1) Data Protection Officer หรือ DPO คือ
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล คือบุคคลหลักที่มีบทบาทสำคัญในการดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดขององค์กรไม่ว่าจะเป็นทั้งข้อมูลส่วนบุคคลทั้งภายใน เช่น (ข้อมูลพนักงาน) หรือ ภายนอก (ข้อมูลลูกค้า) ตั้งแต่การเก็บจัดเก็บรวบรวม, เปิดเผย, และนำข้อมูลไปใช้รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
2) หน้าที่หลักของ DPO ตามกฎหมายมีอะไรบ้าง?
ตามมาตรา 42 ของ PDPA ได้กำหนดหน้าที่ของตำแหน่งนี้ไว้ ดังนี้
ต้องจัดให้มีการสร้างความตระหนักรู้ (Awareness) ในเรื่องการจัดการข้อมูลส่วนบุคคลอย่างถูกวิธีให้กับพนักงานในองค์กรเช่น การจัดอบรม ให้ความรู้ PDPA กับคณะทำงานและพนักงานเพื่อให้สร้างความตระหนักรู้ในการใช้ข้อมูลส่วนบุคคลให้ถูกต้องปลอดภัย ตาม PDPA
คอยตรวจสอบการปฏิบัติตามนโยบายการจัดการข้อมูลส่วนบุคคล เช่น การตรวจสอบว่าองค์กรของเรามีการบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (ROPA) ถูกต้อง ครบถ้วนหรือไม่ และมีการละเมิดนโยบายการจัดการข้อมูลส่วนบุคคลเช่นการนำข้อมูลไปใช้นอกเหนือจากวัตถุประสงค์ที่ระบุใน Consent หรือเปล่า?
แน่นอนว่าเมื่อเกิดเหตุการณ์ ข้อมูลส่วนบุคคลรั่วไหลจากองค์กร ผู้ที่ดำรงตำแหน่งจะเป็นผู้ประสานงานในการออกจดหมายแจ้งเตือนข้อมูลรั่วไหล ให้กับสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง
สำหรับองค์กรการรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคลถือเป็นเรื่องสำคัญมาก เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลนั้น จำเป็นที่จะต้องมีหน้าที่รักษาความลับอันได้มาจากการปฏิบัติหน้าที่
3) DPO ต้องมีคุณสมบัติ อะไรบ้าง?
แน่นอนว่าการที่จะเข้ามาเป็นตัวแทนในการจัดการข้อมูลส่วนบุคคล ผู้ที่ดำรงตำแหน่งจะต้องมีความรู้และเชี่ยวชาญด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และการควบคุมการใช้ข้อมูลส่วนบุคคลให้ได้ตามที่กฎหมายกำหนด
เนื่องจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องประสานงานกับหน่วยงานอื่น ๆ และทีมต่าง ๆภายในองค์กร ที่มีส่วนเกี่ยวข้องกับกฎหมายนี้ ดังนั้น ต้องเป็นคนที่สามารถอธิบายให้คนในองค์กรเข้าใจภาพรวมของการจัดการข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย เพราะจำเป็นต้องมีหน้าที่ เช่น การสัมภาษณ์คณะทำงานต่าง ๆ ที่เก็บข้อมูลส่วนบุคคล ว่า เก็บที่ไหน, มีวัตถุประสงค์อะไรบ้าง, ขอความยินยอมหรือยัง เพื่อมาออกแบบบันทึกกิจกรรมข้อมูลส่วนบุคคล (ROPA) เป็นต้น
นอกจากการเก็บข้อมูลแล้ว การปกป้องข้อมูลไม่ให้รั่วไหลนั้นก็สำคัญเช่นกัน ดังนั้นจะต้องมีความรู้ด้านพื้นฐานด้าน CyberSecurity จึงเมีความสำคัญ ซึ่งถ้าองค์กรไหนที่เก็บข้อมูลส่วนบุคคลในรูปแบบ Digital จะต้องมีมาตรฐานในการเก็บรักษาข้อมูลให้มีความปลอดภัยด้วย ซึ่งเชื่อว่าในอนาคตประกาศเพิ่มเติมในเรื่องการรักษาความปลอดภัยนี้จะออกตามมาแน่นอน
หมายความว่า ไม่ควรเป็นบุคคลที่ได้รับประโยชน์จากการที่ได้ล่วงรู้ข้อมูลส่วนบุคคล ตัวอย่างเช่น Sales หรือ Marketing ที่สามารถใช้ประโยชน์จากข้อมูลส่วนบุคคลของลูกค้าได้โดยตรง หรืออีกตัวอย่างหนึ่งคือนักกฎหมาย เพราะเวลาที่เกิดข้อพิพาทขึ้นมา คนที่ดูแลเรื่องกฎหมายจะต้องเข้าข้างองค์กรอยู่แล้ว “อย่าลืมว่าหัวใจของการทำหน้าที่นี้คือการปกป้องสิทธิของเจ้าของข้อมูล (Data Subject Right)”
บางครั้งการบริหารภาพรวมข้อมูลของบริษัท ผู้ที่ดำรงตำแหน่งอาจจะเห็นช่องโหว่ของข้อมูลและต้องการจะปรับปรุงแก้ไข ควรจะสามารถรายงานตรงต่อผู้บริหารและผลักดันให้ออกมาเป็นนโยบาย (Privacy Policy) เพื่อที่จะได้ควบคุมจัดการใช้งานข้อมูลได้นั้นเอง
4) สามารถใช้ DPO แบบ Outsource ได้ไหม?
