OpenPDPA

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) องค์กรไหนบ้างที่ต้องมีการแต่งตั้ง?

          องค์กรไหนบ้างที่จะต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกกันว่า DPO โดย จะพูดถึงว่าทำไมเราต้องมี DPO, หน้าที่ของ DPO มีอะไรบ้างและองค์กรไหนบ้างจำเป็นต้องมีการแต่งตั้ง DPO ขึ้นมา

ทำไมต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ?

          อย่างแรกเราจะมาพูดถึงคือ ทำไมเราต้องมี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลนั้น เนื่องจาก DPO เป็นเจ้าหน้าที่จะเข้ามาดูแลและให้ความคุ้มครองเกี่ยวกับข้อมูลส่วนบุคคลทั้งในองค์กร ไม่ว่าจะเป็นข้อมูลภายในขององค์กรเรา หรือจะเป็นข้อมูลภายนอก โดย DPO ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคล และตรวจสอบการใช้ข้อมูลส่วนบุคคล

องค์กรไหนบ้างที่ต้องแต่งตั้ง DPO

ตามกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้กำหนดว่า องค์กรที่ไหนบ้างที่จะต้องมีการแต่งตั้ง DPO
          1. เป็นหน่วยงานรัฐ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
          2. เป็นองค์กรที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ที่จะต้องมีการตรวจสอบข้อมูลบุคคลหรือตรวจสอบระบบอย่างสม่ำเสมอ โดยมีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
          3. เป็นกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลอ่อนไหว
ซึ่งหากเข้าหลักเกณฑ์ทั้งสามเกณฑ์นี้ องค์กรก็จะต้องจำเป็นที่ต้องมีการแต่งตั้ง DPO

หน้าที่ DPO

ตามกฎหมาย PDPA ก็ได้กำหนดหน้าที่ของ DPO ดังต่อไปนี้
          1. ให้คำแนะนำแก่องค์กร ในขณะที่เราเป็นผู้ควบคุมข้อมูลหรือในฐานะผู้ประมวลผลข้อมูล รวมถึงลูกจ้างหรือผู้รับจ้างที่เกี่ยวข้องในการปฏิบัติตามกฎมาย PDPA
          2. ตรวจสอบการดำเนินงานขององค์กร รวมถึงลูกจ้างหรือผู้รับจ้างองค์กรที่เกี่ยวกับการรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามกฎหมาย PDPA
          3. เป็นผู้ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตัวอย่างเช่น ในกรณีที่เกิดเหตุรั่วไหลข้อมูลส่วนบุคคล จัดเก็บใช้หรือเปิดเผย ก็จะมีการแจ้งไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
          4. เจ้าหน้าที่ DPO สมควรจะต้องรักษาความลับของข้อมูลส่วนบุคคลที่ล่วงรู้หรือได้มาในการปฏิบัติหน้าที่

DPO เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

ข้อพิจารณาและคุณสมบัติ DPO

สรุป

          ถ้าองค์กรเข้าหลักเกณฑ์ตามที่กฎหมาย PDPA ที่ต้องมีการแต่งตั้ง PDPA อาจจะแต่งตั้งจากบุคคลภายในองค์กรของเราก็ได้ หรืออาจจะจ้าง Outsource เพื่อป้องกันเรื่องประโยชน์ทับซ้อน ก็สามารถที่จะแต่งตั้งได้เช่นเดียวกัน จะแต่งตั้งเป็นบุคคลเดียว หรือเป็นคณะ หรือบุคคลเดียวที่มีผู้ช่วยในการทำงานของ DPO ก็ได้เช่นเดียวกัน

Exit mobile version