รวมสิ่งที่ควรรู้สำหรับบทบาทหน้าที่ของ DPO

   

เชื่อว่าหลายคนที่อ่านบทความเกี่ยวกับ PDPA คงจะได้เห็นคำว่า DPO หรือ Data Protection Officer ผ่านตากันมาบ้างแล้ว เพราะว่าการที่จะสอดคล้องกับข้อกฎหมาย องค์กรก็ควรมีตำแหน่ง ‘เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล’ ประกอบอยู่ด้วย ถึงแม้ว่าหน้าที่ DPO นี้จะไม่ได้ถูกกล่าวไว้ว่าเป็นตำแหน่งที่จำเป็นต่อทุกองค์กร แต่ทว่าการที่มีเจ้าหน้าที่ที่คอยดูแลข้อมูลอยู่ จะช่วยลดความเสี่ยงเรื่องข้อมูลรั่วไหลและการโดนดำเนินคดีทางกฎหมายหากมีข้อผิดพลาดใดๆ เกิดขึ้น

Data Protection Officer คืออะไร

Data Protection Officer หรือ DPO คือผู้ที่เข้ามาดูแลและให้ความคุ้มครองเกี่ยวกับข้อมูลส่วนบุคคล ซึ่งหน้าที่ของ DPO นั้น จะเป็นผู้ให้คำแนะนำแก่ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลทั้งองค์กรเกี่ยวกับการปฏิบัติตาม พ.ร.บ. รวมไปถึงตรวจสอบการดำเนินงานขององค์กรให้เป็นไปตามข้อกำหนดของ พ.ร.บ. ที่สำคัญคือให้การประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกิดขึ้น

คุณสมบัติของ DPO

คนที่จะมาปฏิบัติหน้าที่นี้ควรจะมีประสบการณ์เชี่ยวชาญทั้งด้านกฎหมาย และความรู้เบื้องต้นเกี่ยวกับเทคโนโลยีสารสนเทศในการป้องกันข้อมูล รวมถึงโครงสร้างของตัวองค์กรตามที่ได้บัญญัติไว้ใน Article 37

• DPO ที่ถูกแต่งตั้งควรจะมีทั้งความน่าเชื่อถือและไม่มีข้อผูกมัดใดๆ

• DPO ต้องผ่านหลักสูตรฝึกอบรมที่ได้รับการยอมรับในระดับสากล

• DPO ควรมีทักษะการจัดการที่ยอดเยี่ยม สามารถเชื่อมต่อกับพนักงานภายในทั้งในทุกระดับ และหน่วยงานภายนอกได้อย่างง่ายดาย

• DPO ที่ถูกต้องจะรับรองความสอดคล้องภายในองค์กร และแจ้งเตือนเจ้าหน้าที่เกี่ยวกับกรณีที่ไม่ปฏิบัติตาม แม้ว่าบริษัทมีความเสี่ยงอาจถูกปรับก็ตาม

ส่วนองค์กรที่สนใจว่าจ้างบริษัทหรือบุคคลากรที่มีความรู้ความสามารถเฉพาะทางเข้ามาทำงานแทน (Outsource) นั้นก็ย่อมได้ แต่ก็ต้องแลกมาด้วยค่าใช้จ่ายที่ค่อนข้างสูง และสิ่งที่ควรคำนึงก็คือ Outsource นั้นๆ ไม่สามารถนำไปสู่ความขัดแย้งทางผลประโยชน์ได้ (Conflict of Interest)

ขอบเขตและหน้าที่รับผิดชอบของ DPO

• ตรวจสอบให้แน่ใจว่าผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล และเจ้าของข้อมูลได้รับแจ้งเกี่ยวกับสิทธิ์การปกป้องข้อมูล ภาระหน้าที่ และความรับผิดชอบของพวกเขา
• ให้คำปรึกษาและคำแนะนำแก่พนักงานหรือผู้เกี่ยวของกับการปฏิบัติตาม PDPA, GDPR (หากขอบเขตการทำงานมีความสัมพันธ์กับสหภาพยุโรป) และกฎหมายคุ้มครองข้อมูลอื่นๆ ที่สำคัญ
• สร้างความมั่นใจได้ว่าองค์กรนั้นมีความสอดคล้องกับกฎหมายคุ้มครองข้อมูล และจัดแจงหน้าที่รับผิดชอบให้แต่ละบุคคล ทั้งนี้ผู้ที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลนั้นจะต้องมั่นใจว่าบุคลากรต่างๆ ตระหนักถึงความสำคัญของข้อบังคับใช้นี้ โดยมีการจัดตั้งการฝึกอบรมพนักงานเพื่อตรวจสอบถึงระดับความเข้าใจ หรือ การตรวจสอบภายใน (Internal Audit) ด้วยถ้าจำเป็น
• สามารถที่จะจัดการกับข้อสงสัยหรือข้อร้องเรียนเกี่ยวกับการร้องขอจากองค์กรหรือผู้ควบคุมผู้อื่น

ข้อควรระวัง

อย่างที่กล่าวไว้ข้างต้นว่าบทบาทหน้าที่ DPO ไม่สามารถมีความเกี่ยวข้องกับความขัดแย้งทางผลประโยชน์ จึงมีข้อควรระวัง ดังนี้

• DPO ไม่ควรเป็นผู้ควบคุมกิจกรรมการประมวลผล (เช่น ไม่สามารถเป็นหัวหน้าฝ่ายทรัพยากรบุคคล)
• DPO ไม่ควรเป็นพนักงานในสัญญาระยะสั้นหรือถาวร
• DPO ไม่ควรรายงานข้อค้นพบแก่หัวหน้าแผนก แต่ควรจะเป็นผู้บริหารระดับสูง
• DPO ควรมีหน้าที่รับผิดชอบในการจัดการงบประมาณของตัวเอง สนใจคอร์สเรียน DPO เรียนได้ที่ https://learnpdpa.com/courses/pdpa-for-dpo

ปรับจูนองค์กรของคุณให้สอดคล้องกับกฎหมายด้วยการสร้าง Privacy Policy ที่ PDPA Pro ได้แล้ววันนี้! สร้างแบบบฟอร์มที่จะช่วยให้บริษัทของคุณรับคำขอสิทธิต่างๆ จากเจ้าของข้อมูลอย่างง่ายดาย ที่ PDPA Form