เมื่อวันที่ 21 เมษายน 2564 ACinfotec ได้จัดกิจกรรม ACinfotec: Live Talk ในหัวข้อ “Going beyond PDPA compliance, preparing for daily privacy operations” ซึ่งได้รับเกียรติจากวิทยากรผู้เชี่ยวชาญหลายท่าน ที่คร่ำหวอดในวงการ Cybersecurity เข้ามาร่วมพูดคุย อาทิ คุณศาศวัต มาลัยวงศ์ Business Director และ Chief Executive Consultant บริษัท เอซีอินโฟเทค จำกัด (ACinfotec) องค์กรชั้นนำของประเทศไทยผู้ให้คำปรึกษาและฝึกอบรมด้าน IT GRC มาเกือบ 20 ปี, อาจารย์ศุภกร เผ่าดี ประธานที่ปรึกษาชมรมผู้บริหารบุคคล ธุรกิจอุตสาหกรรมยานยนต์และชิ้นส่วน (MAC), Mr. Alex Cespedes Chair of the International Association of Privacy Professionals (IAPP) และ Ms. Yulia Askhadulina Director of Compliance and Data Protection, บริษัท ไมเนอร์ อินเตอร์เนชั่ลแนล จำกัด (มหาชน) Minor International

กิจกรรมนี้เป็นแบ่งปันองค์ความรู้ช่วยให้องค์กรทั้ง ภาคเอกชน SMEs และหน่วยงานภาครัฐ สามารถนำไปปรับใช้เพื่อสร้างความสอดคล้องกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)   โดย ACinfotec : Live Talk ครั้งนี้ เป็นการแสดงความคิดเห็นและข้อเสนอแนะต่อข้อซักถาม หลากหลายประเด็น

ทั้งประเด็นในแง่ของ การให้ความสำคัญของข้อมูล (Emphasis), การพัฒนาองค์การให้มีความตระหนักรู้เท่าทัน (Awareness) และผลประโยชน์ (Benefit) ที่จะได้ ในการเตรียมความพร้อม พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ดังกล่าว

ในแง่การให้ความสำคัญของข้อมูล (Emphasis) ซึ่งในกิจกรรมกรรมดังกล่าวมีการซักประเด็นถาม ตอบ ดังต่อไปนี้

1. Why is data protection and privacy important in today’s data driven economy?

Q. เหตุใดการคุ้มครองข้อมูลและความเป็นส่วนตัวของข้อมูล จึงมีความสำคัญต่อ ระบบเศรษฐกิจที่ถูกขับเคลื่อนด้วยข้อมูล

ประโยคที่ว่า “Data is the New Gold. หรือ Data is the New Oil.” แสดงให้เห็นความสำคัญของข้อมูล (Data) ที่กลายมาเป็นองค์ประกอบที่ 4 ใน People, Process, Technology และData ซึ่ง Mr. Alex ได้ให้ข้อสังเกตไว้เกี่ยวกับ 4 คำถามหลักที่ควรจะยึดถือไว้ นั่นคือ

1. อะไรบ้างที่ถือว่าเป็นข้อมูลส่วนบุคคล – What is personal data?

2. อะไรบ้างที่เป็นความยุ่งยากที่อยู่รายล้อม – What is all the fuss around it?

3. เราจะใช้ข้อมูลส่วนบุคคลได้เมื่อใด – When can I use personal data?

4. ใครเป็นผู้รับผิดชอบในส่วนใดบ้าง – Who is responsible for what?

รวมไปถึงสิ่งที่องค์กรจะได้จากการดำเนินการสร้างความสอดคล้องกับพรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)  ทั้ง 2 สร้าง , 2  ลด และ 1 ความโปร่งใส

  • 2 สร้าง – สร้างความน่าเชื่อถือจากกลุ่มลูกค้า และสร้างความน่าเชื่อถือจากองค์กรต่างๆ ทั้งในประเทศและต่างประเทศ
  • 2  ลด – การลดความเสี่ยงจากการละเมิดสิทธิ์เจ้าของข้อมูล พร้อมทั้งความไม่สอดคล้องตามพรบ. PDPA และ การลดความเสี่ยงจากการละเมิดหรือการรั่วไหลของข้อมูล
  • 1 ความโปร่งใส – สร้างความโปร่งใสต่อกระบวนการเมื่อมีเหตุละเมิดหรือรั่วไหลต่างๆ อันจะนำไปสู่การสร้างความน่าเชื่อถืออย่างยั่งยืนต่อองค์กรในระยะยาว

