AnswerPDPA

“ความยั่งยืน…ไม่ได้เกิดจากนโยบาย
แต่เกิดจากคนทั้งองค์กรในความคิดผม
..แต่ 𝗣𝗮𝗶𝗻 𝗽𝗼𝗶𝗻𝘁 ของผมคือไม่มีใครเคยบอกเลยว่า
การสร้างความยั่งยืนในองค์กรต้องทำยังไง
แล้ว 𝗗𝗣𝗢 จะทำเรื่องนี้คนเดียวได้จริงหรือ?”
เป็นคำถามที่โยนเข้ามาในห้อง
โดยผู้เรียนหลักสูตร DPO In Action
เป็นคำถามที่มาจากน้ำเสียงที่ไม่ได้เกิดจากความสงสัย แต่เกิดจากความ “เหนื่อยใจ” 😫😩

ประเด็นสนทนาในห้องมีมากมายครับ
ซึ่งผมมองว่าน่าจะเป็นสาธารณประโยชน์แด่ผู้ follow ในเพจ

Privacy คือ Project เป็นเพียง
Tip of the Iceberg 🧊 ❄️ ⛰️ 🏔️

หลายองค์กรเริ่มต้นได้ดีครับ
มี Privacy Notice มี Consent มี RoPA
บางแห่งถึงขั้นทำ DPIA
แต่ทั้งหมดนั้น…คือ “ช่วงตั้งต้น”

ในกรอบที่ผมใช้สอนเสมอ
Privacy Operational Life Cycle มี 4 ขั้น

1️⃣ ขั้น Assess คือ เรารู้จักการประเมินข้อมูลตัวเองดีแค่ไหน?
2️⃣ ขั้น Protect คือ เราปกป้องข้อมูลส่วนบุคคลอย่างไร?
3️⃣ ขั้น Sustain คือ เราสร้างความยั่งยืนในการคุ้มครับข้อมูล ให้มันอยู่รอดได้หรือไม่?
4️⃣ ขั้น Respond คือ เรารับมือเมื่อเกิดเหตุละเมิด หรือการใช้สิทธิอย่างไร?

สิ่งที่น่าสนใจครับคือ
องค์กรจะไปถึงขั้น 1 และ 2
คือ Assess และ Protect
แต่…องค์กรส่วนใหญ่ไปไม่ถึงขั้น Sustain

เพราะอะไรครับ?
ผมจะอธิบายให้ฟัง

เพราะ Privacy Program
มันไม่ใช่งานเอกสาร
แต่มันคือ งานพฤติกรรมมนุษย์

Sustain คือ ศิลปะของการทำให้ของดี ไม่สะดุด
(ภาษาปากคือไม่ตายกลางทาง)
คำว่า Sustain ฟังดูผิวเผินเหมือนการ
maintenance อะไรบางอย่าง

แต่แท้จริงแล้ว มันคือการทำให้ Privacy
กลายเป็น ธุรกิจตาม “ปรกติ”

Privacy Program ท้ายที่สุด
ไม่ใช่โครงการ
ไม่ใช่ campaign
แต่เป็น “นิสัยขององค์กร”

แล้ว เราๆ ท่านๆ จะบรรจุ Sustain
องค์กรจักต้องทำอะไรบ้าง?

ถ้าจะให้อธิบายแบบตำรา iapp
มันมีอยู่ 4 แกนหลัก

☝️เฝ้าดู…แต่ไม่ใช่จับผิด (Monitoring)
องค์กรที่ยั่งยืน ไม่ได้รอ audit ปีละครั้งครับ
แต่ มองเห็นสัญญาอยู่ตลอด

-ใครเก็บข้อมูลเกินความจำเป็น
-ใคร bypass process
-vendor ของเราคนไหนเริ่มเสี่ยง
-training คนไม่จบเพราะอะไร

📍มันไม่ใช่การตรวจเพื่อเอาผิด
แต่เป็นการตรวจเพื่อจับอาการ
“ก่อนจะป่วยหนัก”

✌️ตรวจ…แบบมีหลักฐาน (Audit)
Monitoring คือการเฝ้าดู
แต่ Audit คือการพิสูจน์

องค์กรต้องถามตัวเองว่า
-สิ่งที่เราบอกว่า compliant
เราพิสูจน์ได้หรือไม่?

