แนะนำเอกสาร
“หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรภาคเอกชน” ของอาจารย์เธียรชัย ณ นคร ประธานกรรมการ ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ฉบับนี้ ทางบริษัทได้รับเนื่องในโอกาสที่ท่านมาบรรยายให้กับวิทยากรและที่ปรึกษาของบริษัท ตลอดจนผู้เข้าอบรมหลักสูตร Train The Trainer ด้าน PDPA ของบริษัทรุ่นที่ 1-4 เมื่อวันที่ 5 มีนาคม 2565 ณ สำนักคอมพิวเตอร์ มหาวิทยาลัยเกษตรศาสตร์
ทางบริษัทเห็นว่าเอกสารฉบับนี้นอกจากวิทยากรและที่ปรึกษาของบริษัท และผู้เข้าอบรมหลักสูตร Train The Trainer ของบริษัทจะสามารถอ่านและศึกษาเพื่อประโยชน์ในหน้าที่การงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลแล้ว ผู้ที่สนใจและผู้ที่มีหน้าที่รับผิดชอบต่อองค์กรต่างๆในการดำเนินการให้องค์กรต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลควรจะได้ประโยชน์จากการอ่านและศึกษาเอกสารฉบับนี้เช่นกัน บริษัทจึงได้ขออนุญาตจากอาจารย์เธียรชัย ณ นคร ในการเผยแพร่เอกสารฉบับนี้ผ่านเว็บไซต์และสื่อของบริษัทให้ทุกๆท่านได้อ่าน ซึ่งตรงกับความประสงค์ของอาจารย์เธียรชัยเช่นกัน การนำเสนอเอกสารฉบับนี้บริษัทโดยจะทยอยลงเป็นตอนๆทุกๆวันต่อเนื่อง โดยมีแบ่งเนื้อหาเพื่อประโยชน์ในการนำเสนอผ่านสื่ออ่อนไลน์ และจะจัดทำเป็นรูปแบบไฟล์ PDF เพื่อให้ดาวน์โหลดต่อไปในโอกาสหน้า
ผู้อ่านและผู้ศึกษาเอกสารฉบับนี้ทุกท่าน ควรที่จะได้อ่านคำนำซึ่งเป็นที่มาและเจตนารมณ์ในการจัดทำเอกสารฉบับนี้ของอาจารย์เธียรชัย ก่อนที่จะอ่านเนื้อหาในเอกสารเพื่อที่จะได้เข้าใจบริบทของการจัดทำเอกสารฉบับนี้ ตลอดจนเงื่อนไขและข้อจำกัดบางประการของเอกสารฉบับนี้ ซึ่งบริษัทหวังเป็นอย่างยิ่งว่า เอกสารฉบับนี้จะช่วยให้ทุกท่านที่มีภารกิจนำพาองค์กรธุรกิจให้สามารถปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล จะมีแนวทางในการจัดการข้อมูลส่วนบุคคลในองค์กรที่ชัดเจนมากขึ้น จนกว่าสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะมีแนวปฏิบัติที่เป็นทางการให้องค์กรธุรกิจต่างๆได้ใช้เป็นแนวทางในการดำเนินงานต่อไป
PDPA Thailand
สถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI)
บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด
มีนาคม 2565
คำนำ
เอกสาร “หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรภาคเอกชน” ฉบับนี้ เป็นส่วนหนึ่งของโครงการศึกษาวิจัยเพื่อวางหลักเกณฑ์และแนวทางการคุ้มครองข้อมูลส่วนบุคคลที่จัดเก็บโดยภาคเอกชนที่ผู้เขียนทำการศึกษาวิจัยให้กับสำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ สำนักงานปลัดสำนักนายกรัฐมนตรีเมื่อปี พ.ศ. 2550 สาระในเอกสารหลักเกณฑ์และแนวปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลในภาคเอกชนฉบับนี้ เป็นการสรุปเอาหลักเกณฑ์และแนวทางปฏิบัติที่เป็นมาตรฐานกลางซึ่งเป็นที่ยอมรับกันในทางสากลมานำเสนอเพื่อให้องค์กรในภาคเอกชนได้นำไปพิจารณาและถือปฏิบัติตามความเหมาะสมหรือสอดคล้องกับบริบทในการประกอบธุรกิจของตน ทั้งนี้ เพื่อทำให้องค์กรในภาคเอกชนสามารถพัฒนาแนวทางในการประกอบธุรกิจของตนโดยเฉพาะในส่วนที่เกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการให้เป็นไปตามมาตรฐานสากลและเป็นที่ยอมรับในระหว่างประเทศที่มีการใช้บังคับกฎหมายคุ้มครองข้อมูลส่วนบุคคลในขณะนั้น การอ้างถึงบทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในเอกสารฉบับนี้ เป็นการอ้างอิงในส่วนที่ผู้เขียนเห็นว่าเป็นการเพิ่มเติมสาระให้ครบถ้วนและสอดรับกับสาระของพระราชบัญญัติดังกล่าว ดังนั้น ผู้เขียนจึงไม่ได้มีการปรับปรุงถ้อยคำต่างๆ ในเอกสารฉบับนี้ ให้เป็นไปตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บัญญัติไว้ ซึ่งต่อไปหากมีเวลาผู้เขียนก็จะปรับปรุงสาระและถ้อยคำให้เป็นไปตามที่บัญญัติไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อผู้อ่านจะได้เข้าใจถึงสาระของกฎหมายคุ้มครองข้อมูลส่วนบุคคลตามโครงสร้างของหลักเกณฑ์และแนวปฏิบัติที่นำเสนอโดยเอกสารฉบับนี้ต่อไป
