กลุ่มวิจัยภาคเอกชน)
๑
ตั้งแต่ ๑๑ ปี ขึ้นไป
๑๒ เดือน
วุฒิปริญญาเอกทางด้าน กฎหมาย โดยมีผลงานที่ เกี่ยวข้องกับการคุ้มครอง ข้อมูลส่วนบุคคล ไม่น้อยกว่า ๑ โครงการ
๕.
ผู้เชี่ยวชาญด้านการวิเคราะห์ ช่องว่างด้านกฎหมายคุ้มครอง ข้อมูลส่วนบุคคลที่ ๒
(กลุ่มวิจัยภาคเอกชน)
๑
ตั้งแต่ ๕ ปีขึ้น ไป
๑๒ เดือน
ว ุฒิปริญญาโ ททา ง ด ้ า น กฎหมาย โดยมีผลงานที่ เกี่ยวข้องกับการคุ้มครอง ข้อมูลส่วนบุคคล ไม่น้อยกว่า ๑ โครงการ
37 -
ที่
รายการ
จำนวน (อัตรา)
ประสบการณ์ ในด้าน
ที่เกี่ยวข้อง
(ปี)
ระยะเวลา (เดือน)
วุฒิการศึกษา (ขั้นต่ำ)
๖.
ผู้เชี่ยวชาญด้านกฎหมาย (PDPA-Compliance/Law) ที่ ๒ (กลุ่มวิจัยภาคเอกชน)
๒
ตั้งแต่ ๑๑ ปี ขึ้นไป
๑๒ เดือน
ว ุฒิปริญญาโ ททา ง ด ้ า น กฎหมาย โดยมีผลงานที่ เกี่ยวข้องกับการคุ้มครอง ข้อมูลส่วนบุคคล ไม่น้อยกว่า ๑ โครงการ
๗.
ผู้เชี่ยวชาญด้านกฎหมาย (PDPA Compliance/Law) ที่ ๒ (กลุ่มวิจัยภาคเอกชน)
๑
ตั้งแต่ ๕ ปีขึ้น ไป
๑๒ เดือน
ว ุฒิปริญญาโ ททา ง ด ้ า น กฎหมาย โดยมีผลงานที่ เกี่ยวข้องกับการคุ้มครอง ข้อมูลส่วนบุคคล ไม่น้อยกว่า ๑ โครงการ
๘.
ผู้เชี่ยวชาญด้านที่ปรึกษา
เทคโนโลยีสารสนเทศและการ สื่อสาร (ด้าน Technology Specialist Consultant)
๑
ตั้งแต่ ๕ ปีขึ้น ไป
๑๒ เดือน
วุฒิปริญญาโท สาขาบริหาร เทคโนโลยีสารสนเทศ หรือ ระบบสารสนเทศเพื่อการ จ ั ด ก า ร ( M I S ) ห รื อ วิทยาศาสตร์คอมพิวเตอร์ หรือ วิศวกรรมคอมพิวเตอร์ หรือ สาขาที่เกี่ยวข้องกับวิชาชีพ เทคโนโลยีสารสนเทศและการ สื่อสาร (ICT)
๙.
ผู้ชำนาญการด้านการพัฒนา ระบบ (Programmer & Developer)
๘
ตั้งแต่ ๑๑ ปี ขึ้นไป
๑๒ เดือน
วุฒิปริญญาโท สาขาบริหาร เทคโนโลยีสารสนเทศ หรือ ระบบสารสนเทศเพื่อการ จ ั ด ก า ร ( M I S ) ห รื อ วิทยาศาสตร์คอมพิวเตอร์ หรือ วิศวกรรมคอมพิวเตอร์ หรือ สาขาที่เกี่ยวข้องกับวิชาชีพ เทคโนโลยีสารสนเทศและการ สื่อสาร (ICT)
๑๐.
ผู้ชำนาญการด้าน ICT
Specialist
๔
ตั้งแต่ ๕ ปีขึ้น ไป
๑๒ เดือน
วุฒิปริญญาตรี สาขาบริหาร เทคโนโลยีสารสนเทศ หรือ ระบบสารสนเทศเพื่อการ จ ั ด ก า ร ( M I S ) ห รื อ วิทยาศาสตร์คอมพิวเตอร์ หรือ วิศวกรรมคอมพิวเตอร์ หรือ
38 -
ที่
รายการ
จำนวน (อัตรา)
ประสบการณ์ ในด้าน
ที่เกี่ยวข้อง
(ปี)
ระยะเวลา (เดือน)
วุฒิการศึกษา (ขั้นต่ำ)

