แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้บริหารระดับสูง
ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 17 มีนาคม 2564
การบริหารจัดการข้อมูลส่วนบุคคลในองค์กร ควรมีการกำหนดทิศทางที่ชัดเจนจากผู้บริหารระดับสูง บทความนี้นำเสนอ 14 แนวปฏิบัติที่จะช่วยผู้บริหารระดับสูงวางแผนการรักษาความปลอดภัยของข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ
ผู้บริหารระดับสูงฯ มีบทบาทสำคัญในการสนับสนุนองค์กร ให้ดำเนินกิจกรรมในการคุ้มครองข้อมูลส่วนบุคคลสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
แนวทางการบริหารจัดการข้อมูลส่วนบุคคลในองค์กร ควรมีการกำหนดทิศทางที่ชัดเจนจากผู้บริหารระดับสูง (Senior Management Including C-Level) ซึ่งเป็นหัวใจสำคัญขององค์กร
เนื่องจากการคุ้มครองข้อมูลส่วนบุคคลสำหรับองค์กร เป็นเรื่องในระดับนโยบายที่จำเป็นต้องมีการพัฒนานโยบายการคุ้มครองข้อมูลส่วนบุคคล และ นโยบายความเป็นส่วนตัว (Data Protection Policy and Privacy Policy) ซึ่งควรถูกบรรจุเป็นส่วนหนึ่งของนโยบายการกำกับดูแลกิจการ (Corporate Governance Policy)
ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท มีความจำเป็นที่ต้องรู้หน้าที่ความรับผิดชอบของตน
ตลอดจนแสดงภาวะผู้นำ (Leadership) ให้คำมั่นสัญญาของผู้บริหาร (Management Commitment) ในการบริหารจัดการเรื่องความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคล
โดยความรับผิดชอบของผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท สามารถนำมาสรุปได้ 14 ข้อ ดังนี้ [1]
1. สนับสนุนให้องค์กรมีผู้รับผิดชอบในตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO)
สืบเนื่องจากที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 41 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
(ศึกษารายละเอียดเพิ่มเติมได้จาก หัวข้อ N.3 บทบาทหน้าที่และความรับผิดชอบของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล)
ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท จึงควรสั่งการ และสนับสนุนให้องค์กรมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อให้คำแนะนำกับผู้ที่เกี่ยวข้องในการดำเนินกิจกรรมให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
2. พิจารณาอนุมัติ สื่อสารนโยบายการคุ้มครองข้อมูลส่วนบุคคล และนโยบายความเป็นส่วนตัว (Data Protection Policy and Privacy Policy)
หากกล่าวถึงนโยบายความเป็นส่วนตัว (Privacy Policy) ได้แก่ นโยบายที่บริษัทได้ประกาศเพื่อสื่อสารให้กับเจ้าของข้อมูลส่วนบุคคลทราบถึงวัตถุประสงค์ของการประมวลผลข้อมูล รวมทั้งระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งเป็นส่วนที่ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท ต้องพิจารณา และประกาศให้เจ้าของข้อมูลส่วนบุคคลทราบ
หากแต่ยังมีนโยบายอีกฉบับหนึ่ง ได้แก่ นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Policy) ซึ่งองค์กรควรดำเนินการ (สำหรับบางองค์กรอาจเรียกแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล) เพื่อให้บุคลากรทราบถึงกรอบในการดำเนินกิจกรรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล สิ่งที่ต้องปฏิบัติ สิ่งที่ต้องระมัดระวัง เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับองค์กร และเจ้าของข้อมูลส่วนบุคคล เป็นต้น
3. พิจารณาอนุมัติแผนงานบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลในระดับองค์กร (Privacy Management Programme)
ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท ควรสนับสนุนการดำเนินโครงการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลในระดับองค์กร เพื่อทำให้การดำเนินกิจกรรมที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลบรรลุเป้าประสงค์
4. สนับสนุนและจัดให้มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment หรือ DPIA)
ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท ควรกำหนดให้องค์กรมีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลสำหรับกิจกรรมที่มีความเสี่ยงสูง ที่จะเกิดผลกระทบต่อสิทธิและเสรีภาพกับเจ้าของข้อมูลส่วนบุคคล
พร้อมทั้งติดตามสถานะของการดำเนินการ รวมทั้งสถานะของการจัดการความเสี่ยงให้อยู่ในระดับความเสี่ยงที่ยอมรับได้
5. สนับสนุนและจัดให้มีการฝึกอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้บริหารและพนักงานในทุกระดับ (PDPA Awareness Training)
สิ่งสำคัญที่จะทำให้องค์กรสามารถดำเนินการสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล บุคลากรขององค์กรจะต้องมีความรู้ความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ทั้งในส่วนของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และส่วนที่องค์กรได้กำหนดขึ้น เช่น นโยบาย แนวปฏิบัติ กระบวนการ ขั้นตอนปฏิบัติ รวมถึงคู่มือในการทำงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท ควรสนับสนุนให้มีการฝึกอบรมเรื่องการคุ้มครองข้อมูลส่วนบุคคลให้เหมาะสมกับหน้าที่ความรับผิดชอบ เช่น การฝึกอบรมให้ผู้ปฏิบัติงานมีความเข้าใจในขั้นตอนการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือการสนับสนุนให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้รับการอบรมเพื่อให้มีความรู้ในการปฏิบัติหน้าที่ เป็นต้น
