การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่ใครหลายคนคุ้นเคยในชื่อ PDPA ซึ่งเป็นกฏหมายที่คุ้มครองข้อมูลส่วนบุคคล อย่างเต็มรูปแบบคืออีกหนึ่งจุดเปลี่ยนทำให้หลายองค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพราะกฏหมายได้กำหนดให้องค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคลต้องมีผู้เชี่ยวชาญมาดูแลข้อมูลส่วนบุคคลทั้งหมดภายในองค์กร รวมไปถึงกำหนดทิศทางต่าง ๆ ตามที่กฏหมายได้ กำหนดไว้ โดยผู้เชี่ยวชาญนี้จะถูกเรียกว่า DPO แต่เคยสงสัยหรือไม่ว่า DPO คือ ใคร และเกี่ยวข้องกับกฏหมาย PDPA อย่างไรบ้าง

DPO ย่อมาจาก Data Protection Officer คือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้มีหน้าที่สำคัญในการจัดการดูแล และตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพื่อช่วยให้องค์กรสามารถดำเนินงานได้อย่างถูกต้อง ตรงตามหลักกฎหมาย PDPA อีกทั้งยังเป็นตำแหน่งที่กฎหมาย PDPA กำหนดให้บางองค์กรที่เข้าเกณฑ์นี้ ต้องแต่งตั้งเจ้าหน้าที่ DPO ขึ้นด้วย

DPO ที่ดีต้องมีคุณสมบัติอะไรบ้าง ?

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จะต้องมีคุณสมบัติ ดังนี้

1. มีความรู้–เข้าใจในพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล รวมถึงกฎหมายอื่นที่เกี่ยวข้อง
2. เป็นนักสื่อสารที่ดีเพราะประสานงานกับหน่วยงานอื่นๆและทีมต่างๆภายในองค์กร ที่มีส่วนเกี่ยวข้องกับกฎหมายได้ สามารถอธิบายให้คนในองค์กรเข้าใจภาพรวมของการจัดการข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายได้ รวมไปถึง อาจจำเป็นต้องมีหน้าที่ เช่น สัมภาษณ์คณะทำงานต่าง ๆ ที่เป็นผู้เก็บข้อมูลส่วนบุคคลว่า เก็บที่ไหน, มีวัตถุประสงค์อะไรบ้าง, ขอความยินยอมหรือยัง เพื่อนำมาออกแบบบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) เป็นต้น
3. มีความรู้เรื่องเกี่ยวกับการบริหารจัดการความปลอดภัยของข้อมูล ต้องคอยเฝ้าระวังป้องกันไม่ให้ข้อมูลรั่วไหลและที่สำคัญต้องมีความรู้พื้นฐานด้าน CyberSecurity เพื่อมาตรฐานในการเก็บรักษาข้อมูลให้มีความปลอดภัย
4. ไม่ทำหน้าที่อื่นใดที่ขัดแย้งต่อการปฏิบัติหน้าที่ เจ้าหน้าที่ในอาชีพนี้ต้องไม่ควรเป็นบุคคลที่ได้รับประโยชน์จากการที่ได้ล่วงรู้ข้อมูลส่วนบุคคล ตัวอย่างเช่น Sales หรือ Marketing ที่สามารถใช้ประโยชน์จากข้อมูลส่วนบุคคลของลูกค้าได้โดยตรง หรือเป็นนักกฎหมาย เพราะเมื่อเกิดข้อพิพาทขึ้นมา คนที่ดูแลเรื่องกฎหมายมักจะต้องเข้าข้างองค์กร ซึ่งจะขัดแย้งกับหัวใจของการทำงานในหน้าที่นี้ ซึ่งก็คือ “การปกป้องสิทธิของเจ้าของข้อมูล (Data Subject Right)”
5. สามารถรายงานผู้บริหารได้โดยตรง เนื่องจากผู้ที่ดำรงตำแหน่งนี้ อาจเห็นช่องโหว่ของข้อมูล และต้องการปรับปรุงแก้ไข ดังนั้นจึงควรที่จะสามารถรายงานตรงต่อผู้บริหาร และผลักดันข้อมูลนั้นให้ออกมาเป็นนโยบาย (Privacy Policy) เพื่อที่จะสามารควบคุมจัดการใช้งานข้อมูลได้

องค์กรสามารถใช้ DPO แบบ Outsource ได้ไหม ?

ตามมาตรา 41 ของ PDPA ระบุไว้ชัดเจนว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นคนภายในองค์กร หรือคนภายนอกองค์กรก็ได้ ซึ่งเราในฐานะของเจ้าของข้อมูลส่วนบุคคล ย่อมเห็นว่ามีความเหมาะสม เพราะตำแหน่งนี้เปรียบเสมือนตัวแทนของเจ้าของข้อมูล ที่จะต้องปกป้องเจ้าของข้อมูลมากกว่าปกป้องบริษัทหรือองค์กร ดังนั้น จึงเป็นที่น่าสังเกตว่า หากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นคนในบริษัทหรือองค์กรเอง จะมีความโน้มเอียงไปเพื่อผลประโยชน์ของบริษัทมากกว่าเจ้าของข้อมูล หรือไม่?

