ระบบบริหารด้านการจัดการข้อมูลส่วนบุคคล

ระบบบรหิ ารดา้ นการจดั การข้อมูลสว่ นบุคคล

ในการเตรียมความพร้อมขององค์กร เพื่อให้สามารถปรับปรุงกระบวนการการประมวลผลข้อมูลส่วน
บุคคลขององค์กร ให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างมีประสิทธิภาพนั้น
ต้องมีการกาหนดเป็นแผนการดาเนินการขององค์กร

นอกจากการกาหนดเป็นแผนการดาเนินการขององค์กรแล้ว ยังต้องได้รับการสนับสนุนจากผู้บริหาร
ระดับสูง และได้รับความร่วมมือจากบุคลากรทุกคนขององค์กรที่มีส่วนร่วมในกิจกรรมการประมวลผลข้อมูล
สว่ นบคุ คล ในภาคปฏบิ ัติ (implementation)

“การคุ้มครองข้อมูลส่วนบุคคล” จึงประกอบด้วยบริบทของ “กฎหมาย” และ “การบริหารจัดการ”
เพอื่ ปรับเปล่ียนพฤติกรรมขององค์กรใหส้ อดคล้องกับข้อกาหนดของกฎหมาย

การจะนาพาองค์กรไปสู่การปฏิบัติตามกฎหมายได้จึงต้องมี “กระบวนการ” และระบบบริหารด้าน
การจัดการข้อมูลส่วนบุคคลที่เหมาะสม ด้วยเหตุน้ี APEC Privacy Framework 2015 ข้อ 32 จึงได้ให้
ข้อแนะนาว่าองค์กรต่าง ๆ ควรจัดให้มี “Privacy Management Program” หรือระบบบริหารด้านการ
จัดการข้อมูลส่วนบุคคล

เพ่ือใช้เป็นกรอบการดาเนินการ (Framework) และแสดงถึงหลักความรับผิดชอบในการปฏิบัติตาม
เงื่อนไขต่าง ๆ ของกฎหมาย (Accountability) โดยในข้อ 43 - 45 ของ APEC Privacy Framework 2015
ไดใ้ หห้ ลกั การเพ่ิมเติมไวว้ ่า

1.การนา Privacy Management Program มาใช้จะช่วยแสดงให้เห็นว่า (demonstrate of compliance)
องคก์ รได้มมี าตรการตา่ ง ๆ เพือ่ การคมุ้ ครองข้อมูลส่วนบุคคลภายใต้กรอบการดาเนนิ การแลว้

2.ประเทศสมาชิกควรมีการส่งเสริมและสนับสนุนให้องค์กรต่าง ๆ นา Privacy Management
Program มาใช้เป็นเครื่องมือในการบริหารจัดการข้อมูลส่วนบุคคลในองค์กร ซ่ึง Privacy Management
Program น้ัน ควรจะมอี งค์ประกอบดังนี้

2.1.นามาปรับให้เข้ากับโครงสร้างและขนาดของการดาเนินงานขององค์กร โดยพิจารณา
จากปริมาณและความละเอียดอ่อนของขอ้ มูลสว่ นบคุ คลภายใตก้ ารควบคมุ ขององค์กรดว้ ย

2.2.จดั ใหม้ ีมาตรการปอ้ งกันท่เี หมาะสม โดยพิจารณาจากการประเมินความเส่ียงท่ีอาจเกิด
ข้ึนกบั เจา้ ของขอ้ มลู ส่วนบุคคล

2.3.กาห น ดกล ไกส าห รั บการ กากับดูแล ภ าย ใน แล ะกา ร ตอบส น องต่อข้อร้ องเรี ย น แล ะ
การใช้สิทธิของเจา้ ของข้อมลู สว่ นบคุ คล และเหตกุ ารละเมดิ ขอ้ มูลสว่ นบุคลทีอ่ าจจะเกิดข้ึน

2.4.ควบคุมดูแลโดยบุคลากรท่ีได้รับมอบหมายให้รับผิดชอบและผ่านการฝึกอบรมอย่าง
เหมาะสม

