“สคส.”ออกประกาศรับรองมาตรฐาน “พีดีพีเอ”ยกระดับธรรมาภิบาลข้อมูลประเทศสู่สากล 

พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เปิดเผยว่า ประกาศ “หลักเกณฑ์การให้ใบรับรองและเครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2569” และ “วิธีการและเงื่อนไขในการรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2569” ได้ประกาศลงในราชกิจจานุเบกษา เมื่อวันที่ 18 มิ.ย. 69 ที่ผ่านมา ซึ่งระกาศหลักเกณฑ์ดังกล่าวถือเป็น ก้าวสำคัญของประเทศไทย ในการยกระดับระบบคุ้มครองข้อมูลส่วนบุคคลจากการบังคับใช้กฎหมาย ไปสู่การสร้าง มาตรฐานแห่งความเชื่อมั่น ที่สามารถตรวจสอบได้ มีมาตรฐานเดียวกันทั้งประเทศ และสอดคล้องกับแนวทางการกำกับดูแลข้อมูลที่นานาชาติให้การยอมรับ  ช่วยสร้างความเชื่อมั่นให้แก่ประชาชน นักลงทุน คู่ค้าทางธุรกิจ และรองรับเศรษฐกิจดิจิทัลที่ขับเคลื่อนด้วยข้อมูลอย่างยั่งยืน

“ข้อมูลส่วนบุคคลในวันนี้ ไม่ได้เป็นเพียงข้อมูลของประชาชนเท่านั้นแต่เป็นทรัพยากรสำคัญของเศรษฐกิจดิจิทัล การที่องค์กรสามารถพิสูจน์ได้ว่ามีระบบบริหารจัดการข้อมูลที่โปร่งใส มีธรรมาภิบาล และคำนึงถึงสิทธิของเจ้าของข้อมูล จะกลายเป็นปัจจัยสำคัญในการสร้างความเชื่อมั่นและเพิ่มศักยภาพในการแข่งขันของประเทศ ซึ่งในช่วงหลายปีที่ผ่านมา หลายประเทศทั่วโลกให้ความสำคัญกับการยกระดับมาตรฐานการกำกับดูแลข้อมูลส่วนบุคคล ควบคู่กับการพัฒนาเศรษฐกิจดิจิทัล เนื่องจากข้อมูลส่วนบุคคลเป็นหัวใจสำคัญของเทคโนโลยีสมัยใหม่ ไม่ว่าจะเป็นปัญญาประดิษฐ์ หรือ เอไอ บริการ คลาวด์ คอมพิวติ้ง แพลตฟอร์มดิจิทัล การเงินดิจิทัล หรือการให้บริการออนไลน์ ฯลฯ”

พ.ต.อ.สุรพงศ์ กล่าวต่อว่า ระบบรับรองมาตรฐาน พีดีพีเอ  ที่ประกาศในครั้งนี้ มีวัตถุประสงค์สำคัญ 3 ประการ ได้แก่ การสนับสนุนให้องค์กรยกระดับระบบบริหารจัดการข้อมูลส่วนบุคคลตามหลัก แอกเคาน์ทาบิลิตี้ การสร้างกลไกการรับรองมาตรฐานที่ได้รับความเชื่อถือ และการวางรากฐานเพื่อเชื่อมโยงการรับรองมาตรฐานระหว่างประเทศ ในอนาคต ซึ่งจะเป็นปัจจัยสำคัญต่อการค้าการลงทุน การแลกเปลี่ยนข้อมูลข้ามพรมแดน และการขยายธุรกิจขององค์กรไทยในเวทีโลก

สำหรับองค์กรที่สามารถยื่นขอรับรองมาตรฐานได้ ครอบคลุมทั้งหน่วยงานภาครัฐและภาคเอกชน โดยภาคเอกชนต้องเป็นนิติบุคคลที่จดทะเบียนในประเทศไทย หรือเป็นนิติบุคคลต่างประเทศที่มีสาขาหรือแต่งตั้งผู้แทนตามกฎหมายในประเทศไทย ส่วนหน่วยงานภาครัฐต้องเป็นหน่วยงานระดับกรมขึ้นไป หรือเป็นหน่วยงานที่กฎหมายกำหนดให้ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ดีพีโอ)

