ตัวอย่าง ประกาศ แต่งตั้ง DPO

นาย วันพิชิต ชินตระกูลชัย​

Chief Technology Officer (CTO)
Ragnar Corporation

แบ่งปันบทความดีๆ

เนื้อหาในบทความ

          องค์กรไหนบ้างที่จะต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกกันว่า DPO โดย จะพูดถึงว่าทำไมเราต้องมี DPO, หน้าที่ของ DPO มีอะไรบ้างและองค์กรไหนบ้างจำเป็นต้องมีการแต่งตั้ง DPO ขึ้นมา

ทำไมต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ?

          อย่างแรกเราจะมาพูดถึงคือ ทำไมเราต้องมี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลนั้น เนื่องจาก DPO เป็นเจ้าหน้าที่จะเข้ามาดูแลและให้ความคุ้มครองเกี่ยวกับข้อมูลส่วนบุคคลทั้งในองค์กร ไม่ว่าจะเป็นข้อมูลภายในขององค์กรเรา หรือจะเป็นข้อมูลภายนอก โดย DPO ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคล และตรวจสอบการใช้ข้อมูลส่วนบุคคล

องค์กรไหนบ้างที่ต้องแต่งตั้ง DPO

ตามกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้กำหนดว่า องค์กรที่ไหนบ้างที่จะต้องมีการแต่งตั้ง DPO
          1. เป็นหน่วยงานรัฐ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
          2. เป็นองค์กรที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ที่จะต้องมีการตรวจสอบข้อมูลบุคคลหรือตรวจสอบระบบอย่างสม่ำเสมอ โดยมีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
          3. เป็นกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลอ่อนไหว
ซึ่งหากเข้าหลักเกณฑ์ทั้งสามเกณฑ์นี้ องค์กรก็จะต้องจำเป็นที่ต้องมีการแต่งตั้ง DPO

หน้าที่ DPO

ตามกฎหมาย PDPA ก็ได้กำหนดหน้าที่ของ DPO ดังต่อไปนี้
          1. ให้คำแนะนำแก่องค์กร ในขณะที่เราเป็นผู้ควบคุมข้อมูลหรือในฐานะผู้ประมวลผลข้อมูล รวมถึงลูกจ้างหรือผู้รับจ้างที่เกี่ยวข้องในการปฏิบัติตามกฎมาย PDPA
          2. ตรวจสอบการดำเนินงานขององค์กร รวมถึงลูกจ้างหรือผู้รับจ้างองค์กรที่เกี่ยวกับการรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามกฎหมาย PDPA
          3. เป็นผู้ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตัวอย่างเช่น ในกรณีที่เกิดเหตุรั่วไหลข้อมูลส่วนบุคคล จัดเก็บใช้หรือเปิดเผย ก็จะมีการแจ้งไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
          4. เจ้าหน้าที่ DPO สมควรจะต้องรักษาความลับของข้อมูลส่วนบุคคลที่ล่วงรู้หรือได้มาในการปฏิบัติหน้าที่

ข้อพิจารณาและคุณสมบัติ DPO

•  ในการแต่งตั้ง DPO สามารถที่จะแต่งตั้งเป็นบุคคลหรือคณะบุคคลก็ได้แต่ความเหมาะสมและบริบทขององค์กร จะแต่งตั้งคนเดียวก็ได้ทำให้มีการทำงานอย่างเบ็ดเสร็จเด็ดขาดได้ แต่ต้องมีทักษะความรู้หลายด้านประกอบกัน ทั้งกฎหมายรวมถึง IT มีความรู้ความสามารถรอบด้าน ถ้าตั้งเป็นคณะบุคคลในกลุ่มของคณะกรรมการอาจมีบุคคลรู้เรื่องกฎหมายคนหนึ่ง หรือ IT คนหนึ่ง และหากมีปัญหาเรื่องของอำนาจในการตัดสินใจ ก็จำเป็นต้องตัดสินใจร่วมกันว่าวิธีไหนเป็นวิธีเหมาะที่สุด องค์กรที่แต่งตั้ง DPO เราอาจแต่งตั้ง DPO หนึ่งคน แต่ก็มีทีมประกอบไม่ว่าจะเป็นเรื่องกฎหมาย หรือ IT เราอาจจะให้บุคคลที่เป็นผู้ช่วยดังกล่าว เสนอแนวทางเพื่อให้ DPO เป็นผู้ตัดสินใจ

