เริ่มแล้ว! องค์กรที่ต้องแต่งตั้ง DPO ตามกฎหมาย PDPA

หากเราได้ติดตามข่าวสารในช่วงเดือนกันยายน พ.ศ. 2566 ได้มีประกาศเรื่อง “การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41(2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” หลังจากนั้นในเดือนตุลาคมได้มีการนำร่องเริ่มบังคับใช้ในส่วนของหน่วยงานรัฐ นี่นับว่าเป็นสัญญาณการตื่นตัวให้องค์กรควรเตรียมความพร้อมที่จะต้องหันมาให้ความสำคัญและประกาศแต่งตั้ง DPO ภายในองค์กร ซึ่งจะมีผลบังคับใช้พร้อมกันในวันที่ 13 ธันวาคม พ.ศ. 2566

DPO คือใคร สำคัญกับองค์กรอย่างไร

DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล คือบุคคลที่ทำหน้าที่ในการดูแลรักษาข้อมูลส่วนบุคคลทั้งภายในและภายนอกองค์กร โดยจะทำหน้าที่ให้คำปรึกษา ตรวจสอบ และกำกับดูแลการใช้ข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

Checklist องค์กรแบบไหนจำเป็นต้องแต่งตั้ง DPO

รู้หรือไม่ DPO สำคัญต่อบริษัทบางประเภทที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (DC: Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (DP: Data Processor) ซึ่งองค์กรที่จำเป็นต้องแต่งตั้ง DPO มีดังนี้

• หน่วยงานรัฐหรือองค์กรสาธารณะ ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
• องค์กรที่มีกิจกรรมหลักที่เกี่ยวข้องกับการประมวลผลข้อมูลอย่างสม่ำเสมอและเป็นจำนวนมาก เช่น ธุรกิจประกันภัย สถาบันทางการเงิน ธุรกิจรักษาความปลอดภัย บริการโซเชียลมีเดียและโฆษณาตามพฤติกรรม แอปพลิเคชัน ธุรกิจขนส่งเดลิเวอรี่ บริษัทจัดหางาน ธุรกิจทีมีระบบสมาชิกเพื่อรับสิทธิประโยชน์ต่าง ๆ ธุรกิจโทรคมนาคม ฯลฯ
• องค์กรที่มีกิจกรรมหลักเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลประเภทอ่อนไหว เช่น โรงพยาบาลบริษัทเทคโนโลยีที่ประมวลผลข้อมูลทางชีวภาพ (Biometrics)

ลักษณะองค์กรข้างต้นนี้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ควรพิจารณาการแต่งตั้ง DPO และแนวทางปฏิบัติตามกฎหมาย PDPA เพื่อลดความเสี่ยงและป้องกันการละเมิดที่อาจจะเกิดขึ้นได้ในอนาคต

บทบาทหน้าที่ของ DPO

ตามมาตรา 42 พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดหน้าที่อำนาจหน้าที่ DPO ว่าควรมีความรู้ความเชี่ยวชาญในการรวบรวมและจัดเก็บข้อมูลส่วนบุคคล โดยมีรายละเอียดดังนี้

• ให้คำปรึกษาและแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เกี่ยวกับข้อกำหนดและกฎหมายคุ้มครองข้อมูลส่วนบุคคล
• ตรวจสอบการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล และพนักงานที่ทำหน้าที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ว่ามีการปฏิบัติตามข้อกำหนดและมีการแก้ไขปัญหาที่อาจจะเกิดขึ้นในเชิงรุก
• ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล
• เก็บรักษาความลับ บันทึกที่ครอบคลุมกิจกรรมและการประมวลผลข้อมูลทั้งหมดที่ดำเนินการโดยบริษัท รวมไปถึงวัตถุประสงค์ของการประมวลผลข้อมูล ที่จำเป็นจะต้องเปิดเผยต่อสาธารณะเมื่อมีการร้องขอ
• ประสานงานกับเจ้าของข้อมูลส่วนบุคคลเพื่อแจ้งให้ทราบเกี่ยวกับวิธีการใช้ข้อมูลส่วนบุคคล สิทธิ์ในการลบข้อมูลส่วนบุคคล และมาตรการขององค์กรที่ใช้ในการปกป้องข้อมูลส่วนบุคคล

