menu

DPO คือใคร? ทำไมองค์กรยุคใหม่ถึงขาดตำแหน่งนี้ไปไม่ได้!

DPO คือใคร? ทำไมองค์กรยุคใหม่ถึงขาดตำแหน่งนี้ไปไม่ได้!


ในยุคนี้ บริษัทส่วนใหญ่ล้วนมีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลทั้งสิ้น ไม่ว่าจะเป็น ข้อมูลส่วนบุคคล (Personal Data) ของลูกค้า หรือพนักงานในองค์กรเอง 

ถึงแม้ว่าการใช้ข้อมูลส่วนบุคคล จะช่วยให้เรามีข้อมูลมากพอจนสามารถนำไปต่อยอดทางธุรกิจ หรือดำเนินงานให้มีประสิทธิภาพขึ้นได้ แต่ถ้าบริษัทไหนมีการจัดเก็บข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ก็อาจส่งผลให้เกิดปัญหาต่าง ๆ ตามมาได้ ไม่ว่าจะเป็นการละเมิด สิทธิของเจ้าของข้อมูลส่วนบุคคล หรือการกระทำอื่นที่ผิดหลักกฎหมาย PDPA 

DPO

ด้วยสาเหตุนี้ บริษัทที่มีการประมวลผลข้อมูลส่วนบุคคลเป็นประจำ หรือต้องใช้ข้อมูลส่วนบุคคลจำนวนมาก ควรจะมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ขึ้น เพื่อช่วยให้การจัดการข้อมูลเป็นไปอย่างราบรื่นและถูกหลักกฎหมาย PDPA 

ถ้าใครอยากรู้ว่า DPO คือใคร? และมีหน้าที่สำคัญอย่างไรต่อองค์กรในยุคนี้ ลองหาคำตอบได้ในบทความนี้ รับรองว่าจะได้ความรู้ไปแบบเต็ม ๆ แน่นอนค่ะ

DPO คือใครในองค์กร?

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือเรียกสั้น ๆ ว่า DPO (Data Protection Officer) เป็นผู้ที่มีหน้าที่สำคัญในการจัดการและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล 

DPO

เพื่อช่วยให้องค์กรนั้นสามารถดำเนินงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA อีกทั้งเป็นตำแหน่งที่กฎหมาย PDPA กำหนดให้บางองค์กรที่เข้าเกณฑ์นี้ ต้องแต่งตั้งเจ้าหน้าที่ DPO ขึ้นด้วย

DPO Working Document เอกสารสำหรับเจ้าหน้าที่

หากคุณมีความจำเป็นต้องรับ หรือส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่คุณเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล ควรมีการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน

ใครมีหน้าที่ในการแต่งตั้ง DPO บ้าง?

ตามกฎหมาย PDPA ได้กำหนดให้บางองค์กรไม่ว่าจะเป็นองค์กรภาครัฐหรือเอกชนที่เข้าเกณฑ์ ตามที่กำหนดต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ขึ้น เพื่อให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเข้ามาช่วยตรวจสอบ จัดการ  และช่วยให้การดำเนินงาน เกี่ยวกับข้อมูลส่วนบุคคลเป็นไปอย่างราบรื่น มีประสิทธิภาพและถูกต้องตามหลัก PDPA 

สำหรับองค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (DC) และผู้ประมวลผลข้อมูลส่วนบุคคล (DP) ที่มีหน้าที่ต้องแต่งตั้ง DPO ตามกฎหมาย สามารถได้เป็น 3 ประเภท ดังนี้ 

1. หน่วยงานรัฐ ซึ่งรวมถึง ส่วนราชการ รัฐวิสาหกิจ และองค์กรปกครองส่วนท้องถิ่น

2. องค์กรที่ประกอบธุรกิจหลัก (Core activities) เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว (Sensitive PII) เช่น โรงพยาบาล บริษัทประกัน หรือบริษัทเทคโนโลยีที่ประมวลผลข้อมูล facial recognition เป็นต้น  

3. องค์กรอื่นที่มีกิจกรรมประมวลผลข้อมูลส่วนบุคคล “จำนวนมาก”

นอกจากนี้ แม้ว่าบางองค์กรจะไม่อยู่ในเกณฑ์ที่กำหนด แต่การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้ผู้รับผิดชอบหลักในการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ ก็จะช่วยให้องค์กรมีระบบจัดการข้อมูลส่วนบุคคลที่มีประสิทธิภาพ รวมถึงมีเจ้าหน้าที่คอยช่วยจัดการ และตรวจสอบการดำเนินงาน ให้ถูกต้องตามหลักกฎหมาย PDPA มากขึ้นด้วย 

ถ้าไม่แต่งตั้ง จะมีโทษทางกฎหมายหรือไม่?