Mr. Alex ยังให้ข้อเสนอแนะเพิ่มติมว่า หัวใจสำคัญของการจัดลำดับความสำคัญของการสร้างความสอดคล้องคือ “การมุ่งเน้นไปที่การบริหารจัดการและการลดความเสี่ยง มากกว่ากระบวนการหรือเอกสาร” อีกทั้ง คุณศาศวัต ได้ให้ข้อคิดเห็นเพิ่มเติมในสิ่งสำคัญที่ต้องพิจารณาคือ ฐานกฎหมายที่ใช้ (lawful basis), การประมวลผลข้อมูลตามวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น (purpose limitation) และการเก็บรวบรวมข้อมูลเท่าที่จำเป็น (data minimization)

2. Why would organizations go beyond a compliance-based approach to focus on accountability to protect personal data in the digital age?

Q. ทำไมองค์กรจะต้องการสร้างความก้าวล้ำที่มากไปกว่าแค่การสร้างความสอดคล้องตาม พรบ. PDPA (compliance) โดยมุ่งเน้นที่ความรับผิดชอบต่อผลลัพธ์ (accountability) ในการคุ้มครองข้อมูลส่วนบุคคลในยุคดิจิทัล

Ms. Yulia ได้ยกคำว่า accountability ภายใน พรบ. PDPA จะมุ่งเน้นไปที่ data controller ซึ่งหลักการนี้ถูกนำมาใช้ในตั้งแต่ช่วง ปี1980 โดย OECD (Organization for Economic Co-operation and Development) ได้แนะกระบวนการด้าน Protection of Privacy and Transborder Flows of Personal Data ซึ่งประกอบไปด้วยประเด็นต่างๆ อาทิ เอกสาร, นโยบาย, แนวปฏิบัติ และ กระบวนการ เป็นต้น

ดังนั้นการสร้างความก้าวล้ำที่มากกว่าความสอดคล้องตาม พรบ. PDPA (compliance) นั้นคือการรวมเอา (incorporate) หลักการของความรับผิดชอบต่อผลลัพธ์ (accountability) ขององค์ประกอบต่างๆข้างต้น เข้ามาด้วย และสิ่งสำคัญที่ต้องคำนึงถึงคือการทำข้อตกลง (agreement) กับผู้ประมวลผลข้อมูล (data processor) เพื่อให้มั่นใจในมาตรฐานเดียวกันกับผู้ควบคุมข้อมูล (data controller)

สรุปได้ดังนี้ว่า “accountability จะหมายถึง ความรับผิดชอบต่อผลลัพธ์ ซึ่งแตกต่างจากคำว่า responsibility ที่หมายถึง ความรับผิดชอบต่อการกระทำ” เพราะจะไม่เป็นเพียงแค่การสร้างความสอดคล้องตาม พรบ. PDPA เท่านั้น หากแต่จะต้องคำนึงถึงผลกระทบและความเสี่ยงจากการดำเนินการด้วย


การพัฒนาองค์การให้มีความตระหนักรู้เท่าทัน (Awareness)  ซึ่งในกิจกรรมกรรมดังกล่าวมีการซักประเด็นถาม ตอบ ดังนี้

1. How organizations with limited resources can conduct full due diligence on the PDPA? What should they focus now?

Q. องค์กรที่มีข้อจำกัดด้านทรัพยากรจะสามารถดำเนินการด้าน พรบ. PDPA ได้อย่างไร? และควรจะมุ่งเน้นไปที่อะไรก่อน?

อาจารย์ศุภกร โดยได้ยกตัวอย่างที่น่าสนใจซึ่งมาตอบในประเด็นนี้ดังนี้  บริษัทที่ดำเนินธุรกิจด้าน CCTV โดยปกติไม่ใช่องค์กรใหญ่ อาจมีความพร้อมด้านทรัพยากรด้านการบริหารจัดการข้อมูลส่วนบุคคลไม่มาก ดังนั้น SMEs ควรรวมกลุ่มกันเป็น cluster เพื่อขอคำแนะนำจากหน่วยงานภาครัฐที่รับผิดชอบกำกับดูแลในภาคธุรกิจแต่ละส่วน เช่น กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม นอกจากนี้อาจจะมีการบริหารจัดการร่วมมือภายในกลุ่ม SMEs เช่น ในการหาผู้เชี่ยวชาญเพื่อดำเนินการสร้างความสอดคล้อง เพื่อพัฒนาขีดความสามารถในการเตรียมความพร้อมกับ พรบ. PDPA ดังกล่าว

