ก. การตรวจประเมิน (Audits)
การตรวจประเมินด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นเครื่องมือสำคัญในการสร้างและรักษาการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย (PDPA) อย่างยั่งยืน และในกรณีที่เกี่ยวข้อง ยังรวมถึงการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ด้วย สำหรับบริษัทที่ดำเนินธุรกิจระหว่างประเทศไทยและประเทศเยอรมนี การตรวจประเมินไม่เพียงทำหน้าที่เป็นกลไกด้านการกำกับดูแลให้เป็นไปตามกฎหมายเท่านั้น แต่ยังเป็นเครื่องมือสำคัญด้านธรรมาภิบาลและการบริหารความเสี่ยงขององค์กรอีกด้วย แนวปฏิบัติในการตรวจประเมินด้านการคุ้มครองข้อมูลของเราถูกออกแบบมาเพื่อช่วยให้ฝ่ายบริหาร คณะกรรมการ และผู้มีส่วนได้เสีย เข้าใจระดับความพร้อมและความสมบูรณ์ของระบบคุ้มครองข้อมูลส่วนบุคคลขององค์กร รวมถึงระดับความเสี่ยงที่เกี่ยวข้อง ได้อย่างชัดเจนและสามารถอ้างอิงได้อย่างเหมาะสม
เราดำเนินการตรวจประเมินด้านการคุ้มครองข้อมูลทั้งในสถานที่ปฏิบัติงาน (onsite) และทางไกล (offsite) โดยพิจารณาตามโครงสร้างการดำเนินงาน ลักษณะอุตสาหกรรม และระดับความเสี่ยงของลูกค้า การตรวจประเมินของเราดำเนินการตามวงจร PDCA (Plan–Do–Check–Act) อย่างเป็นระบบ เพื่อมุ่งเน้นการพัฒนาอย่างต่อเนื่อง ไม่ใช่เพียงการตรวจเพื่อให้ผ่านการปฏิบัติตามกฎหมายในครั้งเดียว เราประเมินกระบวนการทางธุรกิจของลูกค้าในมิติด้านการคุ้มครองข้อมูลส่วนบุคคล ทั้งในด้านโครงสร้างการกำกับดูแล บทบาทและความรับผิดชอบภายในองค์กร มาตรการด้านเทคนิคและมาตรการเชิงองค์กร รวมถึงกระบวนการรายงานและการยกระดับเรื่อง (escalation procedures)
หัวใจสำคัญของการตรวจประเมินอยู่ที่การทบทวนและยืนยันความถูกต้องของบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities – RoPA) การจัดทำแผนผังการไหลของข้อมูล (data flow mapping) ประกาศความเป็นส่วนตัว (privacy notices) กลไกการให้ความยินยอม (consent mechanisms) สัญญาการประมวลผลข้อมูล (data processing agreements) และกรอบการโอนข้อมูลส่วนบุคคลข้ามพรมแดน (cross-border data transfer frameworks) รวมถึงในกรณีที่จำเป็น เราจะทำการเปรียบเทียบกระบวนการที่ใช้อยู่กับแนวปฏิบัติและความคาดหวังของหน่วยงานกำกับดูแล รวมถึงแนวทางการบังคับใช้กฎหมายทั้งในประเทศไทยและสหภาพยุโรป
นอกเหนือจากการปฏิบัติตามกฎหมายแล้ว การตรวจประเมินด้านการคุ้มครองข้อมูลของเรายังเชื่อมโยงกับข้อกำหนดด้านการรายงานทางการเงินและธรรมาภิบาลขององค์กรอีกด้วย เราสนับสนุนกระบวนการปิดงบสิ้นปี โดยช่วยระบุความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลที่อาจจำเป็นต้องเปิดเผยหรือกันสำรองไว้ในงบการเงิน ผลการตรวจประเมินสามารถจัดทำในรูปแบบที่เอื้อต่อการรายงานต่อผู้สอบบัญชีรับอนุญาต (CPA) และผู้สอบบัญชี รวมถึงการประเมินความเสี่ยงต่อค่าปรับทางปกครอง โทษปรับ และหนี้สินที่อาจเกิดขึ้นจากการไม่ปฏิบัติตาม PDPA หรือ GDPR
