]

t-reg PDPA Platform

dpo

DPO คือใคร?, 6 คำถามยอดฮิตที่พบบ่อยในองค์กร

เนื้อหาในบทความ

1) Data Protection Officer หรือ DPO คือ

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล คือบุคคลหลักที่มีบทบาทสำคัญในการดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดขององค์กรไม่ว่าจะเป็นทั้งข้อมูลส่วนบุคคลทั้งภายใน เช่น (ข้อมูลพนักงาน) หรือ ภายนอก (ข้อมูลลูกค้า) ตั้งแต่การเก็บจัดเก็บรวบรวม, เปิดเผย, และนำข้อมูลไปใช้รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

2) หน้าที่หลักของ DPO ตามกฎหมายมีอะไรบ้าง?

     ตามมาตรา 42 ของ PDPA ได้กำหนดหน้าที่ของตำแหน่งนี้ไว้ ดังนี้

  • ให้คำแนะนำ PDPA แก่คนในองค์กร
  • ต้องจัดให้มีการสร้างความตระหนักรู้ (Awareness) ในเรื่องการจัดการข้อมูลส่วนบุคคลอย่างถูกวิธีให้กับพนักงานในองค์กรเช่น การจัดอบรม ให้ความรู้ PDPA กับคณะทำงานและพนักงานเพื่อให้สร้างความตระหนักรู้ในการใช้ข้อมูลส่วนบุคคลให้ถูกต้องปลอดภัย ตาม PDPA

  • ตรวจสอบการดำเนินงาน
  • คอยตรวจสอบการปฏิบัติตามนโยบายการจัดการข้อมูลส่วนบุคคล เช่น การตรวจสอบว่าองค์กรของเรามีการบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) ถูกต้อง ครบถ้วนหรือไม่ และมีการละเมิดนโยบายการจัดการข้อมูลส่วนบุคคลเช่นการนำข้อมูลไปใช้นอกเหนือจากวัตถุประสงค์ที่ระบุใน Consent หรือเปล่า?

  • ประสานงานกับผู้กำกับดูแล
  • แน่นอนว่าเมื่อเกิดเหตุการณ์ ข้อมูลส่วนบุคคลรั่วไหลจากองค์กร ผู้ที่ดำรงตำแหน่งจะเป็นผู้ประสานงานในการออกจดหมายแจ้งเตือนข้อมูลรั่วไหล  ให้กับสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง

  • รักษาความลับขององค์กร
  • สำหรับองค์กรการรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคลถือเป็นเรื่องสำคัญมาก เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลนั้น จำเป็นที่จะต้องมีหน้าที่รักษาความลับอันได้มาจากการปฏิบัติหน้าที่

    3) DPO ต้องมีคุณสมบัติ อะไรบ้าง?

  • มีความรู้ความเข้าใจใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล รวมถึงกฎหมายอื่นที่เกี่ยวข้อง
  • แน่นอนว่าการที่จะเข้ามาเป็นตัวแทนในการจัดการข้อมูลส่วนบุคคล ผู้ที่ดำรงตำแหน่งจะต้องมีความรู้และเชี่ยวชาญด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และการควบคุมการใช้ข้อมูลส่วนบุคคลให้ได้ตามที่กฎหมายกำหนด

  • เป็นนักสื่อสารที่ดี
  • เนื่องจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องประสานงานกับหน่วยงานอื่น ๆ และทีมต่าง ๆภายในองค์กร ที่มีส่วนเกี่ยวข้องกับกฎหมายนี้ ดังนั้น ต้องเป็นคนที่สามารถอธิบายให้คนในองค์กรเข้าใจภาพรวมของการจัดการข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย เพราะจำเป็นต้องมีหน้าที่ เช่น การสัมภาษณ์คณะทำงานต่าง ๆ ที่เก็บข้อมูลส่วนบุคคล ว่า เก็บที่ไหน, มีวัตถุประสงค์อะไรบ้าง, ขอความยินยอมหรือยัง เพื่อมาออกแบบบันทึกกิจกรรมข้อมูลส่วนบุคคล (ROPA) เป็นต้น

