fbpx

OpenPDPA

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) องค์กรไหนบ้างที่ต้องมีการแต่งตั้ง?

DPO PDPA
นาย วันพิชิต ชินตระกูลชัย​

นาย วันพิชิต ชินตระกูลชัย​

Chief Technology Officer (CTO)
Ragnar Corporation

แบ่งปันบทความดีๆ

เนื้อหาในบทความ

          องค์กรไหนบ้างที่จะต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกกันว่า DPO โดย จะพูดถึงว่าทำไมเราต้องมี DPO, หน้าที่ของ DPO มีอะไรบ้างและองค์กรไหนบ้างจำเป็นต้องมีการแต่งตั้ง DPO ขึ้นมา

ทำไมต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ?

          อย่างแรกเราจะมาพูดถึงคือ ทำไมเราต้องมี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลนั้น เนื่องจาก DPO เป็นเจ้าหน้าที่จะเข้ามาดูแลและให้ความคุ้มครองเกี่ยวกับข้อมูลส่วนบุคคลทั้งในองค์กร ไม่ว่าจะเป็นข้อมูลภายในขององค์กรเรา หรือจะเป็นข้อมูลภายนอก โดย DPO ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคล และตรวจสอบการใช้ข้อมูลส่วนบุคคล

องค์กรไหนบ้างที่ต้องแต่งตั้ง DPO

ตามกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้กำหนดว่า องค์กรที่ไหนบ้างที่จะต้องมีการแต่งตั้ง DPO
          1. เป็นหน่วยงานรัฐ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
          2. เป็นองค์กรที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ที่จะต้องมีการตรวจสอบข้อมูลบุคคลหรือตรวจสอบระบบอย่างสม่ำเสมอ โดยมีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
          3. เป็นกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลอ่อนไหว
ซึ่งหากเข้าหลักเกณฑ์ทั้งสามเกณฑ์นี้ องค์กรก็จะต้องจำเป็นที่ต้องมีการแต่งตั้ง DPO

หน้าที่ DPO

ตามกฎหมาย PDPA ก็ได้กำหนดหน้าที่ของ DPO ดังต่อไปนี้
          1. ให้คำแนะนำแก่องค์กร ในขณะที่เราเป็นผู้ควบคุมข้อมูลหรือในฐานะผู้ประมวลผลข้อมูล รวมถึงลูกจ้างหรือผู้รับจ้างที่เกี่ยวข้องในการปฏิบัติตามกฎมาย PDPA
          2. ตรวจสอบการดำเนินงานขององค์กร รวมถึงลูกจ้างหรือผู้รับจ้างองค์กรที่เกี่ยวกับการรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามกฎหมาย PDPA
          3. เป็นผู้ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตัวอย่างเช่น ในกรณีที่เกิดเหตุรั่วไหลข้อมูลส่วนบุคคล จัดเก็บใช้หรือเปิดเผย ก็จะมีการแจ้งไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
          4. เจ้าหน้าที่ DPO สมควรจะต้องรักษาความลับของข้อมูลส่วนบุคคลที่ล่วงรู้หรือได้มาในการปฏิบัติหน้าที่

DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

ข้อพิจารณาและคุณสมบัติ DPO

  •  ในการแต่งตั้ง DPO สามารถที่จะแต่งตั้งเป็นบุคคลหรือคณะบุคคลก็ได้แต่ความเหมาะสมและบริบทขององค์กร จะแต่งตั้งคนเดียวก็ได้ทำให้มีการทำงานอย่างเบ็ดเสร็จเด็ดขาดได้ แต่ต้องมีทักษะความรู้หลายด้านประกอบกัน ทั้งกฎหมายรวมถึง IT มีความรู้ความสามารถรอบด้าน ถ้าตั้งเป็นคณะบุคคลในกลุ่มของคณะกรรมการอาจมีบุคคลรู้เรื่องกฎหมายคนหนึ่ง หรือ IT คนหนึ่ง และหากมีปัญหาเรื่องของอำนาจในการตัดสินใจ ก็จำเป็นต้องตัดสินใจร่วมกันว่าวิธีไหนเป็นวิธีเหมาะที่สุด องค์กรที่แต่งตั้ง DPO เราอาจแต่งตั้ง DPO หนึ่งคน แต่ก็มีทีมประกอบไม่ว่าจะเป็นเรื่องกฎหมาย หรือ IT เราอาจจะให้บุคคลที่เป็นผู้ช่วยดังกล่าว เสนอแนวทางเพื่อให้ DPO เป็นผู้ตัดสินใจ
  • คุณสมบัติของ DPO ซึ่งปัจจุบันตามกฎหมาย PDPA ก็ได้กำหนดว่าคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลนั้นอาจจะมีการประกาศคุณสมบัติเพิ่มมาในภายหลัง ปัจจุบันยังไม่มีประกาศดังกล่าวออกมา เบื้องต้น DPO อาจเป็นคนที่มีความรู้เรื่องของเทคโนโลยีและเรื่องความเสี่ยงต่อการละเมิดความเป็นส่วนตัว เนื่องจาก DPO จะต้องมีการจัดทำความเสี่ยง การประมวลผลข้อมูลส่วนบุคคล ดังนั้นก็จะต้องมีประสบการณ์ในด้านของการประเมินความเสี่ยงความเป็นส่วนตัว รวมถึงจะต้องหาแนวทางป้องกันหรือโอนย้ายความเสี่ยงได้ด้วย และต้องมีเทคโนโลยีตามมาตรฐานตามที่กฎหมายกำหนด รวมถึงมีการเตรียมความพร้อมสำหรับภัยคุกคามที่เข้ามา จากการเปลี่ยนแปลงและวิวัฒนาการของเทคโนโลยี ทำให้ความเสี่ยงมีการพัฒนาเปลี่ยนแปลงไปจากรูปแบบเดิมเช่นกัน
  • เรื่องความรู้ด้านกฎหมาย DPO จะต้องมีความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และจะต้องให้มีความมั่นใจว่าข้อมูลที่องค์กรได้รับมาแล้ว จะถูกรักษาเป็นความลับและได้ใช้ตามหน้าที่และภารกิจที่รับมาให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งไปยังเจ้าของข้อมูลส่วนบุคคล และเป็นไปตามที่กฎหมายกำหนด
  • ต้องมีความเข้าใจในธุรกิจและวัฒนธรรมองค์กร จำเป็นต้องมีการติดต่อสื่อสารประสานงานและให้คำปรึกษากับฝ่ายที่มีการใช้ข้อมูลส่วนบุคคล รวมถึงบุคคลภายนอกที่นำข้อมูลส่วนบุคคลจากองค์กรของเราประมวลผลต่อ รวมถึงสำนักงานคณะกรรมการข้อมูลบุคคลและหน่วยงานอื่นที่เกี่ยวข้อง และ DPO จะต้องให้คำปรึกษาโดยสามารถยกตัวอย่าง ธุรกิจของแต่ละฝ่ายแต่ละแผนกได้
  • เรื่องความรู้ข้อมูลส่วนบุคคลต่างประเทศ อันนี้จะเป็นกรณีที่องค์กรของเราส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ หากองค์กรมีการติดต่อสื่อสารกับหน่วยงานทั้งในและต่างประเทศ รวมถึงอาจะมีการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ จึงมีความจำเป็นต้องมีความรู้ด้านกฎหมายทั้งในประเทศ และต่างประเทศ เช่น GDPR ของสหภาพยุโปร เพื่อให้องค์กรสามารถดำเนินการได้ถูกต้องตามกฎหมายภายในและกฎหมายต่างประเทศ รวมถึงสามารถแนะนำวิธีปฏิบัติของต่างประเทสเพื่อนำมาปรับใช้ให้เหมาะสมกับข้อมูลส่วนบุคคลที่องค์กรได้รับ