ในกรณีที่เกี่ยวข้อง เรายังให้ความช่วยเหลือฝ่ายบริหารในการบูรณาการผลการตรวจประเมินด้านการคุ้มครองข้อมูลเข้ากับการประเมินความเสี่ยงของงบการเงิน ระบบการควบคุมภายใน และรายงานด้านการปฏิบัติตามกฎหมาย เพื่อให้เกิดความสอดคล้องกันระหว่างมุมมองด้านกฎหมาย การดำเนินงาน และการเงิน
ข. คำปรึกษาด้านการปฏิบัติตามกฎหมาย (Compliance Advice – GDPR และ PDPA)
การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ ไม่ได้อาศัยเพียงนโยบายเท่านั้น แต่จำเป็นต้องมีกรอบการปฏิบัติตามกฎหมายที่มีความถูกต้องตามกฎหมาย และถูกนำไปฝังอยู่ในกระบวนการดำเนินงานขององค์กรอย่างแท้จริง โดยสอดคล้องกับข้อกำหนดของทั้ง GDPR และ PDPA เราให้คำปรึกษาแก่บริษัทที่ดำเนินธุรกิจระหว่างประเทศไทยและประเทศเยอรมนี ในการออกแบบ จัดตั้ง นำไปใช้ และดูแลรักษาระบบการคุ้มครองข้อมูลส่วนบุคคลให้สามารถรองรับการตรวจสอบและการบังคับใช้กฎหมายจากหน่วยงานกำกับดูแลได้ คำปรึกษาของเราจะปรับให้เหมาะสมกับรูปแบบธุรกิจ อุตสาหกรรม ลักษณะกิจกรรมการประมวลผลข้อมูล และความเสี่ยงจากการดำเนินงานข้ามพรมแดนของลูกค้าแต่ละราย
หัวใจสำคัญของงานให้คำปรึกษาของเราคือเรื่องสิทธิของเจ้าของข้อมูลส่วนบุคคล ได้แก่ สิทธิในการเข้าถึงข้อมูล การขอแก้ไขข้อมูล การขอลบข้อมูล การขอจำกัดการประมวลผล การคัดค้านการประมวลผล และสิทธิในการโอนย้ายข้อมูล เราช่วยลูกค้าออกแบบขั้นตอนภายในองค์กรสำหรับการรับและจัดการคำร้องของเจ้าของข้อมูลให้เป็นไปตามระยะเวลาที่กฎหมายกำหนด พร้อมทั้งจัดให้มีระบบการจัดทำเอกสารและกลไกการยกระดับเรื่อง (escalation) ที่เหมาะสม
นอกจากนี้ เรายังให้คำปรึกษาเกี่ยวกับหน้าที่ในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล (data breach notification) ครอบคลุมถึงการวางแผนรับมือเหตุการณ์ (incident response planning) การประเมินเหตุละเมิด เกณฑ์ในการพิจารณาว่าต้องแจ้งหรือไม่ และระยะเวลาในการรายงานต่อหน่วยงานกำกับดูแลและเจ้าของข้อมูล ตามที่กำหนดไว้ทั้งใน GDPR และ PDPA โดยแนวทางของเรายึดตามแนวปฏิบัติในการบังคับใช้กฎหมาย และมุ่งเน้นการลดความเสี่ยงด้านกำกับดูแล พร้อมทั้งคงไว้ซึ่งความโปร่งใสและความน่าเชื่อถือขององค์กร
การโอนข้อมูลส่วนบุคคลข้ามพรมแดนระหว่างสำนักงานใหญ่ในประเทศเยอรมนีกับบริษัทย่อยในประเทศไทย ถือเป็นความเสี่ยงด้านการปฏิบัติตามกฎหมายที่มีความสำคัญอย่างยิ่ง เราให้คำปรึกษาเกี่ยวกับการโอนข้อมูลระหว่างประเทศตามมาตรา 44 ของ GDPR โดยเน้นย้ำว่า ปัจจุบันประเทศไทยยังไม่ใช่ประเทศที่ได้รับการรับรองความเพียงพอด้านการคุ้มครองข้อมูลตามมาตรา 45 ของ GDPR บริการของเราครอบคลุมถึงการจัดทำและดูแลการใช้ข้อสัญญามาตรฐาน (Standard Contractual Clauses – SCCs) ระหว่างบริษัทในกลุ่ม การสนับสนุนการจัดทำกฎผูกพันภายในองค์กร (Binding Corporate Rules – BCRs) สำหรับกลุ่มบริษัทข้ามชาติ และการใช้ข้อยกเว้นตามมาตรา 49 ของ GDPR อย่างเป็นระบบในกรณีที่เหมาะสม
