พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรารู้จักกันในนาม PDPA ถือเป็นกติกาชุดสำคัญที่เข้ามาเปลี่ยนโฉมการจัดการข้อมูลในประเทศไทยอย่างสิ้นเชิง กฎหมายฉบับนี้ถูกประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และหลังจากที่ผ่านช่วงเวลาการปรับตัวมาอย่างยาวนาน ก็ได้มีผลบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 เจตนารมณ์หลักของกฎหมายไม่ได้มีไว้เพื่อจำกัดการทำงานของธุรกิจ แต่มีไว้เพื่อสร้างเกราะคุ้มครองสิทธิความเป็นส่วนตัวของประชาชน และวางบรรทัดฐานให้องค์กรไทยก้าวไปสู่มาตรฐานสากล โดยมี “กฎหมายลูก” หรือประกาศจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) คอยขยายความรายละเอียดทางเทคนิค เช่น มาตรฐานการรักษาความมั่นคงปลอดภัยขั้นต่ำ และขั้นตอนการแจ้งเหตุละเมิดข้อมูลที่ต้องดำเนินการภายใน 72 ชั่วโมง

หัวใจสำคัญที่กฎหมายกำหนดไว้คือการระบุบทบาทของ Data Controller (ผู้ควบคุมข้อมูลส่วนบุคคล) และ Data Processor (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ชัดเจน เนื่องจากภาระหน้าที่และความรับผิดชอบตามกฎหมายนั้นแตกต่างกัน โดยผู้ควบคุมข้อมูลคือผู้ที่มีอำนาจตัดสินใจว่าข้อมูลจะถูกนำไปใช้อย่างไร ส่วนผู้ประมวลผลคือผู้ที่ทำงานภายใต้คำสั่งเพื่อสนับสนุนการบริหารจัดการ ข้อมูลเหล่านี้หากขาดระบบบริหารจัดการที่ดีก็จะกลายเป็นความเสี่ยงมหาศาล องค์กรส่วนใหญ่จึงเลือกนำมาตรฐานสากลอย่าง ISO/IEC 27701 เข้ามาประยุกต์ใช้เพื่อสร้างระบบ Privacy Information Management System (PIMS) ให้แข็งแกร่ง

      ความเคลื่อนไหวที่น่าจับตามองที่สุดในขณะนี้คือการเปลี่ยนผ่านจากเวอร์ชั่นเดิม (ISO/IEC 27701:2019) เข้าสู่เวอร์ชั่นใหม่ล่าสุดนั่นคือ ISO/IEC 27701:2025 ซึ่งได้มีการปรับปรุงโครงสร้างให้มีความทันสมัยและยืดหยุ่นกว่าเดิมมาก โดยเฉพาะการขยายขอบเขตให้มีความเป็นเอกเทศมากขึ้น และการปรับปรุงชุดควบคุม (Controls) ในภาคผนวก (Annex) ให้รองรับบริบทของเทคโนโลยีสมัยใหม่และการประมวลผลข้อมูลที่มีความซับซ้อนในยุคดิจิทัล สำหรับองค์กรที่ขอตรวจประเมินรับรองมาตรฐานในวันนี้หรือในปี 2026 ผลลัพธ์ที่ได้จะเป็นเวอร์ชั่น 2025 ซึ่งแสดงถึงความพร้อมในระดับสูงสุดในการปกป้องข้อมูล

 การตรวจประเมินเพื่อรับรองมาตรฐาน ISO/IEC 27701:2025 นั้น จะมีการพิจารณาข้อกำหนดทางกฎหมายของประเทศไทยที่เกี่ยวข้อง ไม่ว่าจะเป็นการเลือกใช้ฐานกฎหมายในการประมวลผล (Lawful Basis) ที่ต้องถูกต้องตามมาตราต่าง ๆ การจัดทำบันทึกรายการประมวลผล (RoPA) ตลอดจนกลไกการรักษาสิทธิของเจ้าของข้อมูลตามบริบทกฎหมายไทย ดังนั้นการได้รับรองมาตรฐานเวอร์ชั่น 2025 จึงเป็นเครื่องยืนยันว่าองค์กรได้บูรณาการทั้งมาตรฐานสากลและข้อบังคับทางกฎหมายของประเทศเข้าด้วยกันอย่างสมบูรณ์ ช่วยสร้างความเชื่อมั่นให้กับคู่ค้าในระดับโลกและเป็นเกราะป้องกันทางกฎหมายที่รัดกุมที่สุดสำหรับองค์กรในยุคปัจจุบัน     

     URS ประเทศไทย จึงขอนำเสนอมาตรฐานสากล ที่เกี่ยวข้องกับ ดังกล่าว ได้แก่ ISO 27001, ISO 27017,  ISO 22301, ISO 9001, ISO 27001, ISO 27701, ISO20000-1, ISO/IEC 29110-4-1 และมาตรฐานสากลอื่น ๆ โดยเรามีผู้ตรวจที่มีประสบการณ์และความเชี่ยวชาญในการตรวจและให้การรับรองทั้งองค์กรภาครัฐและเอกชน ซึ่งจะช่วยให้องค์กรของท่านได้รับใบรับรองและเป็นที่ยอมรับในระดับสากล

หากท่านต้องการทราบขั้นตอน การตรวจรับรองมาตรฐาน ISO และข้อมูลสนับสนุนอื่น ๆ เพื่อกระบวนการตรวจรับรองตามขั้นตอน สามารถติดต่อเราได้ที่ช่องทาง ที่ขึ้นอยู่บนหน้าจอ และเมื่อผ่านการตรวจรับรองแล้ว ท่านจะได้รับใบรับรองมาตรฐาน ISO  จาก URS ประเทศอังกฤษ