2. Why it is important to bring together people from across the organization to tackle PDPA compliance effort?

Q. เหตุใดจึงมีความสำคัญที่จะนำพาบุคลากรจากส่วนงานต่างๆ ในองค์กรเพื่อมาร่วมบริหารจัดการด้าน PDPA

อาจารย์ศุภกร ชี้แจงว่าการบริหารจัดการด้าน PDPA นั้นไม่จำกัดอยู่แค่กับฝ่ายทรัพยากรบุคคลเท่านั้น หากแต่มีความเกี่ยวข้องกับหลายส่วนงานที่มีส่วนได้เสียต่อ PDPA ดังนั้นการสร้างความเข้าใจภายในองค์กรและกำหนดทิศทางโดยพิจารณาการดำเนินการขององค์กรเป็นสำคัญ เพื่อให้องค์กรสามารถจัดตั้งคณะทำงานได้อย่างถูกต้องและมีประสิทธิภาพ  นอกจากนี้ Mr. Alex ได้เสริมแง่คิดในเรื่องที่เกี่ยวกับการจัดตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล Data Protection Officer – (DPO) 2 ข้อหลักดังนี้

ข้อ 1. DPO เป็นใครในองค์กรก็ได้แต่จะต้องมีความเป็นอิสระ (independent) และ บทบาทและ หน้าที่จะต้องไม่มีผลประโยชน์ทับซ้อน (conflict of interest) ในการดำเนินการสร้างความสอดคล้องกับ พรบ. PDPA ที่มีการแบ่งแยกหน้าที่ (segregation of duties) กันอย่างชัดเจน

ข้อ 2. DPO ต้องมีความรู้ความสามารถและเข้าใจในการ บางประเทศโดยเฉพาะกลุ่มประเทศยุโรป (Europe) ที่ให้ความสำคัญเรื่องข้อมูลส่วนบุคคล

ได้กำหนดเกณฑ์ความรู้ความสามารถของ DPO หรือมีการให้การรับรอง (accreditation) ให้กับ DPO อีกด้วย ส่วนของประเทศไทย คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทยร่วมกับ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ซึ่งอยู่ระหว่างการดำเนินการด้าน PDPA Master Plan หรือแผนแม่บทการดำเนินงานด้านการส่งเสริมและการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2564 – 2568 ซึ่งมีความเป็นไปได้ว่าหน่วยงานที่เกี่ยวข้องมีแผนให้การรับรองให้กับ DPO

Ms. Yulia ได้แบ่งปันกรณีศึกษาของ Minor international Group ว่ามีการจัดตั้ง DPO ซึ่ง ดำเนินการโดยอิสระเช่นเดียวกัน และมีตัวแทน จากฝ่ายต่างๆที่เกี่ยวข้อง อาทิ กฎหมาย ไอที และฝ่ายธุรกิจอื่นๆ แต่ในประเทศไทยยังเป็นเรื่องใหม่ การจะหาผู้มีประสบการณ์จึงค่อนข้างยาก ดังนั้น จึงต้องหาแหล่งข้อมูลจากภายนอก เช่น หลักสูตร event หรือข้อมูล online ต่างๆ และแนวปฏิบัติต่างๆของประเทศโซนยุโรป อาทิ Article 29 WORKING PARTY GUIDANCE ซึ่งมีความคล้ายคลึงกับพรบ. PDPA

3. What would be the burden and effort organization will face after the enforcement date and how to optimize or lean those efforts?

Q. อะไรที่จะเป็นภาระหน้าที่ที่องค์กรต้องเผชิญหลังจากการบังคับใช้กฎหมายและจะทำให้เกิดประสิทธิภาพสูงสุดในการดำเนินการได้อย่างไร

Mr. Alex ได้พูดถึงคำว่าการสร้างความสอดคล้องกับ พรบ. PDPA (compliance) ซึ่งยังไม่ถูกจำกัดความอย่างชัดเจน อีกทั้งการทำ compliance ยังต้องมีการทำ re- assessment เนื่องจากการเปลี่ยนแปลงที่เกิดขึ้นอยู่เสมอๆ โดยในกรณีที่มีข้อจำกัดด้านทรัพยากร จึงมีแนวทางปฏิบัติ 7 ขั้นตอน ดังนี้

1. Understand the here and now – เข้าใจในทิศทางและการใช้ข้อมูลส่วนบุคคลขององค์กร ณ ปัจจุบัน

2. What risks are not worth taking? – ประเมินความเสี่ยงที่สำคัญๆ

3. Narrow down the scope – จำกัดขอบเขต

4. Prioritize and commit – จัดเรียงลำดับความสำคัญ

5. Get in control (assurance) – นำมาตรการควบคุมและแนวปฏิบัติมาใช้

6. Innovate your way into change and compliance – ทำให้เกิดเป็น business as usual กับพนักงานและกับผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

