DPO

สวัสดีครับ ในบทความนี้เราจะมาเรียนรู้กันว่า DPO คืออะไร หน้าที่ความรับผิดชอบคืออะไร คุณสมบัติของคนที่จะเข้ามารับตำแหน่ง Data Protection Officer เป็นอย่างไร และแนวทางการปฎิบัต ในการรับสมัครนั้นมันมีวิธีอย่างไร มาลองอ่านในบทความนี้กันดูนะครับ

แต่ก่อนอื่นผมอยากจะขอเกริ่นแบบพอสังเขบนะครับว่าตำแหน่งDPO คือตำแหน่งอะไร

DPO

DPO คืออะไร

Data Protection Officer คือคนที่เข้าดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดในองค์กรไม่ว่าจะเป็นองค์กรข้อมูลภายใน (ข้อมูลพนักงาน) หรือภายนอก (ข้อมูลลูกค้า) หน้าที่ที่สำคัญของตำแหน่งน้ีก็จะรวมไปถึงการกำหนดทิศทาง ซึ่งแน่นอนว่าในตัวกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้น ระบุไว้แน่นอนว่าทุกองค์กรที่มีการเก็บข้อมูลส่วนบุคคลจะต้อง มีไว้กำกับดูแลรักษาข้อมูลเหล่านี้

DPO

ดังนั้นคำถามทัดมาก็คือทุก ๆ องค์กรควรจะมีDPO หรือไม่??

ตามกฎหมาย PDPA ได้ระบุไว้ว่าองค์กรที่เก็บข้อมูลส่วนบุคคลจะต้องมี DPOไว้ทำหน้าที่ตรวจสอบกระบวนการการเก็บ ใช้ และเผยแพร่ข้อมูล ซึ่งหน้าที่ที่ได้กล่าวมาจะต้องทำอย่างสม่ำเสมอ และเป็นระบบ แต่ว่าการพิจารณาว่าองค์กรควรจะมีDPOหรือเปล่าไม่ได้ขึ้นอยู่กับขนาดองค์กรเพียงอย่างเดียวครับ

ตามกฎหมาย PDPA ได้ระบุไว้ว่าองค์กรที่เก็บข้อมูลส่วนบุคคลจะต้องมี DPOไว้ทำหน้าที่ตรวจสอบกระบวนการการเก็บ ใช้ และเผยแพร่ข้อมูล ซึ่งหน้าที่ที่ได้กล่าวมาจะต้องทำอย่างสม่ำเสมอ และเป็นระบบ แต่ว่าการพิจารณาว่าองค์กรควรจะมีDPO หรือเปล่าไม่ได้ขึ้นอยู่กับขนาดองค์กรเพียงอย่างเดียวครับ

  • จำนวน Data Subject
  • จำนวน Data item
  • ระยะเวลาในการเก็บข้อมูลส่วนบุคคล
  • สถานที่ที่ไว้ใช้เก็บเก้บข้อมูลส่วนบุคคล
ถึงแม้ว่าจะไม่มีแนวทางที่แน่นอนเกี่ยวกับขนาดของการจัดการข้อมูล แต่ธุรกิจขนาดเล็กส่วนใหญ่จะไม่จำเป็นต้องจ้างDPO เว้นแต่เป้าหมายหลัก ๆ คือการรวบรวมหรือจัดเก็บข้อมูลโดยเฉพาะนั่นเองครับ

ขอบเขตความรับผิดชอบ และคุณสมบัติของ Data Protection Officer

DPO(Data Protection Officer) คือตำแหน่งที่สำคัญสำหรับองค์กรที่รวบรวมหรือจัดเก็บข้อมูล ซึ่งหน้าที่ความรับผิดชอบของตำแหน่งนี้ก็จะรวมถึงการให้ความรู้แก่ บริษัท และพนักงานเกี่ยวกับข้อบังคับ ฝึกอบรมพนักงานที่เกี่ยวข้องกับการประมวลผลข้อมูล และดำเนินการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ นอกจากนี้ยังทำหน้าที่เป็นจุดติดต่อระหว่าง บริษัท กับหน่วยงานที่กำกับดูแลกิจกรรมที่เกี่ยวข้องกับข้อมูลอีกด้วย

โดยบทบาทหน้าที่ความรับผิดชอบที่สำคัญจะประกอบไปด้วย :

  • การให้ความรู้แก่ บริษัท และพนักงานเกี่ยวกับข้อกำหนดการปฏิบัติตามข้อกำหนดที่สำคัญ
  • ฝึกอบรมเจ้าหน้าที่ที่เกี่ยวข้องกับการประมวลผลข้อมูล
  • ดำเนินการตรวจสอบเพื่อให้แน่ใจว่ามีการปฏิบัติตามข้อกำหนดและแก้ไขปัญหาที่อาจเกิดขึ้นในเชิงรุก
  • ทำหน้าที่เป็นจุดติดต่อระหว่าง บริษัท และหน่วยงานกำกับดูแล PDPA
  • ตรวจสอบประสิทธิภาพและให้คำแนะนำเกี่ยวกับผลกระทบของความพยายามในการปกป้องข้อมูล
  • การเก็บรักษาบันทึกที่ครอบคลุมของกิจกรรมการประมวลผลข้อมูลทั้งหมดที่ดำเนินการโดย บริษัท รวมถึงวัตถุประสงค์ของกิจกรรมการประมวลผลทั้งหมดซึ่งจะต้องเปิดเผยต่อสาธารณะเมื่อมีการร้องขอ
  • การติดต่อกับเจ้าของข้อมูลเพื่อแจ้งให้พวกเขาทราบเกี่ยวกับวิธีการใช้ข้อมูลของพวกเขาสิทธิ์ในการลบข้อมูลส่วนบุคคลของพวกเขาและมาตรการใดที่ บริษัท ได้ใช้เพื่อปกป้องข้อมูลส่วนบุคคลของพวกเขา

