Data Governance คืออะไร และเกี่ยวข้องกับกฎหมาย PDPA ในประเทศไทยอย่างไร?
April 02, 2025
ในยุค Digital Transformation องค์กรเชื่อกันว่ายิ่งมีการเก็บสะสมข้อมูลมากเท่าใด องค์กรนั้นยิ่งได้เปรียบ หรือเรามักจะได้ยินกันเสมอว่า “ข้อมูลคือทรัพย์สิน” แต่ปัญหาที่มักพบเจอหลังจากนั้นคือไม่รู้ว่าจะนำข้อมูลนั้นมาใช้อย่างไรเพื่อให้เกิดประโยชน์กับองค์กร หรือใช้อย่างไรให้ถูกต้อง ดังนั้น หลากหลายองค์กรในปัจจุบันเริ่มให้ความสนใจกับ “หลักธรรมาภิบาลข้อมูล (Data Governance)” และนำมาประยุกต์ใช้กับการบริหารจัดการข้อมูลในองค์กรมากยิ่งขึ้น
Data Governance คืออะไร
“ธรรมาภิบาลข้อมูล (Data Governance)” คือการกำหนดสิทธิ หน้าที่ และความรับผิดชอบในการบริหารจัดการข้อมูล ตั้งแต่การจัดเก็บ การจำแนกหมวดหมู่ การประมวลผลหรือใช้ข้อมูล การเปิดเผยข้อมูล การตรวจสอบ รวมถึงการทำลาย พร้อมกับการกำหนดมาตรการในการควบคุมและพัฒนาคุณภาพของข้อมูลให้มีความถูกต้อง พร้อมใช้ และทำให้ข้อมูลเป็นปัจจุบันรวมทั้งกฎเกณฑ์ต่างๆในการอนุญาตให้เข้าถึงและใช้ประโยชน์จากข้อมูลที่ชัดเจนมีมาตรการความมั่นคงปลอดภัย และไม่ให้มีข้อมูลส่วนบุคคลถูกละเมิดเกิดขึ้น
ความเกี่ยวข้องระหว่าง Data Governance และกฎหมาย PDPA ในประเทศไทย
ในประเทศไทย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มุ่งเน้นคุ้มครองและปกป้อง “สิทธิในความเป็นส่วนตัว” ของประชาชนในประเทศไทย ดังนั้น กฎหมายจึงออกบทบัญญัติเพื่อกำหนดหน้าที่ และความรับผิดชอบให้องค์กรที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องบริหารจัดการและประมวลผลข้อมูลส่วนบุคคลบนพื้นฐานของความถูกต้อง โปร่งใส และเป็นธรรม อีกทั้งองค์กรต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย เพื่อปกป้องไม่ให้ข้อมูลส่วนบุคคลนั้นเกิดการสูญหาย เข้าถึง หรือใช้งานโดยบุคคลที่ไม่ได้รับอนุญาต หรือการใช้งานนั้นผิดกับวัตถุประสงค์ที่เจ้าของข้อมูลส่วนบุคคลยินยอม ซึ่งหากองค์กรดังกล่าวประมวลผลข้อมูลส่วนบุคคลผิดไปจากขอบเขตที่ได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคล หรือไม่ปฏิบัติตามบทบัญญัติของกฎหมาย องค์กรนั้นอาจต้องรับผิดในทางอาญา ทางแพ่ง หรือทางปกครอง แล้วแต่กรณี
จากคำอธิบายตอนต้น เมื่อเปรียบเทียบหลัก Data Governance กับกฎหมาย PDPA ในประเทศไทยแล้วนั้น เห็นได้ว่ากฎหมาย PDPA สะท้อนหลักการสำคัญที่กำหนดในหลัก Data Governance ทั้งสิ้น ไม่ว่าจะเป็น
- การขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเพื่อประมวลผลข้อมูลส่วนบุคคล
- การแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ
- การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบ หากเกิดเหตุข้อมูลรั่วไหล สูญหาย หรือถูกขโมย
- การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย เพื่อปกป้องข้อมูลส่วนบุคคล
- การตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- การลบหรือทำลายข้อมูลส่วนบุคคล ในกรณีที่ไม่มีความจำเป็นต้องประมวลผลอีกต่อไป
ประโยชน์ที่จะได้รับจากการปฏิบัติตามหลัก Data Governance และกฎหมาย PDPA
- สร้างภาพลักษณ์ที่ดีและความเชื่อมั่นให้กับองค์กร ในลักษณะที่องค์กรดังกล่าวให้ความสำคัญกับการปกป้องข้อมูลส่วนบุคคลของลูกค้าให้เกิดความปลอดภัย
