DPO คืออะไร และต้องมีคุณสมบัติอย่างไรถึงจะเหมาะสมกับตำแหน่งงาน DPO ?
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลคือใครกันนะ ?
DPO คืออะไร และต้องมีคุณสมบัติอย่างไรถึงจะเหมาะสมกับตำแหน่งงาน DPO ? วันนี้ Trsut vision เรามีคำตอบให้ค่ะ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data protection officer เป็นตัวละครหลักที่มีบทบาทสำคัญ ในการดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดขององค์กรไม่ว่าจะเป็นข้อมูลส่วนบุคคลของพนักงานภายในองค์กร และข้อมูลส่วนบุคคลของลูกค้า เพื่อไม่ให้นำข้อมูลส่วนบุคคลไปใช้อย่างผิดวัตถุประสงค์ที่ได้รับความยินยอมจากเจ้าของข้อมูล และต้องเป็นผู้กำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
หน้าที่ของ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีอะไรบ้าง ?
มาตรา 42 กฎหมาย PDPA เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
ให้คำแนะนำเรื่องกฎหมาย PDPA แก่องค์กร
หมายถึง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องเป็นผู้นำในการให้ความรู้แก่ พนักงานภายในองค์กรให้มีความตะหนักรู้เกี่ยวกับการจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลอย่างไรให้ปลอดภัยและเป็นไปตามกฎหมาย PDPA ได้กำหนด ซึ่งกิจกรรมนี้ต้องทำงานร่วมกับฝ่าย HRD ขององค์กรให้การจัดฝึกอบรมให้ความรู้
ตรวจสอบการดำเนินงานเกี่ยวกับกฎหมาย PDPA ขององค์กร
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ตรวจสอบการจัดทำเอกสารต่าง ๆ ที่เกี่ยวข้องและจำเป็นต้องใช้ ตัวอย่างเช่น นโนบายความเป็นส่วนตัว แนวทางการปฏิบัติ เอกสารขอความยินยอม เอกสารขอตกลงการใช้ข้อมูลร่วมกัน เป็นต้น เพื่อตรวจสอบว่าเอกสารดังกล่าวมีความครบถ้วนถูกต้องตามกฎหมาย PDPA ได้กำหนดหรือไม่
ประสานงานและให้ความร่วมมือกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ในกรณีที่มีข้อพิพาทเกิดขึ้นหรือพบการรั่วไหลของข้อมูลส่วนบุคคลภายในองค์กร เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ประสานงานและต้องจัดทำจดหมายแจ้งการละเมิดข้อมูลส่วนบุคคลให้กับคณะกรรมคุ้มครองข้อมูลส่วนบุคคลทราบ ไม่ช้ากว่า 72 ชม นับตั้งแต่วันทราบเหตุ
รักษาความลับของข้อมูลส่วนบุคคลขององค์กร
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องปฏิบัติอย่างแข้งขัดในการรักษาความลับที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ ตามกฎหมาย PDPA
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องมีคุณสมบัติ อย่างไร ?
เนื่องจากในปัจจุบันยังไม่มีการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างเป็นทางการ ดังนั้นในกฎหมายยังไม่มีการระบุคุณสมบัติของตำแหน่ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้อย่างชัดเจน แต่คุณสมบัติพื้นฐานที่ตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องมีดังนี้
มีความรู้ความเข้าใจใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างชัดเจน
เพราะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องเป็นตัวแทนขององค์กรในการจัดทำโครงการ PDPA และมีหน้าที่ให้คำปรึกษาแก่พนักงานภายในองค์กร, คณะทำงานโครงการ PDPA รวมไปถึงลูกค้า เกี่ยวกับกฎหมาย PDPA และกฎหมายที่เกี่ยวข้อง ดังนั้นผู้ที่ดำรงตำแหน่งจะต้องมีความรู้และเชี่ยวชาญด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
มีทักษะในการสื่อสารที่ดี