นอกจากนี้ องค์กรที่จะเข้าสู่กระบวนการรับรอง จะต้องผ่านคุณสมบัติเบื้องต้นที่สะท้อนถึงความพร้อมและความโปร่งใส ได้แก่

ต้องผ่านการประเมิน Privacy Maturity Model (PMM) ในระดับ 5 ซึ่งเป็นระดับสูงสุด

• ไม่เคยถูกปฏิเสธการรับรองภายใน 45 วันก่อนยื่นคำขอ

• ไม่เคยถูกเพิกถอนใบรับรองภายในระยะเวลา 1 ปี

• กรณีที่เคยต้องคำพิพากษาตามกฎหมาย PDPA จะต้องปฏิบัติตามคำพิพากษาดังกล่าวโดยครบถ้วน และพ้นระยะเวลาไม่น้อยกว่า 2 ปี จึงจะสามารถยื่นคำขอได้

เกณฑ์ดังกล่าวถูกออกแบบเพื่อให้การรับรองเป็น “มาตรฐานแห่งความเชื่อมั่น” ไม่ใช่เพียงการรับรองเชิงเอกสาร แต่สะท้อนถึงการดำเนินงานจริงขององค์กร

จุดเด่นของระบบ PDPA Certification คือ การตรวจประเมินที่ครอบคลุมทั้งองค์กร ไม่ใช่เพียงการจัดทำเอกสารเพื่อให้ผ่านการรับรอง แต่ครอบคลุมการดำเนินงานจริงใน 4 กลุ่มหลัก 10 ด้าน ประกอบด้วย

• นโยบายและธรรมาภิบาลองค์กร 

• การกำกับดูแลโดยผู้บริหารและ DPO

• การพัฒนาบุคลากรและการสร้างวัฒนธรรมด้านข้อมูล

• การคุ้มครองสิทธิของเจ้าของข้อมูล

• ความโปร่งใสและการแจ้งวัตถุประสงค์

• การจัดทำ ROPA และฐานทางกฎหมาย

• การบริหารความเสี่ยงและการจัดทำ DPIA

• การทำ Data Processing Agreement และ Data Sharing Agreement

• มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล 

• การบริหารจัดการเหตุละเมิดข้อมูลส่วนบุคคล

การตรวจประเมินจะดำเนินการทั้งจากการตรวจเอกสาร การสัมภาษณ์ผู้เกี่ยวข้อง และการตรวจประเมินระบบการดำเนินงานจริง เพื่อให้มั่นใจว่าองค์กรสามารถปฏิบัติตามมาตรฐานได้อย่างต่อเนื่อง ไม่ใช่เพียงการจัดเตรียมข้อมูลเฉพาะช่วงเวลาตรวจประเมิน

สำหรับกระบวนการพิจารณา สคส. จะดำเนินการผ่านระบบอิเล็กทรอนิกส์ โดยใช้ระยะเวลารวมไม่เกิน 180 วัน และสามารถขยายเวลาได้อีกไม่เกิน 30 วันในกรณีจำเป็น

ส่วนใบรับรองและเครื่องหมายรับรองมาตรฐานจะมีอายุ 3 ปี พร้อมระบบติดตามผลหลังได้รับการรับรองครบ 1 ปี เพื่อประเมินการรักษามาตรฐานอย่างต่อเนื่อง ขณะที่องค์กรสามารถยื่นขอต่ออายุได้ล่วงหน้าไม่เกิน 6 เดือนก่อนหมดอายุ หรือภายใน 6 เดือนหลังใบรับรองสิ้นสุดอายุ ตามหลักเกณฑ์ที่กำหนด