2.5.ไดร้ ับการตรวจสอบและปรับปรุงอย่างสมา่ เสมอ
3.องค์กรควรเตรียมพร้อมเพ่ือพิสูจน์ให้เห็นว่าได้มี Privacy Management Program เมื่อหน่วยงาน
บังคับใชก้ ฎหมายคุ้มครองข้อมูลส่วนบคุ คลในประเทศน้นั ๆ รอ้ งขอ

ข้อแนะนาเรื่อง Privacy Management Program เป็นหลักการท่ีได้รับการยอมรับอย่างแพร่หลาย
IAPP Privacy Program Management ซ่ึงเป็นแนวทางการบริหารจัดการข้อมูลส่วนบุคลที่มีผู้สอบเพ่ือรับ
การรบั รองมากทสี ดุ ใหข้ อ้ แนะนาไปในทศิ ทางเดียวกบั APEC Privacy Framework 2015 ว่า

“หลักความรับผิดชอบ” หรือ Accountability เป็นหลักการท่ีสาคัญในกฎหมายคุ้มครองข้อมูลส่วนบุคคล
และหลักความรับผิดชอบดังกล่าวถูกเชื่อมโยงกับการมีหลักฐานเพราะจะไม่เพียงพออีกต่อไปที่จะกล่าวอ้าง
เพียงว่าได้ปฏิบัติตามกฎหมาย แต่องค์กรต้องสามารถแสดงให้เห็นว่าได้ปฏิบัติตามอย่างไร ( IAPP:
International Association of Privacy Professionals)

ดังนั้น การที่องค์กรจัดให้มี Privacy Program Management (IAPP) หรือ Privacy Management
Program (APEC) จึงเป็นหลักฐานสาคัญท่ีจะแสดงให้เห็นว่า “องค์กรได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูล
สว่ นบคุ คลแลว้ ”

หลักการดังกล่าวได้กลายเป็นมาตฐานสากลผ่านบทบัญญัติของ GDPR มาตรา 5 (2) หลักความ
รบั ผิดชอบ และมาตรา 24 ของ GDPR ซึ่งกาหนดวา่ องคก์ รต้องจัดให้มีมาตรการเชิงเทคนิคและมาตรการเชิง
องค์กรทีเ่ หมาะสมเพ่อื ให้มนั่ ใจและพสิ จู น์ไดว้ ่า

องค์กรได้ประมวลผลข้อมูลส่วนบุคคลตามเงื่อนไขท่ีกฎหมายกาหนด และต้องมีการทบทวนและ
ปรับปรงุ มาตรการเหล่านัน้ เมื่อมคี วามจาเปน็ รวมถึงการมีมาตรการในการนาพาให้เกิดการปฏิบัติตามนโยบาย
ความเปน็ สว่ นตัวขององคก์ รดว้ ย

ข้อกาหนดในมาตรา 24 GDPR ได้ถูกตีความและนาไปสู่การท่ีองค์กรต้องมี Framework หรือ Privacy
Program Management ของตนเองเพ่อื ใช้เปน็ เครื่องมอื ในการปฏบิ ัติตามกฎหมายเช่นเดยี วกนั

จากบริบทข้างต้น เพ่ือช่วยนาพาองค์กรต่าง ๆ ให้มีระบบการบริหารจัดการข้อมูลส่วนบุคคลอย่าง
มีประสิทธิภาพ มาตรฐานหรือข้อกาหนดต่าง ๆ จึงได้ถูกพัฒนาขึ้น อาทิ ประเทศสิงคโปร์ ได้พัฒนา Data
Protection Management Program (DPMP) ของตนเองขึ้นมาเพ่ือช่วยในการนาพาองค์กรต่างๆ
ให้สามารถปฏบิ ตั ิไดส้ อดคลอ้ งกับกฎหมายค้มุ ครองข้อมูลสว่ นบุคคลของประเทศ

หรือในประเทศสหรัฐอเมริกาโดย National Institute of Standards and Technology ได้พัฒนา
NIST Privacy Framework ขึน้ มาในเดือนมกราคม 2563 เพ่ือให้องค์กรต่าง ๆ (ท่ัวโลก) สามารถนาไปใช้ใน
การนาพาองค์กรใหส้ ามารถปฏิบัตไิ ดส้ อดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบคุ คล

