]

t-reg PDPA Platform

ใครควรเป็น DPO

ใครเหมาะสมที่จะเป็น DPO?

เนื้อหาในบทความ

ใครเหมาะสมที่จะเป็น DPO?

          สวัสดีครับ ในบทความนี้เราจะมาเรียนรู้กันว่า DPO คืออะไร หน้าที่ความรับผิดชอบคืออะไร คุณสมบัติของคนที่จะเข้ามารับตำแหน่ง Data Protection Officer เป็นอย่างไร และแนวทางการปฏิบัติ ในการรับสมัครนั้นมันมีวิธีอย่างไร มาลองอ่านในบทความนี้กันดูนะครับ

แต่ก่อนอื่นผมอยากจะขอเกริ่นแบบพอสังเขปนะครับว่าตำแหน่ง DPO คือตำแหน่งอะไร

DPO คืออะไร

          Data Protection Officer คือคนที่เข้าดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดในองค์กรไม่ว่าจะเป็นองค์กรข้อมูลภายใน (ข้อมูลพนักงาน) หรือภายนอก (ข้อมูลลูกค้า) หน้าที่ที่สำคัญของตำแหน่งน้ีก็จะรวมไปถึงการกำหนดทิศทาง ซึ่งแน่นอนว่าในตัวกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้น ระบุไว้แน่นอนว่าทุกองค์กรที่มีการเก็บข้อมูลส่วนบุคคลจะต้อง มีไว้กำกับดูแลรักษาข้อมูลเหล่านี้

ดังนั้นคำถามถัดมาก็คือทุกๆ องค์กรควรจะมี DPO หรือไม่?

          ตามกฎหมาย PDPA ได้ระบุไว้ว่าองค์กรที่เก็บข้อมูลส่วนบุคคลจะต้องมี DPO ไว้ทำหน้าที่ตรวจสอบกระบวนการการเก็บ ใช้ และเผยแพร่ข้อมูล ซึ่งหน้าที่ที่ได้กล่าวมาจะต้องทำอย่างสม่ำเสมอ และเป็นระบบ แต่ว่าการพิจารณาว่าองค์กรควรจะมี DPO หรือเปล่าไม่ได้ขึ้นอยู่กับขนาดองค์กรเพียงอย่างเดียวครับ

          ถึงแม้ว่าจะไม่มีแนวทางที่แน่นอนเกี่ยวกับขนาดของการจัดการข้อมูล แต่ธุรกิจขนาดเล็กส่วนใหญ่จะไม่จำเป็นต้องจ้าง DPO เว้นแต่เป้าหมายหลักๆ คือการรวบรวมหรือจัดเก็บข้อมูลโดยเฉพาะนั่นเองครับ

DPO คือใคร

ขอบเขตความรับผิดชอบ และคุณสมบัติของ Data Protection Officer

          DPO (Data Protection Officer) คือตำแหน่งที่สำคัญสำหรับองค์กรที่รวบรวมหรือจัดเก็บข้อมูล ซึ่งหน้าที่ความรับผิดชอบของตำแหน่งนี้ก็จะรวมถึงการให้ความรู้แก่ บริษัท และพนักงานเกี่ยวกับข้อบังคับ ฝึกอบรมพนักงานที่เกี่ยวข้องกับการประมวลผลข้อมูล และดำเนินการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ นอกจากนี้ยังทำหน้าที่เป็นจุดติดต่อระหว่าง บริษัท กับหน่วยงานที่กำกับดูแลกิจกรรมที่เกี่ยวข้องกับข้อมูลอีกด้วย

โดยบทบาทหน้าที่ความรับผิดชอบที่สำคัญจะประกอบไปด้วย :

  • การให้ความรู้แก่ บริษัท และพนักงานเกี่ยวกับข้อกำหนดการปฏิบัติตามข้อกำหนดที่สำคัญ
  • ฝึกอบรมเจ้าหน้าที่ที่เกี่ยวข้องกับการประมวลผลข้อมูล
  • ดำเนินการตรวจสอบเพื่อให้แน่ใจว่ามีการปฏิบัติตามข้อกำหนดและแก้ไขปัญหาที่อาจเกิดขึ้นในเชิงรุก
  • ทำหน้าที่เป็นจุดติดต่อระหว่าง บริษัท และหน่วยงานกำกับดูแล PDPA
  • ตรวจสอบประสิทธิภาพและให้คำแนะนำเกี่ยวกับผลกระทบของความพยายามในการปกป้องข้อมูล
  • การเก็บรักษาบันทึกที่ครอบคลุมของกิจกรรมการประมวลผลข้อมูลทั้งหมดที่ดำเนินการโดย บริษัท รวมถึงวัตถุประสงค์ของกิจกรรมการประมวลผลทั้งหมดซึ่งจะต้องเปิดเผยต่อสาธารณะเมื่อมีการร้องขอ
  • การติดต่อกับเจ้าของข้อมูลเพื่อแจ้งให้พวกเขาทราบเกี่ยวกับวิธีการใช้ข้อมูลของพวกเขาสิทธิ์ในการลบข้อมูลส่วนบุคคลของพวกเขาและมาตรการใดที่ บริษัท ได้ใช้เพื่อปกป้องข้อมูลส่วนบุคคลของพวกเขา
คนที่ควรเป็น DPO