  • มีความรู้เรื่องเกี่ยวกับการบริหารจัดการความปลอดภัยของข้อมูล
  • นอกจากการเก็บข้อมูลแล้ว การปกป้องข้อมูลไม่ให้รั่วไหลนั้นก็สำคัญเช่นกัน ดังนั้นจะต้องมีความรู้ด้านพื้นฐานด้าน CyberSecurity จึงเมีความสำคัญ ซึ่งถ้าองค์กรไหนที่เก็บข้อมูลส่วนบุคคลในรูปแบบ Digital จะต้องมีมาตรฐานในการเก็บรักษาข้อมูลให้มีความปลอดภัยด้วย ซึ่งเชื่อว่าในอนาคตประกาศเพิ่มเติมในเรื่องการรักษาความปลอดภัยนี้จะออกตามมาแน่นอน

  • ไม่ทำหน้าที่อื่นใด ที่ขัดแย้งต่อการปฏิบัติหน้าที่
  • หมายความว่า ไม่ควรเป็นบุคคลที่ได้รับประโยชน์จากการที่ได้ล่วงรู้ข้อมูลส่วนบุคคล ตัวอย่างเช่น Sales หรือ Marketing ที่สามารถใช้ประโยชน์จากข้อมูลส่วนบุคคลของลูกค้าได้โดยตรง หรืออีกตัวอย่างหนึ่งคือนักกฎหมาย เพราะเวลาที่เกิดข้อพิพาทขึ้นมา คนที่ดูแลเรื่องกฎหมายจะต้องเข้าข้างองค์กรอยู่แล้ว “อย่าลืมว่าหัวใจของการทำหน้าที่นี้คือการปกป้องสิทธิของเจ้าของข้อมูล (Data Subject Right)”

  • สามารถรายงานผู้บริหารได้โดยตรง
  • บางครั้งการบริหารภาพรวมข้อมูลของบริษัท ผู้ที่ดำรงตำแหน่งอาจจะเห็นช่องโหว่ของข้อมูลและต้องการจะปรับปรุงแก้ไข ควรจะสามารถรายงานตรงต่อผู้บริหารและผลักดันให้ออกมาเป็นนโยบาย (Privacy Policy) เพื่อที่จะได้ควบคุมจัดการใช้งานข้อมูลได้นั้นเอง

    4) สามารถใช้ DPO แบบ Outsource ได้ไหม?

            ตามมาตรา 41 ของ PDPA ได้กำหนดหน้าที่ของตำแหน่งนี้ไว้ ดังนี้ตัวกฎหมายได้บอกชัดเจนอยู่แล้วว่า “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับให้บริการตามสัญญากับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลข้อมูลส่วนบุคคลก็ได้” ซึ่งในฐานะของเจ้าของข้อมูลส่วนบุคคลนั้น ย่อมเห็นว่ามีความเหมาะสม เพราะตำแหน่งนี้เปรียบเสมือนตัวแทนของเจ้าของข้อมูล ที่จะต้องปกป้องเจ้าของข้อมูลมากกว่าที่จะปกป้องบริษัท แต่ถ้าเป็นคนในบริษัท “อาจจะมีความโน้มเอียงไปทางผลประโยชน์ของบริษัทมากกว่าเจ้าของข้อมูลก็เป็นได้”

    5) ทำควบตำแหน่งอื่นได้ไหม?

    สามารถทำได้ครับ ตราบใดที่ตำแหน่งของคนที่จะเข้ามาเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลนั้นไม่ส่งผลกระทบต่องานหลัก อย่างเช่น KPI ไม่สวนทางกัน, การปกป้ององค์กรกับเจ้าของข้อมูลแล้วขัดแย้งกัน เป็นต้น

    6) องค์กรแบบไหนที่จำเป็นจะต้องมี?

