20220228_153153_6727

การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล

ความสำคัญ

          ในยุคที่เทคโนโลยีเข้ามามีบทบาทในการดำรงชีวิตของผู้คน ไม่ว่าจะเป็นการซื้อสินค้าและบริการ รวมไปถึงการติดต่อสื่อสารและดำเนินธุรกิจ การเข้าถึงข้อมูลและความเป็นส่วนตัวของข้อมูลจึงเป็นเรื่องที่ต้องให้ความสำคัญ เนื่องด้วยปัจจุบันภัยคุกคามทางไซเบอร์ มีรูปแบบที่หลากหลาย และส่งผลทำให้เกิดความเสียหายทั้งกับตัวบุคคล รวมไปถึงการดำเนินธุรกิจ ดังนั้นธุรกิจควรมีการเตรียมความพร้อมเพื่อป้องกันไม่ให้เกิดภัยในรูปแบบดังกล่าว    

          “Digital Driven Organization” เป็นหนึ่งในความมุ่งมั่นของ OR ที่ต้องการนำเทคโนโลยีและดิจิทัลแพลตฟอร์มมาใช้ในการดำเนินธุรกิจ สนับสนุนการให้บริการรูปแบบ Online to Offline (O2O) เพื่อให้ธุรกิจเกิดความคล่องตัว ตอบสนองต่อผู้บริโภคและลูกค้าได้อย่างทันท่วงที และตระหนักถึงความเสี่ยงของการดำเนินธุรกิจที่อาจเกี่ยวเนื่องกับความปลอดภัยและความเป็นส่วนตัวของข้อมูล (Data Security and Privacy) อาทิ Malware Phishing ซึ่งจัดเป็นหนึ่งในภัยคุกคามทางไซเบอร์ (Cyber Threat) ก่อให้เกิดความเสียหายทั้งในการดำเนินธุรกิจรวมถึงชื่อเสียงของบริษัท ดังนั้นจึงต้องมีการจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูลอย่างมีประสิทธิภาพ เพื่อตอบสนองความคาดหวังและส่งมอบคุณค่าผ่านสินค้าและบริการที่ได้คุณภาพ ปลอดภัย กับลูกค้าและผู้มีส่วนได้ส่วนเสียทุกกลุ่ม

เป้าหมาย ปี 2566

นโยบายด้านการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล

          OR ให้ความสำคัญและมุ่งเน้นการบริหารจัดการงานให้สอดคล้องกับกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act หรือ PDPA) และกฎหมายลำดับรองที่ออกภายใต้พระราชบัญญัติฯ ดังกล่าว จึงได้จัดทำนโยบายคุ้มครองข้อมูล (Data Privacy Policy) ของบริษัทฯ ซึ่งรวมโครงสร้าง นโยบาย และแนวปฏิบัติภายในของบริษัทฯ อันเกี่ยวเนื่องกับการคุ้มครองข้อมูลส่วนบุคคล โดยมีผลบังคับใช้กับการดำเนินงานทั้งหมดของบริษัท ครอบคลุมถึงพนักงาน ผู้ปฏิบัติงาน ผู้ค้า ผู้รับจ้าง ตัวแทน ผู้แทน กรรมการ ผู้บริหาร ตลอดจนบุคคลากรประเภทอื่นๆ ของบริษัทฯ 

 

          รวมถึง OR มีการประกาศนโยบายความเป็นส่วนตัว จำแนกตามการใช้ประโยชน์ของกลุ่มผู้มีส่วนได้เสีย เป็น 4 กลุ่ม ดังนี้    

  1. นโยบายความเป็นส่วนตัวสำหรับพันธมิตรทางธุรกิจ (Business Partner Privacy Policy) 
  2. นโยบายความเป็นส่วนตัวสำหรับลูกค้า (Customer Privacy Policy)  
  3. นโยบายความเป็นส่วนตัวสำหรับงานบริหารทรัพยากรบุคคล (Human Resources Privacy Policy)  
  4. นโยบายความเป็นส่วนตัวสำหรับงานบริหารจัดการภายใน (Internal Privacy Policy) ซึ่งประกอบด้วยนโยบายย่อยต่าง ๆ ที่เกี่ยวข้องกับการดำเนินกิจการภายใน OR

