Pichitchai Sangnak

765

Pichitchai Sangnak
Pichitchai Sangnak
วันที่ 28 มกราคม 2568 – สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จัดงาน “วันคุ้มครองข้อมูลส่วนบุคคล” (Data Privacy Day2025) เพื่อแสดงให้เห็นถึงความสำคัญ ตลอดจนสร้างความตระหนักรู้ด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล ยกระดับสังคมไทยสู่เวทีสากล
 
พร้อมเผยสถิติน่าสนใจจาก 2 โครงการ องค์กรควรรู้ ซึ่งประกอบด้วย
1. Privacy Maturity – โครงการการประเมินระดับการคุ้มครองข้อมูลส่วนบุคคล
2. Privacy Index – โครงการจัดทำหลักเกณฑ์ดัชนีชี้วัดการคุ้มครองข้อมูลส่วนบุคคล
โดยมีหน่วยงานทั้งหมด 142 หน่วยงาน ซึ่งกระจายตามอุตสาหกรรมต่าง ๆ ร่วมตอบแบบประเมิน แบ่งอัตราส่วนออกเป็น 31% เป็นหน่วยงานภาครัฐ และอีก 69% เป็นหน่วยงานภาคเอกชน และสามารถแบ่งอัตราส่วนประเภทอุตสาหกรรมที่ตอบแบบประเมินได้ดังนี้
    • ร้อยละ 16.20% เป็นอุตสาหกรรมด้านการค้าส่ง – ค้าปลีก และการค้าออนไลน์
    • ร้อยละ 16.20% เป็นอุตสาหกรรมด้านอื่น ๆ
    • ร้อยละ 14.79% เป็นอุตสาหกรรมด้านการเงิน การลงทุน และการประกัน
    • ร้อยละ 11.97% เป็นอุตสาหกรรมด้านการศึกษา
    • ร้อยละ 9.86% เป็นอุตสาหกรรมด้านความมั่นคงภาครัฐ
    • ร้อยละ 7.04% เป็นอุตสาหกรรมด้านเทคโนโลยีสารสนเทศและโทรคมนาคม
    • ร้อยละ 6.34% เป็นอุตสาหกรรมด้านพลังงานและสาธารณูปโภค
    • ร้อยละ 6.34% เป็นอุตสาหกรรมด้านสาธารณสุข
    • ร้อยละ 5.63% เป็นอุตสาหกรรมด้านการขนส่งและโลจิสติกส์
    • ร้อยละ 2.11% เป็นอุตสาหกรรมด้านบริการภาครัฐที่สำคัญ
    • และร้อยละ 0.70% เป็นอุตสาหกรรมด้านการท่องเที่ยว
 
1. Privacy Maturity – โครงการการประเมินระดับการคุ้มครองข้อมูลส่วนบุคคล
โครงการนี้มีจุดประสงค์เพื่อประเมินความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคลทั้งในหน่วยงานภาครัฐและเอกชน โดยมีประโยชน์ช่วยวางแผนในการยกระดับความพร้อมการคุ้มครองข้อมูลส่วนบุคคล และช่วยให้เปรียบเทียบคะแนนในแต่ละปีทั้งในระดับหน่วยงานและอุตสาหกรรม เพื่อดูแนวโน้มในการเปลี่ยนแปลงหรือสาเหตุที่ควรแก้ไขในระยะยาว 
โดยมีระบบการประเมินผ่าน Self Assessment (ประเมินด้วยตนเอง) ผ่านชุดคำถามที่กำหนดไว้ และมีเกณฑ์การประเมินแบบ Maturity Level (ทั้งหมด 5 ระดับ) ชุดคำถาม Self Assessment สามารถแบ่งหมวดหมู่ (10 Categories of Privacy Maturity Model) การประเมินออกเป็น 10 หมวดหมู่ ดังนี้
1. Oversight (การกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล) จำนวน 13 ข้อ
2. Policies and Procedures (นโยบายและแนวปฏิบัติ) จำนวน 10 ข้อ
3. Training and Awareness (การอบรมและการสร้างความตระหนัก) จำนวน 7 ข้อ
4. Individual’s Rights (สิทธิของเจ้าของข้อมูลส่วนบุคคล) จำนวน 11 ข้อ
5. Transparency (ความโปร่งใส) จำนวน 11 ข้อ
6. RoPA & Lawful Basis (การจัดทำบันทึกรายกิจกรรมการประมวลผลข้อมูลส่วนบุคคลและการกำหนดฐานทางกฎหมาย) จำนวน 17 ข้อ
7. Contracts and Data Sharing (สัญญาและการส่งหรือโอนข้อมูลส่วนบุคคล) จำนวน 19 ข้อ
8. Risks (การประเมินความเสี่ยง) จำนวน 7 ข้อ
9. Data Security (การรักษาความมั่นคงปลอดภัยของข้อมูล) จำนวน 17 ข้อ
10. Breach Response and Monitor (การรับมือต่อเหตุการละเมิดข้อมูลส่วนบุคคล) จำนวน 16 ข้อ
รวมทั้งหมด 128 ข้อ (แบ่งออกเป็นข้อกำหนดทางกฎหมาย 106 ข้อ และเป็นแนวปฏับัติที่ดีอีก 22 ข้อ)
  1.  