คุณสมบัติของคนที่จะเข้ามาเป็น DPO (Data Protection Officer)

dpo

ในตัวกฎหมายคุ้มครองข้อมูลส่วนบุคคลยังไม่ได้ระบุชัดเจนที่ออกมาเป็นข้อ ๆ

ว่าคุณสมบัติเป็นอย่างไร แต่ว่าการที่จะเป็นDPO ได้นั้นจะต้องเป็นผู้เชี่ยวชาญเกี่ยวกับกฎหมาย และแนวปฏิบัติด้านการคุ้มครองข้อมูลซึ่งความเชี่ยวชาญ ควรสอดคล้องกับการดำเนินการประมวลผลข้อมูลขององค์กร และระดับการปกป้องข้อมูลที่จำเป็นสำหรับสิ่งที่ประมวลผลโดยผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูล

 

คนที่เป็นหนึ่งในทีมของ Controller หรือ Processer และในบริษัทในเครือก็สามารถใช้DPO คนเดียวกันได้ ซึ่งจะต้องเป็คนที่สามารถเข้าถึงกับทุกคนในองค์กรได้ จำเป็นต้องมีการเผยแพร่ข้อมูลส่วนตัวของตนต่อสาธารณะและให้แก่หน่วยงานกำกับดูแลทั้งหมด

เจ้าหน้าที่คุ้มครองข้อมูลต้องไม่มีผลประโยชน์ทับซ้อน หมายความหน้าที่ที่รับผิดชอบอยู่ในปัจจุบันที่มันขัดแย้งกับการตรวจสอบติดตามข้อมูลส่วนบุคคุล

ยกตัวอย่างเช่น นักกฎหมายผู้ที่เป็นตัวแทนของ บริษัทในการดำเนินการทางกฎหมายจะถือว่ามีความขัดแย้งทางผลประโยชน์จึงไม่มีคุณสมบัติในการที่จะเข้ามารับตำแหน่ง

แนวทางการปฎิบัติในการรับDPO เข้ามาทำงาน

ตำแหน่งนี้จะต้องมีความเชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลและความเข้าใจอย่างถ่องแท้เกี่ยวกับโครงสร้างพื้นฐานด้านไอทีเทคโนโลยีและโครงสร้างทางเทคนิคและองค์กรของ บริษัท ซึ่งจะแต่งตั้งคนในองค์กร หรือว่าจ้างมาก็ได้ บริษัท และองค์กรควรมองหาผู้สมัครที่สามารถจัดการการปกป้องข้อมูลและการปฏิบัติตามข้อกำหนดภายในในขณะที่รายงานการไม่ปฏิบัติตามไปยังหน่วยงานกำกับดูแลที่เหมาะสม โดยจะต้องมีความน่าเชื่อถือ และไม่มีการผูกมัดกับหน้าที่การเดิม หรือตำแหน่งที่มีความเกี่ยวข้องในการเก็บ ประมวลผล และเผยแพร่ข้อมูลส่วนบุคคล

สรุปแล้วหน้าที่นี้ควรที่จะมีทักษะในการสื่อสารที่ดี เพราะจะต้องติดต่อประสานงานทั้งพนักงานภายในทุกระดับ และเจ้าหน้าที่ภายนอกได้อย่างง่ายดาย นอกจากนี้ จะต้องตรวจสอบการปฏิบัติตามข้อกำหนดภายใน และแจ้งเตือนเจ้าหน้าที่เกี่ยวกับกรณีการไม่ปฏิบัติตามแม้ว่า บริษัท อาจถูกปรับจำนวนมากก็ตามครับ

Reference : https://www.atinternet.com/en/glossary/data-protection-officer-dpo/

จบจาก Stamford International University (Hua Hin Campus) คณะ International Business Management – Bilingual Program ปัจจุบันทำงานด้าน Digital Marketing อยู่ที่ Ragnar Corporation อีกทั้งสนใจเรื่อง Cyber Security, Compliance และ Technology ต่าง ๆ จึงเขียนบทความเพื่อศึกษาหาข้อมูล และทำความเข้าใจเกี่ยวกับเรื่องนี้

    Recommended Posts

    data Subject right
    สิทธิของเจ้าของข้อมูล (Data Subject Right)
    Cosent
    หน้าตาของ consent เป็นอย่างไร?
    Privacy Policy and Privacy Notice
    Privacy Policy กับ Privacy Notice แตกต่างกันยังงัย?

    No comment yet, add your voice below!

    Add a Comment

    Your email address will not be published. Required fields are marked *