          โดยนโยบายความเป็นส่วนตัวทั้งหมดนี้ OR ได้จัดการวางแผนและออกแบบกระบวนการแจ้งนโยบายความเป็นส่วนตัว และการขอความยินยอมให้เหมาะสมกับผู้มีส่วนได้เสียแต่ละกลุ่ม  

[ศึกษานโยบายความเป็นส่วนตัวของ OR เพิ่มเติม กรุณาคลิก https://pdpa.pttor.com/

 

          จากนโยบายความเป็นส่วนตัวดังกล่าว OR ได้แสดงออกถึงความมุ่งมั่นที่จะจัดการข้อมูลส่วนบุคคล โดยครอบคลุมมุมมองความเป็นส่วนตัวของบุคคลทั้งภายในและภายนอก ซึ่งรวมไปถึงธุรกิจที่ OR เป็นเจ้าของ/ดำเนินการเอง คู่ค้า และลูกค้าในธุรกิจต่าง ๆ เพื่อรักษาความปลอดภัย รวมถึงความเป็นส่วนตัวของข้อมูลส่วนบุคคล และสร้างความมั่นใจว่า OR จะมีเก็บรวบรวม ใช้ และเปิดเผยข้อมูลอย่างเหมาะสม ตรงตามวัตถุประสงค์ที่ได้มีการแจ้งไว้กับเจ้าของข้อมูลส่วนบุคคล 

          อีกทั้ง OR ยังกำหนดนโยบายเทคโนโลยีสารสนเทศ (Information Policy) นโยบายเกี่ยวกับการรักษาความลับ การเก็บรักษาข้อมูล และการใช้ข้อมูลภายใน และนโยบายการกำกับดูแลข้อมูลองค์กร (OR Enterprise Data Governance Policy) เพื่อให้มีการกำหนดทิศทางการบริหารจัดการและสนับสนุนงานด้านความมั่นคงปลอดภัยสารสนเทศและการสื่อสารสอดคล้องกับความต้องการทางธุรกิจและกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้องเพื่อให้พนักงานทุกคน รวมถึงมีคู่มือมาตรฐานดิจิทัลสําหรับ OR ซึ่ง ประกอบด้วยเนื้อหาที่ครอบคลุมเกี่ยวกับการดำเนินงานทางด้านดิจิทัล อาทิ การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ ประเด็นด้านความปลอดภัยสารสนเทศของการบริหารจัดการเพื่อสร้างความต่อเนื่องทางธุรกิจ เป็นต้น

          นอกเหนือจากนั้น OR มีการจัดทำนโยบายและกระบวนการอื่น ๆ เพิ่มเติม อาทิ กระบวนการ Consent Management มาตรฐานว่าด้วยการเก็บรักษาข้อมูล (Data Retention Standard) ขั้นตอนปฏิบัติงานสำหรับการบริหารจัดการกรณีเกิดเหตุละเมิดข้อมูลส่วนบุคคล (Incident Response Procedure) คู่มือ และนโยบาย เรื่อง การรายงานและการรับมือสถานการณ์เกี่ยวกับความมั่นคงปลอดภัยของข้อมูล (Data Security Incident Reporting and Response Policy) บันทึกรายการการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities) และ แนวปฏิบัติสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและตัวแทน (Guidance on Data Protection Officer Representative) เป็นต้น 

 

การกำกับดูแลการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล  

          โครงสร้างการกำกับดูแลเป็นไปตามหลัก Three Lines Model เพื่อเอื้ออำนวยต่อการทำหน้าที่ควบคุม กำกับ และตรวจสอบและมีการแบ่งแยกหน้าที่ (Segregation of Duty) อย่างชัดเจน

โครงสร้างการกำกับดูแลความปลอดภัยของข้อมูล (Data Security) และความเป็นส่วนตัวของข้อมูล (Data Privacy)

Level

Committee/Department

Responsibility

Board Level

Enterprise Risk Management Committee

– กำกับดูแลกลยุทธ์ทางด้านความมั่นคงปลอดภัยไซเบอร์และเทคโนโลยีสารสนเทศ (Cybersecurity and Information Technology Security Strategy)  – ติดตามรายงานการดำเนินงาน IT Infrastructure Instability และ Cyber Security Roadmap เป็นประจำทุกไตรมาส 

Executive Level and Management Level

OR Digital & Data Governance Steering Committee (DGSC) OR Management Committee (ORMC)

