ถอดประเด็นสำคัญจากเสวนา PDPA Guru: Internal Audit
(13 กุมภาพันธ์ 2568) โดย ดร.อุดมธิปก ไพรเกษตร, อ.สุกฤษ โกยอัครเดช, อ.ณัฏฐ์ ธนวนกุล, อ.ธีระพันธุ์ จันทร์แก้ว
เกริ่นนำและหลักการสำคัญ
สถานการณ์ PDPA ในปัจจุบัน
ในปัจจุบันทางด้านภาครัฐ เอกชน และประชาชนมีความตื่นตัวมากขึ้นในเรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) อ้างอิงจากสถิติการร้องเรียนที่เพิ่มสูงขึ้นในทุกปี มีการให้ความสำคัญกับเรื่องนี้เป็นอย่างมาก ทำให้หลาย ๆ องค์กรมีการดำเนินการตามกฎหมาย PDPA อย่างครบถ้วน แต่ในขณะที่บางองค์กรอาจเพิ่งเริ่มต้นทำ PDPA ซึ่งเกิดจากกระแสที่มาแรงอย่างมากในภายหลัง
Data Governance & PDPA
Data Governance & PDPA มีเป้าหมายเดียวกัน คือการบริหารจัดการควบคุม และการป้องกันข้อมูลอย่างเป็นระบบ การที่องค์กรมีธรรมาภิบาลข้อมูลที่ดี จะทำให้การคุ้มครองข้อมูลส่วนบุคคลตามหลัก PDPA ภายในองค์กรนั้นดีขึ้นด้วย ดังนั้นภายหลังการทำ Data Governance และ PDPA การตรวจสอบภายในจึงเป็นสิ่งสำคัญในการลดความเสี่ยงที่อาจเกิดขึ้นได้
หัวข้อเสวนา
1.Data Governance กับ PDPA เชื่อมโยงกันอย่างไร
PDPA จะเน้นในเรื่องของการปฏิบัติตามให้สอดคล้องกับกฎหมาย แต่ Data Governance เป็นเรื่องของแผนการบริหารจัดการ ในเรื่องความโปร่งใส ความปลอดภัย ถูกต้องและมีความสอดคล้องกับกฎหมาย ซึ่ง PDPA เปรียบเสมือนตัวลูกของ Data Governance เช่น การกำหนดความรับผิดชอบ ซึ่งเป็นส่วนหนึ่งของธรรมาภิบาลข้อมูล ทำอย่างไรให้ข้อมูลมีความถูกต้องโปร่งใส และสอดคล้องกับกฎหมาย จำเป็นต้องมีคนเข้าไปบริหารจัดการ หรือทำงานในเรื่องการกำกับดูแล จึงควรมีการกำหนดหน้าที่ความรับผิดชอบขอบเขตการทำงาน เช่น ควรมี DPO ตามกฎหมายกำหนด มีคนคอยดูแลควบคุมข้อมูล และมีกระบวนการที่มีการใช้ข้อมูล เป็นต้น
ส่วนวิทยากรอีกท่านมองไปในทิศทางกันว่า Data Governance & PDPA มีเป้าหมายเดียวกันคือ การบริหารจัดการและการปกป้องข้อมูลอย่างเป็นระบบ ดังนั้นหากมีการประเมินข้อมูลอย่างมีประสิทธิภาพก็จะลดความเสี่ยงได้ แต่หากองค์กรไม่มีแนวทางการจัดการความเสี่ยงที่ดี อาจทำให้เกิดผลกระทบรุนแรงได้ ซึ่งขึ้นอยู่กับการบริหารจัดการข้อมูลในองค์กรนั้นเอง
2.แนะแนวปฏิบัติเพื่อทำตามข้อบังคับและกฎหมายคุ้มครองข้อมูล
2.1 กำหนดกรอบนโยบายและโครงสร้างการบริหารข้อมูล
จัดทำ Data Governance Framework และ Data Protection Policy พร้อมแต่งตั้งผู้รับผิดชอบ เช่น DPO (Data Protection Officer)
2.2 ควบคุมการเข้าถึงและเสริมมาตรการความปลอดภัย
ใช้หลัก Least Privilege Access, Encryption, Multi-Factor Authentication (MFA) และระบบ Monitoring & Logging
2.3 บริหารความเสี่ยงและความต่อเนื่องทางธุรกิจ
ดำเนินการ Data Risk Assessment เป็นระยะ จัดทำ Data Breach Response Plan และมีแผนสำรองข้อมูลที่พร้อมใช้งาน
2.4 ปฏิบัติตามกฎหมายและข้อกำหนด
ศึกษาและปฏิบัติตามมาตรฐาน เช่น GDPR, PDPA ดำเนิน Internal Audit อย่างสม่ำเสมอ และทำข้อตกลง Data Processing Agreement (DPA) กับบุคคลที่สาม
2.5 ส่งเสริมวัฒนธรรมองค์กรด้านความปลอดภัยข้อมูล
ฝึกอบรมพนักงานเกี่ยวกับ Data Privacy Awareness และกำหนดช่องทางแจ้งเหตุผิดปกติ
หากดำเนินการตามแนวปฏิบัติครบถ้วนแล้ว การตรวจสอบภายในยังคงเป็นสิ่งจำเป็นที่จะช่วยให้องค์กรมั่นใจว่ามาตรการต่าง ๆ ได้ถูกปรับใช้จริงและมีประสิทธิภาพอย่างต่อเนื่อง
3.การตรวจสอบ (Audit) ที่สนับสนุนการทำ PDPA
ประเภทของการตรวจสอบที่เกี่ยวข้องกับ PDPA
Compliance Audit ตรวจสอบว่าองค์กรปฏิบัติตามข้อกำหนดของ PDPA อย่างถูกต้อง เช่น การขอความยินยอม (Consent Management) และการคุ้มครองสิทธของเจ้าของข้อมูลส่วนบุคคล
Security Audit ประเมินมาตรการรักษาความปลอดภัยของข้อมูล เช่น การเข้ารหัสข้อมูล (Encryption), การควบคุมการเข้าถึง (Access Control) และการบริหารจัดการเหตุการณ์ข้อมูลรั่วไหล (Incident Response)
Process Audit ตรวจสอบว่ากระบวนการเก็บ ใช้ และเปิดเผยข้อมูลสอดคล้องกับ PDPA หรือไม่ เช่น การจำกัดระยะเวลาการเก็บข้อมูล (Data Retention) และการลบข้อมูลตามสิทธิของเจ้าของข้อมูล (Right to Erasure)
Third-Party Audit ตรวจสอบว่าคู่ค้าหรือผู้ให้บริการภายนอกที่ประมวลผลข้อมูลให้กับองค์กรมีมาตรการคุ้มครองข้อมูลที่เพียงพอ
ทุกองค์กรควรมีเครื่องมือตรวจสอบที่มีประสิทธิภาพเพื่อลดความเสี่ยงที่อาจเกิดขึ้นในอนาคต หากองค์กรไม่มีความพร้อมด้านการตรวจสอบควรหาตัวช่วย เช่น
หาที่ปรึกษา/ผู้เชี่ยวชาญที่เกี่ยวข้องเพื่อสนับสนุนการดำเนินการภายในองค์กร
อบรมหลักสูตรที่เกี่ยวข้องกับด้านนี้โดยเฉพาะ >> หลักสูตร “ผู้ตรวจประเมินการคุ้มครองข้อมูลส่วนบุคคล” Data Protection Auditor Certification (DPAC) โดย TPDPA, PDPA Thailand, และ MASCI
รับบริการ Audit จากภายนอก
