Skip to content

Table of Contents

DPO คืออะไร และต้องมีคุณสมบัติอย่างไรถึงจะเหมาะสมกับตำแหน่งงาน DPO ?

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลคือใครกันนะ ?

DPO คืออะไร และต้องมีคุณสมบัติอย่างไรถึงจะเหมาะสมกับตำแหน่งงาน DPO ? วันนี้ Trsut vision เรามีคำตอบให้ค่ะ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data protection officer เป็นตัวละครหลักที่มีบทบาทสำคัญ ในการดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดขององค์กรไม่ว่าจะเป็นข้อมูลส่วนบุคคลของพนักงานภายในองค์กร และข้อมูลส่วนบุคคลของลูกค้า เพื่อไม่ให้นำข้อมูลส่วนบุคคลไปใช้อย่างผิดวัตถุประสงค์ที่ได้รับความยินยอมจากเจ้าของข้อมูล และต้องเป็นผู้กำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

หน้าที่ของ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีอะไรบ้าง ?

มาตรา 42 กฎหมาย PDPA เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้

ให้คำแนะนำเรื่องกฎหมาย PDPA แก่องค์กร 

หมายถึง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องเป็นผู้นำในการให้ความรู้แก่ พนักงานภายในองค์กรให้มีความตะหนักรู้เกี่ยวกับการจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลอย่างไรให้ปลอดภัยและเป็นไปตามกฎหมาย PDPA ได้กำหนด ซึ่งกิจกรรมนี้ต้องทำงานร่วมกับฝ่าย HRD ขององค์กรให้การจัดฝึกอบรมให้ความรู้

ตรวจสอบการดำเนินงานเกี่ยวกับกฎหมาย PDPA ขององค์กร 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ตรวจสอบการจัดทำเอกสารต่าง ๆ ที่เกี่ยวข้องและจำเป็นต้องใช้ ตัวอย่างเช่น นโนบายความเป็นส่วนตัว แนวทางการปฏิบัติ เอกสารขอความยินยอม เอกสารขอตกลงการใช้ข้อมูลร่วมกัน เป็นต้น เพื่อตรวจสอบว่าเอกสารดังกล่าวมีความครบถ้วนถูกต้องตามกฎหมาย PDPA ได้กำหนดหรือไม่ 

ประสานงานและให้ความร่วมมือกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ในกรณีที่มีข้อพิพาทเกิดขึ้นหรือพบการรั่วไหลของข้อมูลส่วนบุคคลภายในองค์กร เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ประสานงานและต้องจัดทำจดหมายแจ้งการละเมิดข้อมูลส่วนบุคคลให้กับคณะกรรมคุ้มครองข้อมูลส่วนบุคคลทราบ ไม่ช้ากว่า 72 ชม นับตั้งแต่วันทราบเหตุ

รักษาความลับของข้อมูลส่วนบุคคลขององค์กร

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องปฏิบัติอย่างแข้งขัดในการรักษาความลับที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ ตามกฎหมาย PDPA

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องมีคุณสมบัติ อย่างไร ?

เนื่องจากในปัจจุบันยังไม่มีการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างเป็นทางการ ดังนั้นในกฎหมายยังไม่มีการระบุคุณสมบัติของตำแหน่ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้อย่างชัดเจน แต่คุณสมบัติพื้นฐานที่ตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องมีดังนี้

มีความรู้ความเข้าใจใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างชัดเจน

เพราะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องเป็นตัวแทนขององค์กรในการจัดทำโครงการ PDPA และมีหน้าที่ให้คำปรึกษาแก่พนักงานภายในองค์กร, คณะทำงานโครงการ PDPA รวมไปถึงลูกค้า เกี่ยวกับกฎหมาย PDPA และกฎหมายที่เกี่ยวข้อง ดังนั้นผู้ที่ดำรงตำแหน่งจะต้องมีความรู้และเชี่ยวชาญด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 

มีทักษะในการสื่อสารที่ดี

เนื่องจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องประสานงานกับหน่วยงานภายในองค์กรและภายนอกองค์กร เกี่ยวกับกฎหมาย PDPA ดังนั้น ต้องเป็นคนที่สามารถอธิบายให้พนักงานในองค์กรเข้าใจและสามารถปฎิบัติได้อย่างถูกต้องเกี่ยวกับการรวบรวมจัดเก็บ เปิดเผย ส่งต่อ ข้อมูลส่วนบุคคลอย่างไรให้ถูกต้องสอดคล้องกับกฎหมายฉบับนี้ 

