“สคส.”ออกประกาศรับรองมาตรฐาน “พีดีพีเอ”ยกระดับธรรมาภิบาลข้อมูลประเทศสู่สากล
พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เปิดเผยว่า ประกาศ "หลักเกณฑ์การให้ใบรับรองและเครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2569" และ "วิธีการและเงื่อนไขในการรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2569" ได้ประกาศลงในราชกิจจานุเบกษา เมื่อวันที่ 18 มิ.ย. 69 ที่ผ่านมา ซึ่งระกาศหลักเกณฑ์ดังกล่าวถือเป็น ก้าวสำคัญของประเทศไทย ในการยกระดับระบบคุ้มครองข้อมูลส่วนบุคคลจากการบังคับใช้กฎหมาย ไปสู่การสร้าง มาตรฐานแห่งความเชื่อมั่น ที่สามารถตรวจสอบได้ มีมาตรฐานเดียวกันทั้งประเทศ และสอดคล้องกับแนวทางการกำกับดูแลข้อมูลที่นานาชาติให้การยอมรับ ช่วยสร้างความเชื่อมั่นให้แก่ประชาชน นักลงทุน คู่ค้าทางธุรกิจ และรองรับเศรษฐกิจดิจิทัลที่ขับเคลื่อนด้วยข้อมูลอย่างยั่งยืน
“ข้อมูลส่วนบุคคลในวันนี้ ไม่ได้เป็นเพียงข้อมูลของประชาชนเท่านั้นแต่เป็นทรัพยากรสำคัญของเศรษฐกิจดิจิทัล การที่องค์กรสามารถพิสูจน์ได้ว่ามีระบบบริหารจัดการข้อมูลที่โปร่งใส มีธรรมาภิบาล และคำนึงถึงสิทธิของเจ้าของข้อมูล จะกลายเป็นปัจจัยสำคัญในการสร้างความเชื่อมั่นและเพิ่มศักยภาพในการแข่งขันของประเทศ ซึ่งในช่วงหลายปีที่ผ่านมา หลายประเทศทั่วโลกให้ความสำคัญกับการยกระดับมาตรฐานการกำกับดูแลข้อมูลส่วนบุคคล ควบคู่กับการพัฒนาเศรษฐกิจดิจิทัล เนื่องจากข้อมูลส่วนบุคคลเป็นหัวใจสำคัญของเทคโนโลยีสมัยใหม่ ไม่ว่าจะเป็นปัญญาประดิษฐ์ หรือ เอไอ บริการ คลาวด์ คอมพิวติ้ง แพลตฟอร์มดิจิทัล การเงินดิจิทัล หรือการให้บริการออนไลน์ ฯลฯ”
พ.ต.อ.สุรพงศ์ กล่าวต่อว่า ระบบรับรองมาตรฐาน พีดีพีเอ ที่ประกาศในครั้งนี้ มีวัตถุประสงค์สำคัญ 3 ประการ ได้แก่ การสนับสนุนให้องค์กรยกระดับระบบบริหารจัดการข้อมูลส่วนบุคคลตามหลัก แอกเคาน์ทาบิลิตี้ การสร้างกลไกการรับรองมาตรฐานที่ได้รับความเชื่อถือ และการวางรากฐานเพื่อเชื่อมโยงการรับรองมาตรฐานระหว่างประเทศ ในอนาคต ซึ่งจะเป็นปัจจัยสำคัญต่อการค้าการลงทุน การแลกเปลี่ยนข้อมูลข้ามพรมแดน และการขยายธุรกิจขององค์กรไทยในเวทีโลก
