TPQI-NET PROFESSIONAL QUALIFICATION

1. รหัสหน่วยสมรรถนะ

ICT-RFVC-363B

2. ชื่อหน่วยสมรรถนะ

ให้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคล ระดับบริหาร

3. ทบทวนครั้งที่

/

4. สร้างใหม่

ปรับปรุง

5. สำหรับชื่ออาชีพและรหัสอาชีพ (Occupational Classification)
	N/A

6. คำอธิบายหน่วยสมรรถนะ (Description of Unit of Competency)

ผู้ที่ผ่านหน่วยสมรรถนะนี้ เป็นบุคลากรและผู้ปฏิบัติหน้าที่งานเกี่ยวข้องด้านข้อมูลส่วนบุคคลและงานคุ้มครองข้อมูลส่วนบุคคล รวมทั้งเป็นผู้ให้คำแนะนำระดับบริหาร และกำหนดยุทธศาสตร์ แผนงาน นโยบาย ด้านการคุ้มครองข้อมูลส่วนบุคคล ให้กับผู้ที่เกี่ยวข้องในการดำเนินการตามกฎหมายและแนวทางดำเนินการที่เกี่ยวข้อง

7. สำหรับระดับคุณวุฒิ

1	2	3	4	5	6	7	8

8. กลุ่มอาชีพ (Sector)
	ผู้ประกอบอาชีพในสาขาความปลอดภัยและความเป็นส่วนตัวทางดิจิทัล

9. ชื่ออาชีพและรหัสอาชีพอื่นที่หน่วยสมรรถนะนี้สามารถใช้ได้ (ถ้ามี)
	N/A

10. ข้อกำหนดหรือกฎระเบียบที่เกี่ยวข้อง (Licensing or Regulation Related) (ถ้ามี)
	พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายลำดับรองที่เกี่ยวข้อง

11. สมรรถนะย่อยและเกณฑ์การปฏิบัติงาน (Elements and Performance Criteria)

หน่วยสมรรถนะย่อย (EOC)	เกณฑ์ในการปฏิบัติงาน (Performance Criteria)	รหัส PC (ตามเล่มมาตรฐาน)	รหัส PC (จากระบบ)
10102.01 ให้คำแนะนำ ในการดำเนินการตามกฎหมาย ขั้นกลาง	1. ให้คำปรึกษาในการบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล	10102.01.01	153227
10102.01 ให้คำแนะนำ ในการดำเนินการตามกฎหมาย ขั้นกลาง	2. ให้ความรู้ในการปฏิบัติตามกฎหมายลำดับรอง ที่เกี่ยวข้อง	10102.01.02	153228
10102.01 ให้คำแนะนำ ในการดำเนินการตามกฎหมาย ขั้นกลาง	3. ให้คำแนะนำที่เกี่ยวข้องกับกฎหมายสากล และแนวปฏิบัติที่ดี	10102.01.03	153229
10102.02 กำหนดยุทธศาสตร์ แผนงาน นโยบาย ด้านการคุ้มครองข้อมูลส่วนบุคคล	1. กำหนดแนวทาง หลักการคุ้มครองข้อมูลส่วนบุคคล	10102.02.01	153230
10102.02 กำหนดยุทธศาสตร์ แผนงาน นโยบาย ด้านการคุ้มครองข้อมูลส่วนบุคคล	2. กำหนดแนวทางตามสิทธิ์คุ้มครองข้อมูลส่วนบุคคล	10102.02.02	153231
10102.02 กำหนดยุทธศาสตร์ แผนงาน นโยบาย ด้านการคุ้มครองข้อมูลส่วนบุคคล	3. กำหนดแนวทางตามฐานการประมวลผลคุ้มครองข้อมูลส่วนบุคคล	10102.02.03	153232

12. ความรู้และทักษะก่อนหน้าที่จำเป็น (Pre-requisite Skill & Knowledge)
	ไม่มี

13. ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก) ความต้องการด้านทักษะ

1.   ทักษะในการควบคุมดูแลและบริหารงานเกี่ยวกับการจำแนกข้อมูลส่วนบุคคล

2.   ทักษะในการควบคุมดูแลและบริหารงานเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

3.   ทักษะในการควบคุมดูแลและบริหารงานเกี่ยวกับหลักการคุ้มครองข้อมูลส่วนบุคคล

4.   ทักษะในการควบคุมดูแลและบริหารงานเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล

5.   ทักษะในการควบคุมดูแลและบริหารงานเกี่ยวกับฐานการประมวลผลคุ้มครองข้อมูลส่วนบุคคล

(ข) ความต้องการด้านความรู้

1.   ความรู้เกี่ยวกับการจำแนกข้อมูลส่วนบุคคล

2.   ความรู้เกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

3.   ความรู้เกี่ยวกับหลักการคุ้มครองข้อมูลส่วนบุคคล 8 ข้อ

4.   ความรู้เกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล 12 ข้อ

5.   ความรู้เกี่ยวกับฐานการประมวลผลคุ้มครองข้อมูลส่วนบุคคล 7 ข้อ

6.   มาตรฐานที่เกี่ยวข้อง ได้แก่ ISO 27701, ISO 29100, GDPR, ENISA สมาคมด้านความมั่นคงปลอดภัยของยุโรป, ISACA