แนวทางการปฏิบัติในการรับ DPO เข้ามาทำงาน

          ตำแหน่งนี้จะต้องมีความเชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลและความเข้าใจอย่างถ่องแท้เกี่ยวกับโครงสร้างพื้นฐานด้านไอทีเทคโนโลยีและโครงสร้างทางเทคนิคและองค์กรของ บริษัท ซึ่งจะแต่งตั้งคนในองค์กร หรือว่าจ้างมาก็ได้ บริษัท และองค์กรควรมองหาผู้สมัครที่สามารถจัดการการปกป้องข้อมูลและการปฏิบัติตามข้อกำหนดภายในในขณะที่รายงานการไม่ปฏิบัติตามไปยังหน่วยงานกำกับดูแลที่เหมาะสม โดยจะต้องมีความน่าเชื่อถือ และไม่มีการผูกมัดกับหน้าที่การเดิม หรือตำแหน่งที่มีความเกี่ยวข้องในการเก็บ ประมวลผล และเผยแพร่ข้อมูลส่วนบุคคล

          สรุปแล้วหน้าที่นี้ควรที่จะมีทักษะในการสื่อสารที่ดี เพราะจะต้องติดต่อประสานงานทั้งพนักงานภายในทุกระดับ และเจ้าหน้าที่ภายนอกได้อย่างง่ายดาย นอกจากนี้ จะต้องตรวจสอบการปฏิบัติตามข้อกำหนดภายใน และแจ้งเตือนเจ้าหน้าที่เกี่ยวกับกรณีการไม่ปฏิบัติตามแม้ว่า บริษัท อาจถูกปรับจำนวนมากก็ตามครับ

Reference : https://www.atinternet.com/en/glossary/data-protection-officer-dpo/

FREE EVENT

ร่วมฟังแนวทางเปลี่ยนความท้าทาย ให้กลายเป็นโอกาส ด้วยไกด์ไลน์การทำโครงการ PDPA ควบคู่กับ Digital Transformation โดย ผู้เชี่ยวชาญด้านเทคโนโลยี และกฎหมาย PDPA จาก t-reg พบกับผู้เชี่ยวชาญของ t-reg PDPA Platform ที่ให้คำปรึกษาพร้อมเทคโนโลยี ในการพาองค์กรชั้นนำของประเทศไทยมามากกว่า 50 องค์กร สำเร็จโครงการ PDPA แบบยั่งยืน

ร่วมฟังแนวทางที่ท่านจะได้รับทราบข้อมูลอัพเดทเกี่ยวกับตัวกฎหมาย และแนวทางการตรวจสอบในเชิง Audit ว่าองค์กรของท่านนั้นยังคงรักษามาตรการการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดีหรือไม่ กฎหมายที่ออกเพิ่มเติมมาส่งผลต่อท่านอย่างไร และกระบวนการ Audit ที่เข้มข้น

RELATED POST
ข้อมูลส่วนบุคคล ลูกเสือ
t-reg news

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

จงเตรียมพร้อม ไม่ได้ใช้เพื่อปฏิญาณในฐานะลูกเสือแค่นั้น แต่ CyberSecurity ก็ใช้ด้วย เพราะล่าสุด ข้อมูลส่วนบุคคล รั่วไหลเกิดกับเหล่า Scout แล้ว

อ่านต่อ »
Consent คือ
Case Study

Lesson Learn จาก Google Consent สำคัญแค่ไหน? ทำไมบริษัทใหญ่ๆ มักตกหลุมพราง Consent

Consent คือ พื้นฐานของกฎหมาย GDPR กฎหมาย PDPA และกฎหมายคุ้มครองข้อมูลอื่น ๆ  ซึ่งดูเป็นเรื่องที่ไม่ซับซ้อนเท่ากับขั้นตอนอื่น

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่