ปริญญา หอมเอนก CISSP, CISA, CISM, CGEIT, SSCP, CSSLP, CFE
ACIS Professional Center Co., Ltd. and Cybertron Co., Ltd.

.
ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัทมีบทบาทสำคัญในการสนับสนุนองค์กรเพื่อให้องค์กรดำเนินกิจกรรมในการคุ้มครองข้อมูลส่วนบุคคลสอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคล และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แนวทางการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรควรมีการกำหนดทิศทางที่ชัดเจนจากผู้บริหารระดับสูง (Senior Management including C-Level) ซึ่งเป็นหัวใจสำคัญขององค์กร เนื่องจากการคุ้มครองข้อมูลส่วนบุคคลสำหรับองค์กรเป็นเรื่องในระดับนโยบายที่จำเป็นต้องมีการพัฒนานโยบายการคุ้มครองข้อมูลส่วนบุคคล และ นโยบายความเป็นส่วนตัว (Data Protection Policy and Privacy Policy) ซึ่งควรถูกบรรจุเป็นส่วนหนึ่งของนโยบายการกำกับดูแลกิจการ (Corporate Governance Policy)
.
ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท มีความจำเป็นที่ต้องรู้หน้าที่ความรับผิดชอบของตน ตลอดจนแสดงภาวะผู้นำ (Leadership) ให้คำมั่นสัญญาของผู้บริหาร (Management Commitment) ในการบริหารจัดการเรื่องความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคล โดยความรับผิดชอบของผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัท สามารถนำมาสรุปได้ดังนี้

แนวปฏิบัติ-Data-Protection-Part1
.
1. สนับสนุนให้องค์กรมีผู้รับผิดชอบในตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO)
สืบเนื่องจากที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 41 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ศึกษารายละเอียดเพิ่มเติมได้จาก หัวข้อ N.3 บทบาทหน้าที่และความรับผิดชอบของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท จึงควรสั่งการ และสนับสนุนให้องค์กรมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อให้คำแนะนำกับผู้ที่เกี่ยวข้องในการดำเนินกิจกรรมให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
.
2. พิจารณาอนุมัติ สื่อสารนโยบายการคุ้มครองข้อมูลส่วนบุคคล และ นโยบายความเป็นส่วนตัว (Data Protection Policy and Privacy Policy)
หากกล่าวถึงนโยบายความเป็นส่วนตัว (Privacy Policy) ได้แก่ นโยบายที่บริษัทได้ประกาศเพื่อสื่อสารให้กับเจ้าของข้อมูลส่วนบุคคลทราบถึงวัตถุประสงค์ของการประมวลผลข้อมูล รวมทั้งระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งเป็นส่วนที่ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท ต้องพิจารณา และประกาศให้เจ้าของข้อมูลส่วนบุคคลทราบ หากแต่ยังมีนโยบายอีกฉบับหนึ่ง ได้แก่ นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Policy) ซึ่งองค์กรควรดำเนินการ (สำหรับบางองค์กรอาจเรียกแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล) เพื่อให้บุคลากรทราบถึงกรอบในการดำเนินกิจกรรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล สิ่งที่ต้องปฏิบัติ สิ่งที่ต้องระมัดระวัง เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับองค์กร และเจ้าของข้อมูลส่วนบุคคล เป็นต้น
.
3. พิจารณาอนุมัติแผนงานบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลในระดับองค์กร (Privacy Management Program)
ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัท ควรสนับสนุนการดำเนินโครงการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลในระดับองค์กร เพื่อทำให้การดำเนินกิจกรรมที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลบรรลุเป้าประสงค์
.
4. สนับสนุนและจัดให้มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment หรือ DPIA)
ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัทควรกำหนดให้องค์กรมีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลสำหรับกิจกรรมที่มีความเสี่ยงสูงที่จะเกิดผลกระทบต่อสิทธิและเสรีภาพกับเจ้าของข้อมูลส่วนบุคคล พร้อมทั้งติดตามสถานะของการดำเนินการ รวมทั้งสถานะของการจัดการความเสี่ยงให้อยู่ในระดับความเสี่ยงที่ยอมรับได้
.
5. สนับสนุนและจัดให้มีการฝึกอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้บริหารและพนักงานในทุกระดับ (PDPA Awareness Training)
สิ่งสำคัญที่จะทำให้องค์กรสามารถดำเนินการสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล บุคลากรขององค์กรจะต้องมีความรู้ความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ทั้งในส่วนของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และส่วนที่องค์กรได้กำหนดขึ้น เช่น นโยบาย แนวปฏิบัติ กระบวนการ ขั้นตอนปฏิบัติ รวมถึงคู่มือในการทำงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัทควรสนับสนุนให้มีการฝึกอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคลให้เหมาะสมกับหน้าที่ความรับผิดชอบ เช่น การฝึกอบรมให้ผู้ปฏิบัติงานมีความเข้าใจในขั้นตอนการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือการสนับสนุนให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้รับการอบรมเพื่อให้มีความรู้ในการปฏิบัติหน้าที่ เป็นต้น
.
6. จัดสรรทรัพยากรให้เพียงพอในการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล
ในการดำเนินกิจกรรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัทควรสนับสนุนทรัพยากรที่จำเป็น ได้แก่ บุคลากรที่เข้ามาดำเนินกิจกรรม งบประมาณที่ใช้ดำเนินกิจกรรม สิ่งอำนวยความสะดวก และเทคโนโลยีสารสนเทศที่ใช้ในกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
.
7. วางกลยุทธ์ในการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลทั้งในระยะสั้นและระยะยาว
การคุ้มครองข้อมูลส่วนบุคคลเป็นกิจกรรมที่ต้องดำเนินการอย่างต่อเนื่อง ดังนั้น ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัท ควรวางกลยุทธ์สำหรับการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลทั้งในระยะสั้น และระยะยาว เพื่อให้เป็นไปตามหลักการการคุ้มครองข้อมูลส่วนบุคคล และกฎหมาย