สาขาที่เกี่ยวข้องกับวิชาชีพ เทคโนโลยีสารสนเทศและการ สื่อสาร (ICT)
๑๑.
ผู้ชำนาญการด้าน Solution Architect Consultant
๖
ตั้งแต่ ๕ ปีขึ้น ไป
๑๒ เดือน
วุฒิปริญญาตรี สาขาบริหาร เทคโนโลยีสารสนเทศ หรือ ระบบสารสนเทศเพื่อการ จ ั ด ก า ร ( M I S ) ห รื อ วิทยาศาสตร์คอมพิวเตอร์ หรือ วิศวกรรมคอมพิวเตอร์ หรือ สาขาที่เกี่ยวข้องกับวิชาชีพ เทคโนโลยีสารสนเทศและการ สื่อสาร (ICT)
๑๒.
ผู้ชำนาญการด้าน ICT
Cybersecurity
๕
ตั้งแต่ ๕ ปีขึ้น ไป
๑๒ เดือน
วุฒิปริญญาตรี สาขาบริหาร เทคโนโลยีสารสนเทศ หรือ ระบบสารสนเทศเพื่อการ จ ั ด ก า ร ( M I S ) ห รื อ วิทยาศาสตร์คอมพิวเตอร์ หรือ วิศวกรรมคอมพิวเตอร์ หรือ สาขาที่เกี่ยวข้องกับวิชาชีพ เทคโนโลยีสารสนเทศและการ สื่อสาร (ICT)
๑๓.
ผู้เชี่ยวชาญด้านกฎหมาย (PDPA-Compliance/Law) ที่ ๓ (กลุ่มวิจัยภาคเอกชน)
๔
ตั้งแต่ ๑ ปีขึ้น ไป
๑๒ เดือน
วุฒิปริญญาตรีทางด ้าน กฎหมาย โดยมีผลงานที่ เกี่ยวข้องกับการคุ้มครอง ข้อมูลส่วนบุคคล ไม่น้อยกว่า ๑ โครงการ
๑๔.
บุคลากรสนับสนุน (สำหรับ สนับสนุนบุคลากรหลัก)
๒
ตั้งแต่ ๒ ปีขึ้น ไป
๑๒ เดือน
ตั้งแต่วุฒิปริญญาตรีขึ้นไป

๑๕. บุคลากรสนับสนุน (เจ้าหน้าที่ ภาคสนามติดต่ออำนวยการ)
๕
ตั้งแต่ ๑ ปีขึ้น ไป
๑๒ เดือน
ตั้งแต่วุฒิปริญญาตรีขึ้นไป
๑๖.
เลขานุการโครงการ
๑
ตั้งแต่ ๑ ปีขึ้น ไป
๑๒ เดือน
ตั้งแต่วุฒิปริญญาตรีขึ้นไป

*หมายเหตุ นับเดือนละ 30 วัน รวม 360 วัน
๕.๒. แบบฟอร์ม “ประวัติบุคลากรที่เสนอในโครงการฯ” ซึ่งมีรายละเอียดดังนี้