ตามมาตรา 41 ของ PDPA ได้กำหนดหน้าที่ของตำแหน่งนี้ไว้ ดังนี้ตัวกฎหมายได้บอกชัดเจนอยู่แล้วว่า “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับให้บริการตามสัญญากับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลข้อมูลส่วนบุคคลก็ได้” ซึ่งในฐานะของเจ้าของข้อมูลส่วนบุคคลนั้น ย่อมเห็นว่ามีความเหมาะสม เพราะตำแหน่งนี้เปรียบเสมือนตัวแทนของเจ้าของข้อมูล ที่จะต้องปกป้องเจ้าของข้อมูลมากกว่าที่จะปกป้องบริษัท แต่ถ้าเป็นคนในบริษัท “อาจจะมีความโน้มเอียงไปทางผลประโยชน์ของบริษัทมากกว่าเจ้าของข้อมูลก็เป็นได้”
5) ทำควบตำแหน่งอื่นได้ไหม?
สามารถทำได้ครับ ตราบใดที่ตำแหน่งของคนที่จะเข้ามาเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลนั้นไม่ส่งผลกระทบต่องานหลัก อย่างเช่น KPI ไม่สวนทางกัน, การปกป้ององค์กรกับเจ้าของข้อมูลแล้วขัดแย้งกัน เป็นต้น
6) องค์กรแบบไหนที่จำเป็นจะต้องมี?
หากสรุปตาม พ.ร.บ. จะเห็นได้ว่ากิจการหรือองค์กรใดที่จะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล องค์กรดังกล่าวจะต้องมีกิจกรรมดังนี้ ข้อใดข้อหนึ่งหรือทั้งหมดก็ได้ อันได้แก่
- เป็นหน่วยงานตามที่หน่วยงานรัฐกำหนด
- ดำเนินกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (อันได้แก่การเก็บรวบรวม ใช้ และเปิดเผย) อย่างสม่ำเสมอ
- มีการประมวลผลข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว ตามมาตรา 26
ในกรณีองค์กรของท่านไม่ได้เข้าเกณฑ์ข้อกำหนดตาม พ.ร.บ. ทางเราก็มีข้อแนะนำว่าอาจมีการแต่งตั้งตัวแทนในองค์กร เพื่อทำหน้าที่ประสานงานเกี่ยวกับข้อมูลส่วนบุคคลเมื่อเจ้าของข้อมูลมาขอใช้สิทธิ และเพื่อทำหน้าที่ในการติดต่อประสานงานกับหน่วยงานกำกับดูแลได้นั้นเอง
สรุป : DPO คือใคร? มีหน้าที่อะไรในกฎหมาย PDPA
สำหรับตำแหน่งนี้เปรียบเสมือน Key player ในการที่จะช่วยให้องค์กรสามารถจัดเก็บ รวบรวม เปิดเผย และใช้ข้อมูลส่วนบุคคล ให้สามารถปฏิบัติตามกฎหมาย PDPA และปกป้องสิทธิของเจ้าของข้อมูลได้อย่างเต็มที่นั้นเอง
