สคส. ยกระดับธรรมาภิบาลข้อมูลประเทศ ออกเกณฑ์รับรองมาตรฐาน PDPA Certification มุ่งสร้าง Trust Economy สู่สากล
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เดินหน้ายกระดับโครงสร้างพื้นฐานด้านการกำกับดูแลข้อมูลส่วนบุคคลของประเทศอย่างเป็นรูปธรรม หลังประกาศ‘หลักเกณฑ์การให้ใบรับรองและเครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2569’ และ ‘วิธีการและเงื่อนไขในการรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2569’ ลงในราชกิจจานุเบกษา เมื่อวันที่ 18 มิถุนายน 2569 ถือเป็นการเปิดระบบ PDPA Certification ของประเทศไทยอย่างเป็นทางการ เพื่อผลักดันให้องค์กรภาครัฐและเอกชนยกระดับการบริหารจัดการข้อมูลส่วนบุคคลให้สอดคล้องกับมาตรฐานสากล สร้างความเชื่อมั่นให้แก่ประชาชน นักลงทุน คู่ค้าทางธุรกิจ และรองรับเศรษฐกิจดิจิทัลที่ขับเคลื่อนด้วยข้อมูลอย่างยั่งยืน
22 มิ.ย. 2569 - พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า การประกาศหลักเกณฑ์ดังกล่าวถือเป็น "ก้าวสำคัญของประเทศไทย" ในการยกระดับระบบคุ้มครองข้อมูลส่วนบุคคลจากการบังคับใช้กฎหมาย ไปสู่การสร้าง มาตรฐานแห่งความเชื่อมั่น ที่สามารถตรวจสอบได้ มีมาตรฐานเดียวกันทั้งประเทศ และสอดคล้องกับแนวทางการกำกับดูแลข้อมูลที่นานาชาติให้การยอมรับ ข้อมูลส่วนบุคคลในวันนี้ ไม่ได้เป็นเพียงข้อมูลของประชาชนเท่านั้นแต่เป็นทรัพยากรสำคัญของเศรษฐกิจดิจิทัล การที่องค์กรสามารถพิสูจน์ได้ว่ามีระบบบริหารจัดการข้อมูลที่โปร่งใส มีธรรมาภิบาล และคำนึงถึงสิทธิของเจ้าของข้อมูล จะกลายเป็นปัจจัยสำคัญในการสร้างความเชื่อมั่นและเพิ่มศักยภาพในการแข่งขันของประเทศ
ในช่วงหลายปีที่ผ่านมา หลายประเทศทั่วโลกให้ความสำคัญกับการยกระดับมาตรฐานการกำกับดูแลข้อมูลส่วนบุคคล ควบคู่กับการพัฒนาเศรษฐกิจดิจิทัล เนื่องจากข้อมูลส่วนบุคคลเป็นหัวใจสำคัญของเทคโนโลยีสมัยใหม่ ไม่ว่าจะเป็นปัญญาประดิษฐ์ (AI) บริการ Cloud Computing แพลตฟอร์มดิจิทัล การเงินดิจิทัล หรือการให้บริการออนไลน์ ดังนั้น หากองค์กรสามารถแสดงให้เห็นว่ามีมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคลที่เข้มแข็ง ย่อมสร้างความเชื่อมั่นให้แก่ผู้บริโภค นักลงทุน และคู่ค้าทางธุรกิจได้มากกว่าองค์กรที่เพียงปฏิบัติตามข้อกำหนดขั้นต่ำของกฎหมาย"PDPA จึงไม่ใช่เพียงกฎหมายที่กำหนดหน้าที่ขององค์กร แต่กำลังพัฒนาไปสู่มาตรฐานด้านธรรมาภิบาลข้อมูล ที่สะท้อนความรับผิดชอบ ความโปร่งใส และความพร้อมขององค์กรในการบริหารจัดการข้อมูลส่วนบุคคลอย่างยั่งยืน