39 -
แบบฟอร์มประวัติบุคลากรหลักที่เสนอ
โครงการแพลตฟอร์มเพื่อสนับสนุนการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับภาคเอกชน
ประวัติส่วนตัว
ชื่อ – นามสกุล อายุ ปี ตำแหน่งที่เสนอในโครงการ
ที่อยู่ปัจจุบัน
ประวัติการศึกษา
๑. ปริญญาตรี : มหาวิทยาลัย คณะ สาขา ปีที่สำเร็จ
๒. ปริญญาโท : มหาวิทยาลัย คณะ สาขา ปีที่สำเร็จ
๓. ปริญญาเอก : มหาวิทยาลัย คณะ สาขา ปีที่สำเร็จ
ประวัติการทำงาน (ปัจจุบัน ถึง อดีต)
๑. ระบุปี ถึง ปัจจุบัน ตำแหน่ง หน่วยงาน
รายละเอียด
๒. ระบุปี ถึง ปัจจุบัน ตำแหน่ง หน่วยงาน
รายละเอียด
๓. ระบุปี ถึง ปัจจุบัน ตำแหน่ง หน่วยงาน
รายละเอียด
โครงการด้านการคุ้มครองข้อมูลส่วนบุคคล
๑.
๒.
การฝึกอบรม (ปัจจุบัน ถึง อดีต)
๑. ปี หลักสูตร
๒. ปี หลักสูตร
๓. ปี หลักสูตร
เอกสารประกอบ
๑. สำเนาใบรายงานผลการศึกษา (Transcript) หรือปริญญาบัตรหรือหลักฐานการจบการศึกษา พร้อมลงนามรับรองสำเนาถูกต้อง
๒. สำเนาใบรับรองการฝึกอบรม (Certification) พร้อมลงนามรับรองสำเนาถูกต้อง (ถ้ามี)
40 -
๖. ระยะเวลาการดำเนินการ
ระยะเวลา ๓๖๐ วันนับถัดจากวันลงนามในสัญญา
๗. เงื่อนไขการส่งมอบงานและการชำระเงิน
๗.๑ ผู้รับจ้างต้องติดตั้งระบบให้สามารถใช้งานได้ตามข้อกำหนดโดยทำการติดตั้งบนคลาวด์กลาง ภาครัฐ (GDCC)
๗.๒ ผู้ว่าจ้างจะจ่ายเงินให้แก่ผู้รับจ้างเป็นรายงวดงานที่ดำเนินการแล้วเสร็จ และผ่านการตรวจ รับงานตามระเบียบของทางราชการแล้ว จำนวน ๔ งวดงาน ดังนี้
งวดงานที่
รายละเอียดงานที่ส่งมอบ
การจ่ายเงิน
(ร้อยละ)
๑
เมื่อดำเนินการตามข้อ ๔.๑ แล้วเสร็จ โดยจัดทำแผนการดำเนินงานโครงการฯ ที่ ระบุกิจกรรมการดำเนินงานอย่างละเอียด ระยะเวลาการดำเนินงาน วันที่ส่งมอบ งาน รายละเอียดสิ่งส่งมอบงาน และ รายงานการศึกษาเบื้องต้น (Inception Report) ประกอบด้วย (๑) ทฤษฎี/แนวคิด (๒) ขอบเขตการดำเนินงาน (๓) แผนการดำเนินงาน (๔) ผลที่คาดว่าจะได้รับ
ภายในระยะเวลา ๓๐ วันนับถัดจากวันลงนามในสัญญาจ้าง
๒๐
๒
เมื่อดำเนินการตามข้อ ๔.๒, ๔.๓, ๔.๑๑ แล้วเสร็จ โดยจัดทำรายงานดังต่อไปนี้ • รายงานผลการวิเคราะห์และออกแบบแพลตฟอร์มรองรับกฎหมาย PDPA สำหรับหน่วยงาน (PDPA Platform for Private Sector) จำนวน ๑ งาน ประกอบด้วย
(๑) ระบบบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities : ROPA)
(๒) ระบบบริหารจัดการความยินยอม(Consent Management)และระบบ จัดการคุกกี้แบนเนอร์(Cookies Consent Management : CKCM) (๓) ระบบจัดการคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล(Data Subject Access Request : DSAR)
(๔) ระบบจัดการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล(Data Breach Notification Management :DBNM)
ภายในระยะเวลา ๖๐ วันนับถัดจากวันลงนามในสัญญาจ้าง
๒๐
๓
เมื่อดำเนินการตามข้อ ๔.๔ ,๔.๕, ๔.๖ แล้วเสร็จ โดยจัดทำรายงานดังต่อไปนี้ • แพลตฟอร์มรองรับกฎหมาย PDPA สำหรับหน่วยงานเอกชน (PDPA Platform for Private Sector)
• รายงานผลการทดสอบและใช้งานแพลตฟอร์ม
ภายในระยะเวลา ๑๘๐ วันนับถัดจากวันลงนามในสัญญาจ้าง
๔๐
41 -
งวดงานที่
รายละเอียดงานที่ส่งมอบ
การจ่ายเงิน
(ร้อยละ)
๔
เมื่อดำเนินการตามข้อ ๔.๗, ๔.๘, ๔.๙, ๔.๑๐ แล้วเสร็จ โดยจัดทำรายงาน ดังต่อไปนี้
• รายงานผลการฝึกอบรมกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับ ผู้ปฏิบัติงานจากหน่วยงานเอกชนเป้าหมาย จำนวน ๑๐ หน่วยงานและ หน่วยงานเอกชนอื่นที่ประสงค์เข้าร่วม รวมทั้งสิ้น ๑,๐๐๐ คน จำนวน ๑ งาน
• รายงานการฝึกอบรมหลักสูตรเชิงปฏิบัติการสำหรับเจ้าหน้าที่คุ้มครอง ข้อมูลส่วนบุคคล (Data Protection Officer : DPO) ระยะเวลา ๕ วัน จำนวน ๑๐ คน จำนวน ๑ งาน
• รายงานสรุปผลการใช้งานแพลตฟอร์มเพื่อสนับสนุนการปฏิบัติตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับภาคเอกชน จำนวน ๑ งาน • รายงานการจัดสอบวัดผล จำนวน ๑ งาน
• รายงานฉบับสมบูรณ์จำนวน ๑ งาน
ภายในระยะเวลา ๓๖๐ วันนับถัดจากวันลงนามในสัญญาจ้าง
๒๐

อนึ่ง ผู้รับจ้างจะต้องดำเนินการจัดส่งสิ่งส่งมอบในแต่ละงวดงานข้างต้น โดยจัดส่งเอกสาร จำนวน ๕ ชุด (ต้นฉบับ ๑ ชุดและสำเนา ๔ ชุด) พร้อมไฟล์อิเล็กทรอนิกส์ในรูปแบบที่ปรับแก้ได้ (Ms Office) และ ปรับแก้ไขไม่ได้ (PDF) พร้อมบันทึกลงใน USB Flash Drive หรือสื่อแบบถอดได้อื่น ๆ (Removable) จำนวน ๒ ชุด ๘. หลักเกณฑ์และสิทธิในการพิจารณา
๘.๑ จะพิจารณาผลการยื่นข้อเสนอประกวดราคาอิเล็กทรอนิกส์ครั้งนี้ โดยใช้หลักเกณฑ์ ราคาประกอบเกณฑ์อื่น โดยพิจารณาให้คะแนนตามปัจจัยหลักและน้ำหนัก ดังนี้
(๑) เกณฑ์ราคา กำหนดน้ำหนักเท่ากับร้อยละ ๒๐
เกณฑ์การพิจารณาการให้คะแนนด้านราคา
คะแนน
๑) ผู้ยื่นเสนอราคาต่ำสุด
๑๐๐
๒) ผู้ยื่นเสนอราคารายอื่นเสนอราคาลำดับรองลงมาจะได้คะแนนตามสัดส่วน จะคิดจาก สูตรการคำนวณ ดังนี้
๑๐๐ - (ราคาของผู้ยื่นเสนอราคารายอื่น –ราคาของผู้ยื่นเสนอราคาต่ำสุด) x๑๐๐ = คะแนน ราคาผู้ยื่นเสนอราคาต่ำสุด

