อีกไม่กี่เดือน จะถึงเวลาประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ใครหลายคนคุ้นเคยในชื่อ PDPA ว่าด้วยเรื่องของข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการเก็บข้อมูล และการนำไปใช้ ทำให้หลายองค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล จำเป็นต้องอาศัยผู้เชี่ยวชาญมาดูแลข้อมูลส่วนบุคคลทั้งหมดภายในองค์กร รวมไปถึงกำหนดทิศทางต่าง ๆ ตามที่กฏหมายได้ กำหนดไว้ โดยผู้ที่เรียกตัวเองว่า ‘DPO’

DPO คือใครในองค์กร?

DPO ย่อมาจาก Data Protection Officer หมายถึง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้มีหน้าที่สำคัญในการจัดการดูแล และตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพื่อช่วยให้องค์กรสามารถดำเนินงานได้อย่างถูกต้อง ตรงตามหลักกฎหมาย PDPA อีกทั้งยังเป็นตำแหน่งที่กฎหมาย PDPA กำหนดให้บางองค์กรที่เข้าเกณฑ์นี้ ต้องแต่งตั้งเจ้าหน้าที่ DPO ขึ้นด้วย

องค์กรสามารถใช้ DPO แบบ Outsource ได้ไหม ?

ตามมาตรา 41 ของ PDPA ระบุไว้ชัดเจนว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นคนภายในองค์กร หรือคนภายนอกองค์กรก็ได้ ซึ่งเราในฐานะของเจ้าของข้อมูลส่วนบุคคล ย่อมเห็นว่ามีความเหมาะสม เพราะตำแหน่งนี้เปรียบเสมือนตัวแทนของเจ้าของข้อมูล ที่จะต้องปกป้องเจ้าของข้อมูลมากกว่าปกป้องบริษัทหรือองค์กร ดังนั้น จึงเป็นที่น่าสังเกตว่า หากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นคนในบริษัทหรือองค์กรเอง จะมีความโน้มเอียงไปเพื่อผลประโยชน์ของบริษัทมากกว่าเจ้าของข้อมูล หรือไม่?

จะเป็น DPO ที่ดีต้องมีคุณสมบัติ อะไรบ้าง ?

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จะต้องมีคุณสมบัติ ดังนี้

1. มีความรู้-เข้าใจใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล รวมถึงกฎหมายอื่นที่เกี่ยวข้อง

2. เป็นนักสื่อสารที่ดี เพราะประสานงานกับหน่วยงานอื่น ๆ และทีมต่าง ๆ ภายในองค์กร ที่มีส่วนเกี่ยวข้องกับกฎหมายได้ สามารถอธิบายให้คนในองค์กรเข้าใจภาพรวมของการจัดการข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายได้ รวมไปถึง อาจจำเป็นต้องมีหน้าที่ เช่น สัมภาษณ์คณะทำงานต่าง ๆ ที่เป็นผู้เก็บข้อมูลส่วนบุคคลว่า เก็บที่ไหน, มีวัตถุประสงค์อะไรบ้าง, ขอความยินยอมหรือยัง เพื่อนำมาออกแบบบันทึกกิจกรรมข้อมูลส่วนบุคคล (ROPA) เป็นต้น

3. มีความรู้เรื่องเกี่ยวกับการบริหารจัดการความปลอดภัยของข้อมูล ต้องคอยเฝ้าระวังป้องกันไม่ให้ข้อมูลรั่วไหลและที่สำคัญต้องมีความรู้พื้นฐานด้าน CyberSecurity เพื่อมาตรฐานในการเก็บรักษาข้อมูลให้มีความปลอดภัย

4. ไม่ทำหน้าที่อื่นใด ที่ขัดแย้งต่อการปฏิบัติหน้าที่ เจ้าหน้าที่ในอาชีพนี้ต้องไม่ควรเป็นบุคคลที่ได้รับประโยชน์จากการที่ได้ล่วงรู้ข้อมูลส่วนบุคคล ตัวอย่างเช่น Sales หรือ Marketing ที่สามารถใช้ประโยชน์จากข้อมูลส่วนบุคคลของลูกค้าได้โดยตรง หรือเป็นนักกฎหมาย เพราะเมื่อเกิดข้อพิพาทขึ้นมา คนที่ดูแลเรื่องกฎหมายมักจะต้องเข้าข้างองค์กร ซึ่งจะขัดแย้งกับหัวใจของการทำงานในหน้าที่นี้ ซึ่งก็คือ “การปกป้องสิทธิของเจ้าของข้อมูล (Data Subject Right)”

