ระบบบริหารด้านการจัดการข้อมูลส่วนบุคคล

ระบบบริหารด้านการจัดการข้อมูลส่วนบุคคล

ในการเตรียมความพร้อมขององค์กร เพื่อให้สามารถปรับปรุงกระบวนการการประมวลผลข้อมูลส่วนบุคคลขององค์กร ให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างมีประสิทธิภาพนั้น ต้องมีการกำหนดเป็นแผนการดำเนินการขององค์กร

นอกจากการกำหนดเป็นแผนการดำเนินการขององค์กรแล้ว ยังต้องได้รับการสนับสนุนจากผู้บริหารระดับสูง และได้รับความร่วมมือจากบุคลากรทุกคนขององค์กรที่มีส่วนร่วมในกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ในภาคปฏิบัติ (implementation) 
        “การคุ้มครองข้อมูลส่วนบุคคล” จึงประกอบด้วยบริบทของ “กฎหมาย” และ “การบริหารจัดการ” เพื่อปรับเปลี่ยนพฤติกรรมขององค์กรให้สอดคล้องกับข้อกำหนดของกฎหมาย 

การจะนำพาองค์กรไปสู่การปฏิบัติตามกฎหมายได้จึงต้องมี “กระบวนการ” และระบบบริหารด้านการจัดการข้อมูลส่วนบุคคลที่เหมาะสม ด้วยเหตุนี้ APEC Privacy Framework 2015 ข้อ 32 จึงได้ให้ข้อแนะนำว่าองค์กรต่าง ๆ ควรจัดให้มี “Privacy Management Program” หรือระบบบริหารด้านการจัดการข้อมูลส่วนบุคคล
    เพื่อใช้เป็นกรอบการดำเนินการ (Framework) และแสดงถึงหลักความรับผิดชอบในการปฏิบัติตามเงื่อนไขต่าง ๆ ของกฎหมาย (Accountability) โดยในข้อ 43 - 45 ของ APEC Privacy Framework 2015 ได้ให้หลักการเพิ่มเติมไว้ว่า
1.การนำ Privacy Management Program มาใช้จะช่วยแสดงให้เห็นว่า (demonstrate of compliance) องค์กรได้มีมาตรการต่าง ๆ  เพื่อการคุ้มครองข้อมูลส่วนบุคคลภายใต้กรอบการดำเนินการแล้ว
2.ประเทศสมาชิกควรมีการส่งเสริมและสนับสนุนให้องค์กรต่าง ๆ นำ Privacy Management Program มาใช้เป็นเครื่องมือในการบริหารจัดการข้อมูลส่วนบุคคลในองค์กร ซึ่ง Privacy Management Program นั้น ควรจะมีองค์ประกอบดังนี้
    2.1.นำมาปรับให้เข้ากับโครงสร้างและขนาดของการดำเนินงานขององค์กร โดยพิจารณาจากปริมาณและความละเอียดอ่อนของข้อมูลส่วนบุคคลภายใต้การควบคุมขององค์กรด้วย
    2.2.จัดให้มีมาตรการป้องกันที่เหมาะสม โดยพิจารณาจากการประเมินความเสี่ยงที่อาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล

2.3.กำหนดกลไกสำหรับการกำกับดูแลภายในและการตอบสนองต่อข้อร้องเรียนและการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล และเหตุการละเมิดข้อมูลส่วนบุคลที่อาจจะเกิดขึ้น
    2.4.ควบคุมดูแลโดยบุคลากรที่ได้รับมอบหมายให้รับผิดชอบและผ่านการฝึกอบรมอย่างเหมาะสม และ
    2.5.ได้รับการตรวจสอบและปรับปรุงอย่างสม่ำเสมอ
3.องค์กรควรเตรียมพร้อมเพื่อพิสูจน์ให้เห็นว่าได้มี Privacy Management Program เมื่อหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศนั้น ๆ ร้องขอ

    ข้อแนะนำเรื่อง Privacy Management Program เป็นหลักการที่ได้รับการยอมรับอย่างแพร่หลาย IAPP Privacy Program Management ซึ่งเป็นแนวทางการบริหารจัดการข้อมูลส่วนบุคลที่มีผู้สอบเพื่อรับการรับรองมากทีสุดให้ข้อแนะนำไปในทิศทางเดียวกับ APEC Privacy Framework 2015 ว่า 
    “หลักความรับผิดชอบ” หรือ Accountability เป็นหลักการที่สำคัญในกฎหมายคุ้มครองข้อมูลส่วนบุคคล และหลักความรับผิดชอบดังกล่าวถูกเชื่อมโยงกับการมีหลักฐาน

เพราะจะไม่เพียงพออีกต่อไปที่จะกล่าวอ้างเพียงว่าได้ปฏิบัติตามกฎหมาย แต่องค์กรต้องสามารถแสดงให้เห็นว่าได้ปฏิบัติตามอย่างไร (IAPP: International Association of Privacy Professionals)  
    ดังนั้น การที่องค์กรจัดให้มี Privacy Program Management (IAPP) หรือ Privacy Management Program (APEC) จึงเป็นหลักฐานสำคัญที่จะแสดงให้เห็นว่า “องค์กรได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้ว” 
    หลักการดังกล่าวได้กลายเป็นมาตฐานสากลผ่านบทบัญญัติของ GDPR มาตรา 5 (2) หลักความรับผิดชอบ และมาตรา 24 ของ GDPR ซึ่งกำหนดว่า องค์กรต้องจัดให้มีมาตรการเชิงเทคนิคและมาตรการเชิงองค์กรที่เหมาะสมเพื่อให้มั่นใจและพิสูจน์ได้ว่า