๒) เกณฑ์การประเมินข้อเสนอด้านเทคนิค กำหนดน้ำหนักรวม เท่ากับร้อยละ ๘๐ โดยมี รายละเอียดดังนี้
สคส. จะพิจารณาผลการยื่นข้อเสนอประกวดราคาอิเล็กทรอนิกส์ครั้งนี้ โดยพิจารณาให้คะแนน ตามหลักเกณฑ์การประเมินข้อเสนอด้านเทคนิคที่กำหนดไว้นี้ โดยมีคะแนนเต็ม ๑๐๐ คะแนน ตามหัวข้อการ ประเมิน ดังนี้

42 -
๑) ผลงานของประสบการณ์จากโครงการที่ผ่านมาของผู้ยื่นข้อเสนอ (คะแนนเต็ม ๕๐ คะแนน) ๑.๑) จำนวนโครงการที่ดำเนินการสำเร็จ/โครงการที่อ้างอิง (๒๕ คะแนน)
พิจารณาจำนวนผลงานในด้านการพัฒนาระบบสารสนเทศ หรือพัฒนาระบบงานคอมพิวเตอร์ ภายในประเทศ หรือด้านพัฒนาแพลตฟอร์มการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วน โดยมีมูลค่าโครงการ ไม่น้อยกว่า ๓๐,๐๐๐,๐๐๐ บาท (สามสิบล้านบาทถ้วน) ต่อสัญญา โดยพิจารณาจากสำเนาสัญญา หรือหนังสือ รับรองผลงานจากคู่สัญญาที่สิ้นสุดแล้วของผู้ยื่นข้อเสนอ โดยพิจารณาทั้งกรณีที่ ๑ และกรณีที่ ๒ รวม คะแนนกัน ดังนี้
รายละเอียดประกอบการพิจารณา
คะแนน
กรณีที่ ๑ ผลงานในด้านการพัฒนาระบบสารสนเทศ หรือพัฒนาระบบงานคอมพิวเตอร์ภายในประเทศ หรือด้านพัฒนาแพลตฟอร์มการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วน
มี ๔ โครงการขึ้นไป
มี ๒ – ๓ โครงการ
มี ๑ โครงการ
ไม่มีโครงการ
๒๕ คะแนน
๒๐ คะแนน
๑๕ คะแนน
๐ คะแนน

๑.๒) มูลค่าผลงานและประสบการณ์ที่อ้างถึง (๒๕ คะแนน)
พิจารณามูลค่าผลงานในด้านพัฒนาแพลตฟอร์มการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล มาแล้ว ไม่น้อยกว่า ๑ โครงการ ทั้งนี้ ผลงานจะต้องย้อนหลังไม่เกิน ๕ ปี นับย้อนจากวันที่ประกวดราคา อิเล็กทรอนิกส์ โดยมีมูลค่าโครงการไม่น้อยกว่า ๓๐,๐๐๐,๐๐๐ บาท (สามสิบล้านบาท) ต่อสัญญา โดยพิจารณาจากหนังสือสัญญา หรือหนังสือรับรองผลงาน โดยพิจารณาจากกรณีดังนี้
รายละเอียดประกอบการพิจารณา
คะแนน
ผู้ยื่นข้อเสนอโครงการ นำเสนอโครงการที่มีผลงานด้านการพัฒนาระบบที่เกี่ยวข้องกับกฎหมายคุ้มครอง ข้อมูลส่วนบุคคล
มีมูลค่าผลงานตั้งแต่ ๗๐ ล้านบาท ขึ้นไป
มีมูลค่าผลงาน ตั้งแต่ ๕๐ ล้านบาท แต่น้อยกว่า ๗๐ ล้านบาท
มีมูลค่าผลงาน ตั้งแต่ ๓๐ ล้านบาท แต่น้อยกว่า ๕๐ ล้านบาท
มีมูลค่าผลงานน้อยกว่า ๓๐ ล้านบาท
๒๕
๒๐
๑๕
๐

๒) บุคลากรและประสบการณ์ของบุคลากรของผู้ยื่นข้อเสนอ (คะแนนเต็ม ๕๐ คะแนน) ๒.๑) โครงสร้างทีมงาน (๒๕ คะแนน)
พิจารณาจากจำนวนทีมงานของผู้ยื่นข้อเสนอที่มีคุณสมบัติตามข้อกำหนดและขอบเขตงานนี้
รายละเอียดประกอบการพิจารณา
คะแนน
เสนอตรงตามข้อกำหนดและขอบเขตงาน
๑๕
เสนอบุคลากรหลักเพิ่มเติม ที่สอดคล้องกับวัตถุประสงค์โครงการ ได้เพิ่มคนละ ๐.๕ คะแนน รวมสูงสุดไม่เกิน ๕ คะแนน
o เสนอบุคลากรหลักเพิ่มเติม ที่สอดคล้องกับวัตถุประสงค์โครงการ จำนวน ๑ คน o เสนอบุคลากรหลักเพิ่มเติม ที่สอดคล้องกับวัตถุประสงค์โครงการ จำนวน ๒ คน o เสนอบุคลากรหลักเพิ่มเติม ที่สอดคล้องกับวัตถุประสงค์โครงการ จำนวน ๓ คน
๐.๕ ถึง ๕
๐.๕
๑
๑.๕

