อย่างที่ทราบกันว่าเมื่อวันที่ 14 กันยายน พ.ศ. 2566 ที่ผ่านมา ทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้เผยแพร่ประกาศฉบับใหม่ที่มีเนื้อหาเพิ่มเติมมาตราที่ 41(2) ซึ่งมีกำหนดว่า กิจการใดบ้างต้องจัดให้มี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” ซึ่งจะมีผลบังคับใช้ในวันที่ 13 ธันวาคม พ.ศ. 2566 นี้แล้ว ในบทความนี้ t-reg จะมาตอบคำถามที่หลายคนสงสัยเกี่ยวกับตำแหน่งใหม่ที่เพิ่งประกาศออกมานี้กัน
DPO คือใคร ?
DPO (Data Protection Officer) หรือ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” คือ เจ้าหน้าที่ที่ทำหน้าที่หลักเป็นเหมือนตัวแทนของเจ้าของข้อมูลในการตรวจสอบว่าองค์กรมีการนำข้อมูลส่วนบุคคลทั้งภายใน (ข้อมูลพนักงาน) และภายนอก (ข้อมูลลูกค้า) ไปใช้อย่างถูกต้องตามกฎหมายหรือไม่ นอกจากนั้น DPO ยังเป็นผู้ที่คอยประสานงานระหว่างองค์กร เจ้าของข้อมูล (Data Subject) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ในกรณีที่เกิดเหตุละเมิดอีกด้วย
DPO สำคัญสำหรับองค์กรอย่างไร ?
แน่นอนว่าปัจจัยแรกคือ เพื่อให้องค์กรสามารถปฏิบัติตามข้อกฎหมาย PDPA ได้อย่างถูกต้องครบถ้วน แต่อีกหนึ่งปัจจัยที่สำคัญไม่แพ้กันก็คือ เรื่องของความปลอดภัยของข้อมูลส่วนบุคคลนั่นเอง เพราะ DPO จะรับหน้าที่เป็นผู้รับผิดชอบหลักประจำองค์กรในการตรวจสอบให้แน่ใจว่าองค์กรมีการใช้ข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย เพื่อป้องกันเหตุการณ์ข้อมูลรั่วไหล และเป็นผู้ที่เตรียมความพร้อมให้องค์กรเมื่อมีเหตุละเมิดเกิดขึ้น อีกทั้งยังส่งเสริมความเชื่อมั่นให้แก่ลูกค้าว่าองค์กรมีบุคคลที่เชี่ยวชาญคอยดูแลปกป้องข้อมูลส่วนบุคคลเป็นอย่างดี
หน้าที่หลักของ DPO
ตามประกาศมาตรา 42 ได้มีการกำหนดหน้าที่หลักของ DPO ไว้ดังนี้
ประชาสัมพันธ์ อบรม ให้ความรู้เกี่ยวกับการจัดการข้อมูลส่วนบุคคลให้คนในองค์กร
ตรวจสอบการดำเนินงานด้านข้อมูลส่วนบุคคลขององค์กรให้เป็นไปตามกฎหมาย
ประสานงานกับเจ้าของข้อมูลส่วนบุคคลและ PDPC
- รักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล
องค์กรใดบ้างที่ต้องมี DPO
จากประกาศเนื้อหาเพิ่มเติมมาตราที่ 41(2) ได้มีการประกาศที่ชัดเจนมากขึ้นสำหรับลักษณะของกิจการที่จำเป็นต้องจัดตั้ง DPO โดยสรุปแล้ว กิจการที่จำเป็นต้องแต่งตั้ง DPO คือกิจการที่มีองค์ประกอบหลัก ดังนี้
เป็นหน่วยงานของรัฐตามที่กำหนด
มีการประมวลข้อมูลส่วนบุคคลเป็นกิจกรรมหลักอยู่เป็นประจำ
มีการประมวลข้อมูลส่วนบุคคลเป็นจำนวนมากกว่า 100,000 รายขึ้นไป
- มีการประมวลผลข้อมูลอ่อนไหวเป็นจำนวนมาก
นอกจากนั้น ในประกาศยังมีการบอกรายละเอียดประเภทธุรกิจที่ต้องจัดตั้ง DPO โดยสามารถสรุปออกมาได้ ดังนี้
ผู้ให้บริการที่ต้องตรวจสอบสถานะ ประวัติ ก่อนที่เจ้าของข้อมูลจะทำสัญญา เช่น ประกันชีวิต/ ประกันวินาศภัย/ ผู้ประกอบธุรกิจสถาบันการเงิน