• คุณสมบัติของ DPO ซึ่งปัจจุบันตามกฎหมาย PDPA ก็ได้กำหนดว่าคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลนั้นอาจจะมีการประกาศคุณสมบัติเพิ่มมาในภายหลัง ปัจจุบันยังไม่มีประกาศดังกล่าวออกมา เบื้องต้น DPO อาจเป็นคนที่มีความรู้เรื่องของเทคโนโลยีและเรื่องความเสี่ยงต่อการละเมิดความเป็นส่วนตัว เนื่องจาก DPO จะต้องมีการจัดทำความเสี่ยง การประมวลผลข้อมูลส่วนบุคคล ดังนั้นก็จะต้องมีประสบการณ์ในด้านของการประเมินความเสี่ยงความเป็นส่วนตัว รวมถึงจะต้องหาแนวทางป้องกันหรือโอนย้ายความเสี่ยงได้ด้วย และต้องมีเทคโนโลยีตามมาตรฐานตามที่กฎหมายกำหนด รวมถึงมีการเตรียมความพร้อมสำหรับภัยคุกคามที่เข้ามา จากการเปลี่ยนแปลงและวิวัฒนาการของเทคโนโลยี ทำให้ความเสี่ยงมีการพัฒนาเปลี่ยนแปลงไปจากรูปแบบเดิมเช่นกัน

• เรื่องความรู้ด้านกฎหมาย DPO จะต้องมีความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และจะต้องให้มีความมั่นใจว่าข้อมูลที่องค์กรได้รับมาแล้ว จะถูกรักษาเป็นความลับและได้ใช้ตามหน้าที่และภารกิจที่รับมาให้เป็นไปตามวัตถุประสงค์ที่ได้แจ้งไปยังเจ้าของข้อมูลส่วนบุคคล และเป็นไปตามที่กฎหมายกำหนด

• ต้องมีความเข้าใจในธุรกิจและวัฒนธรรมองค์กร จำเป็นต้องมีการติดต่อสื่อสารประสานงานและให้คำปรึกษากับฝ่ายที่มีการใช้ข้อมูลส่วนบุคคล รวมถึงบุคคลภายนอกที่นำข้อมูลส่วนบุคคลจากองค์กรของเราประมวลผลต่อ รวมถึงสำนักงานคณะกรรมการข้อมูลบุคคลและหน่วยงานอื่นที่เกี่ยวข้อง และ DPO จะต้องให้คำปรึกษาโดยสามารถยกตัวอย่าง ธุรกิจของแต่ละฝ่ายแต่ละแผนกได้

• เรื่องความรู้ข้อมูลส่วนบุคคลต่างประเทศ อันนี้จะเป็นกรณีที่องค์กรของเราส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ หากองค์กรมีการติดต่อสื่อสารกับหน่วยงานทั้งในและต่างประเทศ รวมถึงอาจะมีการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ จึงมีความจำเป็นต้องมีความรู้ด้านกฎหมายทั้งในประเทศ และต่างประเทศ เช่น GDPR ของสหภาพยุโปร เพื่อให้องค์กรสามารถดำเนินการได้ถูกต้องตามกฎหมายภายในและกฎหมายต่างประเทศ รวมถึงสามารถแนะนำวิธีปฏิบัติของต่างประเทสเพื่อนำมาปรับใช้ให้เหมาะสมกับข้อมูลส่วนบุคคลที่องค์กรได้รับ