เนื่องจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องประสานงานกับหน่วยงานภายในองค์กรและภายนอกองค์กร เกี่ยวกับกฎหมาย PDPA ดังนั้น ต้องเป็นคนที่สามารถอธิบายให้พนักงานในองค์กรเข้าใจและสามารถปฎิบัติได้อย่างถูกต้องเกี่ยวกับการรวบรวมจัดเก็บ เปิดเผย ส่งต่อ ข้อมูลส่วนบุคคลอย่างไรให้ถูกต้องสอดคล้องกับกฎหมายฉบับนี้
มีความรู้เรื่องเกี่ยวกับการบริหารจัดการความปลอดภัยของข้อมูล
นอกจากการเก็บข้อมูลแล้ว การปกป้องข้อมูลไม่ให้รั่วไหลนั้นก็สำคัญไม่แพ้กัน ดังนั้นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องมีความรู้ด้านพื้นฐานด้าน CyberSecurity ซึ่งหากองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบ Digital จะต้องมีมาตรฐานในการเก็บรักษาข้อมูลให้มีความปลอดภัยด้วย
ไม่ทำหน้าที่อื่นใด ที่ขัดแย้งต่อการปฏิบัติหน้าที่
ตัวอย่างเช่น Sales หรือ Marketing ที่สามารถใช้ประโยชน์จากข้อมูลส่วนบุคคลของลูกค้าได้โดยตรง เมื่อเกิดข้อพิพาทเกิดขึ้นหากผู้ดำรงตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลกระทำผิดก็สามารถปิดบังหรือบิดเบือนข้อมูลความผิดเหล่านั้นได้
สามารถรายงานผู้บริหารได้โดยตรง
ผู้ที่ดำรงตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องเป็นผู้ที่สามารถประสานงานตรงกับผู้บริหารได้โดยตรง เนื่องจากกฎหมาย PDPA ได้กำหนดระยะเวลาในการแจ้งเกี่ยวกับข้อมูลส่วนบุคคลเกิดรั่วไหลภายในองค์กรไว้ไม่ช้ากว่า 72 ชม. ตั้งแต่วันทราบเหตุ ดังนั้นเวลามีจำกัดและต้องจัดเตรียมเอกสารอื่น ๆ ให้กับทางผู้บริหารและคณะกรรมการคุ้ครองข้อมูลส่วนบุคคลรับทราบให้ทันเวลา ผู้ที่จะเข้ามาดำรงตำแหน่งต้องอยู่ในระดับ manager, Leader เป็นต้น
สามารถใช้ Outsource มาเป็น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ได้หรือไม่ ?
ตามมาตรา 41 กฎหมาย PDPA ได้กำหนดหน้าที่ของตำแหน่งนี้ไว้ ดังนี้ตัวกฎหมายได้บอกชัดเจนอยู่แล้วว่า “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับให้บริการตามสัญญากับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลข้อมูลส่วนบุคคลก็ได้” ซึ่งในฐานะของเจ้าของข้อมูลส่วนบุคคลนั้น ย่อมเห็นว่ามีความเหมาะสม เพราะตำแหน่งนี้เปรียบเสมือนตัวแทนของเจ้าของข้อมูล ที่จะต้องปกป้องเจ้าของข้อมูลมากกว่าที่จะปกป้องบริษัท แต่ถ้าเป็นคนในบริษัท “อาจจะมีความโน้มเอียงไปทางผลประโยชน์ของบริษัทมากกว่าเจ้าของข้อมูลก็เป็นได้”
องค์กรแบบไหนที่จำเป็นจะต้องมี ?
หากสรุปตาม พ.ร.บ. จะเห็นได้ว่ากิจการหรือองค์กรใดที่จะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล องค์กรดังกล่าวจะต้องมีกิจกรรมดังนี้ ข้อใดข้อหนึ่งหรือทั้งหมดก็ได้ อันได้แก่
- เป็นหน่วยงานตามที่หน่วยงานรัฐกำหนด
- ดำเนินกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (อันได้แก่การเก็บรวบรวม ใช้ และเปิดเผย) อย่างสม่ำเสมอ
- มีการประมวลผลข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว ตามมาตรา 26
ในกรณีองค์กรของท่านไม่ได้เข้าเกณฑ์ข้อกำหนดตาม พ.ร.บ. ทางเราก็มีข้อแนะนำว่าอาจมีการแต่งตั้งตัวแทนในองค์กร เพื่อทำหน้าที่ประสานงานเกี่ยวกับข้อมูลส่วนบุคคลเมื่อเจ้าของข้อมูลมาขอใช้สิทธิ และเพื่อทำหน้าที่ในการติดต่อประสานงานกับหน่วยงานกำกับดูแลได้นั้นเอง
สรุป : เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นอีกหนึ่งตัวละครสำคัญที่จะเข้ามาครอบคลุมดูแลการใช้ข้อมูลส่วนบุคคลให้โปร่งใสแต่การจัดเก็บ รวบรวม เปิดเผย ใช้ข้อมูลส่วนบุคคลให้ถูกต้อง สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และให้ความสำคัญกับสิทธิเจ้าของข้อมูลส่วนบุคคล นั้นเอง
สามารถอ่าน content เกี่ยวกับกฎหมาย PDPA ได้ที่ CONSENT ” พื้นฐานที่ HR ต้องรู้ ?
ข้อมูลอ้างอิง DPO คือใคร?, 6 คำถามยอดฮิตที่พบบ่อยในองค์กร