องค์กรไหนต้องมี DPO บ้าง

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ระบุถึง รายละเอียดกิจการหรือองค์กร ที่จะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ไว้ดังนี้

1. ต้องเป็นหน่วยงานตามที่หน่วยงานรัฐกำหนด
2. ต้องดำเนินกิจกรรมประมวลผลข้อมูลส่วนบุคคล (การเก็บรวบรวม ใช้ และเปิดเผย) อย่างสม่ำเสมอ
3. ต้องมีการประมวลผลข้อมูลส่วนบุคคล ประเภทข้อมูลอ่อนไหว ตามมาตรา 26

ส่วนกรณีที่มีบางองค์กรไม่เข้าเกณฑ์ข้อกำหนดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีข้อแนะนำว่า อาจมีการแต่งตั้งตัวแทนในองค์กร เพื่อทำหน้าที่ประสานงานเกี่ยวกับข้อมูลส่วนบุคคล เมื่อมีเจ้าของข้อมูลมาขอใช้สิทธิตามกฎหมาย และเพื่อทำหน้าที่ในการติดต่อประสานงานกับหน่วยงานกำกับดูแลได้

และนอกจากภาคเอกชนที่จะต้องมีการจัดตั้ง DPO ภายในองค์กรแล้ว หน่วยงานภาครัฐก็จำเป็นจะต้องมี DPO ด้วยเช่นกัน เพราะล่าสุดเมื่อวันที่ 18 กรกฎาคม 2566 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ออกประกาศเรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566 ซึ่งจะมีผลบังคับใช้ในวันที่ 15 ตุลาคม 2566 นี้ โดยประกาศฉบับนี้เป็นหน่วยงานกลุ่มแรกที่จะต้องมีการจัดตั้ง DPO และมีความเป็นไปได้ว่าจะมีการเพิ่มเติมหน่วยงานอื่น ๆ อีกในอนาคต ซึ่งนี่เป็นสิ่งที่พิสูจน์ได้ว่าการจัดทำ DPO เป็นเรื่องสำคัญสำหรับองค์กรที่มีการจัดเก็บ และประมวลผลข้อมูลส่วนบุคคล หรือมีทั้ง 2 กิจกรรมจะต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อให้เป็นไปตามกฎหมาย PDPA

หน้าที่หลักของ DPO ตามกฎหมายมีอะไรบ้าง

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้กำหนดหน้าที่ของเจ้าหน้าที่ DPO ไว้ ดังนี้

1. ให้คำแนะนำ PDPA แก่คนในองค์กร โดยจัดให้มีการสร้างความตระหนักรู้ (Awareness) ในเรื่องการจัดการข้อมูลส่วนบุคคลอย่างถูกวิธี ให้กับพนักงานในองค์กร เช่น จัดอบรม ให้ความรู้ PDPA กับคณะทำงานและพนักงาน เพื่อสร้างความตระหนักรู้ในการใช้ข้อมูลส่วนบุคคลให้ถูกต้องปลอดภัย ตาม PDPA
2. ตรวจสอบการดำเนินงาน การปฏิบัติตามนโยบายการจัดการข้อมูลส่วนบุคคล เช่น การตรวจสอบว่า องค์กรมีการบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) ถูกต้อง ครบถ้วนหรือไม่ และมีการละเมิดนโยบายการจัดการข้อมูลส่วนบุคคล เช่น การนำข้อมูลไปใช้นอกเหนือจากวัตถุประสงค์ที่ระบุใน Consent หรือเปล่า?
3. ประสานงานกับผู้กำกับดูแล กรณีที่เกิดเหตุการณ์ ข้อมูลส่วนบุคคลรั่วไหลจากองค์กร DPO จะต้องประสานงานในการออกจดหมายแจ้งเตือนข้อมูลรั่วไหล ให้กับสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง
4. รักษาความลับขององค์กร

สรุป : DPO คืออะไร มีหน้าที่อะไรในกฎหมาย PDPA

เนื่องจากเป็นตำแหน่งที่ต้องมีความเชี่ยวชาญด้านกฎหมาย PDPA ดังนั้น DPO จึงเปรียบเสมือน Key player ในการช่วยให้องค์กรสามารถจัดเก็บ รวบรวม เปิดเผย และใช้ข้อมูลส่วนบุคคล รวมไปถึงดูแลความเป็นส่วนตัวของข้อมูลและนโยบายการปกป้องข้อมูลเพื่อให้แน่ใจว่าการดำเนินงานของนโยบายเหล่านั้นผ่านหน่วยขององค์กรทั้งหมดและตรวจสอบให้แน่ใจว่าองค์กรประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูล ให้สามารถปฏิบัติตามกฎหมาย PDPA และปกป้องสิทธิของเจ้าของข้อมูลได้อย่างเต็มที่นั่นเอง

บทความที่น่าสนใจ

• บทบาท DPO กับการคุ้มครองข้อมูลส่วนบุคคล
• สคส. เปิดกรณีศึกษาเกี่ยวกับการใช้กฎหมาย PDPA สำหรับ DPO
• เหตุใด? สถานพยาบาลจึงจำเป็นต้องมี DPO