t-reg PDPA Platform

ใครควรเป็น DPO

ใครเหมาะสมที่จะเป็น DPO?

เนื้อหาในบทความ

ใครเหมาะสมที่จะเป็น DPO?

          สวัสดีครับ ในบทความนี้เราจะมาเรียนรู้กันว่า DPO คืออะไร หน้าที่ความรับผิดชอบคืออะไร คุณสมบัติของคนที่จะเข้ามารับตำแหน่ง Data Protection Officer เป็นอย่างไร และแนวทางการปฏิบัติ ในการรับสมัครนั้นมันมีวิธีอย่างไร มาลองอ่านในบทความนี้กันดูนะครับ

แต่ก่อนอื่นผมอยากจะขอเกริ่นแบบพอสังเขปนะครับว่าตำแหน่ง DPO คือตำแหน่งอะไร

DPO คืออะไร

          Data Protection Officer คือคนที่เข้าดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดในองค์กรไม่ว่าจะเป็นองค์กรข้อมูลภายใน (ข้อมูลพนักงาน) หรือภายนอก (ข้อมูลลูกค้า) หน้าที่ที่สำคัญของตำแหน่งน้ีก็จะรวมไปถึงการกำหนดทิศทาง ซึ่งแน่นอนว่าในตัวกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้น ระบุไว้แน่นอนว่าทุกองค์กรที่มีการเก็บข้อมูลส่วนบุคคลจะต้อง มีไว้กำกับดูแลรักษาข้อมูลเหล่านี้

ดังนั้นคำถามถัดมาก็คือทุกๆ องค์กรควรจะมี DPO หรือไม่?

          ตามกฎหมาย PDPA ได้ระบุไว้ว่าองค์กรที่เก็บข้อมูลส่วนบุคคลจะต้องมี DPO ไว้ทำหน้าที่ตรวจสอบกระบวนการการเก็บ ใช้ และเผยแพร่ข้อมูล ซึ่งหน้าที่ที่ได้กล่าวมาจะต้องทำอย่างสม่ำเสมอ และเป็นระบบ แต่ว่าการพิจารณาว่าองค์กรควรจะมี DPO หรือเปล่าไม่ได้ขึ้นอยู่กับขนาดองค์กรเพียงอย่างเดียวครับ

          ถึงแม้ว่าจะไม่มีแนวทางที่แน่นอนเกี่ยวกับขนาดของการจัดการข้อมูล แต่ธุรกิจขนาดเล็กส่วนใหญ่จะไม่จำเป็นต้องจ้าง DPO เว้นแต่เป้าหมายหลักๆ คือการรวบรวมหรือจัดเก็บข้อมูลโดยเฉพาะนั่นเองครับ

DPO คือใคร

ขอบเขตความรับผิดชอบ และคุณสมบัติของ Data Protection Officer

          DPO (Data Protection Officer) คือตำแหน่งที่สำคัญสำหรับองค์กรที่รวบรวมหรือจัดเก็บข้อมูล ซึ่งหน้าที่ความรับผิดชอบของตำแหน่งนี้ก็จะรวมถึงการให้ความรู้แก่ บริษัท และพนักงานเกี่ยวกับข้อบังคับ ฝึกอบรมพนักงานที่เกี่ยวข้องกับการประมวลผลข้อมูล และดำเนินการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ นอกจากนี้ยังทำหน้าที่เป็นจุดติดต่อระหว่าง บริษัท กับหน่วยงานที่กำกับดูแลกิจกรรมที่เกี่ยวข้องกับข้อมูลอีกด้วย

โดยบทบาทหน้าที่ความรับผิดชอบที่สำคัญจะประกอบไปด้วย :

  • การให้ความรู้แก่ บริษัท และพนักงานเกี่ยวกับข้อกำหนดการปฏิบัติตามข้อกำหนดที่สำคัญ
  • ฝึกอบรมเจ้าหน้าที่ที่เกี่ยวข้องกับการประมวลผลข้อมูล
  • ดำเนินการตรวจสอบเพื่อให้แน่ใจว่ามีการปฏิบัติตามข้อกำหนดและแก้ไขปัญหาที่อาจเกิดขึ้นในเชิงรุก
  • ทำหน้าที่เป็นจุดติดต่อระหว่าง บริษัท และหน่วยงานกำกับดูแล PDPA
  • ตรวจสอบประสิทธิภาพและให้คำแนะนำเกี่ยวกับผลกระทบของความพยายามในการปกป้องข้อมูล
  • การเก็บรักษาบันทึกที่ครอบคลุมของกิจกรรมการประมวลผลข้อมูลทั้งหมดที่ดำเนินการโดย บริษัท รวมถึงวัตถุประสงค์ของกิจกรรมการประมวลผลทั้งหมดซึ่งจะต้องเปิดเผยต่อสาธารณะเมื่อมีการร้องขอ
  • การติดต่อกับเจ้าของข้อมูลเพื่อแจ้งให้พวกเขาทราบเกี่ยวกับวิธีการใช้ข้อมูลของพวกเขาสิทธิ์ในการลบข้อมูลส่วนบุคคลของพวกเขาและมาตรการใดที่ บริษัท ได้ใช้เพื่อปกป้องข้อมูลส่วนบุคคลของพวกเขา
คนที่ควรเป็น DPO