สำหรับองค์กรที่สามารถยื่นขอรับรองมาตรฐานได้ ครอบคลุมทั้งหน่วยงานภาครัฐและภาคเอกชน โดยภาคเอกชนต้องเป็นนิติบุคคลที่จดทะเบียนในประเทศไทย หรือเป็นนิติบุคคลต่างประเทศที่มีสาขาหรือแต่งตั้งผู้แทนตามกฎหมายในประเทศไทย ส่วนหน่วยงานภาครัฐต้องเป็นหน่วยงานระดับกรมขึ้นไป หรือเป็นหน่วยงานที่กฎหมายกำหนดให้ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ดีพีโอ)
นอกจากนี้ องค์กรที่จะเข้าสู่กระบวนการรับรอง จะต้องผ่านคุณสมบัติเบื้องต้นที่สะท้อนถึงความพร้อมและความโปร่งใส ได้แก่
ต้องผ่านการประเมิน Privacy Maturity Model (PMM) ในระดับ 5 ซึ่งเป็นระดับสูงสุด
• ไม่เคยถูกปฏิเสธการรับรองภายใน 45 วันก่อนยื่นคำขอ
• ไม่เคยถูกเพิกถอนใบรับรองภายในระยะเวลา 1 ปี
• กรณีที่เคยต้องคำพิพากษาตามกฎหมาย PDPA จะต้องปฏิบัติตามคำพิพากษาดังกล่าวโดยครบถ้วน และพ้นระยะเวลาไม่น้อยกว่า 2 ปี จึงจะสามารถยื่นคำขอได้
เกณฑ์ดังกล่าวถูกออกแบบเพื่อให้การรับรองเป็น "มาตรฐานแห่งความเชื่อมั่น" ไม่ใช่เพียงการรับรองเชิงเอกสาร แต่สะท้อนถึงการดำเนินงานจริงขององค์กร
จุดเด่นของระบบ PDPA Certification คือ การตรวจประเมินที่ครอบคลุมทั้งองค์กร ไม่ใช่เพียงการจัดทำเอกสารเพื่อให้ผ่านการรับรอง แต่ครอบคลุมการดำเนินงานจริงใน 4 กลุ่มหลัก 10 ด้าน ประกอบด้วย
• นโยบายและธรรมาภิบาลองค์กร
• การกำกับดูแลโดยผู้บริหารและ DPO
• การพัฒนาบุคลากรและการสร้างวัฒนธรรมด้านข้อมูล
• การคุ้มครองสิทธิของเจ้าของข้อมูล
• ความโปร่งใสและการแจ้งวัตถุประสงค์
• การจัดทำ ROPA และฐานทางกฎหมาย
• การบริหารความเสี่ยงและการจัดทำ DPIA
• การทำ Data Processing Agreement และ Data Sharing Agreement
• มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
• การบริหารจัดการเหตุละเมิดข้อมูลส่วนบุคคล
การตรวจประเมินจะดำเนินการทั้งจากการตรวจเอกสาร การสัมภาษณ์ผู้เกี่ยวข้อง และการตรวจประเมินระบบการดำเนินงานจริง เพื่อให้มั่นใจว่าองค์กรสามารถปฏิบัติตามมาตรฐานได้อย่างต่อเนื่อง ไม่ใช่เพียงการจัดเตรียมข้อมูลเฉพาะช่วงเวลาตรวจประเมิน
สำหรับกระบวนการพิจารณา สคส. จะดำเนินการผ่านระบบอิเล็กทรอนิกส์ โดยใช้ระยะเวลารวมไม่เกิน 180 วัน และสามารถขยายเวลาได้อีกไม่เกิน 30 วันในกรณีจำเป็น
ส่วนใบรับรองและเครื่องหมายรับรองมาตรฐานจะมีอายุ 3 ปี พร้อมระบบติดตามผลหลังได้รับการรับรองครบ 1 ปี เพื่อประเมินการรักษามาตรฐานอย่างต่อเนื่อง ขณะที่องค์กรสามารถยื่นขอต่ออายุได้ล่วงหน้าไม่เกิน 6 เดือนก่อนหมดอายุ หรือภายใน 6 เดือนหลังใบรับรองสิ้นสุดอายุ ตามหลักเกณฑ์ที่กำหนด