5. สามารถรายงานผู้บริหารได้โดยตรง เนื่องจากผู้ที่ดำรงตำแหน่งนี้ อาจเห็นช่องโหว่ของข้อมูล และต้องการปรับปรุงแก้ไข ดังนั้นจึงควรที่จะสามารถรายงานตรงต่อผู้บริหาร และผลักดันข้อมูลนั้นให้ออกมาเป็นนโยบาย (Privacy Policy) เพื่อที่จะสามารควบคุมจัดการใช้งานข้อมูลได้

องค์กรแบบไหน จำเป็นจะต้องมี DPO?

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ระบุถึง รายละเอียดกิจการหรือองค์กร ที่จะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ไว้ดังนี้

1. ต้องเป็นหน่วยงานตามที่หน่วยงานรัฐกำหนด

2. ต้องดำเนินกิจกรรมประมวลผลข้อมูลส่วนบุคคล (การเก็บรวบรวม ใช้ และเปิดเผย) อย่างสม่ำเสมอ

3. ต้องมีการประมวลผลข้อมูลส่วนบุคคล ประเภทข้อมูลอ่อนไหว ตามมาตรา 26

ส่วนกรณีที่มีบางองค์กรไม่เข้าเกณฑ์ข้อกำหนดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีข้อแนะนำว่า อาจมีการแต่งตั้งตัวแทน ในองค์กร เพื่อทำหน้าที่ประสานงานเกี่ยวกับข้อมูลส่วนบุคคล เมื่อมีเจ้าของข้อมูลมาขอใช้สิทธิตามกฎหมาย และเพื่อทำหน้าที่ ในการติดต่อประสานงานกับหน่วยงานกำกับดูแลได้

หน้าที่หลักของ DPO ตามกฎหมายมีอะไรบ้าง ?

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้กำหนดหน้าที่ของเจ้าหน้าที่ DPO ไว้ ดังนี้

1. ให้คำแนะนำ PDPA แก่คนในองค์กร โดยจัดให้มีการสร้างความตระหนักรู้ (Awareness) ในเรื่องการจัดการข้อมูลส่วนบุคคลอย่างถูกวิธี ให้กับพนักงานในองค์กร เช่น จัดอบรม ให้ความรู้ PDPA กับคณะทำงานและพนักงาน เพื่อสร้างความตระหนักรู้ในการใช้ข้อมูลส่วนบุคคลให้ถูกต้องปลอดภัย ตาม PDPA

2. ตรวจสอบการดำเนินงาน การปฏิบัติตามนโยบายการจัดการข้อมูลส่วนบุคคล เช่น การตรวจสอบว่า องค์กรมีการบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) ถูกต้อง ครบถ้วนหรือไม่ และมีการละเมิดนโยบายการจัดการข้อมูลส่วนบุคคล เช่น การนำข้อมูลไปใช้นอกเหนือจากวัตถุประสงค์ที่ระบุใน Consent หรือเปล่า?

3. ประสานงานกับผู้กำกับดูแล กรณีที่เกิดเหตุการณ์ ข้อมูลส่วนบุคคลรั่วไหลจากองค์กร DPO จะต้องประสานงานในการออกจดหมายแจ้งเตือนข้อมูลรั่วไหล ให้กับสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง

4. รักษาความลับขององค์กร

สรุป : DPO คือใคร? มีหน้าที่อะไรในกฎหมาย PDPA

เนื่องจากเป็นตำแหน่งที่ต้องมีความเชี่ยวชาญด้านกฎหมาย PDPA ดังนั้น DPO จึงเปรียบเสมือน  Key player ในการช่วยให้องค์กรสามารถจัดเก็บ รวบรวม เปิดเผย และใช้ข้อมูลส่วนบุคคล รวมไปถึงดูแลความเป็นส่วนตัวของข้อมูลและนโยบาย การปกป้องข้อมูลเพื่อให้แน่ใจว่าการดำเนินงานของนโยบายเหล่านั้นผ่านหน่วยขององค์กรทั้งหมดและตรวจสอบให้แน่ใจว่าองค์กรประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล ให้สามารถปฏิบัติตามกฎหมาย PDPA และปกป้องสิทธิของเจ้าของข้อมูลได้อย่างเต็มที่นั่นเอง