• ความเป็นผู้นำและความกระตือรือร้นในการเรียนรู้สิ่งใหม่ DPO จำเป็นต้องมีความเป็นผู้นำ และมีประสบการณ์ ตลอดจนความสามารถในการบริหารจัดการโครงการ เพื่อที่จะสามารถร้องขอข้อมูล ติดตามงาน และให้คำแนะนำการคุ้มครองข้อมูลส่วนบุคคลขององค์กร นอกจากนี้ DPO ต้องสามารถประเมินตนเองได้ว่าตนเองขาดความรู้และต้องการอบรมเพิ่มเติมในประเด็นใด เพื่อให้มีความรู้ความเข้าใจเพียงพอในการให้คำแนะนำในการดำเนินงานขององค์กรที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

• ติดต่อเข้าถึงง่ายได้ตลอดเวลา หากเกิดประเด็นปัญหาในการดำเนินงานภายในองค์กร หรือเกิดเหตุละเมิดหรือข้อสงสัยอื่นใด DPO จำเป็นต้องสามารถติดต่อได้ตลอดเวลาผ่านทางช่องทางที่องค์กรกำหนด และ DPO ต้องสามารถสื่อสารเป็นภาษาที่คนทั่วไปเข้าใจง่าย ไม่เป็นเชิงเทคนิค และเชิงกฎหมายมากเกินไป และไม่ทำให้บุคคลทั่วไปเข้าใจผิด เพื่อป้องกันข้อร้องเรียนและร้องขอจากเจ้าของข้อมูลส่วนบุคคล รวมถึงการให้ความช่วยเหลือเจ้าของข้อมูลส่วนบุคคลในการตอบคำถามและแก้ไขปัญหาเบื้องต้นได้

• สื่อสารและถ่ายทอดความรู้ความเข้าใจได้ DPO มีความจำเป็นต้องให้ความรู้ ความเข้าใจในแนวปฏิบัติ และภาระทางกฎหมายแก่ฝ่ายงาน จึงต้องมีทักษะด้านการสื่อสารและถ่ายทอดความรู้ได้ด้วยภาษาที่เข้าใจง่าย และสามารถยกตัวอย่างที่เห็นภาพได้ เพื่อให้ทุกฝ่ายในองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลได้ปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคล กฎ ระเบียบ ข้อบังคับ และกฎหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
• ความเป็นอิสระ DPO ต้องมีความเป็นอิสระ สามารถรายงานไปยังผู้บริหารสูงสุดขององค์กรได้ ไม่มีผลประโยชน์ทับซ้อน และน่าเชื่อถือ ในกรณีที่ DPO เป็นเจ้าหน้าที่หรือพนักงานภายในองค์กรและมีภารกิจของฝ่ายงานหลักขององค์กร องค์กรต้องทำให้มั่นใจว่าภารกิจของ DPO ต้องไม่มีผลประโยชน์ทับซ้อนกับภารกิจหลัก โดย DPO อาจเป็นตำแหน่งประจำที่แยกออกจากฝ่ายอื่นหรือบุคคลภายนอกเพื่อป้องกันผลประโยชน์ทับซ้อนได้

สรุป

          ถ้าองค์กรเข้าหลักเกณฑ์ตามที่กฎหมาย PDPA ที่ต้องมีการแต่งตั้ง PDPA อาจจะแต่งตั้งจากบุคคลภายในองค์กรของเราก็ได้ หรืออาจจะจ้าง Outsource เพื่อป้องกันเรื่องประโยชน์ทับซ้อน ก็สามารถที่จะแต่งตั้งได้เช่นเดียวกัน จะแต่งตั้งเป็นบุคคลเดียว หรือเป็นคณะ หรือบุคคลเดียวที่มีผู้ช่วยในการทำงานของ DPO ก็ได้เช่นเดียวกัน

แบ่งปันบทความดีๆ