นอกจากนี้ เรายังให้คำปรึกษาแก่สำนักงานใหญ่ในประเทศเยอรมนีเกี่ยวกับการแต่งตั้งและการกำกับดูแลเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO) ทั้งในระดับกลุ่มบริษัทและระดับท้องถิ่น ครอบคลุมถึงสายการรายงาน ความเป็นอิสระตามกฎหมาย และความรับผิดชอบของบริษัทย่อยในแต่ละประเทศ คำปรึกษาของเรายังรวมถึงการประเมินโทษปรับทางปกครองและค่าปรับที่อาจเกิดขึ้น เพื่อช่วยให้บริษัทแม่ในประเทศเยอรมนีสามารถประเมินและวัดระดับความเสี่ยงได้อย่างเป็นรูปธรรม รองรับการตรวจสอบภายใน และแสดงให้เห็นถึงระบบธรรมาภิบาลด้านการปฏิบัติตามกฎหมายในระดับกลุ่มบริษัทที่มีประสิทธิภาพ
ภายใต้ประมวลบรรษัทภิบาลของประเทศเยอรมนี (German Corporate Governance Code – DCGK) คณะกรรมการบริหารมีหน้าที่จัดให้มีระบบการปฏิบัติตามกฎหมายและระบบบริหารความเสี่ยงที่มีประสิทธิผล ขณะที่คณะกรรมการกำกับดูแลมีหน้าที่ตรวจสอบความเพียงพอและประสิทธิภาพของระบบดังกล่าว ดังนั้น ความเสี่ยงด้านการคุ้มครองข้อมูลตาม GDPR และ PDPA จึงถือเป็นความเสี่ยงด้านการปฏิบัติตามกฎหมายที่ต้องรายงาน และอาจมีนัยสำคัญต่อทั้งสองคณะกรรมการ
หากองค์กรไม่สามารถระบุ ประเมิน และลดความเสี่ยงดังกล่าวได้อย่างเหมาะสม อาจก่อให้เกิดความเสี่ยงต่อความรับผิดส่วนบุคคลของกรรมการและผู้บริหารภายใต้กรอบการประกันความรับผิดของกรรมการและผู้บริหาร (D&O insurance) โดยเฉพาะในกรณีที่มีข้อบกพร่องที่ทราบอยู่แล้วแต่ไม่ได้รับการแก้ไข การจัดทำการประเมินความเสี่ยงด้านโทษปรับอย่างเป็นระบบและอิงความเสี่ยง จะช่วยสนับสนุนการตัดสินใจของฝ่ายบริหาร การยอมรับความเสี่ยงอย่างมีเหตุผล และการแสดงให้เห็นถึงการปฏิบัติตามหน้าที่กำกับดูแลตาม DCGK อย่างเหมาะสม
| ประเภทความเสี่ยง | ตัวอย่างความบกพร่องในการปฏิบัติตามกฎหมายที่พบบ่อย | ผลกระทบหรือมาตรการจากหน่วยงานกำกับดูแลที่อาจเกิดขึ้น | ระดับความเสี่ยงด้านโทษปรับ |
|---|---|---|---|
| ความเสี่ยงต่ำ (Low Risk) |
ช่องว่างด้านเอกสารเล็กน้อย เช่น เอกสาร RoPA ไม่ครบถ้วน หรือประกาศความเป็นส่วนตัว (privacy notice) ไม่เป็นปัจจุบัน |
คำสั่งให้แก้ไข ปรับปรุง กำหนดระยะเวลาในการแก้ไข และหนังสือเตือน |
ค่าปรับทางปกครองในระดับต่ำ |
| ความเสี่ยงปานกลาง (Medium Risk) |
การดำเนินการเกี่ยวกับคำร้องของเจ้าของข้อมูลล่าช้า มาตรการด้านเทคนิคและองค์กร (TOM) ไม่เพียงพอ และบทบาทหน้าที่ของ DPO ไม่ชัดเจน |
ค่าปรับทางปกครอง คำสั่งให้ปรับปรุงกระบวนการ และการติดตามตรวจสอบเพิ่มเติม |
ค่าปรับในระดับปานกลาง และถูกตรวจสอบเข้มงวดมากขึ้น |
| ความเสี่ยงสูง (High Risk) |
ไม่ปฏิบัติตามหน้าที่แจ้งเหตุละเมิดข้อมูล การโอนข้อมูลข้ามประเทศโดยไม่ชอบด้วยกฎหมาย (ตามมาตรา 44 ของ GDPR) และการใช้ SCCs ที่ไม่ถูกต้อง |
ค่าปรับทางปกครองในระดับสูง คำสั่งห้ามประมวลผลข้อมูล และความเสียหายต่อชื่อเสียงขององค์กร |
ค่าปรับในระดับสูง และส่งผลกระทบทางการเงินอย่างมีนัยสำคัญ |
| ความเสี่ยงวิกฤติ (Critical Risk) |
การไม่ปฏิบัติตามกฎหมายอย่างเป็นระบบ เพิกเฉยต่อคำสั่งของหน่วยงานกำกับดูแล และมีการฝ่าฝืนซ้ำหลายครั้ง |
ค่าปรับสูงสุดตามที่กฎหมายกำหนด คำสั่งระงับการประมวลผลข้อมูล และการถูกฟ้องร้องทางแพ่ง |
บทลงโทษรุนแรง และความเสี่ยงต่อความรับผิดของกรรมการและผู้บริหาร (D&O exposure) |