7. Monitor verify and show off – เฝ้าระวังและแสดงผลให้เกิดการรับรู้จากทุกภาคส่วน

คุณศาศวัต ได้แสดงความเห็นเพิ่มเติมว่า พรบ. PDPA นั้น ไม่ใช่แค่การดำเนินการให้สอดคล้องเพียงครั้งเดียวหากแต่จะเป็นการปฏิบัติ เพราะฉะนั้นองค์กรจึงต้องมี on-going privacy operation ไม่ใช่แค่ privacy implementation เท่านั้น

Mr. Alex ได้แนะนำเพิ่มเติมในส่วนที่ควรเริ่มทำเป็นอันดับแรก ซึ่งถูกแบ่งออกเป็น 2 track คือ

Track ที่ 1 Records track – เป็นการตรวจสอบว่ามีข้อมูลส่วนบุคคลอะไรบ้าง อยู่ที่ไหน และเพื่อวัตถุประสงค์อะไร เป็นต้น (record of processing activities)

Track ที่ 2 Capability track (controls) – สิ่งที่สามารถทำได้หรือสามารถควบคุมได้ เช่น ความสามารถในการตรวจสอบการละเมิด, ความสามารถในการฝึกอบรมด้าน PDPA ซึ่งจะทำให้รู้ว่าองค์กรนั้นๆดำเนินการถึงขั้นไหนในการสร้างความสอดคล้องกับ พรบ. PDPA (level of maturity)

องค์กรต้องตั้งเป้าหมายถึงขั้นในการดำเนินการ (Level of maturity) ข้างต้น องค์กรจะต้องเข้าใจถึงความเสี่ยงและสิ่งที่สามารถทำได้เพื่อลดความเสี่ยงที่สำคัญ

โดย คุณศาศวัต  ให้ความเห็นเพิ่มเติมว่า ปกติแล้ว capability ด้าน detection, response หรือ recover จะต่ำกว่า capability ด้าน protection ดังนั้น จะทำอย่างไรที่จะเพิ่ม capability ได้ เพื่อให้ส่งผลต่อเป้าหมายของ level of maturity

อาจารย์ศุภกร ให้ความเห็นว่าหลังจากการบังคับใช้กฎหมายแล้ว องค์กรควรจะให้ความสำคัญในการกำกับดูแลในส่วนของผู้ประมวลผลข้อมูล (data processor) ด้วย รวมถึงสัญญาที่เกี่ยวข้องกับการประมวลผลข้อมูลด้วย

4. What you foresee about the life of DPO after PDPA effective date?

Q. คุณสามารถคาดการณ์อะไรได้บ้างเกี่ยวกับการดำเนินการของ Data Protection Officer (DPO) หลังจากการบังคับใช้กฎหมาย

Mr. Alex กล่าวว่า หลังจากการบังคับใช้กฎหมายแล้ว DPO จะมีบทบาทเป็นอย่างมากในหน้าที่และบทบาทความรับผิดชอบด้าน PDPA ของทุกภาคส่วน รวมถึงกระตุ้นให้บุคลากรหรือผู้มีส่วนได้ส่วนเสีย เข้ารับการฝึกอบรม ดังนี้

DPO ต้องมีส่วนในการเลือกใช้ผู้ให้บริการจากภายนอก มาช่วยบริหารจัดการในประเด็นดังกล่าว เช่น บริษัทกฎหมาย และ อื่นๆ

DPO ต้องมีส่วนติดต่อสื่อสารกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.),

DPO จัดทำแผนการตรวจสอบ (Internal audit plan) และให้คำแนะนำและสนับสนุน

ทั้งนี้ DPO อาจไม่ได้ถูกระบุไว้ใน พรบ. PDPA แต่ในแง่ของความเสี่ยง และการสร้างความมั่นใจ องค์กรควรดำเนินการจัดตั้ง DPO โดย ก็ยัง Ms. Yulia ได้ให้ความเห็นในทิศทางเดียวกันว่าหากองค์กรมีขนาดใหญ่และต้องการสร้างความมั่นใจว่าการดำเนินการด้าน PDPA ขององค์กรบรรลุวัตถุประสงค์ ก็ควรมีการจัดตั้ง


โปรดติดตาม ACinfotec : Live Talk “Going beyond PDPA compliance, preparing for daily privacy operations” Ep.2 ต่อได้ที่ Article ถัดไปนะคะ

หากองค์ไหนที่สนใจ PDPA Services สามารถติดต่อสอบถามทีมฝ่ายขายได้ที่ [email protected] หรือ โทร. 02-6708980-3