43 -
รายละเอียดประกอบการพิจารณา
คะแนน
o เสนอบุคลากรหลักเพิ่มเติม ที่สอดคล้องกับวัตถุประสงค์โครงการ จำนวน ๔ คน o เสนอบุคลากรหลักเพิ่มเติม ที่สอดคล้องกับวัตถุประสงค์โครงการ จำนวน ๕ คน o เสนอบุคลากรหลักเพิ่มเติม ที่สอดคล้องกับวัตถุประสงค์โครงการ จำนวน ๖ คน o เสนอบุคลากรหลักเพิ่มเติม ที่สอดคล้องกับวัตถุประสงค์โครงการ จำนวน ๗ คน o เสนอบุคลากรหลักเพิ่มเติม ที่สอดคล้องกับวัตถุประสงค์โครงการ จำนวน ๘ คน o เสนอบุคลากรหลักเพิ่มเติม ที่สอดคล้องกับวัตถุประสงค์โครงการ จำนวน ๙ คน o เสนอบุคลากรหลักเพิ่มเติม ที่สอดคล้องกับวัตถุประสงค์โครงการ จำนวน ๑๐ คน
๒
๒.๕
๓
๓.๕
๔
๔.๕
๕
เสนอข้อกำหนดและขอบเขตงานไม่เป็นไปตามที่กำหนดไว้ในประกาศ
๐
ในกรณีเสนอบุคลากรด้านกฎหมายในโครงการที่มีใบประกาศนียบัตรตาม มาตรฐานสากล ที่รับรองโดยสถาบัน International Association of Privacy Professionals (IAPP) อาทิ CIPP, CIPM หรือ CIPT จะได้คะแนนเพิ่ม
๕

๒.๒) ประสบการณ์ของบุคลากร (๒๕ คะแนน)
พิจารณาจากวุฒิการศึกษาและจำนวนปีของประสบการณ์การทำงานของบุคลากรในโครงการฯ ของผู้ยื่นข้อเสนอ เปรียบเทียบกับข้อกำหนดและขอบเขตงานนี้
รายละเอียดประกอบการพิจารณา
คะแนน
ลำดับที่ ๑ หัวหน้าโครงการ (Project Manager) วุฒิปริญญาโท สาขาบริหารเทคโนโลยี สารสนเทศ หรือระบบสารสนเทศเพื่อการจัดการ (MIS) หรือวิทยาศาสตร์คอมพิวเตอร์ หรือวิศวกรรมคอมพิวเตอร์ หรือ สาขาที่เกี่ยวข้องกับวิชาชีพเทคโนโลยีสารสนเทศและการ สื่อสาร (ICT) ประสบการณ์ ตั้งแต่ ๑๖ ปี ขึ้นไป จำนวน ๑ คน

มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ จำนวนตั้งแต่ ๑๕ โครงการ ขึ้นไป
มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ จำนวน ๑๐ - ๑๔ โครงการ - มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ จำนวน ๕ - ๙ โครงการ - มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ จำนวน ๓ - ๔ โครงการ - มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ จำนวนน้อยกว่า ๓ โครงการ
ไม่มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ
๕
๔
๓
๒
๑
๐
ลำดับที่ ๒ ผู้เชี่ยวชาญด้านกฎหมาย (PDPA-Compliance/Law) วุฒิปริญญาเอกทางด้าน กฎหมาย ประสบการณ์ ตั้งแต่ ๑๑ ปีขึ้นไป จำนวน ๒ คน โดยมีประสบการณ์ทำงานร่วม โครงการรวมกัน ดังนี้
มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวนตั้งแต่ ๑๑ โครงการขึ้นไป
มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวน ๘ - ๑๐ โครงการ
มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวน ๖ - ๘ โครงการ
๑๐
๘
๖
๔
44 -
รายละเอียดประกอบการพิจารณา
คะแนน
- มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวน ๓ - ๕ โครงการ
มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวนน้อย กว่า ๓ โครงการ
ไม่ประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล
๒
๐
ลำดับที่ ๓ ผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศ (ด้าน Data Management/ Platform Development) วุฒิปริญญาเอก สาขาบริหารเทคโนโลยีสารสนเทศ หรือระบบสารสนเทศ เพื่อการจัดการ (MIS) หรือวิทยาศาสตร์คอมพิวเตอร์ หรือวิศวกรรมคอมพิวเตอร์ หรือ สาขาที่เกี่ยวข้องกับวิชาชีพเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ประสบการณ์ ตั้งแต่ ๑๑ ปี ขึ้นไป จำนวน ๑ คน
มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ จำนวนตั้งแต่ ๑๕ โครงการ ขึ้นไป
มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ จำนวน ๑๐ - ๑๔ โครงการ - มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ จำนวน ๕ - ๙ โครงการ - มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ จำนวน ๓ - ๔ โครงการ - มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ จำนวนน้อยกว่า ๓ โครงการ
ไม่มีประสบการณ์ทำงานร่วมโครงการด้านเทคโนโลยีสารสนเทศ
๕
๔
๓
๒
๑
๐
ลำดับที่ ๔ ผู้เชี่ยวชาญด้านการวิเคราะห์ช่องว่างด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ ๑ วุฒิปริญญาเอกทางด้านกฎหมาย โดยมีผลงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วน บุคคล ไม่น้อยกว่า ๑ โครงการ ประสบการณ์ ตั้งแต่ ๑๑ ปีขึ้นไป จำนวน ๑ คน - มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวนตั้งแต่ ๑๑ โครงการขึ้นไป
มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวน ๘ - ๑๐ โครงการ
มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวน ๖ - ๘ โครงการ
มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวน ๓ - ๕ โครงการ
มีประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล จำนวนน้อย กว่า ๓ โครงการ
ไม่ประสบการณ์ทำงานร่วมโครงการด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล
๕
๔
๓
๒
๑
๐