องค์กรได้ประมวลผลข้อมูลส่วนบุคคลตามเงื่อนไขที่กฎหมายกำหนด และต้องมีการทบทวนและปรับปรุงมาตรการเหล่านั้นเมื่อมีความจำเป็น รวมถึงการมีมาตรการในการนำพาให้เกิดการปฏิบัติตามนโยบายความเป็นส่วนตัวขององค์กรด้วย
    ข้อกำหนดในมาตรา 24 GDPR ได้ถูกตีความและนำไปสู่การที่องค์กรต้องมี Framework หรือ Privacy Program Management ของตนเองเพื่อใช้เป็นเครื่องมือในการปฏิบัติตามกฎหมายเช่นเดียวกัน
    จากบริบทข้างต้น เพื่อช่วยนำพาองค์กรต่าง ๆ ให้มีระบบการบริหารจัดการข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ มาตรฐานหรือข้อกำหนดต่าง ๆ จึงได้ถูกพัฒนาขึ้น อาทิ ประเทศสิงคโปร์ ได้พัฒนา Data Protection Management Program (DPMP) ของตนเองขึ้นมาเพื่อช่วยในการนำพาองค์กรต่าง ๆ ให้สามารถปฏิบัติได้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศ
    หรือในประเทศสหรัฐอเมริกาโดย National Institute of Standards and Technology ได้พัฒนา NIST Privacy Framework ขึ้นมาในเดือนมกราคม 2563 เพื่อให้องค์กรต่าง ๆ (ทั่วโลก) สามารถนำไปใช้ในการนำพาองค์กรให้สามารถปฏิบัติได้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล 
    ในขณะที่สหภาพยุโรป ณ ปัจจุบัน ยังไม่มีการกำหนด Framework โดยเฉพาะเพื่อให้องค์กรต่าง ๆ นำไปใช้ แต่เชื่อว่าจะต้องเกิดขึ้นอย่างแน่นอนเนื่องจากตาม GDPR มาตรา 42 และ 43 กำหนดหลักการให้สามารถกระทำได้ผ่านรูปแบบของการรับรอง (Certification)
    สำหรับมาตรฐาน (ข้อกำหนด/Framework) ที่ถูกนำมาใช้อ้างอิงเป็น Privacy Program Management ขององค์กรทั่วโลกมากที่สุดอีกมาตรฐานหนึ่งได้แก่ ISO/IEC 27701:2019 มาตรฐานการจัดการข้อมูลส่วนบุคคล (PIMS: Privacy Information Management System) โดยมาตรฐานดังกล่าวได้ให้คำแนะนำเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงวิธีที่องค์กรควรบริหารจัดการข้อมูลส่วนบุคคลและแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดการคุ้มครองข้อมูลส่วนบุคคล 
    เพื่อสนับสนุนให้วิสาหกิจของไทยสามารถเข้าถึง ISO/IEC 27701:2019  สำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม กระทรวงอุตสาหกรรม จึงได้ออกประกาศคณะกรรมการกำหนดมาตรฐานด้านการตรวจสอบและรับรอง ฉบับที่ 17 (พ.ศ. 2563) ออกตามความในพระราชบัญญัติการมาตรฐานแห่งชาติ พ.ศ. 2551 ประกาศกำหนด “มาตรฐานการตรวจสอบและรับรองแห่งชาติ เทคนิคความมั่นคงปลอดภัย – ส่วนขยายของ ISO/IEC 27001 และ ISO/IEC 27002 สำหรับการจัดการสารสนเทศส่วนบุคคล – ข้อกำหนดและข้อแนะนำ” มาตรฐานเลขที่ มตช. 27701-2563 (ISO/IEC 27001:2019) 
    และโดยผลจากประกาศดังกล่าวทำให้องค์กรต่าง ๆ ของไทยสามารถเข้าถึงและนำมาตรฐานไปใช้เป็นแนวทางในการนำพาองค์กรให้ปฏิบัติสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้สะดวกมากยิ่งขึ้น แต่อย่างไรก็ตาม หากองค์กรประสงค์จะได้รับการรับรองจากสถาบันมาตรฐานที่เป็นหน่วยงานรับรองก็อาจจะต้องพิจารณาค่าใช้จ่ายประกอบด้วยเช่นกัน. 

หมายเหตุ: ISO/IEC 27701:2019 เป็นเพียงมาตรฐานหนึ่งที่องค์กรอาจพิจารณานำมาใช้เป็น Privacy Program Management ได้ แต่ไม่ใช่ข้อบังคับตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

การได้รับการรับรองตามมาตรฐานต่าง ๆ ไม่อาจเป็นหลักประกันว่าองค์กรได้ปฏิบัติถูกต้องและสอดคล้องกับกฎหมาย แต่มาตรฐานเป็นเครื่องมือในเชิงระบบขององค์กรในการช่วยนำพาองค์กรให้สามารถปฏิบัติโดยมีกรอบการดำเนินการและการตรวจสอบ.