ใครเหมาะสมที่จะเป็น DPO?
สวัสดีครับ ในบทความนี้เราจะมาเรียนรู้กันว่า DPO คืออะไร หน้าที่ความรับผิดชอบคืออะไร คุณสมบัติของคนที่จะเข้ามารับตำแหน่ง Data Protection Officer เป็นอย่างไร และแนวทางการปฏิบัติ ในการรับสมัครนั้นมันมีวิธีอย่างไร มาลองอ่านในบทความนี้กันดูนะครับ
แต่ก่อนอื่นผมอยากจะขอเกริ่นแบบพอสังเขปนะครับว่าตำแหน่ง DPO คือตำแหน่งอะไร
DPO คืออะไร
Data Protection Officer คือคนที่เข้าดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดในองค์กรไม่ว่าจะเป็นองค์กรข้อมูลภายใน (ข้อมูลพนักงาน) หรือภายนอก (ข้อมูลลูกค้า) หน้าที่ที่สำคัญของตำแหน่งน้ีก็จะรวมไปถึงการกำหนดทิศทาง ซึ่งแน่นอนว่าในตัวกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้น ระบุไว้แน่นอนว่าทุกองค์กรที่มีการเก็บข้อมูลส่วนบุคคลจะต้อง มีไว้กำกับดูแลรักษาข้อมูลเหล่านี้
ดังนั้นคำถามถัดมาก็คือทุกๆ องค์กรควรจะมี DPO หรือไม่?
ตามกฎหมาย PDPA ได้ระบุไว้ว่าองค์กรที่เก็บข้อมูลส่วนบุคคลจะต้องมี DPO ไว้ทำหน้าที่ตรวจสอบกระบวนการการเก็บ ใช้ และเผยแพร่ข้อมูล ซึ่งหน้าที่ที่ได้กล่าวมาจะต้องทำอย่างสม่ำเสมอ และเป็นระบบ แต่ว่าการพิจารณาว่าองค์กรควรจะมี DPO หรือเปล่าไม่ได้ขึ้นอยู่กับขนาดองค์กรเพียงอย่างเดียวครับ
- จำนวน Data Subject
- จำนวน Data Item
- ระยะเวลาในการเก็บข้อมูลส่วนบุคคล
- สถานที่ที่ไว้ใช้เก็บข้อมูลส่วนบุคคล
ถึงแม้ว่าจะไม่มีแนวทางที่แน่นอนเกี่ยวกับขนาดของการจัดการข้อมูล แต่ธุรกิจขนาดเล็กส่วนใหญ่จะไม่จำเป็นต้องจ้าง DPO เว้นแต่เป้าหมายหลักๆ คือการรวบรวมหรือจัดเก็บข้อมูลโดยเฉพาะนั่นเองครับ

ขอบเขตความรับผิดชอบ และคุณสมบัติของ Data Protection Officer
DPO (Data Protection Officer) คือตำแหน่งที่สำคัญสำหรับองค์กรที่รวบรวมหรือจัดเก็บข้อมูล ซึ่งหน้าที่ความรับผิดชอบของตำแหน่งนี้ก็จะรวมถึงการให้ความรู้แก่ บริษัท และพนักงานเกี่ยวกับข้อบังคับ ฝึกอบรมพนักงานที่เกี่ยวข้องกับการประมวลผลข้อมูล และดำเนินการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ นอกจากนี้ยังทำหน้าที่เป็นจุดติดต่อระหว่าง บริษัท กับหน่วยงานที่กำกับดูแลกิจกรรมที่เกี่ยวข้องกับข้อมูลอีกด้วย
โดยบทบาทหน้าที่ความรับผิดชอบที่สำคัญจะประกอบไปด้วย :
- การให้ความรู้แก่ บริษัท และพนักงานเกี่ยวกับข้อกำหนดการปฏิบัติตามข้อกำหนดที่สำคัญ
- ฝึกอบรมเจ้าหน้าที่ที่เกี่ยวข้องกับการประมวลผลข้อมูล
- ดำเนินการตรวจสอบเพื่อให้แน่ใจว่ามีการปฏิบัติตามข้อกำหนดและแก้ไขปัญหาที่อาจเกิดขึ้นในเชิงรุก
- ทำหน้าที่เป็นจุดติดต่อระหว่าง บริษัท และหน่วยงานกำกับดูแล PDPA
- ตรวจสอบประสิทธิภาพและให้คำแนะนำเกี่ยวกับผลกระทบของความพยายามในการปกป้องข้อมูล
- การเก็บรักษาบันทึกที่ครอบคลุมของกิจกรรมการประมวลผลข้อมูลทั้งหมดที่ดำเนินการโดย บริษัท รวมถึงวัตถุประสงค์ของกิจกรรมการประมวลผลทั้งหมดซึ่งจะต้องเปิดเผยต่อสาธารณะเมื่อมีการร้องขอ
- การติดต่อกับเจ้าของข้อมูลเพื่อแจ้งให้พวกเขาทราบเกี่ยวกับวิธีการใช้ข้อมูลของพวกเขาสิทธิ์ในการลบข้อมูลส่วนบุคคลของพวกเขาและมาตรการใดที่ บริษัท ได้ใช้เพื่อปกป้องข้อมูลส่วนบุคคลของพวกเขา

แนวทางการปฏิบัติในการรับ DPO เข้ามาทำงาน
ตำแหน่งนี้จะต้องมีความเชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลและความเข้าใจอย่างถ่องแท้เกี่ยวกับโครงสร้างพื้นฐานด้านไอทีเทคโนโลยีและโครงสร้างทางเทคนิคและองค์กรของ บริษัท ซึ่งจะแต่งตั้งคนในองค์กร หรือว่าจ้างมาก็ได้ บริษัท และองค์กรควรมองหาผู้สมัครที่สามารถจัดการการปกป้องข้อมูลและการปฏิบัติตามข้อกำหนดภายในในขณะที่รายงานการไม่ปฏิบัติตามไปยังหน่วยงานกำกับดูแลที่เหมาะสม โดยจะต้องมีความน่าเชื่อถือ และไม่มีการผูกมัดกับหน้าที่การเดิม หรือตำแหน่งที่มีความเกี่ยวข้องในการเก็บ ประมวลผล และเผยแพร่ข้อมูลส่วนบุคคล
สรุปแล้วหน้าที่นี้ควรที่จะมีทักษะในการสื่อสารที่ดี เพราะจะต้องติดต่อประสานงานทั้งพนักงานภายในทุกระดับ และเจ้าหน้าที่ภายนอกได้อย่างง่ายดาย นอกจากนี้ จะต้องตรวจสอบการปฏิบัติตามข้อกำหนดภายใน และแจ้งเตือนเจ้าหน้าที่เกี่ยวกับกรณีการไม่ปฏิบัติตามแม้ว่า บริษัท อาจถูกปรับจำนวนมากก็ตามครับ
Reference : https://www.atinternet.com/en/glossary/data-protection-officer-dpo/