๘.๒ ในการตัดสินการประกวดราคาอิเล็กทรอนิกส์หรือในการทำสัญญา คณะกรรมการพิจารณา ผลการประกวดราคาอิเล็กทรอนิกส์มีสิทธิให้ผู้ยื่นข้อเสนอ ชี้แจงข้อเท็จจริง สภาพฐานะ หรือข้อเท็จจริงอื่นใดที่ เกี่ยวข้องกับผู้ยื่นข้อเสนอ ได้ โดย สคส. มีสิทธิที่จะไม่รับข้อเสนอ ไม่รับราคา หรือไม่ทำสัญญาหากหลักฐาน ดังกล่าวไม่มีความเหมาะสมหรือไม่ถูกต้อง

45 -
๘.๓ ในกรณีที่ปรากฏข้อเท็จจริงภายหลังจากการพิจารณาข้อเสนอว่า ผู้ยื่นข้อเสนอที่มีสิทธิได้รับ การคัดเลือกเป็นผู้ยื่นข้อเสนอ ที่มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่น ณ วันประกาศประกวดราคา อิเล็กทรอนิกส์ หรือเป็นผู้ยื่นข้อเสนอที่กระทำการอันเป็นการขัดขวางการแข่งขันราคาอย่างเป็นธรรม สคส. มีอำนาจที่จะตัดรายชื่อผู้ยื่นข้อเสนอที่ได้รับคัดเลือกรายดังกล่าวออก และจะพิจารณาลงโทษผู้ยื่นข้อเสนอ รายนั้นเป็นผู้ทิ้งงาน
๙. หลักฐานในการยื่นข้อเสนอ
ผู้ยื่นข้อเสนอจะต้องยื่นเอกสารดังต่อไปนี้
๙.๑ หลักฐานการจดทะเบียนนิติบุคคล

ห้างหุ้นส่วนสามัญหรือห้างหุ้นส่วนจำกัดให้ยื่นสำเนาหนังสือรับรองการจดทะเบียนนิติ บุคคล บัญชีรายชื่อหุ้นส่วนผู้จัดการ ผู้มีอำนาจควบคุม พร้อมรับรองสำเนาถูกต้องทุกหน้า 2) บริษัทจำกัดหรือบริษัทมหาชนจำกัด ให้ยื่นสำเนาหนังสือรับรองการจดทะเบียนนิติบุคคล หนังสือบริคณห์สนธิ บัญชีรายชื่อกรรมการผู้จัดการ ผู้มีอำนาจควบคุม และบัญชีผู้ถือหุ้นรายใหญ่ และในกรณี ผู้ถือหุ้นเป็นนิติบุคคลให้แสดงหลักฐานที่แสดงชื่อบุคคลผู้ถือหุ้นในนิติบุคคลนั้นมาด้วยพร้อมรับรองสำเนา ถูกต้องทุกหน้า
ในกรณีที่ผู้ยื่นข้อเสนอหรือผู้เสนองานเป็นผู้ยื่นข้อเสนอหรือผู้เสนองานร่วมกันในฐานะเป็นผู้ ร่วมค้าให้ยื่นสำเนาสัญญาของการเข้าร่วมค้า สำเนาบัตรประจำตัวประชาชนของผู้ร่วมค้า และในกรณีที่ ผู้เข้าร่วมค้าฝ่ายใดเป็นบุคคลธรรมดาที่มิได้ถือสัญชาติไทยก็ให้ยื่นสำเนาหนังสือเดินทาง หรือถ้าผู้ร่วมค้า ฝ่ายใดเป็นนิติบุคคล ให้ยื่นเอกสารตามที่ระบุไว้ในข้อ 1)
เอกสารอื่นตามที่ส่วนราชการกำหนด เช่น หนังสือแสดงฐานะทางการเงิน สำเนาใบ ทะเบียนพาณิชย์สำเนาใบทะเบียนภาษีมูลค่าเพิ่ม
ในกรณีเป็นสถาบันการศึกษาหรือหน่วยงานที่จัดตั้งโดยพระราชบัญญัติ ต้องสำเนาแสดง หลักฐานการจัดตั้งหน่วยงาน วัตถุประสงค์ และอำนาจหน้าที่ของหน่วยงาน พร้อมทั้งรับรองสำเนาถูกต้องทุกหน้า ๙.2 หนังสือแสดงฐานะทางการเงิน สำเนาใบทะเบียนพาณิชย์ หรือสำเนาใบทะเบียนภาษีมูลค่าเพิ่ม พร้อมรับรองสำเนาถูกต้องทุกหน้า
๙.๓ หนังสือมอบอำนาจซึ่งปิดอากรแสตมป์ตามกฎหมายในกรณีที่ผู้ยื่นข้อเสนอมอบอำนาจให้บุคคล อื่นทำการแทน
๙.๔ หลักฐานแสดงผลงานที่เกี่ยวข้องกับขอบเขตของงานที่ต้องดำเนินการ เช่น สำเนาสัญญาของ โครงการที่ได้ดำเนินการ เป็นต้น
๙.5 ผู้ยื่นข้อเสนอต้องยื่นข้อเสนอเป็นภาษาไทย ส่วนเอกสารอ้างอิงสามารถจะเป็นภาษาไทยหรือ ภาษาอังกฤษ หากเป็นภาษาอื่นต้องแปลเป็นภาษาไทย
๙.๖ ผู้ยื่นข้อเสนอต้องเสนอบุคลากรหลักปฏิบัติงานประจำโครงการฯ ที่มีคุณสมบัติตามข้อกำหนด ด้านบุคคลากรหลักตามแบบฟอร์มประวัติ ตามข้อ ๕
๙.๗ ผู้ยื่นข้อเสนอต้องยื่นเอกสารการแต่งตั้งและรับรองให้เป็นตัวแทนอย่างถูกต้องตามกฎหมายของ ระบบปฏิบัติการหลัก (OS) ของแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูล ส่วนบุคคล (Government Platform for PDPA Compliance: GPPC) จากเจ้าของผลิตภัณฑ์หรือสาขา เจ้าของผลิตภัณฑ์ในประเทศไทยหรือตัวแทนจำหน่ายในประเทศไทยสำหรับโครงการนี้ณ วันที่ยื่นข้อเสนอ

