หน้าที่ของ DPO และองค์กร ในปี 2566 และอีกหลายปีต่อจากนี้ จะมีการปรับและเปลี่ยนไปอย่างไร ? หากความท้าทายถัดไปคือการตรวจสอบการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 หรือ PDPA Audit
ประเด็นนี้ถูกยกขึ้นมาถกเถียงกันในที่ประชุมของหลายองค์กร ที่บรรลุการทำตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคล แน่นอนว่าคำถามนี้สร้างแรงกระเพื่อมต่อ DPO ซึ่งเปรียบได้กับหัวเรือใหญ่ของกระบวนการ/ โครงการ PDPA ในองค์กร ทำให้ DPO ไม่อาจอยู่นิ่งเฉย และต้องเฟ้นหากระบวนการ เครื่องมือ และตัวช่วยเพื่อมารองรับกระบวนการหลังจากนี้ และเพื่อให้เข้าใจบริบทความท้าทายที่ DPO ต้องเผชิญ บทความนี้จะพาผู้อ่านไปทำความรู้จักกับประเด็นปัญหาที่ DPO ในองค์กรต้องรับมือ ทำความเข้าใจหน้าที่ DPO ทั้งที่เป็นหน้าที่ทั่วไป และหน้าที่ตามกฎหมาย พร้อมทั้งวิธีการที่องค์กรจะนำมาใช้ในการตรวจสบการทำงานของ DPO พร้อมทั้งแนวทางรับมือที่ DPO ต้องรู้ก่อนเริ่มกระบวนการสอบทาน
DPO Challenges: บริบทความท้าทายในการทำ หน้าที่ DPO
DPO ขององค์กร มักเป็นพนักงานในแผนก IT HR หรือ Legal ซึ่งมีภาระงานหลักที่ต้องทำควบคู่กับการขับเคลื่อนโครงการ PDPA
สำหรับองค์กรที่แต่งตั้งพนักงานขององค์กรให้ทำ หน้าที่ DPO มักประสบปัญหาภาระงานที่เพิ่มขึ้นจากเดิม เนื่องจากกระบวนการที่เกี่ยวข้องกับกฎหมาย PDPA นั้น มีรายละเอียดยิบย่อยพอสมควร ทั้งรายละเอียดในเชิงนโยบาย และรายละเอียดกระบวนการเชิงเทคนิค และตราบใดที่กระบวนการ PDPA มีการอัปเดตตามกฎหมายเพิ่มเติม ข้อกำหนด ระเบียบ หรือแนวทางที่ประกาศออกมาอยู่บ่อยครั้ง ภาระงานของ DPO ก็ต้องอัปเดตตาม ถือเป็นหน้าที่รับผิดชอบที่หลีกเลี่ยงไม่ได้
ในขณะที่ขับเคลื่อนกระบวนการหรือนโยบายตามข้อกำหนดของกฎหมาย PDPA เจ้าหน้าที่ DPO ยังต้องทำงานหลักของตนเองควบคู่กันไป การทำทั้งงานหลักและหน้าที่ที่เสริมเข้ามา ก็ถือเป็นความท้าทายที่ DPO ต้องแบกรับ
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ต้องเรียนรู้การใช้เครื่องมือ/ แพลตฟอร์ม/ เทคโนโลยี ในการบริหารจัดการโครงการ PDPA
สำหรับองค์กรที่มีการนำ เครื่องมือ แพลตฟอร์ม หรือเทคโนโลยีมาใช้ในการบริการจัดการโครงการ PDPA การเรียนรู้เครื่องมือ หรือเรียนรู้การใช้แพลตฟอร์มหรือเทคโนโลยีเป็นสิ่งที่หลีกเลี่ยงได้ยาก แม้ว่าจะใช้เครื่องมือเป็นตัวช่วย ทว่าเครื่องมือบริการจัดการโครงการ PDPA ส่วนใหญ่ ยังไม่ใช่ระบบ Automation ที่สามารถทำงานได้เองทั้งหมด แม้แต่แพลตฟอร์มที่มีระบบฐานข้อมูล หรือมี Features ที่ช่วยให้ขั้นตอนต่างๆ ในโครงการ PDPA นั้นรวดเร็ว ทว่าแพลตฟอร์มเหล่านี้ยังต้องพึ่งพาการป้อนข้อมูลจากมนุษย์ รวมถึงการอัพเดทเวอร์ชั่นของแพลตฟอร์มหรือเทคโนโลยีนั้นๆ ด้วย