แนวปฏิบัติ-Data-Protection-Part2

8. กำหนดทิศทางการทำงานของ DPO ในการตอบรับการร้องเรียนจากลูกค้าและพนักงาน เมื่อมีการรั่วไหลของข้อมูลส่วนบุคคล รวมถึงการกำหนดมาตรฐานในการเผชิญเหตุเมื่อมีการรั่วไหลของข้อมูลส่วนบุคคล
.
9. กำหนดทิศทางให้ DPO ทำการสื่อสาร ประสานงาน รายงานข้อมูลกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
.
10. พิจารณาอนุมัติ และสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ
นอกจากนโยบายการคุ้มครองข้อมูลส่วนบุคคล ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัท ควรให้ความสำคัญในการพิจารณาอนุมัติ และสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ ซึ่งถือเป็นหนึ่งในหลักการของการคุ้มครองข้อมูลส่วนบุคคล
.
11. จัดให้มีผู้รับผิดชอบในการปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยสารสนเทศในการประมวลผลข้อมูลส่วนบุคคล และมาตรฐานความมั่นคงปลอดภัยสารสนเทศของข้อมูลส่วนบุคคล
.
12. จัดให้มีการตรวจสอบความเข้าใจเรื่องการคุ้มครองข้อมูลส่วนบุคคลของพนักงานในทุกระดับ

13. จัดให้มีการสื่อสารกับลูกค้าให้เกิดความเข้าใจในการดำเนินการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของข้อมูลส่วนบุคคล และการคุ้มครองข้อมูลส่วนบุคคลขององค์กร
.
14. บริหารจัดการความเสี่ยงองค์กรอย่างมีประสิทธิภาพ โดยลดผลกระทบในกรณีที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจสั่งปรับตามความผิด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อลดความเสี่ยงด้านการเงิน (Financial Risk) ขององค์กร และลดความเสี่ยงเรื่องการเสียชื่อเสียงองค์กร (Reputation Risk)
.
ในส่วนของ กรรมการบริษัทมีความจำเป็นอย่างยิ่งยวดที่จะต้องให้การสนับสนุนกรรมการบริหารและผู้บริหารระดับสูงในบทบาท “Project Sponsorship” ในการจัดสรรงบประมาณ บุคลากร เวลา ให้คำมั่นสัญญาในการปฏิบัติตามกฎหมายคุมครองข้อมูลส่วนบุคคล โดยไม่มีข้อยกเว้น ตลอดจนแสดงภาวะผู้นำในการประเมิน กำหนดทิศทาง/สั่งการ และ ติดตามผล (Evaluate , Direct and Monitor) ตามมาตรฐาน ISO/IEC 38500:2015 Information technology — Governance of IT for the organization และ สนับสนุนการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคลของฝ่ายจัดการ ให้เป็นไปตามนโยบายขององค์กร เนื่องจาก การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคล ไม่ใช่ความรับผิดชอบเฉพาะฝ่ายสารสนเทศ หากแต่เป็นความรับผิดชอบของทุกฝ่าย (Multi-disciplinary approach) ดังนั้นผู้บริหารระดับสูง กรรมการบริหารและกรรมการบริษัทจึงต้องร่วมกันรับผิดชอบในภาพรวมอย่างหลีกเลี่ยงไม่ได้ โดยควรกำหนดเป้าหมายและระยะเวลาของโครงการการบริหารจัดการข้อมูลส่วนบุคคลให้ชัดเจน เป็นรูปธรรม กำหนดความเสี่ยงที่ยอมรับได้ และตรวจสอบการดำเนินงานของโครงการเป็นระยะ รวมถึงการวางแผนกลยุทธในระยะสั้นและระยะยาวในการบริหารจัดการเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคล ให้เป็นปัจจุบัน และ รองรับการดำเนินงานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และการคุ้มครองป้องกันข้อมูลส่วนบุคคลขององค์กรในอนาคตอีกด้วย

© Copyright 2019. Powered by ACIS Professional Center | Privacy Policy

Our website uses both essential and non-essential cookies to analyze use of our products and services. This agreement applies to non-essential cookies only. By accepting, you are agreeing to third parties receiving information about your usage and activities. If you choose to decline this agreement, we will continue to use essential cookies for the operation of the website. View Policy