14. หลักฐานที่ต้องการ (Evidence Guide)

หลักฐานที่ต้องการจะกำหนดข้อแนะนำเกี่ยวกับการประเมิน และควรที่จะใช้ประกอบร่วมกันกับเกณฑ์การปฏิบัติงาน (Performance Criteria) และ ทักษะและความรู้ที่ต้องการ (Required Skills and Knowledge)

(ก)   หลักฐานการปฏิบัติงาน (Performance Evidence)

ผลการปฏิบัติงาน โดยมีการรายงานชั่วโมงการปฏิบัติงาน ชั่วโมงสะสมจำนวนรวม 120 ชั่วโมง สำหรับระยะเวลา 3 ปี หรือ อย่างน้อยปีละ 30 ชั่วโมง

(ข)   หลักฐานความรู้ (Knowledge Evidence)

1. ผลจากการสอบข้อเขียน

2. ผลจากแฟ้มสะสมผลงาน

3. เอกสารประกาศนียบัตรรับรองคุณวุฒิวิชาชีพ/วุฒิบัตรวิชาชีพที่ออกโดยหน่วยงานที่เชื่อถือได้

(ค)   คำแนะนำในการประเมิน

ประเมินความรู้ความเข้าใจ วิเคราะห์และนำไปใช้ดำเนินการตามข้อกำหนดของกฎหมาย หลักการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล และฐานการประมวลผลคุ้มครองข้อมูลส่วนบุคคล และหลักฐานการจำแนกข้อมูลส่วนบุคคลที่ต้องดำเนินการตามกฎหมาย รวมทั้งข้อมูลหลักฐานที่ได้มีการสั่งการให้ดำเนินการหรือรับทราบผลดำเนินการ

(ง) วิธีการประเมิน

1. พิจารณาตามหลักฐานความรู้

2. พิจารณาตามหลักฐานแฟ้มสะสมผลงาน

15. ขอบเขต (Range Statement)

(ก)   คำแนะนำ

หน่วยสมรรถนะนี้เป็นการทดสอบ ประเมินความรู้ความเข้าใจ ผู้บริหารและผู้ปฏิบัติหน้าที่ในการกำกับดูแล/บริหารจัดการ/ควบคุมดูแล ในการปฏิบัติงานด้านการคุ้มครองข้อมูลส่วนบุคคล (ระดับบริหาร) ตามข้อกำหนดพื้นฐานของกฎหมาย และหลักสำคัญในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล

(ข)   คำอธิบายรายละเอียด

ความรู้สำหรับการบริหารงาน ดังนี้

1.   การจำแนกข้อมูลส่วนบุคคล (ข้อมูลส่วนบุคคล ข้อมูลที่มีความอ่อนไหวตามกฎหมาย (Sensitive) ข้อมูลสำคัญอื่น)

2.   ข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

3.   หลักการคุ้มครองข้อมูลส่วนบุคคล

- ตัวอย่างตามแนว OECD, ISO 29100

   - ตัวอย่างตามแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (TDPG)

4.   สิทธิของเจ้าของข้อมูลส่วนบุคคล

   - ตัวอย่างตามแนว GDPR, ISO 29100

   - พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล หมวด 3 ตั้งแต่มาตรา 30 เป็นต้นไป

5.   ฐานการประมวลผลข้อมูลส่วนบุคคล

   - ตัวอย่างตามแนว GDPR, ISO 29100

   - ตัวอย่างตามแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (GDPT)

   - พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หลักการและฐานประมวลผล หมวด 2

6.   มาตรฐานและแนวปฏิบัติที่เกี่ยวข้อง ได้แก่ ISO 31000, ISO/IEC 27005, ISO/IEC 27001 (ISMS), ISO/IEC 27701 (PIMS), ISO/IEC 29100, General Data Protection Regulation (GDPR), European Union Agency for Cybersecurity (ENISA: สมาคมด้านความมั่นคงปลอดภัยของยุโรป), ISACA และแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

16. หน่วยสมรรถนะร่วม (ถ้ามี)
	N/A

17. อุตสาหกรรมร่วม/กลุ่มอาชีพร่วม (ถ้ามี)
	N/A

18. รายละเอียดกระบวนการและวิธีการประเมิน (Assessment Description and Procedure)

18.1 เครื่องมือประเมินให้คำแนะนำในการดำเนินการตามกฎหมาย ขั้นกลาง

   1) ผลข้อสอบข้อเขียน

   2) แฟ้มสะสมผลงาน

18.2 เครื่องมือประเมินกำหนดยุทธศาสตร์ แผนงาน นโยบาย ด้านการคุ้มครองข้อมูลส่วนบุคคล

   1) ผลข้อสอบข้อเขียน

   2) แฟ้มสะสมผลงาน

หน่วยสมรรถนะ

ให้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคล ระดับบริหาร

กลับ

ยินดีต้อนรับ