บุคคลากรไม่เพียงพอต่อภาระงานที่ต้องดูแล มีการผลัดเปลี่ยน โยกย้ายตำแหน่งงาน
ความท้าทายนี้อาจไม่มีผลกระทบมากนักหากองค์กรนำเครื่องมือ แพลตฟอร์ม หรือเทคโนโลยีมาใช้ในการบริการจัดการโครงการ PDPA แต่สำหรับองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลจำนวนมาก หรือระดับ Big Data หรือเป็นองค์กรที่มีบริษัทในเครือ มีสาขาจำนวนมาก เป็นธุรกิจโรงงานอุตสาหกรรมขนาดใหญ่ที่มีพนักงาน 300-500 คนขึ้นไป มีการไหลเวียนของข้อมูลส่วนบุคคลตลอดเวลา หรือมีการประมวลผลข้อมูลอ่อนไหว แต่ยังอาศัย DPO เพียงคนเดียว หรือมีทีม DPO ที่มีจำนวนคนไม่เพียงพอต่อการ Function งานทั้งหมด
อาจทำให้เกิดภาวะ Overload เกิดความเครียด ความกดดันต่อ DPO จนอาจนำมาสู่การลาออกได้ ซึ่งจะส่งผลให้งานที่เกี่ยวกับกฏหมาย PDPA ขาดความต่อเนื่อง ขาดผู้ขับเคลื่อน และส่งผลกระทบต่อกระบวนการทำงานของแผนกอื่นๆ ที่เกี่ยวข้องได้
การขาดอำนาจในการตรวจสอบ หรือไม่มีอำนาจในการสั่งการ เนื่องจากฝ่ายงานที่เกี่ยวข้อง มีอำนาจมากกว่า และประเด็น Conflic of Interest
DPO เป็นตำแหน่งงานที่มีหน้าที่ตรวจสอบ เช็คความพร้อมของกระบวนการ วิธีการดำเนินงาน นโยบายที่เกี่ยวข้องกับกฎหมาย PDPA ทว่ากระบวนการที่มีการประมวลผลข้อมูลส่วนบุคคล กระจายอยู่ตามแผนกต่างๆ ในองค์กร อาทิ Marketing, IT, HR, Customer Service, Admin DPO ซึ่งเป็นพนักงานในองค์กร อาจต้องเผชิญกับปัญหาการขาดอำนาจในการสั่งการ ต้องรับมือกับความกดดันเมื่อต้องตรวจสอบกระบวนการทำงานของแผนกอื่น ที่มีอำนาจสูงกว่าตน หรือเกิดประเด็น Conflict of Interest ในส่วนงานที่ซับท้อนกันได้ สิ่งเหล่านี้ทำให้ DPO ไม่สามารถทำหน้าที่ได้อย่างเต็มที่มากพอ และอาจส่งผลต่อการขับเคลื่อนกระบวนการที่เกี่ยวข้องกับกฎหมาย PDPA ด้วย
เจ้าหน้าที่ DPO ไม่ได้รับความร่วมมือจากแผนกงานที่เกี่ยวข้อง
แผนกที่ประมวลผลข้อมูลส่วนบุคคลปฏิเสธการให้ความร่วมมือกับ DPO เป็นประเด็นปัญหาที่เกิดขึ้นได้ในทุกองค์กร ตัวอย่างการปฏิเสธความร่วมมือ เช่น อัปเดตข้อมูลส่วนบุคคลที่เข้ามาในระบบล่าช้า หรือกระทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่แจ้ง DPO ลักลอบประมวลผลข้อมูลส่วนบุคคลเกินขอบเขต เลี่ยงการดำเนนการนโยบายหรือ Procedure ที่เกี่ยวข้องกับการเก็บ รวบรวม ใช้หรือเผยแพร่ข้อมูลส่วนบุคคล