วางรากฐาน "PDPA Certification" สู่ Trust Mark ของประเทศไทย
พ.ต.อ.สุรพงศ์ กล่าวว่า ระบบรับรองมาตรฐาน PDPA ที่ประกาศในครั้งนี้ มีวัตถุประสงค์สำคัญ 3 ประการ ได้แก่ การสนับสนุนให้องค์กรยกระดับระบบบริหารจัดการข้อมูลส่วนบุคคลตามหลัก Accountability การสร้างกลไกการรับรองมาตรฐานที่ได้รับความเชื่อถือ และการวางรากฐานเพื่อเชื่อมโยงการรับรองมาตรฐานระหว่างประเทศ ในอนาคต ซึ่งจะเป็นปัจจัยสำคัญต่อการค้าการลงทุน การแลกเปลี่ยนข้อมูลข้ามพรมแดน และการขยายธุรกิจขององค์กรไทยในเวทีโลก
"เป้าหมายของเราไม่ใช่เพียงการออกใบรับรอง แต่คือการสร้างระบบนิเวศด้านความเชื่อมั่นที่ทุกภาคส่วนสามารถยึดถือเป็นมาตรฐานร่วมกัน เพราะในอนาคต ความเชื่อมั่นด้านข้อมูลส่วนบุคคลจะเป็นหนึ่งในปัจจัยสำคัญที่นักลงทุนและพันธมิตรทางธุรกิจใช้ประกอบการตัดสินใจ" พ.ต.อ.สุรพงศ์กล่าว
เปิดเกณฑ์คุณสมบัติองค์กร ยกระดับมาตรฐานก่อนเข้าสู่การรับรอง
สำหรับองค์กรที่สามารถยื่นขอรับรองมาตรฐานได้ ครอบคลุมทั้งหน่วยงานภาครัฐและภาคเอกชน โดยภาคเอกชนต้องเป็นนิติบุคคลที่จดทะเบียนในประเทศไทย หรือเป็นนิติบุคคลต่างประเทศที่มีสาขาหรือแต่งตั้งผู้แทนตามกฎหมายในประเทศไทย ส่วนหน่วยงานภาครัฐต้องเป็นหน่วยงานระดับกรมขึ้นไป หรือเป็นหน่วยงานที่กฎหมายกำหนดให้ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
นอกจากนี้ องค์กรที่จะเข้าสู่กระบวนการรับรอง จะต้องผ่านคุณสมบัติเบื้องต้นที่สะท้อนถึงความพร้อมและความโปร่งใส ได้แก่
ต้องผ่านการประเมิน Privacy Maturity Model (PMM) ในระดับ 5 ซึ่งเป็นระดับสูงสุด
- ไม่เคยถูกปฏิเสธการรับรองภายใน 45 วันก่อนยื่นคำขอ
- ไม่เคยถูกเพิกถอนใบรับรองภายในระยะเวลา 1 ปี
- กรณีที่เคยต้องคำพิพากษาตามกฎหมาย PDPA จะต้องปฏิบัติตามคำพิพากษาดังกล่าวโดยครบถ้วน และพ้นระยะเวลาไม่น้อยกว่า 2 ปี จึงจะสามารถยื่นคำขอได้
เกณฑ์ดังกล่าวถูกออกแบบเพื่อให้การรับรองเป็น "มาตรฐานแห่งความเชื่อมั่น" ไม่ใช่เพียงการรับรองเชิงเอกสาร แต่สะท้อนถึงการดำเนินงานจริงขององค์กร
จุดเด่นของระบบ PDPA Certification คือ การตรวจประเมินที่ครอบคลุมทั้งองค์กร ไม่ใช่เพียงการจัดทำเอกสารเพื่อให้ผ่านการรับรอง แต่ครอบคลุมการดำเนินงานจริงใน 4 กลุ่มหลัก 10 ด้าน ประกอบด้วย
- นโยบายและธรรมาภิบาลองค์กร
- การกำกับดูแลโดยผู้บริหารและ DPO
- การพัฒนาบุคลากรและการสร้างวัฒนธรรมด้านข้อมูล
