แนวปฏิบัติเกี่ยวกับ “การคุ้มครองข้อมูลส่วนบุคคล” สำหรับผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท โดย ดร.ปริญญา หอมเอนก

ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัทมีบทบาทสำคัญในการสนับสนุนองค์กรเพื่อให้องค์กรดำเนินกิจกรรมในการคุ้มครองข้อมูลส่วนบุคคลสอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคล และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แนวทางการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรควรมีการกำหนดทิศทางที่ชัดเจนจากผู้บริหารระดับสูง (Senior Management including C-Level) ซึ่งเป็นหัวใจสาคัญขององค์กร เนื่องจากการคุ้มครองข้อมูลส่วนบุคคลสำหรับองค์กรเป็นเรื่องในระดับนโยบายที่จำเป็นต้องมีการพัฒนานโยบายการคุ้มครองข้อมูลส่วนบุคคล และ นโยบายความเป็นส่วนตัว (Data Protection Policy and Privacy Policy) ซึ่งควรถูกบรรจุเป็นส่วนหนึ่งของนโยบายการกำกับดูแลกิจการ (Corporate Governance Policy)

ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท มีความจำเป็นที่ต้องรู้หน้าที่ความรับผิดชอบของตน ตลอดจนแสดงภาวะผู้นำ (Leadership) ให้คามั่นสัญญาของผู้บริหาร (Management Commitment) ในการบริหารจัดการเรื่องความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคล โดยความรับผิดชอบของผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัท สามารถนามาสรุปได้ดังนี้

1. สนับสนุนให้องค์กรมีผู้รับผิดชอบในตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO)

สืบเนื่องจากที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 41 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ศึกษารายละเอียดเพิ่มเติมได้จาก หัวข้อ N.3 บทบาทหน้าที่และความรับผิดชอบของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล อ้างอิง Thailand Data Protection Guidelines 3.0) ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท จึงควรสั่งการ และสนับสนุนให้องค์กรมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อให้คาแนะนำกับผู้ที่เกี่ยวข้องในการดำเนินกิจกรรมให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

2. พิจารณาอนุมัติ สื่อสารนโยบายการคุ้มครองข้อมูลส่วนบุคคล และ นโยบายความเป็นส่วนตัว (Data Protection Policy and Privacy Policy)

หากกล่าวถึงนโยบายความเป็นส่วนตัว (Privacy Policy) ได้แก่ นโยบายที่บริษัทได้ประกาศเพื่อสื่อสารให้กับเจ้าของข้อมูลส่วนบุคคลทราบถึงวัตถุประสงค์ของการประมวลผลข้อมูล รวมทั้งระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งเป็นส่วนที่ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท ต้องพิจารณา และประกาศให้เจ้าของข้อมูลส่วนบุคคลทราบ หากแต่ยังมีนโยบายอีกฉบับหนึ่ง ได้แก่ นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Policy) ซึ่งองค์กรควรดำเนินการ (สำหรับบางองค์กรอาจเรียกแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล) เพื่อให้บุคลากรทราบถึงกรอบในการดาเนินกิจกรรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล สิ่งที่ต้องปฏิบัติ สิ่งที่ต้องระมัดระวัง เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับองค์กร และเจ้าของข้อมูลส่วนบุคคล เป็นต้น

3. พิจารณาอนุมัติแผนงานบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลในระดับองค์กร (Privacy Management Programme)

ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัท ควรสนับสนุนการดาเนินโครงการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลในระดับองค์กร เพื่อทาให้การดำเนินกิจกรรมที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลบรรลุเป้าประสงค์

4. สนับสนุนและจัดให้มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment หรือ DPIA)

ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัทควรกาหนดให้องค์กรมีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลสำหรับกิจกรรมที่มีความเสี่ยงสูงที่จะเกิดผลกระทบต่อสิทธิและเสรีภาพกับเจ้าของข้อมูลส่วนบุคคล พร้อมทั้งติดตามสถานะของการดาเนินการ รวมทั้งสถานะของการจัดการความเสี่ยงให้อยู่ในระดับความเสี่ยงที่ยอมรับได้

5. สนับสนุนและจัดให้มีการฝึกอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้บริหารและพนักงานในทุกระดับ (PDPA Awareness Training)

สิ่งสาคัญที่จะทำให้องค์กรสามารถดาเนินการสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล บุคลากรขององค์กรจะต้องมีความรู้ความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ทั้งในส่วนของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และส่วนที่องค์กรได้กาหนดขึ้น เช่น นโยบาย แนวปฏิบัติ กระบวนการ ขั้นตอนปฏิบัติ รวมถึงคู่มือในการทำงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัทควรสนับสนุนให้มีการฝึกอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคลให้เหมาะสมกับหน้าที่ความรับผิดชอบ เช่น การฝึกอบรมให้ผู้ปฏิบัติงานมีความเข้าใจในขั้นตอนการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือการสนับสนุนให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้รับการอบรมเพื่อให้มีความรู้ในการปฏิบัติหน้าที่ เป็นต้น