DPO

สำหรับองค์กรไหนที่กฎหมายกำหนดให้ต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แต่บริษัทไม่ยอมทำตาม องค์กรนั้นอาจมีโทษทางปกครองตามกฎหมายได้ 

โทษทางปกครองโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สูงสุดถึง 1 ล้านบาท!!

ใครสามารถเป็นเจ้าหน้าที่ DPO บ้าง?

เราจะเห็นได้ว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญต่อองค์กรอย่างมาก โดยเฉพาะบริษัทที่มีการประมวลผลข้อมูลส่วนบุคคลเป็นประจำหรือเป็นจำนวนมาก ยิ่งต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้ช่วยในการจัดการกับข้อมูลส่วนบุคคลเหล่านี้ เพื่อให้ถูกต้องตามหลักกฎหมาย PDPA  นั่นเอง

คำถามต่อมาที่หลายคนสงสัย คงหนีไม่พ้นเรื่องเกี่ยวกับ คุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จะมีอะไรบ้าง? และใครเหมาะสมที่จะเป็นทำงานในตำแหน่งนี้? ดูรายละเอียดในหัวข้อต่อไปนี้ได้เลยค่ะ 

DPO ต้องเป็นคนภายในองค์กรเท่านั้นหรือไม่?

คำตอบคือไม่จำเป็น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลสามารถเป็นคนภายในองค์กร หรือคนภายนอกองค์กรก็ได้ ขอแค่เป็นบุคคลที่มีคุณสมบัติครบถ้วน ก็สามารถทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดได้

DPO ต้องมีคุณสมบัติอย่างไร?

PDPA กำหนดคุณสมบัติหลักของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลว่าต้องมีความเข้าใจเกี่ยวกับ PDPA และต้องสามารถดำเนินการควบคุมการประมวลผลข้อมูลส่วนบุคคลได้ โดยไม่ได้กำหนดคุณสมบัติพิเศษด้านการศึกษาหรือวิชาชีพ

ในปัจจุบันมีการออก (ร่าง) ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นมาในเบื้องต้น ​โดยกำหนดว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องได้รับการอบรม / ผ่านการทดสอบจากหลักสูตรที่ได้รับการรับรอง โดยต้องอบรมไม่เกิน 1 ปี ก่อนหรือขณะแต่งตั้ง และต้องฝึกทบทวนอย่างน้อยทุก 3 ปี 

และหากมีความคืบหน้าที่ชัดเจนเกี่ยวกับคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทาง EasyPDPA จะมาอัพเดทข้อมูลใหม่ ๆ  ให้ทุกคนได้รู้กันแน่นอนค่ะ 

บริษัทควรมีเจ้าหน้าที่คุ้มครองข้อมูลกี่คน? 

ตามกฎหมาย PDPA ได้ระบุไว้เพียงว่า เจ้าหน้าที่ DPO จะต้องเป็นบุคคลธรรมดาเท่านั้น ดังนั้น องค์กรที่มีหน้าที่หรือต้องการแต่งตั้งเจ้าหน้าที่ DPO 

สามารถแต่งตั้งคณะทำงาน เจ้าหน้าที่ DPO ทำงานร่วมกันได้ตั้งแต่ 1 คนขึ้นไป แต่องค์กรหนึ่งต้องมีการแจ้งการแต่งตั้ง เจ้าหน้าที่ DPO 1 บุคคล ไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 

หมายเหตุ:  สำหรับบริษัทที่มีธุรกิจอยู่ในเครือเดียวกัน สามารถจัดตั้งให้มีเจ้าหน้าที่ DPO ร่วมกันระหว่างบริษัทในเครือธุรกิจนั้น เพื่อช่วยให้การทำงานสะดวกมากยิ่งขึ้น แต่ก็ต้องรับประกันว่า DPO นั้นต้องสามารถประสานงานกับทุกบริษัทในกลุ่มได้จริง 

บทบาทและหน้าที่ของเจ้าหน้าที่ DPO มีอะไรบ้าง?