-ตัว policy ที่เขียนไว้ คนทำจริงหรือไม่?
-Audit มีหลายระดับครับ

มนุษย์ออฟฟิสที่ทำงาน
มาหลายพรรษาทราบดี
ว่าอะไรคือ 3rd Line defense

ตั้งแต่ตรวจเอง (1st party) ไปจนถึง
ให้คนนอกมาตรวจ (3rd party)

📍หัวใจไม่ใช่ “ใคร” ตรวจ
หัวใจคือ “เรากล้ายอมรับความจริงหรือไม่”

👌วัดผล…ให้ผู้บริหาร “เห็นค่า” (Metrics)
ถ้าคุณเป็น DPO
แล้วอยากให้ Privacy อยู่ยั้งยืนยง
คุณต้องทำให้มัน “วัดผลได้”

-DPIA ทำไปกี่ครั้ง
-DSAR ใช้เวลากี่วัน ในการตอบสนอง
-Breach response เร็วขึ้นหรือไม่
-Mean Time to Detect (MTTD)
ดีขึ้นหรือไม่?

📍 ในสมองผู้บริหาร 🧠
สิ่งที่วัดไม่ได้ คือ
สิ่งที่ไม่มีอยู่จริง….ผมบอกได้เลย

🖖ปลูกฝัง…จนกลายเป็นวัฒนธรรม (Training & Awareness)

นี่คือส่วนที่ใหญ่ที่สุดของภูเขาน้ำแข็ง
policy ที่ดี ถ้าไปอยู่ในมือคนที่ไม่เข้าใจ
มันจะกลายเป็นแค่เสือกระดาษ 🐅

องค์กรที่ยั่งยืน ต้องทำให้ลูกน้อง
ผู้ใต้บังคับบัญชา “ตระหนักรู้” ไม่ใช่แค่ “รู้”

รู้ว่าอะไรควรทำ รู้ว่าอะไรไม่ควรทำ
และสำคัญที่สุด…รู้ว่าทำไปเพื่ออะไร

📍 บางครั้ง training 3 ชั่วโมง
สู้ poster 1 แผ่นที่เตือนทุกวันไม่ได้

แล้ว DPO อยู่ตรงไหนในเรื่องนี้?

คำตอบชัดๆ คือ

DPO ไม่ใช่คนทำให้เกิด Sustainability ครับ
แต่ DPO เป็นผู้แนะนำการออกแบบระบบให้มันเกิดได้

ถ้าองค์กรของท่าน
ฝากความหวังไว้ที่ DPO คนเดียว
นั่นไม่ใช่ Privacy Program ครับ
แต่มันคือ “Single Point of Failure”

ขอให้ทุกท่านโชคดีในการสร้าง Privacy Program ในองค์กร

ความรับผิดชอบ (Accountability) เป็นหนึ่งในหลักการคุ้มครองข้อมูลส่วนบุคคล

องค์กรห้างร้าน ต้องรับผิดชอบต่อการตัดสินใจและการกระทำของตนเอง

องค์กรต้องสามารถชี้แจงและอธิบายการตัดสินใจได้ว่า “ทำไม”ท่านถึงตัดสินใจใช้ข้อมูลของลูกค้า

การเข้าใจหลักการความรับผิดชอบ (Accountability) ถือเป็นจุดเริ่มต้นหรือการ
กลัดกระดุมเม็ดแรกที่ถูกต้อง ในการคุ้มครองข้อมูลส่วนบุคคลครับ