มีความรู้เรื่องเกี่ยวกับการบริหารจัดการความปลอดภัยของข้อมูล

นอกจากการเก็บข้อมูลแล้ว การปกป้องข้อมูลไม่ให้รั่วไหลนั้นก็สำคัญไม่แพ้กัน ดังนั้นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องมีความรู้ด้านพื้นฐานด้าน CyberSecurity ซึ่งหากองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบ Digital จะต้องมีมาตรฐานในการเก็บรักษาข้อมูลให้มีความปลอดภัยด้วย

ไม่ทำหน้าที่อื่นใด ที่ขัดแย้งต่อการปฏิบัติหน้าที่

ตัวอย่างเช่น Sales หรือ Marketing ที่สามารถใช้ประโยชน์จากข้อมูลส่วนบุคคลของลูกค้าได้โดยตรง เมื่อเกิดข้อพิพาทเกิดขึ้นหากผู้ดำรงตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลกระทำผิดก็สามารถปิดบังหรือบิดเบือนข้อมูลความผิดเหล่านั้นได้ 

สามารถรายงานผู้บริหารได้โดยตรง

ผู้ที่ดำรงตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องเป็นผู้ที่สามารถประสานงานตรงกับผู้บริหารได้โดยตรง เนื่องจากกฎหมาย PDPA ได้กำหนดระยะเวลาในการแจ้งเกี่ยวกับข้อมูลส่วนบุคคลเกิดรั่วไหลภายในองค์กรไว้ไม่ช้ากว่า 72 ชม. ตั้งแต่วันทราบเหตุ ดังนั้นเวลามีจำกัดและต้องจัดเตรียมเอกสารอื่น ๆ ให้กับทางผู้บริหารและคณะกรรมการคุ้ครองข้อมูลส่วนบุคคลรับทราบให้ทันเวลา ผู้ที่จะเข้ามาดำรงตำแหน่งต้องอยู่ในระดับ manager, Leader เป็นต้น

สามารถใช้ Outsource มาเป็น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ได้หรือไม่ ?

ตามมาตรา 41 กฎหมาย PDPA ได้กำหนดหน้าที่ของตำแหน่งนี้ไว้ ดังนี้ตัวกฎหมายได้บอกชัดเจนอยู่แล้วว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับให้บริการตามสัญญากับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลข้อมูลส่วนบุคคลก็ได้ ซึ่งในฐานะของเจ้าของข้อมูลส่วนบุคคลนั้น ย่อมเห็นว่ามีความเหมาะสม เพราะตำแหน่งนี้เปรียบเสมือนตัวแทนของเจ้าของข้อมูล ที่จะต้องปกป้องเจ้าของข้อมูลมากกว่าที่จะปกป้องบริษัท แต่ถ้าเป็นคนในบริษัทอาจจะมีความโน้มเอียงไปทางผลประโยชน์ของบริษัทมากกว่าเจ้าของข้อมูลก็เป็นได้

องค์กรแบบไหนที่จำเป็นจะต้องมี ?

หากสรุปตาม พ... จะเห็นได้ว่ากิจการหรือองค์กรใดที่จะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล องค์กรดังกล่าวจะต้องมีกิจกรรมดังนี้ ข้อใดข้อหนึ่งหรือทั้งหมดก็ได้ อันได้แก่

  • เป็นหน่วยงานตามที่หน่วยงานรัฐกำหนด
  • ดำเนินกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (อันได้แก่การเก็บรวบรวม ใช้ และเปิดเผย) อย่างสม่ำเสมอ
  • มีการประมวลผลข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว ตามมาตรา 26

ในกรณีองค์กรของท่านไม่ได้เข้าเกณฑ์ข้อกำหนดตาม พ... ทางเราก็มีข้อแนะนำว่าอาจมีการแต่งตั้งตัวแทนในองค์กร เพื่อทำหน้าที่ประสานงานเกี่ยวกับข้อมูลส่วนบุคคลเมื่อเจ้าของข้อมูลมาขอใช้สิทธิ และเพื่อทำหน้าที่ในการติดต่อประสานงานกับหน่วยงานกำกับดูแลได้นั้นเอง

สรุป : เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นอีกหนึ่งตัวละครสำคัญที่จะเข้ามาครอบคลุมดูแลการใช้ข้อมูลส่วนบุคคลให้โปร่งใสแต่การจัดเก็บ รวบรวม เปิดเผย ใช้ข้อมูลส่วนบุคคลให้ถูกต้อง สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และให้ความสำคัญกับสิทธิเจ้าของข้อมูลส่วนบุคคล นั้นเอง

สามารถอ่าน content เกี่ยวกับกฎหมาย PDPA ได้ที่ CONSENT ” พื้นฐานที่ HR ต้องรู้ ?

แบ่งปันบทความดีๆ

Facebook
Twitter
LinkedIn

บทความที่เกี่ยวข้อง