ปัญหาเหล่านี้อาจเกิดจาก ประเด็น Conflict of Interest หรือการวาง Flow Form Policy และ Foundation ของกระบวนการ PDPA ที่ไม่ดีตั้งแต่แรก ซึ่งหมายถึง กระบวนการ PDPA ขององค์กร ไม่ได้มีการวางระบบโครงสร้างพื้นฐานให้เอื้อต่อการทำงานของแผนกที่เกี่ยวข้อง อธิบายอย่างง่ายคือ กระบวนการมีความยุ่งยากซับซ้อน หากมัวทำตามขั้นตอนอาจทำให้ประมวลผลไม่ทันเวลา หรือเสียผลประโยชน์ หรือเป็นปัญหาที่สืบเนื่องมาจากหัวข้อที่แล้ว เรื่องของ DPO ขาดอำนาจในการตรวจสอบ หรือไม่มีอำนาจในการสั่งการ เนื่องจากฝ่ายงานที่เกี่ยวข้อง มีอำนาจมากกว่า หรือมีเรื่องแรงกดดันจากผู้อาวุโส
ความท้าทายข้างต้นนี้เป็นเพียงส่วนหนึ่งที่ DPO ต้องเจอ ประเด็นปัญหาอาจมีบริบทที่แตกต่างกันออกไปในแต่ละองค์กร และความท้าทายเหล่านี้ล้วนส่งผลต่อการขับเคลื่อนโครงการ PDPA ของ DPO และอาจกระมบถึงแผนกอื่นๆ ที่เกี่ยวข้อง หรืออาจกระทบต่อการให้บริการแก่ลูกค้าหรือผู้ใช้งาน หน้าที่ในการแก้ไขความท้าทายเหล่านี้ อาจต้องอาศัยความร่วมมือจากแผนกที่เกี่ยวข้อง องค์กร และตัวของ DPO ด้วย เพราะถือเป็น Daily Basis ของ DPO โดยตรง
Data Protection Officer Daily Basis
หน้าที่ DPO หรือหน้าที่หลักของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หลักๆ แล้วจะเกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลในองค์กรต้นสังกัด ประกอบด้วย 4 หน้าที่หลัก คือ
ตรวจสอบ เช็คความพร้อมของกระบวนการที่สำคัญในโครงการ PDPA ขององค์กร ตามข้อกำหนด กฎเกณฑ์ กฎหมาย ตามรอบเวลา (ทุกๆ 6 หรือ 12 เดือน)
หน้าที่ DPO คือการตรวจสอบ ตรวจความถูกต้องสมบูรณ์ของกระบวนการที่สำคัญๆ ในโครงการ PDPA อาทิ RoPA, Privacy Notice, Consent Management, Data Subject Rights, Data Processing Agreement พร้อมทั้งอำนวยการให้กระบวนการเหล่านี้ สามารถดำเนินการได้อย่างราบรื่น ภายใต้กรอบของกฎหมาย อีกทั้งยังมีหน้าที่อัปเดตข้อมูล จัดการข้อมูลส่วนบุคคลที่เข้า-ออก จากกระบวนการเหล่านี้ด้วย ในองค์กรที่มีการไหลเวียนข้อมูลส่วนบุคคลอย่างสม่ำเสมอ ควรมีการตรวจสอบ Flow การทำงานอย่างน้อยทุกๆ 6 เดือน เพื่อเสริมความมั่นใจในการประมวลผลข้อมูลส่วนบุคคลขององค์กร และเพื่อให้กระบวนการต่างๆ ที่เกี่ยวข้อง สอดคล้องกับข้อกำหนด กฎเกณฑ์ กฎหมาย ที่อาจมีการประกาศใหม่
สื่อสาร ประชาสัมพันธ์ อบรม ให้ความรู้ เกี่ยวกับกฎหมาย PDPA ให้กับพนักงานภายในองค์กร
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ควรเป็นคนที่มีความรู้ความเข้าใจ เกี่ยวกับบริบท รายละเอียดหรือประเด็นสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลมากที่สุด จึงมีหน้าที่สื่อสาร ประชาสัมพันธ์ อบรม ให้ความรู้ เกี่ยวกับกฎหมาย PDPA ให้กับพนักงานภายในองค์กร โดยอาจทำการอบรมให้ความรู้ หรือสื่อสารนโยบายการคุ้มครองข้อมูลส่วนบุคคล ร่วมกับแผนกอื่นที่เกี่ยวข้อง อาทิร่วมมือกับ HR ในการจัดการอบรมให้ความรู้ หรือเผยแพร่นโยบาย และประสานงานร่วมกับ Customer Service เพื่อเผยแพร่ ประกาศนโยบายความเป็นส่วนตัว (Privacy Notice) แก่ลูกค้าหรือผู้ใช้บริการ