ผู้ให้บริการระบบเครือข่ายคอมพิวเตอร์/ ผู้ประกอบกิจการโทรคมนาคม
ผู้ให้บริการด้านการโฆษณาตามพฤติกรรม
- เป็นช่องทางสื่อสารระหว่างบุคคล กลุ่ม หรือสาธารณะ
เพราะฉะนั้น ถ้าองค์กรของท่านมีการประมวลผลข้อมูลลูกค้าหรือพนักงานเป็นประจำ และมีจำนวนข้อมูลมากกว่า 100,000 รายขึ้นไป ก็จำเป็นต้องมีการจัดตั้ง DPO ขึ้น เพื่อจัดการกับข้อมูลดังกล่าว
ความท้าทายของตำแหน่งงาน DPO ในฐานะองค์กร
ตำแหน่ง DPO นั้น สามารถแต่งตั้งให้พนักงานในองค์กรรับหน้าที่ หรือจัดหาในรูปแบบ Outsource ก็ได้ อย่างไรก็ดี DPO นับว่าเป็นงานที่มีความสำคัญและต้องใช้ความรับผิดชอบสูง และการที่องค์กรจะหาใครขึ้นมารับตำแหน่ง DPO ก็ไม่ใช่เรื่องง่าย โดยความท้าทายในการหาตำแหน่ง DPO นั้น มี 3 ด้านหลัก ๆ ดังนี้
คุณสมบัติและทักษะ (Qualification and Skills)
บุคคลที่จะมารับตำแหน่ง DPO ต้องเป็นคนที่มีความรู้และทักษะในหลายด้าน ดังต่อไปนี้
เป็นผู้ที่มีความรู้และเชี่ยวชาญในเรื่องกฎหมาย PDPA เป็นอย่างดี
มีความรู้ในด้าน IT และ Cybersecurity เพราะในปัจจุบัน โลกได้มีการปรับเปลี่ยนเข้าสู่ความเป็นดิจิทัลมากขึ้น ดังนั้น ข้อมูลต่าง ๆ ก็จะถูกเก็บอยู่ในระบบ Data Base ในรูปแบบออนไลน์ ถ้า DPO มีความรู้ความเข้าใจในด้านนี้ ก็จะทำให้การดำเนินงานจัดการข้อมูลส่วนบุคคลมีความราบรื่นมากยิ่งขึ้น
- มีทักษะด้านการประสานงานและเป็นคนที่มีความละเอียดรอบคอบ
ผลประโยชน์ทับซ้อน (Conflict of Interest)
DPO คือตำแหน่งงานต้องคลุกคลีอยู่กับข้อมูลส่วนบุคคลทั้งแบบทั่วไปและอ่อนไหวเป็นจำนวนมาก ผู้ที่รับตำแหน่งนี้จึงต้องรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคลขององค์กรอันได้มาจากการปฏิบัติหน้าที่ ซึ่งส่งผลให้ข้อมูลส่วนบุคคลเหล่านั้นติดตัว DPO คนนั้นไปด้วยแม้ว่าเขาจะออกจากองค์กรไปแล้วก็ตาม ซึ่งอาจก่อให้เกิดปัญหา Conflict of Interest ตามมาภายหลังหลังจากที่ DPO คนนั้นเข้าสู่องค์กรอื่นได้ หรือหากเกิดข้อขัดแย้งทางกฎหมายอาจก็ก่อให้เกิดความไม่ไว้วางใจในหมู่เจ้าของข้อมูลส่วนบุคคล เนื่องจากมีความเป็นไปได้ที่ DPO จะโน้มเอียงเข้าหาผลประโยชน์ขององค์กรมากกว่าเจ้าของข้อมูลนั่นเอง
การเปลี่ยนงานบ่อย (Job Hopping)
DPO เป็นตำแหน่งที่ต้องการทักษะและความสามารถหลากหลายด้าน ดังนั้น คนที่มีคุณสมบัติตอบโจทย์ในส่วนนี้จะเป็นทรัพยากรบุคคลทรงคุณค่าที่ต่างเป็นที่ต้องการของหลากหลายองค์กร ซึ่งส่งผลให้บุคคลเหล่านั้นมีแนวโน้มในการเปลี่ยนงานเพื่อตามหาองค์กรที่จะให้ผลประโยชน์กับเขามากที่สุด ดังนั้น การที่องค์กรจะลงทุนกับบุคลากรอย่าง DPO ที่มีแนวโน้มการเกิด Job Hopping มากเพื่อดึงให้พวกเขาทำงานกับองค์กรต่อไปก็นับเป็นอีกหนึ่งความเสี่ยงที่องค์กรต้องรับมือ
ยุ่งยากขนาดนี้ ไม่มี DPO ได้หรือไม่ ?