46 -
๙.๘ ผู้ยื่นข้อเสนอจะต้องทำเอกสารข้อเสนอทางเทคนิค และตารางเปรียบเทียบรายละเอียดและ เงื่อนไขเฉพาะตามขอบเขตและรายละเอียดของงานโครงการฯ (Specification) เป็นรายข้อทุกข้อ (Statement of Compliance) โดยใช้ตารางการเปรียบเทียบ ดังนี้
รายละเอียดการเปรียบเทียบขอบเขตและรายละเอียดของงาน
หัวข้อ/รายการคุณลักษณะ เฉพาะของอุปกรณ์ และ ขอบเขตของงาน
ร า ย ก า ร ค ุ ณ ล ั ก ษ ณ ะ เฉพาะของอุปกรณ์ และ ขอบเขตของงานที่เสนอ
ทำได้
(Compliance)
เลขหน้าเอกสาร อ้างอิงในเอกสาร ข ้ อ เ ส น อ ท า ง เทคนิค
รายละเอียด/
คำชี้แจง
เหตุผลเพิ่มเติม
……
……
……
……
……

๑๐. เงื่อนไขการบริการและการรับประกัน
ผู้รับจ้างต้องให้บริการและรับประกันแพลตฟอร์มฯ เป็นระยะเวลา ๑ ปี ภายหลังจากสิ้นสุด โครงการฯ โดยต้องปฏิบัติตามเงื่อนไข ดังนี้
๑๐.๑ ผู้รับจ้างต้องตรวจสอบการทำงานของแพลตฟอร์มฯ ให้สามารถทำงานได้อย่างต่อเนื่อง มีความมั่นคงปลอดภัย มีประสิทธิภาพ โดยรวมถึงการบำรุงรักษา ซ่อมแซม และแก้ปัญหาในการให้บริการ ๑๐.๒ ผู้รับจ้างต้องทำการบำรุงรักษา การแก้ไข และปรับปรุงแพลตฟอร์มฯ ให้เป็นไปตาม หลักเกณฑ์ที่เป็นปัจจุบันของกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ตลอดระยะเวลารับประกัน ทั้งนี้ ไม่จำกัดการปรับปรุงคุณลักษณะเพิ่มเติมของผู้รับจ้างที่เป็นประโยชน์ต่อการใช้งานของแพลตฟอร์มฯ
๑๑. ข้อกำหนดทั่วไปที่เกี่ยวข้อง
กรณีหากเกิดความจำเป็นต้องมีการติดตั้งระบบหรืออุปกรณ์ใด ๆ เพิ่มเติมในโครงการฯ เพื่อให้สามารถทำงานได้อย่างมีประสิทธิภาพ ผู้รับจ้างต้องรับผิดชอบค่าใช้จ่ายต่าง ๆ ที่เกิดขึ้นทั้งหมด ทั้งนี้ ต้องคำนึงถึงหลักวิชาการและประโยชน์ของราชการเป็นสำคัญ
๑๒. ค่าปรับ
ในกรณีที่ผู้รับจ้างไม่ส่งมอบงานงวดสุดท้ายให้เป็นไปตามกำหนดระยะเวลาการส่งมอบงาน ผู้ว่าจ้างจะดำเนินการปรับเป็นรายวัน ในอัตราร้อยละ ๐.๑๐ (ศูนย์จุดหนึ่งศูนย์) ของวงเงินค่าจ้างตามสัญญา นับถัดจากวันที่กำหนดแล้วเสร็จตามสัญญา จนถึงวันที่ผู้รับจ้างปฏิบัติตามสัญญาถูกต้องครบถ้วน และผู้ว่าจ้าง ได้ตรวจรับงานแล้ว
๑๓. การขอขยายเวลาส่งมอบ
ในกรณีที่มีเหตุสุดวิสัย ภัยพิบัติ หรือเหตุใด ๆ อันเนื่องมาจากความผิด หรือความบกพร่องของผู้ ว่าจ้าง หรือจากพฤติการณ์อันใดอันหนึ่ง ซึ่งผู้รับจ้างไม่ต้องรับผิดชอบตามกฎหมาย เป็นเหตุให้ผู้รับจ้างไม่ สามารถส่งมอบงานตามเงื่อนไขและกำหนดเวลาแห่งสัญญาได้ ผู้รับจ้างมีสิทธิขอขยายเวลาทำการตามสัญญา หรือของด หรือลดค่าปรับได้ โดยจะต้องแจ้งเหตุหรือพฤติการณ์ดังกล่าว พร้อมหลักฐานเป็นหนังสือ ให้ผู้ว่า จ้างทราบภายใน ๑๕ วัน นับแต่วันที่เหตุนั้นสิ้นสุดลง ถ้าผู้รับจ้างไม่ปฏิบัติให้เป็นไปตามความในวรรคหนึ่ง ให้ ถือว่าผู้รับจ้างได้สละสิทธิ์เรียกร้องในการที่จะขอขยายเวลาทำการตามสัญญา หรือของด หรือลดค่าปรับโดยไม่ มีเงื่อนไขใด ๆ ทั้งสิ้น เว้นแต่กรณีเหตุเกิดจากความผิด หรือความบกพร่องของผู้ว่าจ้าง ซึ่งมีหลักฐานชัดแจ้ง หรือผู้ว่าจ้างทราบดีอยู่แล้วตั้งแต่ต้นการขยายเวลาทำการตามสัญญา หรือของด หรือลดค่าปรับตามวรรคหนึ่ง อยู่ในดุลพินิจของผู้ว่าจ้างที่จะพิจารณา