แนวทางการปฏิบัติในการรับ DPO เข้ามาทำงาน

          ตำแหน่งนี้จะต้องมีความเชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลและความเข้าใจอย่างถ่องแท้เกี่ยวกับโครงสร้างพื้นฐานด้านไอทีเทคโนโลยีและโครงสร้างทางเทคนิคและองค์กรของ บริษัท ซึ่งจะแต่งตั้งคนในองค์กร หรือว่าจ้างมาก็ได้ บริษัท และองค์กรควรมองหาผู้สมัครที่สามารถจัดการการปกป้องข้อมูลและการปฏิบัติตามข้อกำหนดภายในในขณะที่รายงานการไม่ปฏิบัติตามไปยังหน่วยงานกำกับดูแลที่เหมาะสม โดยจะต้องมีความน่าเชื่อถือ และไม่มีการผูกมัดกับหน้าที่การเดิม หรือตำแหน่งที่มีความเกี่ยวข้องในการเก็บ ประมวลผล และเผยแพร่ข้อมูลส่วนบุคคล

          สรุปแล้วหน้าที่นี้ควรที่จะมีทักษะในการสื่อสารที่ดี เพราะจะต้องติดต่อประสานงานทั้งพนักงานภายในทุกระดับ และเจ้าหน้าที่ภายนอกได้อย่างง่ายดาย นอกจากนี้ จะต้องตรวจสอบการปฏิบัติตามข้อกำหนดภายใน และแจ้งเตือนเจ้าหน้าที่เกี่ยวกับกรณีการไม่ปฏิบัติตามแม้ว่า บริษัท อาจถูกปรับจำนวนมากก็ตามครับ

Reference : https://www.atinternet.com/en/glossary/data-protection-officer-dpo/

FREE EVENT
ร่วมรับฟังแนวทางการรับมือเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล เพื่อเตรียมความพร้อมสำหรับองค์กรของท่านในการรับมือกับเหตุละเมิดที่อาจเกิดขึ้น โดยผู้เชี่ยวชาญผู้มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิทัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection
RELATED POST
DPO
t-reg knowledge

อัปเดต DPO ฉบับล่าสุด ทุกเรื่องเกี่ยวกับ DPO ที่องค์กรของคุณควรรู้

อย่างที่ทราบกันว่าเมื่อวันที่ 14 กันยายน พ.ศ. 2566 ที่ผ่านมา ทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

อ่านต่อ »
t-reg knowledge

PDPA Checklist แนวทางที่องค์กรไทยควรทำเพื่อรองรับกฎหมาย PDPA

หลายท่านคงรู้จักเกี่ยวกับการทำ PDPA Checklist Thailand กันมาคร่าว ๆ แล้ว แต่ก็มีคำถามในใจอยากรู้ว่าจะต้องทำอย่างไรให้ตรงกับตัวกฎหมายพ.ร.บ.

อ่านต่อ »
ติดตั้งกล้องวงจรปิด ผิดกฎหมาย PDPA หรือไม่? ตรวจสอบสิทธิส่วนบุคคลก่อนใช้งานกล้องวงจรปิด
t-reg knowledge

ติดตั้งกล้องวงจรปิด ผิดกฎหมายสิทธิส่วนบุคคล PDPA หรือไม่?

ตอนนี้เราเข้าถึงข้อมูลส่วนตัวของคนอื่นได้ง่ายมากๆ ไม่ว่าจะเป็นทำกิจกรรมประจำวัน หรือการค้นหาบนอินเตอร์เน็ตดังนั้น “สิทธิส่วนบุคคล” กลายเป็นเรื่องสำคัญที่ทุกคนควรรู้จัก เพราะเป็นสิทธิพื้นฐานที่ได้รับการคุ้มครองตามกฎหมาย ทั้งในด้านข้อมูลส่วนตัว การเคลื่อนไหว

อ่านต่อ »
ภาพสรุปเหตุการณ์ข้อมูลรั่วไหลในไทย เดือนเมษายน 2568 บริษัทไปรษณีย์ไทย บางจาก และโฮมโปร ถูกโจมตีข้อมูล
PDPA News

สรุปเหตุการณ์ข้อมูลรั่วไหลในประเทศไทย เดือนเมษายน 2568: ไปรษณีย์ไทย บางจาก โฮมโปร โดนโจมตี

เดือนเมษายน 2568 ถือเป็นเดือนที่ประเทศไทยเผชิญกับวิกฤตด้าน ความปลอดภัยของข้อมูลส่วนบุคคล หลายกรณี จากองค์กรขนาดใหญ่ทั้งภาครัฐและเอกชน ไม่ว่าจะเป็น ไปรษณีย์ไทย,

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่