– กำหนดนโยบาย เป้าหมายและกลยุทธ์ด้านเทคโนโลยีสารสนเทศและดิจิทัล เพื่อให้สอดคล้องกับนโยบาย แผนกลยุทธ์ธุรกิจของ OR และกลุ่มบริษัท – ดูแลรับผิดชอบในการกำหนดและบังคับใช้นโยบายและมาตรฐานการปฏิบัติงานด้านเทคโนโลยีสารสนเทศตามกรอบความปลอดภัยทางไซเบอร์ – กำกับดูแลและควบคุมการจัดการความเสี่ยงด้านสารสนเทศและเทคโนโลยีดิจิทัล เพื่อกำกับดูแลและจัดการความเสี่ยง – แก้ไขปัญหาที่เกี่ยวข้องกับการบริหารจัดการข้อมูล รวมถึงประเด็นที่เกี่ยวข้องกับความปลอดภัยทางด้านไซเบอร์ (Cybersecurity) – รายงานความก้าวหน้าในการดำเนินการต่อคณะกรรมการจัดการของบริษัท (ORMC) เป็นระยะเวลาตามความเหมาะสม แต่ต้องไม่น้อยกว่า 1 ครั้งใน ทุก ๆ ช่วงเวลา 6 เดือน – ติดตามการบริหารจัดการเกี่ยวกับวิกฤตการณ์การละเมิดข้อมูลส่วนบุคคล และสนับสนุนการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

Operation Level

ส่วนธรรมาภิบาลข้อมูล Data Protection Officer (DPO)

– ให้คำปรึกษาการดำเนินการให้เป็นไปตามแนวทางการคุ้มครองข้อมูลส่วนบุคคล – ให้การสนับสนุนการปฏิบัติงานและดำเนินการให้สอดคล้องกับนโยบายและมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล – ตรวจสอบและรายงานการปฏิบัติตามนโยบายและมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล – ปรับรุงกระบวนการกำกับดูแลข้อมูลอย่างต่อเนื่อง

          ทั้งนี้ OR แต่งตั้งรองประธานเจ้าหน้าที่บริหารด้านกลยุทธ์องค์กรและความยั่งยืน (Senior Executive Vice President, Corporate Strategy and Sustainability) เป็นประธานคณะกรรมการดิจิทัลและธรรมาภิบาลข้อมูล  

          OR จัดให้มีบุคคลหรือหน่วยงานเพื่อทำหน้าที่รับแจ้งเหตุการณ์ (Point of Contact) ซึ่งเกี่ยวกับความปลอดภัยและความเป็นส่วนตัวของข้อมูล และความปลอดภัยทางไซเบอร์ มีวิธีการแจ้งและรายงานเหตุการณ์ที่ชัดเจน ซึ่งพนักงานสามารถรับทราบและปฏิบัติตามวิธีการแจ้งเหตุดังกล่าวในกรณีที่พบเหตุการณ์อันก่อให้เกิดความเสี่ยงต่อหน่วยงานผู้รับผิดชอบโดยไม่ชักช้าเมื่อเกิดเหตุดังกล่าว ซึ่งผู้รับผิดชอบมีหน้าที่รายงานเหตุการณ์ต่อคณะผู้บริหารหรือผู้เกี่ยวข้องให้ทราบและดำเนินการวิเคราะห์และบริหารจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ภายใต้กรอบการบริหารความเสี่ยงขององค์กร 

          ทั้งนี้ OR ดำเนินการตรวจสอบภายใน (Internal Audit) ในปี 2566 ซึ่งเป็นการตรวจสอบการปฏิบัติตามนโยบายความเป็นส่วนตัวของบริษัท เพื่อให้มั่นใจว่าเป็นไปตามนโยบาย มาตรฐาน และระเบียบวิธีปฏิบัติที่เกี่ยวข้องกับการกำกับดูแลข้อมูล โดยการตรวจสอบการดำเนินการจะทำการสุ่มตรวจโดยพิจารณาจากกลุ่มของเจ้าของข้อมูลส่วนบุคคลและกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลจำนวนมาก 

          การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล และความปลอดภัยทางไซเบอร์ เป็นส่วนหนึ่งในดัชนีชี้วัดผลงานขององค์กร (OR’s Corporate KPI) อีกทั้งยังมีการระบุบทลงโทษในกรณีที่พบการไม่ปฏิบัติตามนโยบายความเป็นส่วนตัวของข้อมูลและความปลอดภัยทางไซเบอร์ เพื่อให้มั่นใจว่า OR จะควบคุมและปฏิบัติตามนโยบาย ฯ ดังกล่าวอย่างเคร่งครัด 