เธียรชัย ณ นคร
มีนาคม 2565
หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรภาคเอกชน
Guideline โดย อ.เธียรชัย ณ นคร ประธานกรรมการ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ในปัจจุบันองค์กรธุรกิจได้นำเทคโนโลยีสารสนเทศเข้ามามีส่วนสำคัญในการเพิ่มประสิทธิภาพการบริหารจัดการองค์กร และทำให้องค์กรมีภาพลักษณ์เป็นที่ยอมรับของประชาชน แต่ปรากฏว่าหลายองค์กรมิได้ตระหนักหรือให้ความสำคัญกับการเก็บรักษาความลับของข้อมูลที่เกี่ยวกับลูกค้าหรือผู้ใช้บริการ มีการนำข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการที่ถูกจัดเก็บอยู่ในความครอบครองหรือควบคุมดูแลของตนไปใช้แสวงหาประโยชน์ในเชิงธุรกิจหรือเพื่อการพาณิชย์ โดยบุคคลผู้เป็นเจ้าของข้อมูลหรือผู้ที่เกี่ยวข้องกับข้อมูลนั้นมิได้รู้เห็นด้วย และบางครั้งได้ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลหรือบุคคลที่เกี่ยวข้องกับข้อมูลนั้น ซึ่งในกรณีขององค์กรธุรกิจขนาดใหญ่หรือองค์กรธุรกิจที่มีการติดต่อทำการค้ากับองค์กรธุรกิจในต่างประเทศอาจจะต้องมีการส่งต่อข้อมูลหรือโอนข้อมูลที่เกี่ยวกับลูกค้าหรือผู้ใช้บริการระหว่างกัน แต่การดำเนินการดังกล่าวต้องพบกับอุปสรรคสำคัญเนื่องจากในหลายประเทศมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลบังคับใช้แล้ว ทำให้การเจรจาทางการค้ามีปัญหาว่าหากองค์กรธุรกิจในต่างประเทศต้องส่งต่อข้อมูลหรือโอนถ่ายข้อมูลที่เกี่ยวข้องกับตัวบุคคล เช่น ข้อมูลเกี่ยวกับลูกค้า มายังประเทศไทย ข้อมูลดังกล่าวจะได้รับการคุ้มครองมิให้ผู้อื่นล่วงรู้หรือนำไปใช้โดยมิชอบหรือผิดจากวัตถุประสงค์ของข้อตกลงทางการค้าหรือไม่ หรือแม้แต่การส่งต่อหรือโอนข้อมูลระหว่างองค์กรธุรกิจในประเทศไทยเองก็มีปัญหาว่าแต่ละองค์กรมีมาตรฐานในการจัดเก็บข้อมูลส่วนบุคคลและการนำข้อมูลไปใช้ที่แตกต่างกันออกไป บางองค์กรมีความเข้มงวดในการจัดเก็บและการนำข้อมูลเกี่ยวกับลูกค้าไปใช้ แต่บางองค์กรไม่ได้ให้ความสนใจในการเก็บรักษาความลับของข้อมูลส่วนบุคคลดังกล่าว การให้ความคุ้มครองข้อมูลส่วนบุคคลในภาคเอกชนจึงขาดเอกภาพและขาดหลักประกันที่ชัดเจน จากสภาพการณ์ที่เป็นปัญหาและเป็นอุปสรรคต่อการคุ้มครองข้อมูลส่วนบุคคลนี้จึงมีความจำเป็นต้องกำหนดหลักเกณฑ์ที่เป็นมาตรฐานหรือแนวทางปฏิบัติที่ชัดเจนเกี่ยวกับการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรภาคเอกชน โดยอิงมาตรฐานสากล เพื่อให้เป็นที่ยอมรับของนานาประเทศและทำให้การเจรจาทางการค้าและการติดต่อสื่อสารถึงกันด้วยเทคโนโลยีสารสนเทศเป็นไปด้วยความสะดวก สมประโยชน์ของทุกฝ่าย และได้รับความมั่นใจว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองจากคู่ค้าหรือคู่สัญญาทุกฝ่าย
หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลในองค์กรภาคเอกชนได้แยกเป็น 3 แนวทาง คือ
(1) หลักเกณฑ์และแนวทางปฏิบัติในการบริหารจัดการข้อมูลส่วนบุคคลสำหรับผู้บริหารองค์กร เนื่องจากในการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลที่ดีมีประสิทธิภาพจำเป็นที่ผู้บริหารองค์กรควรมีแนวปฏิบัติที่เป็นมาตรฐานสากลในระดับประเทศและระหว่างประเทศ
(2) หลักเกณฑ์และแนวทางการดำเนินการในเชิงนโยบายที่ต้องประกาศให้สาธารณชนได้ทราบ ซึ่งจะเน้นหลักเกณฑ์ที่เป็นมาตรฐานขั้นต่ำที่องค์กรธุรกิจควรเปิดเผยสู่สาธารณชนเพื่อสร้างความมั่นใจแก่ลูกค้าหรือผู้ใช้บริการในระบบการจัดเก็บข้อมูลส่วนบุคคลขององค์กรนั้นๆ
(3) หลักเกณฑ์และแนวทางการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กรภาคเอกชน
ติดตามตอนต่อไปได้ที่ > หลักเกณฑ์และแนวทางปฏิบัติฯ ตอนที่ 2
