April 27, 2021
590

ใครเหมาะสมที่จะเป็น DPO?

สวัสดีครับ ในบทความนี้เราจะมาเรียนรู้กันว่า DPO คืออะไร หน้าที่ความรับผิดชอบคืออะไร คุณสมบัติของคนที่จะเข้ามารับตำแหน่ง Data Protection Officer เป็นอย่างไร และแนวทางการปฏิบัติ ในการรับสมัครนั้นมันมีวิธีอย่างไร มาลองอ่านในบทความนี้กันดูนะครับ

แต่ก่อนอื่นผมอยากจะขอเกริ่นแบบพอสังเขปนะครับว่าตำแหน่ง DPO คือตำแหน่งอะไร

DPO คืออะไร

Data Protection Officer คือคนที่เข้าดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดในองค์กรไม่ว่าจะเป็นองค์กรข้อมูลภายใน (ข้อมูลพนักงาน) หรือภายนอก (ข้อมูลลูกค้า) หน้าที่ที่สำคัญของตำแหน่งน้ีก็จะรวมไปถึงการกำหนดทิศทาง ซึ่งแน่นอนว่าในตัวกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้น ระบุไว้แน่นอนว่าทุกองค์กรที่มีการเก็บข้อมูลส่วนบุคคลจะต้อง มีไว้กำกับดูแลรักษาข้อมูลเหล่านี้

ดังนั้นคำถามถัดมาก็คือทุกๆ องค์กรควรจะมี DPO หรือไม่?

ตามกฎหมาย PDPA ได้ระบุไว้ว่าองค์กรที่เก็บข้อมูลส่วนบุคคลจะต้องมี DPO ไว้ทำหน้าที่ตรวจสอบกระบวนการการเก็บ ใช้ และเผยแพร่ข้อมูล ซึ่งหน้าที่ที่ได้กล่าวมาจะต้องทำอย่างสม่ำเสมอ และเป็นระบบ แต่ว่าการพิจารณาว่าองค์กรควรจะมี DPO หรือเปล่าไม่ได้ขึ้นอยู่กับขนาดองค์กรเพียงอย่างเดียวครับ

จำนวน Data Subject
จำนวน Data Item
ระยะเวลาในการเก็บข้อมูลส่วนบุคคล
สถานที่ที่ไว้ใช้เก็บข้อมูลส่วนบุคคล

ถึงแม้ว่าจะไม่มีแนวทางที่แน่นอนเกี่ยวกับขนาดของการจัดการข้อมูล แต่ธุรกิจขนาดเล็กส่วนใหญ่จะไม่จำเป็นต้องจ้าง DPO เว้นแต่เป้าหมายหลักๆ คือการรวบรวมหรือจัดเก็บข้อมูลโดยเฉพาะนั่นเองครับ

ขอบเขตความรับผิดชอบ และคุณสมบัติของ Data Protection Officer

DPO (Data Protection Officer) คือตำแหน่งที่สำคัญสำหรับองค์กรที่รวบรวมหรือจัดเก็บข้อมูล ซึ่งหน้าที่ความรับผิดชอบของตำแหน่งนี้ก็จะรวมถึงการให้ความรู้แก่ บริษัท และพนักงานเกี่ยวกับข้อบังคับ ฝึกอบรมพนักงานที่เกี่ยวข้องกับการประมวลผลข้อมูล และดำเนินการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ นอกจากนี้ยังทำหน้าที่เป็นจุดติดต่อระหว่าง บริษัท กับหน่วยงานที่กำกับดูแลกิจกรรมที่เกี่ยวข้องกับข้อมูลอีกด้วย

โดยบทบาทหน้าที่ความรับผิดชอบที่สำคัญจะประกอบไปด้วย :