  • ความเป็นผู้นำและความกระตือรือร้นในการเรียนรู้สิ่งใหม่ DPO จำเป็นต้องมีความเป็นผู้นำ และมีประสบการณ์ ตลอดจนความสามารถในการบริหารจัดการโครงการ เพื่อที่จะสามารถร้องขอข้อมูล ติดตามงาน และให้คำแนะนำการคุ้มครองข้อมูลส่วนบุคคลขององค์กร นอกจากนี้ DPO ต้องสามารถประเมินตนเองได้ว่าตนเองขาดความรู้และต้องการอบรมเพิ่มเติมในประเด็นใด เพื่อให้มีความรู้ความเข้าใจเพียงพอในการให้คำแนะนำในการดำเนินงานขององค์กรที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
  • ติดต่อเข้าถึงง่ายได้ตลอดเวลา หากเกิดประเด็นปัญหาในการดำเนินงานภายในองค์กร หรือเกิดเหตุละเมิดหรือข้อสงสัยอื่นใด DPO จำเป็นต้องสามารถติดต่อได้ตลอดเวลาผ่านทางช่องทางที่องค์กรกำหนด และ DPO ต้องสามารถสื่อสารเป็นภาษาที่คนทั่วไปเข้าใจง่าย ไม่เป็นเชิงเทคนิค และเชิงกฎหมายมากเกินไป และไม่ทำให้บุคคลทั่วไปเข้าใจผิด เพื่อป้องกันข้อร้องเรียนและร้องขอจากเจ้าของข้อมูลส่วนบุคคล รวมถึงการให้ความช่วยเหลือเจ้าของข้อมูลส่วนบุคคลในการตอบคำถามและแก้ไขปัญหาเบื้องต้นได้
  • สื่อสารและถ่ายทอดความรู้ความเข้าใจได้ DPO มีความจำเป็นต้องให้ความรู้ ความเข้าใจในแนวปฏิบัติ และภาระทางกฎหมายแก่ฝ่ายงาน จึงต้องมีทักษะด้านการสื่อสารและถ่ายทอดความรู้ได้ด้วยภาษาที่เข้าใจง่าย และสามารถยกตัวอย่างที่เห็นภาพได้ เพื่อให้ทุกฝ่ายในองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลได้ปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคล กฎ ระเบียบ ข้อบังคับ และกฎหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
  • ความเป็นอิสระ DPO ต้องมีความเป็นอิสระ สามารถรายงานไปยังผู้บริหารสูงสุดขององค์กรได้ ไม่มีผลประโยชน์ทับซ้อน และน่าเชื่อถือ ในกรณีที่ DPO เป็นเจ้าหน้าที่หรือพนักงานภายในองค์กรและมีภารกิจของฝ่ายงานหลักขององค์กร องค์กรต้องทำให้มั่นใจว่าภารกิจของ DPO ต้องไม่มีผลประโยชน์ทับซ้อนกับภารกิจหลัก โดย DPO อาจเป็นตำแหน่งประจำที่แยกออกจากฝ่ายอื่นหรือบุคคลภายนอกเพื่อป้องกันผลประโยชน์ทับซ้อนได้

สรุป

          ถ้าองค์กรเข้าหลักเกณฑ์ตามที่กฎหมาย PDPA ที่ต้องมีการแต่งตั้ง PDPA อาจจะแต่งตั้งจากบุคคลภายในองค์กรของเราก็ได้ หรืออาจจะจ้าง Outsource เพื่อป้องกันเรื่องประโยชน์ทับซ้อน ก็สามารถที่จะแต่งตั้งได้เช่นเดียวกัน จะแต่งตั้งเป็นบุคคลเดียว หรือเป็นคณะ หรือบุคคลเดียวที่มีผู้ช่วยในการทำงานของ DPO ก็ได้เช่นเดียวกัน

แบ่งปันบทความดีๆ

บทความอื่นๆ

PDPA ต้องเก็บ Log อะไรบ้าง
Technology
PDPA ต้องเก็บ Log File อะไรบ้าง

PDPA ต้องเก็บ Log File อะไรบ้าง ทำไมต้องจัดเก็บ และอุปกรณ์ใดบ้างที่ต้องคอยจัดเก็บข้อมูล Log File เพื่อให้องค์กรของคุณสามารถ Comply กฎหมายได้