การประเมินและระบุความเสี่ยง

          OR มีการจัดการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Processing Impact Assessment) โดยประมวลผลข้อมูลที่มีความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล และมีการกำหนดมาตรการในการลดผลกระทบเพื่อให้อยู่ในระดับที่ยอมรับได้ นอกจากนี้ OR มีการระบุตัวบ่งชี้ความเสี่ยงองค์กร (Key Risk Indicator : KRI) ประเด็น IT Infrastructure Instability และ Cybersecurity เพื่อการติดตามผลการดำเนินงานที่เป็นระบบและมั่นใจว่าธุรกิจมีการเฝ้าระวังและติดตามความเสี่ยงที่อาจเกิดจากประเด็นความปลอดภัยและความเป็นส่วนตัวของข้อมูล 

          หน่วยงานทุกหน่วยงานมีการจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities) เพื่อเป็นฐานข้อมูลของแต่ละหน่วยงานและองค์กรที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคล ทำให้ง่ายต่อการติดตาม และตรวจสอบความถูกต้องว่าเป็นไปตามวัตถุประสงค์การใช้งาน รวมถึงสอดคล้องกับฐานกฎหมายที่เกี่ยวข้อง ซึ่งการจัดทำ Records of Processing Activities เป็นการจัดทำตามข้อกำหนดของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 

การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล และไซเบอร์

          ความมุ่งมั่นในการดำเนินธุรกิจภายใต้แนวคิด Digital Driven Organization ทำให้ OR มีการเตรียมความพร้อมสำหรับความเสี่ยงที่เกิดจากความปลอดภัยและความเป็นส่วนตัวของข้อมูล และภัยทางด้านไซเบอร์ สอดคล้องตามมาตรฐาน ISO/IEC 27001:2013 และกรอบความมั่นคงปลอดภัยด้านไซเบอร์ที่ถูกพัฒนาโดย สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของประเทศสหรัฐอเมริกา (National Institute of Standards and Technology: NIST) โดยเริ่มตั้งแต่การติดตั้ง Perimeter Protection หรือการติดตั้ง Firewall ซึ่งถือว่าเป็นตัวกรอง Traffic ก่อนที่จะเข้าสู่ระบบคอมพิวเตอร์หรือเครือข่ายภายในองค์กร โดยระบบ Firewall เป็นแกนและเป็นหลักปฏิบัติ (Practice) ที่ป้องกันธุรกิจจากอันตรายจากการเข้าถึงที่ไม่ได้รับอนุญาตทางอินเตอร์เน็ตหรือจากโจมตีจากต้นทางอื่น ๆ ได้ รวมถึงมีการเข้ารหัสข้อมูล (Data Encryption) การแปลงข้อมูล ให้เป็นรหัสลับ ซึ่งจะช่วยป้องกันข้อมูลให้ปลอดภัยสำหรับ Hardware และ Software  

          อีกทั้งยังมีการบริหารจัดการและตรวจสอบสิทธิ์และการควบคุมการอนุญาตสำหรับการเข้าถึงข้อมูล (Authentication and Authorization) เพื่อจำกัดการเข้าถึงข้อมูล มีการจัดการ Account Username Password ที่แยกออกจากกัน เพื่อให้สามารถติดตามหาสาเหตุจาก Log ได้ ในกรณีที่ข้อมูลถูกละเมิด และใช้ Two-Factor Authentication ในการเข้าถึงข้อมูลสำคัญ มีการใช้งานระบบ DLP หรือ Data Loss Prevention Solution สำหรับการติดตามและวิเคราะห์การนำข้อมูลสำคัญส่งออกนอกองค์กรให้สอดคล้องกับนโยบายการจัดลำดับชั้นความลับของข้อมูลหรือ Data Classification มีการรักษาความปลอดภัยในระดับ Enterprise โดยใช้ Antivirus Software ที่เป็นมาตรฐานสากลเพื่อให้มั่นใจว่าสามารถรักษาความปลอดภัยของข้อมูลให้กับอุปกรณ์ต่าง ๆ 