- การคุ้มครองสิทธิของเจ้าของข้อมูล
- ความโปร่งใสและการแจ้งวัตถุประสงค์
- การจัดทำ ROPA และฐานทางกฎหมาย
- การบริหารความเสี่ยงและการจัดทำ DPIA
- การทำ Data Processing Agreement และ Data Sharing Agreement
- มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
- การบริหารจัดการเหตุละเมิดข้อมูลส่วนบุคคล
การตรวจประเมินจะดำเนินการทั้งจากการตรวจเอกสาร การสัมภาษณ์ผู้เกี่ยวข้อง และการตรวจประเมินระบบการดำเนินงานจริง เพื่อให้มั่นใจว่าองค์กรสามารถปฏิบัติตามมาตรฐานได้อย่างต่อเนื่อง ไม่ใช่เพียงการจัดเตรียมข้อมูลเฉพาะช่วงเวลาตรวจประเมิน
สำหรับกระบวนการพิจารณา สคส. จะดำเนินการผ่านระบบอิเล็กทรอนิกส์ โดยใช้ระยะเวลารวมไม่เกิน 180 วัน และสามารถขยายเวลาได้อีกไม่เกิน 30 วันในกรณีจำเป็น
ใบรับรองและเครื่องหมายรับรองมาตรฐานจะมีอายุ 3 ปี พร้อมระบบติดตามผลหลังได้รับการรับรองครบ 1 ปี เพื่อประเมินการรักษามาตรฐานอย่างต่อเนื่อง ขณะที่องค์กรสามารถยื่นขอต่ออายุได้ล่วงหน้าไม่เกิน 6 เดือนก่อนหมดอายุ หรือภายใน 6 เดือนหลังใบรับรองสิ้นสุดอายุ ตามหลักเกณฑ์ที่กำหนด
พ.ต.อ.สุรพงศ์ กล่าวว่า ในระยะต่อไป สคส. จะผลักดันให้ PDPA Certification เป็นกลไกสำคัญในการยกระดับขีดความสามารถในการแข่งขันขององค์กรไทย ไม่ใช่เพียงเครื่องมือด้านกฎหมาย แต่เป็น "แต้มต่อ" ในการดำเนินธุรกิจโดยองค์กรที่ได้รับการรับรอง จะสามารถแสดงให้ผู้บริโภค นักลงทุน และคู่ค้าทางธุรกิจเห็นว่า มีระบบกำกับดูแลข้อมูลที่เป็นมาตรฐาน โปร่งใส และสามารถตรวจสอบได้ ซึ่งจะช่วยเพิ่มความเชื่อมั่น ลดความเสี่ยงทางธุรกิจ และเพิ่มโอกาสในการขยายตลาดทั้งในประเทศและต่างประเทศ
"เราอยากเห็น PDPA เปลี่ยนจากสิ่งที่หลายองค์กรเคยมองว่าเป็น “ภาระในการปฏิบัติตามกฎหมาย” ไปสู่ “เครื่องมือสร้างความสามารถในการแข่งขัน” เพราะในโลกเศรษฐกิจดิจิทัล ความเชื่อมั่นด้านข้อมูลจะกลายเป็นสินทรัพย์ที่มีมูลค่าไม่ต่างจากเทคโนโลยี เงินทุน หรือทรัพยากรบุคคล”
อย่างไรก็ดี การประกาศหลักเกณฑ์รับรองมาตรฐาน PDPA ในครั้งนี้ ถือเป็นอีกหนึ่งก้าวสำคัญของประเทศไทยในการวางรากฐาน Digital Trust ให้เกิดขึ้นอย่างเป็นรูปธรรม และเป็นกลไกสำคัญในการยกระดับการกำกับดูแลข้อมูลส่วนบุคคลของประเทศให้ก้าวทันการเปลี่ยนแปลงของเทคโนโลยี AI เศรษฐกิจดิจิทัล และการแลกเปลี่ยนข้อมูลระหว่างประเทศ พร้อมผลักดันประเทศไทยสู่การเป็น Digital Trusted Nation ที่ได้รับความเชื่อมั่นจากประชาชน ภาคธุรกิจ และประชาคมโลก