fbpx

9 คำถามที่ “ผู้บริหาร” ต้องตอบ เพื่อก้าวไปข้างหน้ากับ PDPA

ผู้บริหาร

นับตั้งกฎหมายประกาศในราชกิจานุเบกษา บุคคลที่ต้องตื่นตัวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) มากที่สุดกลุ่มหนึ่ง คงหนีไม่พ้นเหล่า “ผู้บริหาร” ขององค์กรต่าง ๆ ไม่ว่าจะเป็นภาครัฐหรือภาคเอกชน เนื่องจากภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล การละเมิดข้อมูลส่วนบุคคลในความดูแลขององค์กรส่งผลกระทบด้าน:

 • งบประมาณค่าใช้จ่าย ที่อาจถูกปรับทางปกครองไม่เกิน 5 ล้านบาท + ค่าชดเชยให้แก่ผู้เสียหายจากการละเมิด (ไม่เกิน 2 เท่าของค่าเสียหายตามจริง)
 • อาจมีคนโดนโทษทางอาญา ติดคุกไม่เกิน 1 ปี ส่งผลต่อการดำเนินกิจกรรมขององค์กร
 • ความน่าเชื่อถือขององค์กร และความไว้วางใจของประชาชน/ลูกค้าที่มีต่อองค์กรลดลง

องค์กรของคุณอาจล้ม ปั้มหัวใจไม่ฟื้นเลยก็เป็นได้ ในฐานะของผู้บริหารองค์กร คุณจะยอมให้เป็นเช่นนั้นภายใต้การดูแลของคุณหรือ???

ผู้บริหาร

คุณคือผู้บริหารขององค์กร เป็นนัยว่า คุณมีอำนาจในการสั่งการ ควบคุมหลาย ๆ อย่างในองค์กร ซึ่งรวมไปถึงเส้นทางการไหลของข้อมูลภายในองค์กร มาตรการการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล กำหนดว่าใครเป็นผู้รับผิดชอบหรือมีส่วนเกี่ยวข้องกับข้อมูล ใครมีสิทธิสามารถเข้าถึงข้อมูลส่วนใดบ้าง ฯลฯ ซึ่งล้วนแล้วแต่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล คุณจึงเปรียบเสมือนเป็น “ผู้ควบควบคุมข้อมูลระดับสูง” ที่มีอำนาจหน้าที่ในการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลภาพใหญ่ขององค์กร ในกรณีที่องค์กรของคุณเป็นผู้ควบคุมข้อมูลส่วนบุคคล ตลอดจนมีบทบาทเป็นผู้วางตัวผู้ประมวลผลข้อมูลภายนอกองค์กรอีกด้วย

“ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ตาม กฎหมายคุ้มครองข้อมูลข้อมูลส่วนบุคคล (PDPA, 2018)

 • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และมีหน้าที่สำคัญอื่น ๆ ตามที่กฎหมายกำหนดไว้
 • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Controller) คือผู้ที่ดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูล (ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องไม่เป็นคนเดียวกัน)

อำนาจที่มากกว่า = ความรับผิดชอบที่มากกว่า = โทษที่รุนแรงกว่า หากมีการละเมิดข้อมูลส่วนบุคคลที่อยู่ในความดูแล ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลจะได้รับพิจารณาโทษในระดับที่ไม่เท่ากัน โดยผู้ควบคุมข้อมูลส่วนบุคคลจะได้รับโทษก่อนผู้ประมวลผลข้อมูลส่วนบุคคล ในฐานะที่ไม่กำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลขององค์กรให้สอดคล้องกับกฎหมาย และผู้ประมวลผลข้อมูลส่วนบุคคลจะได้รับโทษก็ต่อเมื่อมีผิดสัญญาการประมวลผลข้อมูลที่ทำไว้กับผู้ควบคุมข้อมูลส่วนบุคคล

9 คำถามที่ “ผู้บริหาร” ต้องถามตัวเอง

ผู้บริหารองค์กร ไม่ว่าท่านจะเป็น CEO CIO ผู้อำนวยการหน่วยงาน/สถาบัน หรือตำแหน่งอื่น ๆ ที่เกี่ยวข้อง จะต้องไม่ละเลยการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล มาทดลองตอบคำถาม 9 ข้อนี้ เป็น Guideline เพื่อพิจารณาความพร้อมของตัวคุณเองและองค์กรในการคุ้มครองข้อมูลส่วนบุคคลตาม PDPA กันดีกว่าครับ