          การรักษาความปลอดภัยและความเป็นส่วนตัวของลูกค้าของ OR มีนโยบายที่ชัดเจน ซึ่งสอดคล้องเป็นไปตามกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act หรือ PDPA) โดย OR มีการจัดตั้งคุกกี้เพื่อจัดเก็บหรือติดตามข้อมูลเกี่ยวกับการใช้เว็บไซต์ และนำมาใช้ในการวิเคราะห์กระแสความนิยม (Trend) การบริหารจัดการเว็บไซต์ ติดตามการเคลื่อนไหวการใช้เว็บไซต์ของผู้ใช้บริการ หรือเพื่อจดจำการตั้งค่าของผู้ใช้บริการ ทั้งนี้ OR มีการติดตามและบันทึกการใช้ข้อมูลของลูกค้า ให้เป็นไปตามนโยบายความเป็นส่วนตัวของลูกค้าที่ประกาศใช้ และสอดคล้องกับพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 แก้ไขเพิ่มเติมโดยพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 ที่มีการแก้ไข มาตรา 26

          เพื่อให้มั่นใจว่าระบบสารสนเทศที่พัฒนาขึ้นหรือปรับปรุงได้รับการทดสอบความปลอดภัย OR จึงมีขั้นตอนสำหรับทดสอบความปลอดภัย (Security Testing) และมีหน่วยงานภายนอกเข้ามาทดสอบระบบความปลอดภัยสารสนเทศ โดยจำลองสถานการณ์การเจาะระบบเครือข่ายคอมพิวเตอร์ของ OR เช่น Penetration Testing เป็นต้น อีกทั้ง OR ยังมีการพัฒนาแผนปฏิบัติการในกรณีฉุกเฉิน (Disaster Recovery Plan) สำหรับเป็นแนวทางให้ผู้บริหารและผู้ที่เกี่ยวข้องทราบถึงบทบาท หน้าที่และวิธีการปฏิบัติงานหากเกิดภัยทางด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูล OR มีการบริหารความต่อเนื่องธุรกิจในด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security of Business Continuity Management) โดยมีการตรวจสอบมาตรการเพื่อความต่อเนื่องในความมั่นคงปลอดภัยสารสนเทศที่จัดตั้งขึ้นและผลการดำเนินการของมาตรการนั้นเป็นประจำทุกปี  

          การตรวจประเมินการดำเนินการที่สอดคล้องกับนโยบายความปลอดภัยของข้อมูลส่วนบุคคลและการตรวจประเมินความปลอดภัยทางไซเบอร์ของ OR ได้รับการตรวจสอบโดยหน่วยงานภายในองค์กร (Internal Audit) รวมถึงหน่วยงานภายนอก (Third-party Audit) ที่มีการตรวจประเมินและรับรองระบบฯ ของ OR เป็นประจำทุกปี ซึ่งสอดคล้องกับมาตรฐาน ISO 27001:2013 โดยผลการดำเนินงานที่เกี่ยวข้องกับความปลอดภัยและความเป็นส่วนตัวของข้อมูล (Data Security and Privacy) รวมถึงภัยทางด้านไซเบอร์ (Cybersecurity) จะถูกบันทึกและ ถูกนำมาวิเคราะห์ถึงความเป็นไปได้ในการปรับปรุงแก้ไขระบบการจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูล รวมไปถึงระบุเป็นแผนงานสำหรับการดำเนินธุรกิจในอนาคต  

          ภาพรวมของการตรวจประเมินภายในของปี 2566 สำหรับการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคลนั้น อ้างอิงตามหลักการและข้อกำหนดของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายลำดับรอง และประกาศอื่นๆ ที่เกี่ยวข้อง สำหรับหัวข้อการตรวจประเมิน แบ่งออกเป็น 2 ส่วน ได้แก่ การเตรียมความพร้อมด้านกฎหมาย (Legal) และการเตรียมความพร้อมในด้านบุคลากรและกระบวนการ (Organization) โดยหัวข้อหลักของการตรวจประเมิน ได้แก่  