    หากสรุปตาม พ.ร.บ. จะเห็นได้ว่ากิจการหรือองค์กรใดที่จะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล องค์กรดังกล่าวจะต้องมีกิจกรรมดังนี้ ข้อใดข้อหนึ่งหรือทั้งหมดก็ได้ อันได้แก่

    • เป็นหน่วยงานตามที่หน่วยงานรัฐกำหนด
    • ดำเนินกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (อันได้แก่การเก็บรวบรวม ใช้ และเปิดเผย) อย่างสม่ำเสมอ
    • มีการประมวลผลข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว ตามมาตรา 26

    ในกรณีองค์กรของท่านไม่ได้เข้าเกณฑ์ข้อกำหนดตาม พ.ร.บ. ทางเราก็มีข้อแนะนำว่าอาจมีการแต่งตั้งตัวแทนในองค์กร เพื่อทำหน้าที่ประสานงานเกี่ยวกับข้อมูลส่วนบุคคลเมื่อเจ้าของข้อมูลมาขอใช้สิทธิ และเพื่อทำหน้าที่ในการติดต่อประสานงานกับหน่วยงานกำกับดูแลได้นั้นเอง

    สรุป : DPO คือใคร? มีหน้าที่อะไรในกฎหมาย PDPA

    สำหรับตำแหน่งนี้เปรียบเสมือน Key player ในการที่จะช่วยให้องค์กรสามารถจัดเก็บ รวบรวม เปิดเผย และใช้ข้อมูลส่วนบุคคล ให้สามารถปฏิบัติตามกฎหมาย PDPA และปกป้องสิทธิของเจ้าของข้อมูลได้อย่างเต็มที่นั้นเอง

    FREE EVENT

    ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

    RELATED POST
    important PDPA
    t-reg knowledge

    สรุปสาระสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล!

    ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ข้อมูลส่วนตัวรวมทั้งข้อมูลการใช้งานของ User ถ้าหากเก็บรวบรวมดีๆ จะมีมูลค่ามหาศาล แต่นั่นเป็นดาบสองคมที่อาจทำให้มีผู้ไม่ประสงค์ดีขโมยข้อมูลไปใช้

    อ่านต่อ »
    AI
    t-reg knowledge

    AI เพื่อการคุ้มครองข้อมูลส่วนบุคคล อนาคตด้านความปลอดภัยที่เป็นไปได้

    เป็นที่รู้กันดีว่า เทคโนโลยีปัญญาประดิษฐ์ (AI) ได้รับความนิยมอย่างมากในปัจจุบัน นอกจากจะถูกนำมาประยุกต์ใช้ในธุรกิจ กิจการ กิจกรรมต่างๆ มากมายแล้ว

    อ่านต่อ »
    PDPA คืออะไร
    t-reg knowledge

    PDPA คืออะไร ?

    PDPA ย่อมาจาก Personal Data Protection Act พ.ร.บ. นี้เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

    อ่านต่อ »
    ข้อมูลส่วนบุคคล ลูกเสือ
    t-reg news

    ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

    จงเตรียมพร้อม ไม่ได้ใช้เพื่อปฏิญาณในฐานะลูกเสือแค่นั้น แต่ CyberSecurity ก็ใช้ด้วย เพราะล่าสุด ข้อมูลส่วนบุคคล รั่วไหลเกิดกับเหล่า Scout แล้ว

    อ่านต่อ »
    pdpa thailand
    t-reg knowledge

    สรุปเทรนด์ PDPA Thailand 4 เดือนหลังประกาศใช้ พร้อมทำความเข้าใจ PDPA X Digital Transformation

    ธุรกิจไทยได้รู้จักกับกฎหมาย PDPA กฎหมายเพิ่มเติม แนวทางย่อย และรู้จักกับเครื่องมือในการทำโครงการ PDPA กันบ้างแล้ว หลายๆ

    อ่านต่อ »

    ส่งต่อบทความดีๆ ได้ที่นี่