ถึงแม้ว่าตำแหน่ง DPO จะดูยุ่งยากทั้งในด้านการจัดหาและหลังสิ้นสุดการจ้างงาน แต่หากองค์กรของคุณมีลักษณะตรงตามเงื่อนไขตามที่ PDPC กำหนด ก็จำเป็นต้องจัดตั้งตำแหน่ง DPO ไม่เช่นนั้น อาจโดนโทษปกครองตามกฎหมายได้ นอกจากนั้น การมี DPO นั้นเป็นผลดีต่อองค์กรมากกว่าผลเสียอย่างแน่นอน เนื่องจากองค์กรจะมีผู้ที่เข้ามารับผิดชอบข้อมูลส่วนบุคคลของทั้งพนักงาน ลูกค้า ผู้ใช้บริการขององค์กรโดยเฉพาะ เมื่อเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคล องค์กรก็จะสามารถรับมือกับเหตุการณ์ดังกล่าวได้อย่างทันท่วงทีและมีประสิทธิภาพ อีกทั้งยังส่งเสริมความเชื่อมั่นให้แก่ลูกค้าว่าองค์กรมีบุคคลที่เชี่ยวชาญคอยดูแลปกป้องข้อมูลส่วนบุคคลไม่ให้เกิดเหตุรั่วไหล
โดยสรุปแล้ว DPO เป็นตำแหน่งสำคัญที่เป็นกุญแจหลักขององค์กรในการดูแลรักษาข้อมูลส่วนบุคคลของทุกฝ่ายที่มีความเกี่ยวเนื่องกับองค์กรนั้น ๆ ทั้งหมด และเป็นอีกหนึ่งตำแหน่งที่ทุกองค์กรควรจะมี เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลทั้งภายในและภายนอกขององค์กรมีประสิทธิภาพมากยิ่งขึ้น และเป็นการส่งเสริมความเชื่อมั่นให้ผู้ใช้บริการ อย่างไรก็ดี ด้วยภาระงานที่อาจนำไปสู่การเกิด Conflict of Interest ทำให้การจัดหาผู้รับตำแหน่ง DPO เป็นเรื่องที่ค่อนข้างท้าทายสำหรับหลายองค์กร ดังนั้น การจัดหา DPO ในรูปแบบของ Outsource เองก็เป็นอีกหนึ่งทางเลือกที่จะช่วยแก้ปัญหาเหล่านั้นได้ เปรียบเสมือน Third Party ที่ไม่ได้มีส่วนได้ส่วนเสียกับองค์กร และยกประโยชน์ของเจ้าของข้อมูลเป็นสำคัญ เพื่อเพิ่มความเชื่อมั่นให้แก่องค์กรนั่นเอง
หากองค์กรของท่านกำลังมองหา Solution เพื่อรับมือความเสี่ยงและจัดการดูแลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย PDPA พวกเรา t-reg มีบริการใหม่ “DPO Outsource Service” เพื่อช่วยดูแล ตรวจสอบ ให้คำปรึกษาเรื่องการคุ้มครองข้อมูลส่วนบุคคล ประสานงานกับ PDPC ตลอดจนการตรวจสอบการปฏิบัติงานภายในองค์กรให้เป็นไปตามกฎหมาย ครบ จบใน Service เดียว
หากสนใจใช้บริการของ t-reg หรือมีข้อสงสัยเพิ่มเติม สามารถรับชมได้ที่ t-reg.co
ติดตามรายละเอียด Features อื่นๆ ได้ที่ Facebook Fanpage: PDPA Platform By t-reg
โทร 089-698-2591