ในขณะท่ีสหภาพยุโรป ณ ปัจจุบัน ยังไม่มีการกาหนด Framework โดยเฉพาะเพ่ือให้องค์กรต่าง ๆ
นาไปใช้ แต่เชื่อว่าจะต้องเกิดข้ึนอย่างแน่นอนเนื่องจากตาม GDPR มาตรา 42 และ 43 กาหนดหลักการให้
สามารถกระทาไดผ้ ่านรปู แบบของการรับรอง (Certification)

หรับมาตรฐาน (ข้อกาหนด/Framework) ทีถ่ ูกนามาใช้อ้างอิงเป็น Privacy Program Management
ขององค์กรท่ัวโลกมากที่สุดอีกมาตรฐานหน่ึงได้แก่ ISO/IEC 27701:2019 มาตรฐานการจัดการข้อมูลส่วนบุคคล
(PIMS: Privacy Information Management System) โดยมาตรฐานดังกล่าวได้ให้คาแนะนาเก่ียวกับการ
ค้มุ ครองขอ้ มูลส่วนบุคคล รวมถึงวิธีท่ีองค์กรควรบริหารจัดการข้อมูลส่วนบุคคลและแสดงให้เห็นถึงการปฏิบัติ
ตามขอ้ กาหนดการค้มุ ครองข้อมลู สว่ นบุคคล

เพ่ือสนับสนุนให้วิสาหกิจของไทยสามารถเข้าถึง ISO/IEC 27701:2019 สานักงานมาตรฐาน
ผลิตภัณฑ์อุตสาหกรรม กระทรวงอุตสาหกรรม จึงได้ออกประกาศคณะกรรมการกาหนดมาตรฐานด้านการ
ตรวจสอบและรับรอง ฉบับที่ 17 (พ.ศ. 2563) ออกตามความในพระราชบัญญัติการมาตรฐานแห่งชาติ พ.ศ. 2551
ประกาศกาหนด “มาตรฐานการตรวจสอบและรับรองแห่งชาติ เทคนิคความม่ันคงปลอดภัย – ส่วนขยายของ
ISO/IEC 27001 และ ISO/IEC 27002 สาหรับการจัดการสารสนเทศส่วนบุคคล – ข้อกาหนดและ
ข้อแนะนา” มาตรฐานเลขท่ี มตช. 27701-2563 (ISO/IEC 27001:2019) และโดยผลจากประกาศ
ดังกล่าวทาให้องค์กรต่าง ๆ ของไทยสามารถเข้าถึงและนามาตรฐานไปใช้เป็นแนวทางในการนาพาองค์กรให้
ปฏิบัติสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้สะดวกมากยิ่งขึ้น แต่อย่างไรก็ตาม หากองค์กร
ประสงค์จะได้รับการรับรองจากสถาบันมาตรฐานที่เป็นหน่วยงานรับรองก็อาจจะต้องพิจา รณาค่าใช้จ่าย
ประกอบดว้ ยเช่นกัน

หมายเหตุ: ISO/IEC 27701:2019 เป็นเพียงมาตรฐานหน่ึงที่องค์กรอาจพิจารณานามาใช้เป็น Privacy
Program Management ได้ แต่ไม่ใชข่ ้อบังคับตาม พ.ร.บ.คุ้มครองข้อมลู สว่ นบคุ คลฯ

การได้รับการรับรองตามมาตรฐานต่าง ๆ ไม่อาจเป็นหลักประกันว่าองค์กรได้ปฏิบัติถูกต้องและ
สอดคล้องกับกฎหมาย แต่มาตรฐานเป็นเคร่ืองมือในเชิงระบบขององค์กรในการช่วยนาพาองค์กรให้สามารถ
ปฏิบตั โิ ดยมกี รอบการดาเนินการและการตรวจสอบ

ท่มี า : หนังสือพิมพ์กรงุ เทพธุรกจิ