ใครมีหน้าที่แต่งตั้ง DPO ในองค์กร

ตามกฎหมาย PDPA กำหนดให้องค์กรบางประเภทที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (DC: Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (DP: Data Processor) และประมวลผลข้อมูลส่วนบุคคลอ่อนไหวเป็นกิจกรรมหลัก หรือประมวลผลข้อมูลส่วนบุคคลเป็นประจำและเป็นจำนวนมากตามเกณฑ์ที่กำหนด (มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตั้งแต่ 100,000 รายขึ้นไป) จะต้องมีหน้าที่แต่งตั้ง DPO ตามความเหมาะสม

ใครสามารถเป็น DPO ได้บ้าง

DPO เป็นผู้ที่จะต้องมีความรู้ความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล การประมวลผลข้อมูลองค์กร และสามารถกำหนดทิศทางของการเก็บรักษาข้อมูลนั้น ๆ ให้ปลอดภัย ซึ่งควรมีคุณสมบัติดังนี้

• มีความเข้าใจและเชี่ยวชาญเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ๆ ที่เกี่ยวข้อง
• มีความรู้ความเข้าใจเกี่ยวกับโครงสร้างพื้นฐานด้าน IT และโครงสร้างทางเทคนิคขององค์กร
• ต้องไม่มีผลประโยชน์ทับซ้อนกับตำแหน่งเดิมที่ได้รับมอบหมาย หรือตำแหน่งที่มีความเกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
• ต้องมีความสามารถในการจัดการการปกป้องข้อมูลและการปฏิบัติตามข้อกำหนดของกฎหมาย
• ควรเป็นหนึ่งในทีมของผู้ควบคุมข้อมูลส่วนบุคคล (DC: Data Controller) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP: Data Processor) หรือเป็นบุคคลในองค์กรเพื่อที่จะสามารถเข้าถึงกับทุกคนในองค์กรได้

โดยการแต่งตั้ง DPO สามารถแต่งตั้งได้ทั้งเป็นบุคคลเดียวและคณะบุคคล ทั้งนี้จะขึ้นอยู่กับขนาดโครงสร้างขององค์กร หากเป็นองค์กรที่มีขนาดเล็ก หรือมีโครงสร้างที่ไม่ซับซ้อน การมี DPO ที่เป็นบุคคลเดียวก็เพียงพอแล้ว แต่หากองค์กรมีโครงสร้างที่ซับซ้อนหรือมีขนาดใหญ่ การแต่งตั้ง DPO เป็นคณะบุคคลก็จะเหมาะสมกว่า

ก้าวต่อไปกับสิ่งที่องค์กรควรต้องปรับตัว

ทุกวันนี้การทำธุรกิจต้องปรับตัวให้ทันกับยุคสมัยที่เปลี่ยนไปอย่างรวดเร็ว ในขณะเดียวกันก็ต้องปรับระบบให้เท่าทันกับกฎหมายด้วยเช่นกัน ซึ่งข้อบังคับการแต่งตั้ง DPO ตามกฎหมาย PDPA ที่กำลังจะเกิดขึ้นในอีกไม่กี่วันข้างหน้านี้ จึงมีความสำคัญต่อองค์กรในปัจจุบันอย่างมาก โดยเฉพาะในองค์กรที่เกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคล ยิ่งต้องรีบแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่มีคุณสมบัติที่เหมาะสม เพื่อสามารถปฏิบัติได้ตามแนวทางของข้อกฎหมายได้อย่างมีประสิทธิภาพและถูกต้อง อีกทั้งยังเพื่อป้องกันปัญหาต่าง ๆ ในอนาคตอย่างทันท่วงที

เพิ่มความปลอดภัยในการเก็บข้อมูลส่วนบุคคลให้กับองค์กรของคุณ เรียนรู้เพิ่มเติมเกี่ยวกับ DPO ไปกับ PDPA Core สนใจคอร์สเรียน DPO เรียนได้ที่ https://learnpdpa.com/courses/pdpa-for-dpo

*สนใจปรึกษาเรื่อง DPO สามารถติดต่อเราได้ที่ sales@datawow.io หรือ โทร 02-024-5560 *