- ลดความเสี่ยงและป้องกันการถูกลงโทษและปัญหาทางกฎหมายที่เกิดจากการไม่ปฏิบัติตามข้อกำหนดในกฎหมายได้
- ความได้เปรียบในการแข่งขันในตลาด สำหรับอุตสาหกรรมที่ให้ความสำคัญกับความเป็นส่วนตัวและความปลอดภัยของข้อมูล
- ส่งเสริมวัฒนธรรมความรับผิดชอบและความโปร่งใสภายในองค์กร
- ใช้เป็นใบรับรองให้กับองค์กรว่าเป็นองค์กรที่มีการปกป้องข้อมูลตามมาตรฐานระดับสากล ซึ่งทำให้การดำเนินงานระหว่างประเทศง่ายขึ้น
องค์กรควรเริ่มต้นทำอะไร ในการปฏิบัติตามหลัก Data Governance และกฎหมาย PDPA
1.จัดทำนโยบายภายในองค์กร เพื่อยกระดับการบริหารจัดการคุณภาพข้อมูล และการส่งเสริมวัฒนธรรมการดูแลข้อมูลและความรับผิดชอบของคนในองค์กร
2.จัดทำ Data Flow Mapping ขององค์กร ตั้งแต่เจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้อง ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม วัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคล การส่งหรือโอนข้อมูลส่วนบุคคลไปยังบุคคลภายนอกองค์กร สถานที่ที่ใช้ในการเก็บข้อมูล และนโยบายในการลบหรือทำลายข้อมูล
Tip: แต่ละแผนกเริ่มจัดทำ Data Flow Mapping ของแผนกตนเอง (เช่น แผนก HR - ดูภาพด้านล่าง) หลังจากนั้นจึงนำ Data Flow Mapping ของแต่แผนกมารวมกันให้เห็นภาพการไหลเวียนข้อมูลขององค์กรในภาพรวม
3.ดำเนินการตรวจสอบข้อมูล (audit) เป็นประจำเพื่อระบุและลดความเสี่ยง
4.การฝึกอบรมพนักงานเกี่ยวกับกฎหมาย PDPA และการกำกับดูแลข้อมูลเป็นสิ่งสำคัญสำหรับการปฏิบัติงานตามกฎระเบียบขององค์กร และกฎหมายที่ใช้บังคับ
5.การใช้เทคโนโลยีดิจิทัลเพื่อควบคุมดูแลความปลอดภัย ความถูกต้อง และความพร้อมใช้งานให้กับข้อมูล เช่น consent management tool
จากการจัดเก็บ สู่การใช้ข้อมูลอย่างมีคุณภาพ
การบริหารจัดการข้อมูลไม่ใช่แค่เรื่องของ “การปฏิบัติตามกฎหมาย” แต่คือการสร้างวัฒนธรรมใหม่ในองค์กร ที่เห็นค่าของข้อมูลในฐานะทรัพยากรสำคัญ การวางหลักธรรมาภิบาลข้อมูล (Data Governance) ที่แข็งแรง ช่วยให้องค์กรไม่เพียงปฏิบัติตาม PDPA ได้อย่างถูกต้องเท่านั้น แต่ยังเปิดทางให้เกิดการใช้ข้อมูลอย่างชาญฉลาด สร้างมูลค่าทางธุรกิจ และเพิ่มความไว้วางใจจากลูกค้าและพาร์ตเนอร์ในระยะยาว แน่นอนว่าเส้นทางนี้อาจไม่ได้ง่าย โดยเฉพาะสำหรับองค์กรที่ต้องปรับตัวจากระบบเดิมที่ไม่มีการจัดการข้อมูลอย่างชัดเจนมาก่อน ดังนั้น การมีผู้เชี่ยวชาญที่เข้าใจทั้งด้านกฎหมาย เทคโนโลยี และกระบวนการภายในองค์กร ย่อมช่วยให้การเริ่มต้นง่ายขึ้น มีทิศทาง และมั่นใจได้ว่าทุกก้าวที่เดินไปจะไม่สะดุดกับข้อผิดพลาดที่ไม่ควรเกิด
หากองค์กรของคุณกำลังมองหาที่ปรึกษาที่เข้าใจทั้งมุมมองทางธุรกิจ กระบวนการภายใน และข้อกำหนดตาม PDPA PDPA Core พร้อมช่วยคุณตั้งแต่การทำ Data Flow Mapping การวิเคราะห์ Gap ที่อาจมีอยู่ ไปจนถึงการจัดทำ ROPA และเอกสารที่จำเป็น พร้อมให้คำแนะนำการนำไปใช้งานจริงในองค์กรอย่างเป็นระบบ เพื่อให้องค์กรของคุณไม่เพียงแค่ “ผ่านเกณฑ์ตามกฎหมาย” แต่ยังสามารถใช้ข้อมูลได้อย่างมั่นใจ ปลอดภัย และมีประสิทธิภาพในระยะยาว
ให้คำปรึกษาและดำเนินการ
ให้ธุรกิจของคุณ สอดคล้องกับ PDPA
บทความที่เกี่ยวข้อง
บริษัท เดต้า ว้าว จำกัด
7 อาคารซัมเมอร์ พอยท์ ชั้นที่ 2 ซอยสุขุมวิท 69
แขวงพระโขนงเหนือ เขตวัฒนา กรุงเทพมหานคร 10110 ประเทศไทย