6. จัดสรรทรัพยากรให้เพียงพอในการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล

ในการดำเนินกิจกรรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัทควรสนับสนุนทรัพยากรที่จำเป็น ได้แก่ บุคลากรที่เข้ามาดำเนินกิจกรรม งบประมาณที่ใช้ดำเนินกิจกรรม สิ่งอานวยความสะดวก และเทคโนโลยีสารสนเทศที่ใช้ในกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

7. วางกลยุทธ์ในการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลทั้งในระยะสั้นและระยะยาว

การคุ้มครองข้อมูลส่วนบุคคลเป็นกิจกรรมที่ต้องดำเนินการอย่างต่อเนื่อง ดังนั้น ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัท ควรวางกลยุทธ์สำหรับการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลทั้งในระยะสั้น และระยะยาว เพื่อให้เป็นไปตามหลักการการคุ้มครองข้อมูลส่วนบุคคล และกฎหมาย

8. กำหนดทิศทางการทางานของ DPO

ในการตอบรับการร้องเรียนจากลูกค้าและพนักงาน เมื่อมีการรั่วไหลของข้อมูลส่วนบุคคล รวมถึงการกำหนดมาตรฐานในการเผชิญเหตุเมื่อมีการรั่วไหลของข้อมูลส่วนบุคคล

9. กำหนดทิศทางให้ DPO

ทำการสื่อสาร ประสานงาน รายงานข้อมูลกับสานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

10. พิจารณาอนุมัติสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ

นอกจากนโยบายการคุ้มครองข้อมูลส่วนบุคคล ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัท ควรให้ความสาคัญในการพิจารณาอนุมัติ และสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ ซึ่งถือเป็นหนึ่งในหลักการของการคุ้มครองข้อมูลส่วนบุคคล

11. จัดให้มีผู้รับผิดชอบ

ในการปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยสารสนเทศในการประมวลผลข้อมูลส่วนบุคคล และมาตรฐานความมั่นคงปลอดภัยสารสนเทศของข้อมูลส่วนบุคคล

12. จัดให้มีการตรวจสอบ

ด้านการตรวจสอบความเข้าใจเรื่องการคุ้มครองข้อมูลส่วนบุคคลของพนักงานในทุกระดับ

13. จัดให้มีการสื่อสารกับลูกค้า

ให้เกิดความเข้าใจในการดำเนินการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของข้อมูลส่วนบุคคล และการคุ้มครองข้อมูลส่วนบุคคลขององค์กร

14. บริหารจัดการความเสี่ยงองค์กรอย่างมีประสิทธิภาพ

โดยลดผลกระทบในกรณีที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจสั่งปรับตามความผิด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อลดความเสี่ยงด้านการเงิน (Financial Risk) ขององค์กร และลดความเสี่ยงเรื่องการเสียชื่อเสียงองค์กร (Reputation Risk)

ในส่วนของ กรรมการบริษัทมีความจำเป็นอย่างยิ่งยวดที่จะต้องให้การสนับสนุนกรรมการบริหารและผู้บริหารระดับสูงในบทบาท “Project Sponsorship” ในการจัดสรรงบประมาณ บุคลากร เวลา ให้คำมั่นสัญญาในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยไม่มีข้อยกเว้น ตลอดจนแสดงภาวะผู้นำในการประเมิน กำหนดทิศทาง/สั่งการ และ ติดตามผล (Evaluate , Direct and Monitor) ตามมาตรฐาน ISO/IEC 38500:2015 Information technology — Governance of IT for the organization และ สนับสนุนการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคลของฝ่ายจัดการ ให้เป็นไปตามนโยบายขององค์กร

เนื่องจาก การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคล ไม่ใช่ความรับผิดชอบเฉพาะฝ่ายสารสนเทศ หากแต่เป็นความรับผิดชอบของทุกฝ่าย (Multi-disciplinary approach) ดังนั้นผู้บริหารระดับสูง กรรมการบริหารและกรรมการบริษัทจึงต้องร่วมกันรับผิดชอบในภาพรวมอย่างหลีกเลี่ยงไม่ได้ โดยควรกำหนดเป้าหมายและระยะเวลาของโครงการการบริหารจัดการข้อมูลส่วนบุคคลให้ชัดเจน เป็นรูปธรรม กำหนดความเสี่ยงที่ยอมรับได้ และตรวจสอบการดาเนินงานของโครงการเป็นระยะ

รวมถึงการวางแผนกลยุทธในระยะสั้นและระยะยาวในการบริหารจัดการเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคล ให้เป็นปัจจุบัน และ รองรับการดำเนินงานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และการคุ้มครองป้องกันข้อมูลส่วนบุคคลขององค์กรในอนาคตอีกด้วย