6. จัดสรรทรัพยากรให้เพียงพอในการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล
ในการดำเนินกิจกรรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัทควรสนับสนุนทรัพยากรที่จำเป็น ได้แก่ บุคลากรที่เข้ามาดำเนินกิจกรรม งบประมาณที่ใช้ดำเนินกิจกรรม สิ่งอำนวยความสะดวก และเทคโนโลยีสารสนเทศที่ใช้ในกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
7. วางกลยุทธ์ในการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลทั้งในระยะสั้นและระยะยาว
การคุ้มครองข้อมูลส่วนบุคคลเป็นกิจกรรมที่ต้องดำเนินการอย่างต่อเนื่อง ดังนั้น ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท ควรวางกลยุทธ์สำหรับการบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคลทั้งในระยะสั้น และระยะยาว เพื่อให้เป็นไปตามหลักการการคุ้มครองข้อมูลส่วนบุคคล และกฎหมาย
8. กำหนดทิศทางการทำงานของ DPO ในการตอบรับการร้องเรียนจากลูกค้าและพนักงาน เมื่อมีการรั่วไหลของข้อมูลส่วนบุคคล รวมถึงการกำหนดมาตรฐานในการเผชิญเหตุเมื่อมีการรั่วไหลของข้อมูลส่วนบุคคล
9. กำหนดทิศทางให้ DPO ทำการสื่อสาร ประสานงาน รายงานข้อมูลกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
10. พิจารณาอนุมัติ และสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ [2]
นอกจากนโยบายการคุ้มครองข้อมูลส่วนบุคคล ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท ควรให้ความสำคัญในการพิจารณาอนุมัติ และสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ ซึ่งถือเป็นหนึ่งในหลักการของการคุ้มครองข้อมูลส่วนบุคคล
11. จัดให้มีผู้รับผิดชอบในการปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยสารสนเทศในการประมวลผลข้อมูลส่วนบุคคล และมาตรฐานความมั่นคงปลอดภัยสารสนเทศของข้อมูลส่วนบุคคล
12. จัดให้มีการตรวจสอบความเข้าใจเรื่องการคุ้มครองข้อมูลส่วนบุคคลของพนักงานในทุกระดับ [3]
13. จัดให้มีการสื่อสารกับลูกค้าให้เกิดความเข้าใจในการดำเนินการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของข้อมูลส่วนบุคคล และการคุ้มครองข้อมูลส่วนบุคคลขององค์กร [4]
14. บริหารจัดการความเสี่ยงองค์กรอย่างมีประสิทธิภาพ
โดยลดผลกระทบในกรณีที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจสั่งปรับตามความผิด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อลดความเสี่ยงด้านการเงิน (Financial Risk) ขององค์กร และลดความเสี่ยงเรื่องการเสียชื่อเสียงองค์กร (Reputation Risk)
ในส่วนของกรรมการบริษัทมีความจำเป็นอย่างยิ่งยวดที่จะต้องให้การสนับสนุนกรรมการบริหารและผู้บริหารระดับสูงในบทบาท “Project Sponsorship” ในการจัดสรรงบประมาณ บุคลากร เวลา ให้คำมั่นสัญญาในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยไม่มีข้อยกเว้น
ตลอดจนแสดงภาวะผู้นำในการประเมิน กำหนดทิศทาง/สั่งการ และติดตามผล (Evaluate, Direct and Monitor) [5] ตามมาตรฐาน ISO/IEC 38500:2015 Information technology — Governance of IT for the organization และสนับสนุนการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคลของฝ่ายจัดการ ให้เป็นไปตามนโยบายขององค์กร
เนื่องจากการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วนบุคคล ไม่ใช่ความรับผิดชอบเฉพาะฝ่ายสารสนเทศ หากแต่เป็นความรับผิดชอบของทุกฝ่าย (Multi-disciplinary Approach) [6]
ดังนั้น ผู้บริหารระดับสูง กรรมการบริหาร และกรรมการบริษัท จึงต้องร่วมกันรับผิดชอบในภาพรวมอย่างหลีกเลี่ยงไม่ได้ โดยควรกำหนดเป้าหมายและระยะเวลาของโครงการการบริหารจัดการข้อมูลส่วนบุคคลให้ชัดเจน เป็นรูปธรรม กำหนดความเสี่ยงที่ยอมรับได้ และตรวจสอบการดำเนินงานของโครงการเป็นระยะ
รวมถึงการวางแผนกลยุทธในระยะสั้นและระยะยาวในการบริหารจัดการเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และการคุ้มครองข้อมูลส่วนบุคคลให้เป็นปัจจุบัน และรองรับการดำเนินงานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และการคุ้มครองป้องกันข้อมูลส่วนบุคคลขององค์กรในอนาคตอีกด้วย
อ้างอิง
[1] GUIDE TO DEVELOPING A DATA PROTECTION MANAGEMENT PROGRAMME, Personal Data Protection Commission Singapore (PDPC)
[2] ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements
[3] What Does GDPR Mean for Senior Management? https://www.businesswest.co.uk/members/blog/what-does-gdpr-mean-senior-management
[4] What Does GDPR Mean for Senior Management? https://www.businesswest.co.uk/members/blog/what-does-gdpr-mean-senior-management
[5] ISO/IEC 38500:2015 Information technology — Governance of IT for the organization
[6] Reporting on GDPR Compliance to the Board, Guy Pearce, CGEIT, ISACA JOURNAL