 1. คุณเข้าใจภาระหน้าที่ต่อความเป็นส่วนตัวของบุคคล เข้าใจความเสี่ยงขององค์กร และมีแผนการจัดการที่สอดคล้องกับวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือไม่?
 2. คุณวางแผนและตัดสินใจเกี่ยวกับการใช้งานเทคโนโลยีที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างเป็นเหตุเป็นผล โดยมีกระบวนการขอความยินยอมที่จำเป็นจากเจ้าของข้อมูลเพื่อการเก็บรักษาและประมวลผลข้อมูลแล้วเรียบร้อย?
 3. คุณมองเห็นภาพได้อย่างชัดเจนว่า มีข้อมูลส่วนบุคคลอะไรบ้างที่องค์กรกำลังประมวลผล ใครเป็นผู้ประมวลผล ข้อมูลถูกเก็บไว้ที่ใด วัตถุประสงค์ของการประมวลผลของข้อมูลแต่ชุดคืออะไร? นอกจากนั้น เรามีประกาศนโยบายความเป็นส่วนตัวหรือสัญญาที่ชัดแจ้งโปร่งใสหรือไม่?
 4. คุณมั่นใจแค่ไหน ว่าองค์กรของคุณมีกระบวนการ/มาตรการพร้อมรับมือหากเกิดการละเมิดข้อมูลส่วนบุคคลที่อ้างอิงตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR และ PDPA ขึ้น?
 5. คุณได้กำกับดูแลแล้วหรือยังว่า ซัพพลายเออร์ของคุณซึ่งเป็น Third-Party มีมาตรการซึ่งปฎิบัติตามกฎหมาย ความเป็นส่วนตัว และความปลอดภัยทางข้อมูล เพื่อปกป้องผลประโยชน์ขององค์กร?
 6. องค์กรของคุณควรจะมี “เจ้าหน้าที่คุ้มครองข้อมูล” หรือ Data Protection Officer (DPO) ประจำหรือไม่?
 7. คุณเล็งเห็นว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิต่อข้อมูลส่วนบุคคลของตนเองเพิ่มสูงขึ้น และสามารถขอให้ดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลของตนเองที่เราเก็บไว้ได้หรือไม่?
 8. คุณเข้าใจผลกระทบของ PDPA และผลักดันให้ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ทั้งหมดเข้าใจหน้าที่ความรับผิดชอบของตนเองตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้วหรือยัง?
 9. คุณดำเนินการให้มีกระบวนการแก้ไข ถอนความยินยอม โอนย้าย ประมวลผลข้อมูล ที่โปร่งใสและสามารถตรวจสอบได้ทั้งจากภายในและภายนอกองค์กร แล้วหรือยัง?

จากการตอบคำถามทั้ง 9 ข้อที่กล่าวมาข้างต้น ผู้บริหารอย่างคุณคงประเมินได้แล้วว่า ตัวคุณเองและองค์กรภายใต้การดูแลของคุณเตรียมพร้อมรับมือกับ PDPA อยู่ในระดับใด มีจุดอ่อนจุดแข็งอะไรบ้าง ตลอดจนมองเห็นว่ามีจุดใดบ้างที่ต้องปรับปรุง เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลสอดคล้องกับกฎหมายและมีประสิทธิภาพสูงสุด

ถ้ายังมองไม่ออกเราช่วยได้ เพียงอบรมหลักสูตร PDPC – Personal Data Protection Certificate ที่มีเนื้อหาครอบคลุม GDPR กฎหมายคุ้มครองข้อมูลส่วนบุคคลแม่แบบจากยุโรป PDPC พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลของไทย และแนวทางการปฏิบัติตามกฎหมายทั้งสองฉบับ

สอบถามรายละเอียดเพิ่มเติม Inbox เข้ามาที่: PDPA Icdlthailand

ข้อมูลอ้างอิงจาก

Gravicus. (2018). GDPR – An Executive Summary for CEOs. Derived, September 10th, 2020, from: https://gdpr.report/wp-content/uploads/2018/03/Gravicus-whitepaper-GDPR-%E2%80%93-An-Executive-Sum