ทำไม? DPO ควรเป็นคนในองค์กร ไม่ควรเป็น Outsource

ทำไม DPO ควรเป็นคนในองค์กร

ในเดือนกันยายน 2566 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) มีการออกประกาศล่าสุดให้องค์กรที่เกี่ยวข้องต้องแต่งตั้ง DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จึงเกิดคำถามตามมาขึ้นว่า “ใครควรจะมาทำหน้าที่นี้” เพราะแต่เดิมหลายองค์กรไม่ได้มีตำแหน่งนี้อยู่ก่อนแล้ว จึงไม่มีคนมาดูแลเรื่องดังกล่าว ด้วยเหตุนี้เอง ทำให้องค์กรจำนวนไม่น้อยติดต่อทีมกฎหมายของ PDPA Core เพื่อเสนอให้เป็น DPO Outsource โดยจ้างให้เข้ามาดูแลจัดการเรื่องต่างๆที่เกี่ยวข้องกับข้อมูลส่วนบุคคลขององค์กรแทนการแต่งตั้งพนักงานภายในกันเอง หากแต่กระนั้น PDPA Core เล็งเห็นว่าการจ้าง DPO ที่เป็น Outsource เพื่อมาทำหน้าที่แทนพนักงานประจำซึ่งเป็นบุคคลภายในองค์กรอยู่แล้วนั้นจะส่งผลกระทบต่อโครงสร้างและแผนการดำเนินงานขององค์กรในระยะยาวมากกว่าเป็นคุณ ดังนั้น การแต่งตั้ง DPO จึงควรเลือกคนในองค์กรมากกว่า Outsource ด้วยเหตุผลประกอบด้านล่างนี้

สิ่งที่ควรพิจารณาในการเลือก DPO ให้เหมาะสมกับองค์กรของคุณ

1.) ความเชี่ยวชาญ

DPO จำเป็นต้องมีความรู้ความเข้าใจในกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมไปถึงกฎหมายอื่น ๆ ที่เกี่ยวข้อง เพื่อให้คำปรึกษาและคอยตรวจสอบการดำเนินงาน พร้อมกับชี้แนะแนวทางการปฏิบัติขององค์กรได้อย่างถูกต้อง

2.) ขนาดและความซับซ้อนขององค์กร

องค์กรที่มีขนาดใหญ่จะมีโครงสร้างการทำงานที่ซับซ้อนกว่าองค์กรที่มีขนาดเล็ก ดังนั้นการแต่งตั้ง DPO ประจำองค์กรต้องคำนึงความเข้าใจของธุรกิจและวัฒนธรรมขององค์กรเป็นสำคัญด้วย

3.) งบประมาณ

เรื่องงบประมาณและค่าใช้จ่ายยังคงเป็นปัจจัยต้น ๆ ในการตัดสินใจเลือก DPO ของหลายองค์กร โดยเฉพาะองค์กรที่มีขนาดเล็ก ที่มีงบประมาณที่จำกัด ดังนั้นองค์กรจึงควรประเมินและกำหนดงบประมาณที่เหมาะสมตามความจำเป็น

*4.) การรักษาความปลอดภัยและจัดการความเสี่ยง *

สำหรับข้อมูลส่วนบุคคล หากมีการรั่วไหลก็ย่อมเกิดผลเสียมากกว่าผลดี โดยเฉพาะหากเป็นข้อมูลอ่อนไหว (Sensitive Personal Data) มีความละเอียดอ่อน ยิ่งสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม ดังนั้นการจะเลือกว่า DPO ควรเป็นคนในหรือคนนอก จึงต้องพิจารณาอย่างรอบคอบและถี่ถ้วน

*5.) ความสะดวกในการติดต่อ *

หากองค์กรไหนที่จำเป็นจะต้องติดต่อกับ DPO อย่างใกล้ชิดสม่ำเสมอ ไม่ว่าจะเป็นการติดต่อประสานงานทั้งภายในและภายนอกองค์กร เรื่องของความสะดวกในการติดต่อก็นับว่าเป็นปัจจัยที่ไม่ควรมองข้าม เพราะหากเลือก DPO ที่เป็น Outsource เงื่อนไขดังกล่าวนี้อาจจะไม่ตอบโจทย์องค์กรของคุณเท่าไรนัก