การให้ความรู้แก่ บริษัท และพนักงานเกี่ยวกับข้อกำหนดการปฏิบัติตามข้อกำหนดที่สำคัญ
ฝึกอบรมเจ้าหน้าที่ที่เกี่ยวข้องกับการประมวลผลข้อมูล
ดำเนินการตรวจสอบเพื่อให้แน่ใจว่ามีการปฏิบัติตามข้อกำหนดและแก้ไขปัญหาที่อาจเกิดขึ้นในเชิงรุก
ทำหน้าที่เป็นจุดติดต่อระหว่าง บริษัท และหน่วยงานกำกับดูแล PDPA
ตรวจสอบประสิทธิภาพและให้คำแนะนำเกี่ยวกับผลกระทบของความพยายามในการปกป้องข้อมูล
การเก็บรักษาบันทึกที่ครอบคลุมของกิจกรรมการประมวลผลข้อมูลทั้งหมดที่ดำเนินการโดย บริษัท รวมถึงวัตถุประสงค์ของกิจกรรมการประมวลผลทั้งหมดซึ่งจะต้องเปิดเผยต่อสาธารณะเมื่อมีการร้องขอ
การติดต่อกับเจ้าของข้อมูลเพื่อแจ้งให้พวกเขาทราบเกี่ยวกับวิธีการใช้ข้อมูลของพวกเขาสิทธิ์ในการลบข้อมูลส่วนบุคคลของพวกเขาและมาตรการใดที่ บริษัท ได้ใช้เพื่อปกป้องข้อมูลส่วนบุคคลของพวกเขา

แนวทางการปฏิบัติในการรับ DPO เข้ามาทำงาน

ตำแหน่งนี้จะต้องมีความเชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลและความเข้าใจอย่างถ่องแท้เกี่ยวกับโครงสร้างพื้นฐานด้านไอทีเทคโนโลยีและโครงสร้างทางเทคนิคและองค์กรของ บริษัท ซึ่งจะแต่งตั้งคนในองค์กร หรือว่าจ้างมาก็ได้ บริษัท และองค์กรควรมองหาผู้สมัครที่สามารถจัดการการปกป้องข้อมูลและการปฏิบัติตามข้อกำหนดภายในในขณะที่รายงานการไม่ปฏิบัติตามไปยังหน่วยงานกำกับดูแลที่เหมาะสม โดยจะต้องมีความน่าเชื่อถือ และไม่มีการผูกมัดกับหน้าที่การเดิม หรือตำแหน่งที่มีความเกี่ยวข้องในการเก็บ ประมวลผล และเผยแพร่ข้อมูลส่วนบุคคล

สรุปแล้วหน้าที่นี้ควรที่จะมีทักษะในการสื่อสารที่ดี เพราะจะต้องติดต่อประสานงานทั้งพนักงานภายในทุกระดับ และเจ้าหน้าที่ภายนอกได้อย่างง่ายดาย นอกจากนี้ จะต้องตรวจสอบการปฏิบัติตามข้อกำหนดภายใน และแจ้งเตือนเจ้าหน้าที่เกี่ยวกับกรณีการไม่ปฏิบัติตามแม้ว่า บริษัท อาจถูกปรับจำนวนมากก็ตามครับ

Reference : https://www.atinternet.com/en/glossary/data-protection-officer-dpo/

Wanphichit Chintrakulchai

t-reg Founder

FREE EVENT

ร่วมฟังแนวทางเปลี่ยนความท้าทาย ให้กลายเป็นโอกาส ด้วยไกด์ไลน์การทำโครงการ PDPA ควบคู่กับ Digital Transformation โดย ผู้เชี่ยวชาญด้านเทคโนโลยี และกฎหมาย PDPA จาก t-reg พบกับผู้เชี่ยวชาญของ t-reg PDPA Platform ที่ให้คำปรึกษาพร้อมเทคโนโลยี ในการพาองค์กรชั้นนำของประเทศไทยมามากกว่า 50 องค์กร สำเร็จโครงการ PDPA แบบยั่งยืน