  1. การขอความยินยอม 
  2. การประมวลผลข้อมูลส่วนบุคคล (การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล) 
  3. การแจ้งรายละเอียดและวัตถุประสงค์ต่อเจ้าของข้อมูล  
  4. ฐานที่ใช้ในการประมวลผลข้อมูล 
  5. การส่งหรือโอนข้อมูลไปต่างประเทศ 
  6. สิทธิของเจ้าของข้อมูลส่วนบุคคล 
  7. หน้าที่ผู้ควบคุมข้อมูล 
  8. การบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล  
  9. หน้าที่ผู้ประมวลผลข้อมูล / สัญญาในการประมวลผลข้อมูลส่วนบุคคล

          จากการตรวจประเมิน พบว่า OR มีการเตรียมความพร้อมเพื่อให้องค์กร บุคลากร และกระบวนการที่เกี่ยวข้องสามารถดำเนินธุรกิจได้อย่างเหมาะสมตามข้อกำหนดของกฎหมาย โดย OR มีแผนการตรวจประเมินภายในเป็นประจำทุกปี เพื่อให้มั่นใจว่าองค์สามารถดำเนินธุรกิจสอดคล้องตามกฎหมายที่เกี่ยวข้องดังกล่าว 

ช่องทางการร้องเรียน

(GRI 418-1)

          OR มีช่องทางร้องเรียนในกรณีที่เกิดเหตุรั่วไหลของข้อมูลส่วนตัว ผ่านช่องทาง 1365 Contact Center หรือช่องทางอีเมล์ dpo@pttor-staging.livetubex.com โดยข้อร้องเรียนดังกล่าว จะถูกรายงานให้กับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer, DPO) และหน่วยงานที่เกี่ยวข้องรับทราบ ข้อมูลจะถูกวิเคราะห์พร้อมจัดให้มีแผนการแก้ไขและเยียวยาเหตุการณ์ที่เกิดขึ้นอย่างเหมาะสม ตามที่ระบุไว้ใน Incident Response Procedure

          ในกรณีที่ OR พบการรั่วไหลของข้อมูลส่วนบุคคล OR ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลตามที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งรวมถึงกรณีที่การละเมิดดังกล่าวมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูล ส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า และแจ้งเหตุแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 

ผลการดำเนินงาน

          เพื่อสร้างความตระหนักรับรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Security) และเสริมสร้างความรู้ด้าน Cybersecurity ในบริษัท OR มีการจัดอบรมให้กับพนักงานในหลักสูตร Cyber Security Awareness Training ในรูปแบบ E-learning เพื่อให้เข้าใจในการให้บริการด้านดิจิตอล นโยบาย ระเบียบ ข้อบังคับ แนวปฏิบัติ มาตรฐาน ด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของบริษัท ตลอดจนกฎหมายที่เกี่ยวข้องกับ พ.ร.บ. การกระทำผิดเกี่ยวกับคอมพิวเตอร์ ภัยคุกคาม และผลลัพธ์อันเกิดจากการใช้งานระบบสารสนเทศที่ไม่ถูกต้องและไม่เหมาะสม โดยเนื้อหา ประกอบไปด้วย อาทิ Password Security, Phishing E-mail, Malware Protection, Internet Using Security เป็นต้น ซึ่งจะมาในรูปแบบ Animation เพื่อเพิ่มความน่าสนใจให้กับเนื้อหา นอกจากนี้ยังมีหลักสูตร Refreshment ซึ่งเป็นการจัดสอบด้าน Cyber Security Awareness ที่จัดขึ้นสำหรับพนักงานที่ทำงานมาแล้วระยะหนึ่ง เพื่อทำการทบทวนและสร้างความตระหนักถึงนโยบายบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยในปี 2566 มีผู้ผ่านการทดสอบ คิดเป็น 96.61% 

Cyber Security Awareness Refreshment

          ภาพรวมของการบริหารจัดการด้านความปลอดภัยและความเป็นส่วนตัวของข้อมูลในปี 2566 OR ไม่พบเหตุการณ์ที่ละเมิดความเป็นส่วนตัวของลูกค้าและการสูญเสียข้อมูลลูกค้า 

          ในปี 2566 OR ไม่ได้รับรายงานใด ๆ เกี่ยวกับการร้องเรียนการละเมิดความเป็นส่วนตัวของลูกค้าและการสูญเสียข้อมูลลูกค้าเพื่อวัตถุประสงค์อื่นๆ (Secondary Purpose) 

เอกสารที่เกี่ยวข้อง

1. คำสั่งบริษัท ปตท. น้ำมันและการค้าปลีก จำกัด (มหาชน) ที่ 80/2567