ประสานงาน ระหว่างเจ้าของข้อมูลส่วนบุคคล เมื่อจำเป็น และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อรายงานเหตุละเมิดข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง (เมื่อเกิดเหตุ)
หากมีเหตุที่เจ้าของข้อมูลส่วนบุคคล ต้องการยื่นขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล DPO คือผู้ที่ดูแล Data Subject Rights ต้องประสานงานหรือแจ้งสถานะการดำเนินการให้กับเจ้าของข้อมูลส่วนบุคคล หรือในกรณีที่มีเหตุละเมิดข้อมูล (Data Breach) และเหตุนั้นกระทบต่อข้อมูลส่วนบุคคลของลูกค้า DPO ต้องดำเนินการแจ้งเหตุ ผลกระทบ และแนวทางแก้ไขแก่เจ้าของข้อมูลอย่างไม่ล่าช้า พร้อมกันนั้น DPO ต้องประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อรายงานเหตุละเมิดข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง ตามที่กำหนดไว้ใน ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องหลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565
ควบคุม ดูแล และขับเคลื่อนกระบวนการทั้งสามข้อข้างต้นภายใต้เงื่อนไข การรักษาความลับ ความปลอดภัยของข้อมูลส่วนบุคคลภายในองค์กร
DPO คือเจ้าหน้าที่ขององค์กรที่ได้ชื่อว่า กุมความลับด้านข้อมูลส่วนบุคคลของพนักงาน ลูกค้า ผู้ใช้บริการ และยังเป็นผู้ที่ควบคุมดูแลการเพิ่มขึ้น-ลดลง ของข้อมูลส่วนบุคคลในองค์กร DPO บางองค์กร ยังมีหน้าที่ที่ต้องรับผิดชอบหรือเกี่ยวข้องกับข้อมูลส่วนบุคคลอ่อนไหว ของคนในและคนนอกบริษัท จริยธรรมที่ DPO ควรมี คือรักษาไว้ซึ่งความลับ ความเป็นส่วนตัวของข้อมูล ไม่ทำการเปิดเผย เผยแพร่ หรือส่งต่อโดยพละการ และไม่กระทำการใดที่เป็นความเสี่ยงที่นำไปสู่เหตุการละเมิด หรือเหตุรั่วไหลของข้อมูล ซึ่งจะก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ซึ่งหน้าที่รักษาความลับนี้ก็ได้ถูกระบุไว้ใน มาตรา 42 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
นอกเหนือจากการรักษาความลับของเจ้าของข้อมูลส่วนบุคคล พ.ร.บ. นี้ ระบุ หน้าที่ DPO ไว้อย่างไร ไปดูกันในหัวข้อถัดไปได้เลย
หน้าที่ DPO ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
1. ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมถึงลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
2. ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
3. ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
4. รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้มาเนื่องจากการปฏิบัติหน้าที่ ตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
จะเห็นว่า DPO มีอำนาจหน้าที่และกระบวนการที่ต้องรับผิดชอบที่ชัดเจน และถูกกำหนดไว้โดยกฎหมายเป็นที่เรียบร้อยแล้ว ทว่ากระบวนการหรืองานที่ DPO ทำนั้น ยังต้องอาศัยการตรวจสอบความถูกต้อง โดยอิงตามกรอบของกฎหมาย ควบคู่กับการตรวจสอบ กระบวนการและนโยบายที่เกี่ยวข้องกับกฎหมาย PDPA ในองค์กรด้วย
องค์กรสามารถตรวจสอบการทำงานของ DPO ได้อย่างไร
อย่างที่เกริ่นไปในบทความก่อนหน้า ว่าทำ PDPA Audit หรือการตรวจสอบการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 มีข้อดีหลายประการ และหนึ่งในนั้น คือ ช่วยสนับสนุนการทำงานของ DPO
กระบวนการ PDPA ซึ่งเป็น Ongoing process ต้องมีการอัปเดตกฎหมาย นโยบาย มีการตรวจเช็ค เพิ่ม/ลด ข้อมูล ยังต้องมีการจัดการ Consent, RoPA, หรือประสานงานกับพาร์ทเนอร์หรือองค์กรภายนอกอยู่บ่อยครั้ง การทำงานของ DPO ซึ่งทำหน้าที่ดูแลรับผิดชอบกระบวนการเหล่านี้ จึงควรมีการตรวจสอบความถูกต้อง
ทว่าเมื่อพูดถึงการตรวจสอบ มักมีภาพจำในเชิงลบว่า จะเป็นการจับผิดการทำงาน อย่างไรก็ตาม การตรวจสอบกระบวนการภายใน (Internal Audit) ไม่ได้มีปลายทางเพื่อจับผิด ขัดขวาง หรือคานอำนาจของ DPO แต่เพื่อยืนยันว่ากระบวนการที่ DPO ทำมาตั้งแต่ต้น มีจุดไหนที่ยังขาด หรือมีจุดไหนที่ทำเกินความจำเป็น หากทราบในจุดนี้แล้ว จะช่วยให้องค์กรสามารถบริหารจัดการทรัพยากร เฟ้นหาเครื่องมือ นวัตกรรมเพื่อมาช่วยผ่อนภาระของ DPO ได้อย่างเหมาะสม
อ่านมาถึงตรงนี้ อาจเกิดคำถามว่า หากไม่ใช้ PDPA Audit ในการตรวจสอบการทำงานของ DPO สามารถใช้เกณฑ์อื่น หรือวิธีการอื่นในการตรวจสอบการทำงานของ DPO ได้หรือไม่?
คำตอบของประเด็นนี้คือ องค์กรสามารถใช้เกณฑ์หรือวิธีการอื่นๆ แทนการทำ PDPA Audit ได้ โดยอาจใช้การประเมินด้วยตนเอง หรือรับการประเมินจากผู้บังคับบัญชาที่เหนือกว่า หรือใช้การประเมินด้วย KPIs, OKRs ฯ ทว่ากระบวนการหรือวิธีการอื่น อาจไม่สามารถตรวจสอบรายละเอียดที่เชื่อมโยงกับกฎหมายได้มากพอ เปรียบเทียบง่ายๆ เหมือนกับการวัดไข้ด้วยฝ่ามือ กับการวัดไข้ด้วยเครื่องวัดไข้ แม้ทั้งสองอย่างจะช่วยให้ทราบว่าตัวร้อนหรือไม่ แต่การใช้เครื่องวัดไข้จะระบุข้อมูลได้ละเอียดกว่า แม่นยำกว่า และใช้เป็นหลักฐานเพื่ออ้างอิงได้
เหตุที่ยังต้องใช้กระบวนการจาก PDPA Audit เพราะรายอะเอียดเกี่ยวกับกฎหมาย PDPA ไม่ได้มีเพียงแค่ การตรวจสอบว่ากระบวนการหลักมีความถูกต้องหรือไม่ แต่ควรตรวจสอบให้ทราบถึงระดับความเสี่ยงของโครงการ PDPA ในองค์กร ตรวจสอบการปฏิบัติตามกฎหมาย มาตราต่อมาตรา และควรประเมินความยั่งยืน หรือความสามารถในการขับเคลื่อนโครงการ PDPA ขององค์กรด้วย