เหตุใดจึงควรเลือกคนในองค์กรเป็น DPO

DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ถือเป็นบุคคลสำคัญที่ช่วยให้คำแนะนำและสนับสนุนให้การดำเนินงานขององค์กรเป็นไปตามกฎหมาย PDPA อย่างครบถ้วนสมบูรณ์ โดยเฉพาะองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลเป็นจำนวนมากอย่างเป็นระบบ ดังนั้น เพื่อสร้างความเชื่อมั่นให้กับองค์กร การพิจารณาเลือกสรร DPO ให้กับองค์กรนั้น จึงเป็นเรื่องที่ละเอียดอ่อนและมีความสำคัญอย่างมาก ซึ่งการเลือกบุคลากรภายในองค์กรมาทำหน้าที่นี้จึงเป็นทางเลือกที่ดีและเหมาะสมที่สุด ด้วยเหตุผลดังนี้

*1.) มีความเข้าใจในธุรกิจและวัฒนธรรมองค์กร *

คงไม่มีใครรู้และเข้าใจองค์กรได้ดีกว่าบุคลากรภายในองค์กร ดังนั้นการเลือก DPO ที่เป็นคนในองค์กรจึงมีข้อได้เปรียบในเรื่องของความเข้าใจในธุรกิจและวัฒนธรรมองค์กร เพราะมีความคุ้นเคยกับระบบการดำเนินการได้ดี ทำให้การปฏิบัติงานเป็นไปได้อย่างรวดเร็ว และถ้าหากมีความจำเป็นที่ต้องมีการติดต่อสื่อสาร ประสานงาน และให้คำปรึกษากับบุคลากรในองค์กรด้วยกัน ย่อมได้รับความเชื่อใจมากกว่าคนนอก อีกทั้งแนวโน้มในการให้ร่วมมือและปฏิบัติตามเป็นไปได้ง่ายกว่า ทั้งนี้ ในกรณีที่ต้องปรับโครงสร้างการทำงานขององค์กร DPO ที่เป็นคนในองค์กร ย่อมสามารถประเมินสถานการณ์ได้อย่างเหมาะสมและทันท่วงทีเพื่อชี้แนะแนวทางให้กับองค์กรได้อย่างมีประสิทธิภาพอีกด้วย

*2.) การรักษาความลับขององค์กร *

เพราะหน้าที่หลักของ DPO คือการดูแลและช่วยจัดการข้อมูลส่วนบุคคลให้เป็นไปอย่างมีประสิทธิภาพ และสอดคล้องกับกฎหมาย PDPA เพื่อลดความเสี่ยงที่องค์กรจะละเมิดข้อมูลส่วนบุคคล ดังนั้นการแต่งตั้ง DPO ที่เป็นคนในองค์กร จะช่วยรักษาความลับขององค์กรที่ตนล่วงรู้หรือได้มาจากการปฏิบัติหน้าที่ โดยที่องค์กรยังสามารถมั่นใจได้ว่าข้อมูลจะไม่รั่วไหลออกไป หรือตกไปอยู่ในมือบุคคลภายนอก

*3.) ช่วยควบคุมงบประมาณได้ *

การเลือก DPO ที่เป็นบุคคลภายนอก องค์กรจะต้องมีความพร้อมในเรื่องของงบประมาณที่จะเพิ่มเติมเข้ามาอย่างหลีกเลี่ยงไม่ได้ แต่ในทางกลับกัน หาก DPO เป็นคนในองค์กร ค่าใช้จ่ายดังกล่าวจะควบคุมได้ง่ายกว่า แม้ว่าคนในองค์กรอาจขาดความรู้ในเรื่องที่เกี่ยวข้อง แต่องค์กรสามารถส่งบุคลากรไปอบรมเพิ่มได้ ซึ่งค่าใช้จ่ายดังกล่าวน้อยกว่าการจ้าง Outsource อย่างแน่นอน

PDPA Core มาพร้อมบริการ DPO Advisory เพื่อให้คำปรึกษาและเป็นเพื่อนคู่คิดให้กับกับ DPO ที่ถูกแต่งตั้งจากบุคลากรภายในขององค์กรให้ทำหน้าที่ได้อย่างถูกต้องและเหมาะสม มากไปกว่านั้น PDPA Core ยังมีบริการ DPO Training ผลิตโดยผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นการสอนผ่านระบบ E-Learning คอร์สออนไลน์ที่ออกแบบเนื้อหาเกี่ยวกับ PDPA ที่ครอบคลุม ครบถ้วน และเข้าใจได้อย่างง่าย ๆ สามารถเรียนได้สะดวก ทุกที่ ทุกเวลาได้แล้ววันนี้

สนใจคอร์สเรียน DPO เรียนได้ที่ https://learnpdpa.com/courses/pdpa-for-dpo