47 -
๑๔. ข้อตกลงห้ามเปิดเผยข้อมูล
เอกสาร ข้อมูล หรือสัญญาที่เกี่ยวข้องกับโครงการฯ ทั้งหมดที่ร่วมดำเนินการกับผู้รับจ้างรวมทั้ง เอกสารที่ผู้รับจ้างจัดทำให้ สคส. ตามสัญญา ถือเป็นความลับ และเป็นสมบัติของ สคส. สคส. ให้ความยินยอมแก่ผู้รับจ้างและหรือผู้ที่ผู้รับจ้างว่าจ้างในการเข้าถึงและใช้ซึ่งข้อมูล ทั้งหมดที่ สคส. ได้มอบให้หากผู้รับจ้างละเมิดโดยการนำไปเผยแพร่ และเปิดเผย โดยไม่ได้รับอนุญาต สคส. จะ ฟ้องร้องเรียกค่าเสียหาย และดำเนินการตามกฎหมายตามแต่กรณี
ทั้งนี้ บุคลากรของผู้รับจ้างที่ปฏิบัติงานในโครงการฯ ทุกคนจะต้องลงลายมือชื่อรับทราบ ข้อตกลงห้ามเปิดเผยข้อมูลด้วยตนเอง
๑๕. ข้อสงวนสิทธิ์
๑๔.๑ ในกรณีที่ผู้ว่าจ้างมีความจำเป็นไม่อาจทำสัญญาได้ หรือมีเหตุจำเป็นด้านอื่น ๆ ที่เป็น อุปสรรค ผู้ว่าจ้างขอสงวนสิทธิที่จะยกเลิกการว่าจ้างครั้งนี้ได้ทุกขั้นตอน โดยไม่จำเป็นต้องแจ้งเหตุผลใด ๆ ให้ผู้ ยื่นข้อเสนอทราบ และผู้ยื่นข้อเสนอไม่มีสิทธิโต้แย้งและเรียกร้องค่าใช้จ่ายหรือค่าเสียหายใด ๆ ทั้งสิ้น
๑๔.๒ ผู้ว่าจ้างมีสิทธิที่จะเปลี่ยนแปลง แก้ไข เพิ่มเติม หรือลดเนื้องานตามรายละเอียดใน สัญญาได้การเพิ่มหรือลดเนื้องาน คู่สัญญาทั้งสองฝ่ายจะได้ตกลงเรื่องราคาใหม่โดยถือราคาที่ระบุไว้ในสัญญา เป็นฐาน ถ้าการเพิ่มหรือลดงาน จำเป็นต้องมีการขยายหรือลดเวลา ให้ตกลงไปในคราวเดียวกัน
๑๔.๓ ผู้รับจ้างห้ามเปลี่ยนแปลงตัวบุคลากรหลัก ตลอดระยะเวลาของสัญญา เว้นแต่กรณีที่มี ความจำเป็นที่ผู้รับจ้างต้องการเปลี่ยนแปลงตัวบุคลากรหลักดังกล่าวข้างต้น จะต้องได้รับความเห็นชอบจาก สคส. เป็นลายลักษณ์อักษรก่อนการเริ่มทำงาน โดยตัวบุคลากรหลักใหม่จะต้องมีคุณสมบัติไม่ด้อยกว่า ๑๖. หน่วยงานที่รับผิดชอบ
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักเทคโนโลยีสารสนเทศ
๑๗. งบประมาณ
วงเงินงบประมาณ ๗๙,๙๕๙,๘๐๐ บาท (เจ็ดสิบเก้าล้านเก้าแสนห้าหมื่นเก้าพันแปดร้อยบาทถ้วน) รวมภาษีมูลค่าเพิ่มแล้ว