DPO มีบทบาทอย่างไรต่อการทำ PDPA Audit
อ้างอิงตามการพิจารณาบทาทหน้าที่ของ DPO ตามหลักการ Three lines of defense ใน แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือ TDPG 3.0 DPO จะถือเป็นคณะทำงานที่อยู่ใน 2nd lines ซึ่งใช้ ระเบียบวิธีการทำงาน (Procedure) และ Flow, Form, Policy ในกระบวนการควบคุมตรวจสอบ
บทบาทของ DPO ในกระบวนการ PDPA Audit ในกรณีที่มีการจ้าง Internal Audit Outsoursed ได้แก่ การประสานงานร่วม ให้ข้อมูล และขับเคลื่อนการปรับปรุงโครงการ PDPA
ประสานงานร่วม DPO และ Auditor ถือเป็นกลุ่มผู้รับผิดชอบหลัก ของกระบวนการสอบทานความครบถ้วนของโครงการ PDPA มีหน้าที่กำกับ ดูแล และขับเคลื่อนการสอบทานตั้งแต่ต้นจนจบ ซึ่ง DPO ขององค์กร เปรียบได้กับตัวแทนขององค์กรในการประสานงานและอำนวยการ ระหว่าง Auditor และ แผนกต่างๆ ที่เกี่ยวข้อง ในบางกรณี DPO อาจต้องทำหน้าที่เป็น Project Management หรือ Project Coordinator เพื่อดูแลรับผิดชอบการทำ PDPA Audit ทั้งหมดด้วย
ให้ข้อมูล รวบรวมข้อมูล DPO เป็นผู้ที่รู้แหล่งที่อยู่ หรือแหล่งจัดเก็บข้อมูลส่วนบุคคล และมักมีอำนาจในการเข้าถึง หรือเข้าใช้งานระบบบริหารจัดการข้อมูล ดังนั้นในกระบวนการสอบทานที่จะมีขั้นตอนการตรวจสอบเอกสาร นโยบาย ตรวจสอบวิธีการดำเงินงาน หรือตรวจสอบการจัดเก็บและระบบรักษาความปลอดภัยของข้อมูลส่วนบุคคล DPO จึงเปรียบได้กับกุญแจดอกสำคัญที่ Auditor ใช้เพื่อเข้าถึงข้อมูลที่เกี่ยวข้อง และหากมีการสัมภาษณ์เพื่อให้ทราบถึกระบวนการทำงานด้านการคุ้มครอง การบริหารจัดการ หรือการประมวลผลข้อมูลส่วนบุคคล DPO และแผนกที่เกี่ยวข้องจะต้องให้ข้อมูลตามจริงแก่ผู้สอบทานด้วย
ขับเคลื่อนการปรับปรุงโครงการ PDPA หลังการทำ PDPA Audit หรือการตรวจสอบการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 เสร็จเรียบร้อยแล้ว Auditor มักให้คำแนะนำแนวทางเพื่อการปรับปรุงข้อบกพร่อง หรือให้คำแนะนำในการพัฒนาโครงการ PDPA ให้แก่องค์กร DPO ซึ่งดูแลกระบวนการเหล่านี้ ต้อง Maintain กระบวนการต่อ รวมทั้งริเริ่มและรับผิดชอบการปรับปรุงพัฒนาโครงการ PDPA เพื่อให้โครงการ PDPA ขององค์กรมีความถูกต้องครบถ้วนตามข้อกำหนดของกฎหมาย
DPO ควรเตรียมตัวอย่างไรเพื่อรับมือ PDPA Audit
- อัพเดทกฎหมาย ขณะนี้ พระราชบัญญติคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายหลักที่ถูกยึดเป็นมาตรฐานกลางสำหรับการเก็บ รวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล นอกจากกฎหมายหลัก ยังมีกฎหมายรองอีก 4 ฉบับและประกาศฯ แนวทาง ซึ่งบางฉบับส่งผลต่อการทำงานของ DPO และโครงการ PDPA ขององค์กรด้วย การออกประกกาศใหม่ หรือแนวทางใหม่ เป็นสิ่งที่ DPO ต้องติดตามและอัปเดตอย่างสม่ำเสมอ ฉะนั้นก่อนที่จะมีการสอบทานโครงการ PDPA การทบทวนความเข้าใจกฎกติกา ซึ่งจะเชื่อมโยงกับการสอบทานจาก Auditor เป็นสิ่งจำเป็นที่ DPO ควรมีการทบทวน
- จัดเตรียมกระบวนการ & เอกสาร การสอบทานโครงการ PDPA เน้นที่การตรวจสอบ Risk Assessment ประเมินความเสี่ยงกระบวนการหลักในโครงการ PDPA และ Documentation ตรวจสอบความครบถ้วนของเอกสารตามข้อกำหนดของกฎหมาย อาทิ RoPA (ม. 39) DPA (ม.40) DSA (ม.37(1)) Privacy Notice (ม. 39) Data Subject Rights Consent (ม.19)
DPO ซึ่งมีหน้าที่กำกับดูแลส่วนนี้โดยตรง จึงควรเตรียมความพร้อม ทั้งกระบวนการและเอกสาร และหากองค์กรดำเนินธุรกิจที่เกี่ยวข้องกับกฎหมายอื่นๆ อาทิ ธุรกิจโรงแรม หรือธุรกิจโรงพยาบาล ซึ่งมีข้อปฏิบัติตามกฎหมายอื่นร่วมด้วย ควรมีการจัดเตรียมเอกสารที่เกี่ยวข้อง และแยกออกจากเอกสารของ PDPA ให้ชัดเจน หรือหากกรณีที่เอกสารทับซ้อนกัน ต้องมีการตรวจสอบว่าเอกสาร นโยบาย หรือแนวทางเหล่านั้นหมดอายุ ล้าหลัง หรือไม่อัปเดตตามข้อกำหนดปัจจุบันหรือไม่
- ตรวจสอบโครงการ PDPA ในขั้นต้น วิธีการในการตรวจสอบโครงการ PDPA ในขั้นต้น อาศัยเครื่องมือที่เรียกว่า PDPA Checklist ซึ่งแบบประเมินนี้สามารถใช้ Searcg Engine ค้นหาได้ และโดยส่วนมากแล้วจะอยู่ในรูปคำถามประเมินที่ DPO จะต้องใช้สำหรับตรวจสอบกระบวนการ PDPA ด้วยตนเอง ซึ่งส่วนมากจะครอบคลุมทั้งกระบวนการสำคัญ และเอกสารที่เกี่ยวข้องตามข้อกำหนดของกฎหมาย PDPA
- ประชาสัมพันธ์แผนแก่พนักงานในองค์กร หากองค์กรและDPO กำหนดแผนการสอบทานที่แม่นยำได้แล้ว ควรมีการประชาสัมพันธ์ให้แผนกที่เกี่ยวข้องและพนักงานในองค์กรได้รับทราเกี่ยวกับกระบวนการสอบทาน เพื่อประชาสัมพันธ์แก่ผู้ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ซึ่งอาจนำมาสู่การระชุมหารือในแผนงาน กระตุ้นให้เกิดการตื่นตัวในการตรวจสอบการทำงานในแผนก กระตุ้นให้เกิดการเตรียมความพร้อมทั้งองค์กร
โดยสรุป หน้าที่ DPO คือการ Maintain และ Monitor กระบวนการ แนวทาง กติกา นโยบาย ที่เกี่ยวข้องกับกฎหมาย PDPA ให้สามารภดำเนินการได้อย่างราบรื่น ภายใต้กติกาของกฎหมาย ขณะเดียวกันองค์กรหรือผู้บัคับบัญชา ควรพิจารณาการตรวจสอบการดำเนินงานของ DPO และภาระงานที่ DPO รับผิดชอบอย่างสม่ำเสมอ เพื่อให้เป็นไปตามข้อกำหนดของกฎหมาย และเพื่อการปรับปรุงพัฒนากระบวนการภภายในองค์กร