สรุปภาพรวมการประเมิน Privacy Maturity Model

Privacy Day 2025
จุดที่น่าสนใจ – จากคะแนนเฉลี่ยพบว่า แม้อุตสาหกรรมที่เข้าร่วมประเมินจะมีคะแนนเฉลี่ยตามเกณฑ์การวัด Maturity Level ในระดับ 2 – 3 ซึ่งสามารถปฏิบัติได้ตามที่กฎหมาย PDPA กำหนด แต่มากกว่าครึ่ง (53%) ของอุตสาหกรรมที่เข้าร่วมประเมินอยู่ในเกณฑ์ ต่ำกว่าค่าเฉลี่ย นั่นแปลว่ามีอีกหลายองค์กรหรือธุรกิจที่ยังต้องปรับตัวให้เท่าทันกับกฎหมาย PDPA อย่างมีนัยสำคัญ
2. Privacy Index – โครงการจัดทำหลักเกณฑ์ดัชนีชี้วัดการคุ้มครองข้อมูลส่วนบุคคล
กรอบชี้วัดเพื่อใช้ในการประเมินดัชนีวัดระดับการคุ้มครองข้อมูลส่วนบุคคล สำหรับหน่วยงานภาครัฐและเอกชนที่รองรับการให้คะแนน (Score) ซึ่งจะช่วยวัดระดับการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานทั้งภาครัฐและเอกชน ที่จะอธิบายภาพรวมของจุดแข็ง – จุดอ่อน หน่วยงานดังกล่าวในประเทศ และเพื่อกำหนดเป้าหมาย (Baseline / Target) และการเปรียบเทียบข้อมูล (Benchmark) ระหว่างหน่วยงานหรือกลุ่มอุตสาหกรรม
โดยมีหลักเกณฑ์การพิจารณาจากข้อมูลทั้งภายในและภายนอก (Internal & External Data) ซึ่งจะแสดงผลเป็นคะแนน ตั้งแต่ 1 – 100 คะแนน
สามารถจำแนกแหล่งข้อมูลที่จะนำมาใช้ ดังนี้
    • Primary Data แหล่งข้อมูลที่รวบรวมโดยตรง เช่น การทำแบบสอบถาม, การตรวจสอบหลักฐาน ฯลฯ
    • Secondary Data แหล่งข้อมูลที่รวบรวมมาจากแหล่งอื่น ซึ่งรวมถึงรายงานหรือข้อมูลที่เป็นสาธารณะ และข้อมูลที่มีการทำ Benchmark
แนวทางการทำ Privacy Index Score มีหลักเกณฑ์การพิจารณาร่วม ดังต่อไปนี้
    • Privacy Maturity Model (ระดับความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคล)
    • Privacy Risk (ระดับความเสี่ยงจริงขององค์กรที่เกิดจากการประมวลผลข้อมูลส่วนบุคคล โดยยังไม่ผ่านการควบคุม (Inherent Risk))
โดยคะแนน Privacy Index Score สุดท้ายจะแสดงให้เห็นว่าหน่วยงานสามารถจัดการกับ Privacy Risk ได้ดีมากน้อยแค่ไหน โดยประเมินควบคู่ กับ Privacy Maturity และ Privacy Index จะทำการปรับข้อมูลให้เป็นมาตรฐานโดยมีคะแนนอยู่ระหว่าง 0 – 100 คะแนน

สรุปภาพรวมโครงการ Privacy Index

Privacy Day 2025
กล่าวโดยสรุป – ในภาพรวมของโครงการ Privacy Index พบว่าเกือบครึ่ง (48.59%) มีคะแนนอยู่ในช่วง 21 – 60 คะแนน ซึ่งถือว่าอยู่ในจุดที่หน่วยงานต้องพัฒนาเพิ่มเติมอีกหลาย ๆ ด้านต่อไป
ซึ่งหากหน่วยงานมีอัตราส่วนของ Privacy Maturity ที่ดี การควบคุมความเสี่ยงที่เกิดจาก Privacy Risk หน่วยงานจะสามารถทำได้ดียิ่งขึ้น และทำให้ความเสี่ยงมีผลน้อยลงต่อคะแนนในภาพรวมของ Privacy Index
และหากหน่วยงานดำเนินการในส่วนของ Privacy Maturity ได้น้อย นั่นก็จะส่งผลให้ Privacy Risk มีผลมากขึ้นและส่งผลต่อคะแนนในภาพรวมของ Privacy Index
 
สรุปแล้ว จากงาน Privacy Day 2025 ที่ผ่านมา จะเห็นได้ว่าหน่วยงานกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล อย่างสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ยังคงผลักดันโครงการต่าง ๆ ที่เป็นหลักเกณฑ์ชี้วัด ให้การทำ PDPA ในองค์กรหรือธุรกิจเป็นรูปธรรมมากยิ่งขึ้น ตอบรับกับการสร้างสังคม “Privacy” สู่มาตรฐานสากล 
หลังจากนี้ PDPA Thailand มองเห็นว่าการทำ PDPA ในองค์กรจะถูกผลักดันและเอาจริงเอาจังมากยิ่งขึ้น ดังนั้นหากหน่วยงาน องค์กร หรือธุรกิจของคุณยังไม่ได้ทำ หรือยังทำไม่ครบ ต้องให้ความสำคัญกับสิ่งนี้มากยิ่งขึ้น ลดเสี่ยงโทษที่อาจเกิดขึ้น อันนำไปสู่การเสียค่าปรับหรือภาพลักษณ์องค์กรในสังคมที่มิอาจประเมินมูลค่าได้

 

ขอขอบคุณที่มา: เอกสารการสรุปรายงานการประเมินโครงการ งาน Data Privacy Day 2025 จัดโดย PDPC
pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม