แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้บริหารระดับสูง

แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้บริหารระดับสูง

ผู้บริหารระดับสูงฯ มีบทบาทสำคัญในการสนับสนุนองค์กร ให้ดำเนินกิจกรรมในการคุ้มครองข้อมูลส่วนบุคคลสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

แนวทางการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรควรมีการกำหนดทิศทางที่ชัดเจนจากผู้บริหารระดับสูง  (Senior Management including C-Level) ซึ่งเป็นหัวใจสำคัญขององค์กร  เนื่องจากการคุ้มครองข้อมูลส่วนบุคคลสำหรับองค์กรเป็นเรื่องในระดับนโยบายที่จำเป็นต้องมีการพัฒนานโยบายการคุ้มครองข้อมูลส่วนบุคคล และ นโยบายความเป็นส่วนตัว (Data Protection Policy and Privacy Policy) ซึ่งควรถูกบรรจุเป็นส่วนหนึ่งของนโยบายการกำกับดูแลกิจการ (Corporate Governance Policy)

ผู้บริหารระดับสูง  กรรมการบริหาร และกรรมการบริษัท มีความจำเป็นที่ต้องรู้หน้าที่ความรับผิดชอบของตน ตลอดจนแสดงภาวะผู้นำ (Leadership) ให้คำมั่นสัญญาของผู้บริหาร (Management Commitment) ในการบริหารจัดการเรื่องความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคล โดยความรับผิดชอบของผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัท สามารถนำมาสรุปได้ดังนี้ [1]

  1. สนับสนุนให้องค์กรมีผู้รับผิดชอบในตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO)

สืบเนื่องจากที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 41  กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ศึกษารายละเอียดเพิ่มเติมได้จาก หัวข้อ N.3 บทบาทหน้าที่และความรับผิดชอบของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) ผู้บริหารระดับสูง  กรรมการบริหาร และกรรมการบริษัท จึงควรสั่งการ และสนับสนุนให้องค์กรมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อให้คำแนะนำกับผู้ที่เกี่ยวข้องในการดำเนินกิจกรรมให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

     2. พิจารณาอนุมัติ สื่อสารนโยบายการคุ้มครองข้อมูลส่วนบุคคล และ นโยบายความเป็นส่วนตัว (Data Protection Policy and Privacy Policy)

หากกล่าวถึงนโยบายความเป็นส่วนตัว (Privacy Policy) ได้แก่ นโยบายที่บริษัทได้ประกาศเพื่อสื่อสารให้กับเจ้าของข้อมูลส่วนบุคคลทราบถึงวัตถุประสงค์ของการประมวลผลข้อมูล รวมทั้งระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งเป็นส่วนที่ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท ต้องพิจารณา และประกาศให้เจ้าของข้อมูลส่วนบุคคลทราบ หากแต่ยังมีนโยบายอีกฉบับหนึ่ง ได้แก่  นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Policy) ซึ่งองค์กรควรดำเนินการ (สำหรับบางองค์กรอาจเรียกแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล) เพื่อให้บุคลากรทราบถึงกรอบในการดำเนินกิจกรรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล สิ่งที่ต้องปฏิบัติ สิ่งที่ต้องระมัดระวัง เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับองค์กร และเจ้าของข้อมูลส่วนบุคคล เป็นต้น

       3.พิจารณาอนุมัติแผนงานบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลในระดับองค์กร (Privacy Management Programme)

ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัท ควรสนับสนุนการดำเนินโครงการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลในระดับองค์กร เพื่อทำให้การดำเนินกิจกรรมที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลบรรลุเป้าประสงค์

       4.สนับสนุนและจัดให้มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment หรือ DPIA) 

ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัทควรกำหนดให้องค์กรมีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลสำหรับกิจกรรมที่มีความเสี่ยงสูงที่จะเกิดผลกระทบต่อสิทธิและเสรีภาพกับเจ้าของข้อมูลส่วนบุคคล พร้อมทั้งติดตามสถานะของการดำเนินการ รวมทั้งสถานะของการจัดการความเสี่ยงให้อยู่ในระดับความเสี่ยงที่ยอมรับได้

        5.สนับสนุนและจัดให้มีการฝึกอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้บริหารและพนักงานในทุกระดับ (PDPA Awareness Training)  

สิ่งสำคัญที่จะทำให้องค์กรสามารถดำเนินการสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล บุคลากรขององค์กรจะต้องมีความรู้ความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ทั้งในส่วนของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และส่วนที่องค์กรได้กำหนดขึ้น เช่น นโยบาย แนวปฏิบัติ กระบวนการ ขั้นตอนปฏิบัติ รวมถึงคู่มือในการทำงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัทควรสนับสนุนให้มีการฝึกอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคลให้เหมาะสมกับหน้าที่ความรับผิดชอบ เช่น การฝึกอบรมให้ผู้ปฏิบัติงานมีความเข้าใจในขั้นตอนการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือการสนับสนุนให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้รับการอบรมเพื่อให้มีความรู้ในการปฏิบัติหน้าที่ เป็นต้น

        6.จัดสรรทรัพยากรให้เพียงพอในการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล  

ในการดำเนินกิจกรรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัทควรสนับสนุนทรัพยากรที่จำเป็น ได้แก่ บุคลากรที่เข้ามาดำเนินกิจกรรม งบประมาณที่ใช้ดำเนินกิจกรรม สิ่งอำนวยความสะดวก และเทคโนโลยีสารสนเทศที่ใช้ในกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

         7.วางกลยุทธ์ในการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลทั้งในระยะสั้นและระยะยาว 

การคุ้มครองข้อมูลส่วนบุคคลเป็นกิจกรรมที่ต้องดำเนินการอย่างต่อเนื่อง ดังนั้น ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัท ควรวางกลยุทธ์สำหรับการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลทั้งในระยะสั้น และระยะยาว เพื่อให้เป็นไปตามหลักการการคุ้มครองข้อมูลส่วนบุคคล และกฎหมาย

         8.กำหนดทิศทางการทำงานของ DPO ในการตอบรับการร้องเรียนจากลูกค้าและพนักงาน เมื่อมีการรั่วไหลของข้อมูลส่วนบุคคล รวมถึงการกำหนดมาตรฐานในการเผชิญเหตุเมื่อมีการรั่วไหลของข้อมูลส่วนบุคคล

         9.กำหนดทิศทางให้ DPO ทำการสื่อสาร ประสานงาน รายงานข้อมูลกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

        10.พิจารณาอนุมัติ และสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ [2]

 นอกจากนโยบายการคุ้มครองข้อมูลส่วนบุคคล ผู้บริหารระดับสูง กรรมการบริหาร และ กรรมการบริษัท ควรให้ความสำคัญในการพิจารณาอนุมัติ และสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ ซึ่งถือเป็นหนึ่งในหลักการของการคุ้มครองข้อมูลส่วนบุคคล

         11.จัดให้มีผู้รับผิดชอบในการปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยสารสนเทศในการประมวลผลข้อมูลส่วนบุคคล และมาตรฐานความมั่นคงปลอดภัยสารสนเทศของข้อมูลส่วนบุคคล

         12.จัดให้มีการตรวจสอบความเข้าใจเรื่องการคุ้มครองข้อมูลส่วนบุคคลของพนักงานในทุกระดับ[3] 

          13.จัดให้มีการสื่อสารกับลูกค้าให้เกิดความเข้าใจในการดำเนินการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของข้อมูลส่วนบุคคล และการคุ้มครองข้อมูลส่วนบุคคลขององค์กร [4]

          14.บริหารจัดการความเสี่ยงองค์กรอย่างมีประสิทธิภาพ โดยลดผลกระทบในกรณีที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจสั่งปรับตามความผิด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อลดความเสี่ยงด้านการเงิน (Financial Risk) ขององค์กร และลดความเสี่ยงเรื่องการเสียชื่อเสียงองค์กร (Reputation Risk)

 ในส่วนของ กรรมการบริษัทมีความจำเป็นอย่างยิ่งยวดที่จะต้องให้การสนับสนุนกรรมการบริหารและผู้บริหารระดับสูงในบทบาท “Project Sponsorship” ในการจัดสรรงบประมาณ บุคลากร เวลา ให้คำมั่นสัญญาในการปฏิบัติตามกฎหมายคุมครองข้อมูลส่วนบุคคล โดยไม่มีข้อยกเว้น

ตลอดจนแสดงภาวะผู้นำในการประเมิน กำหนดทิศทาง/สั่งการ และ ติดตามผล (Evaluate , Direct and Monitor)[5] ตามมาตรฐาน ISO/IEC 38500:2015 Information technology — Governance of IT for the organization และ สนับสนุนการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคลของฝ่ายจัดการ ให้เป็นไปตามนโยบายขององค์กร

เนื่องจาก การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคล ไม่ใช่ความรับผิดชอบเฉพาะฝ่ายสารสนเทศ หากแต่เป็นความรับผิดชอบของทุกฝ่าย (Multi-disciplinary approach) [6] ดังนั้น ผู้บริหารระดับสูง กรรมการบริหารและกรรมการบริษัทจึงต้องร่วมกันรับผิดชอบในภาพรวมอย่างหลีกเลี่ยงไม่ได้ โดยควรกำหนดเป้าหมายและระยะเวลาของโครงการการบริหารจัดการข้อมูลส่วนบุคคลให้ชัดเจน เป็นรูปธรรม กำหนดความเสี่ยงที่ยอมรับได้ และตรวจสอบการดำเนินงานของโครงการเป็นระยะ

รวมถึงการวางแผนกลยุทธในระยะสั้นและระยะยาวในการบริหารจัดการเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคล ให้เป็นปัจจุบัน และ รองรับการดำเนินงานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และการคุ้มครองป้องกันข้อมูลส่วนบุคคลขององค์กรในอนาคตอีกด้วย.

[1] GUIDE TO DEVELOPING A DATA PROTECTION MANAGEMENT PROGRAMME, Personal Data Protection Commission Singapore (PDPC)

[2] ISO/IEC 27001:2013

Information technology — Security techniques — Information security management systems — Requirements

[3] What Does GDPR Mean for Senior Management? https://www.businesswest.co.uk/members/blog/what-does-gdpr-mean-senior-management

[4] What Does GDPR Mean for Senior Management?

https://www.businesswest.co.uk/members/blog/what-does-gdpr-mean-senior-management

[5] ISO/IEC 38500:2015

Information technology — Governance of IT for the organization

[6] Reporting on GDPR Compliance to the Board, Guy Pearce, CGEIT, ISACA JOURNAL