จะเห็นได้ว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญสำหรับการดำเนินงานที่เกี่ยวข้องกับ PDPA  ซึ่งผู้ที่ได้รับการแต่งตั้งเป็น ​DPO จากองค์กร อาจมีข้อสงสัยอย่างอื่นตามมา ไม่ว่าจะเป็น DPO ต้องทำหน้าที่อะไรอย่างไรบ้าง? มีความเสี่ยงในการทำหน้าที่ DPO หรือไม่?

โดยในวันนี้ EasyPDPA ก็รวบรวมข้อมูลเกี่ยวกับหน้าที่และความเสี่ยงของเจ้าหน้าที่ DPO มาฝากทุกคนกันค่ะ รับรองว่าอ่านจบแล้ว จะช่วยให้เราเข้าใจแนวทางการทำงานของ DPO มากขึ้น

แนวทางการปฏิบัติงานของเจ้าหน้าที่ของ DPO

สำหรับหน้าที่ของเจ้าหน้าที่ DPO นั้น เรียกได้ว่าครอบคลุมตั้งแต่การให้คำแนะนำ ตรวจสอบ รวมถึงช่วยจัดการการดำเนินงานด้านข้อมูลส่วนบุคคล ให้เป็นไปอย่างมีประสิทธิภาพ และที่สำคัญสอดคล้องกับ PDPA จึงเป็นหน้าที่ที่สำคัญไม่แพ้ตำแหน่งอื่นเลยทีเดียวค่ะ  

หน้าที่ของเจ้าหน้าที่ DPO มี 3 หัวข้อหลัก ดังนี้

1. การให้คำแนะนำรายบุคคล  (Go-To Person)

เจ้าหน้าที่ DPO จะต้องมีความรู้ความเข้าใจเกี่ยวกับ PDPA และให้คำแนะนำ 

ชี้แนะ เป็นที่ปรึกษาให้แก่ องค์กร พนักงานและบุคคลที่เกี่ยวข้องทั้งหมด ให้สามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกรอบของ PDPA 

2. การควบคุมภายในองค์กร (Internal Control)

DPO จะต้องเป็นผู้ติดต่อประสานงานกับแผนกต่าง ๆ  ภายในองค์กร เพื่อสร้างความรู้ความเข้าใจเกี่ยวกับ PDPA รวมถึงต้องมีการตรวจสอบการประมวลผลข้อมูลส่วนบุคคลของแต่ละแผนก ว่ามีการดำเนินการที่ถูกต้องตามหลักกฎหมาย PDPA หรือไม่?

นอกจากนี้ DPO จะต้องเป็นคนประสานงานติดต่อและดำเนินการโดยเร็ว ในกรณีที่เกิดปัญหาการละเมิดข้อมูลส่วนบุคคล (Data Breach)  โดยมีกระบวนการตั้งแต่การรับเรื่อง การตรวจสอบข้อเท็จจริง การทำงาน และให้คำปรึกษาแก่องค์กรหรือบริษัท เพื่อหาแนวทางการแก้ไขปัญหาที่เกิดขึ้นด้วย

3. การติดต่อประสานงานภายนอกองค์กร (External Communication)

DPO จะทำหน้าที่เป็นผู้ติดต่อประสานงานกับ เจ้าของข้อมูล ในกรณีมีการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) อีกทั้งเป็นผู้ติดต่อประสานงานกับ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อรายงานการเกิด Data Breach หรือคำร้องเรียนที่เกิดขึ้นในองค์กรด้วย 

ความเสี่ยงและความรับผิดของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

ในกฎหมาย PDPA ได้กำหนดชัดเจนแล้วว่า ถ้า DPO ให้คำแนะนำที่ถูกต้อง เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่องค์กรแล้ว แต่องค์กรไม่ยอมทำตาม เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งไม่ได้มีสถานะเป็น DC / DP ภายใต้ PDPA จึงไม่ต้องรับผิดชอบต่อการกระทำใด ๆ ที่องค์กรในฐานะ DC / DP ต้องรับผิดโดยตรง  ดังนั้น DPO ไม่ใช่ผู้รับผิดจำคุกกรณีองค์กรมีความเสี่ยงโทษทางอาญา และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ยังได้รับสิทธิในการปกป้องคุ้มครองตามกฎหมาย PDPA 

เพื่อไม่ให้ถูกเลิกจ้างหรือถูกไล่ออกอย่างไม่เป็นธรรม จากการปฏิบัติหน้าที่นี้อีกด้วย ซึ่ง DPO จะรับผิดทางกฎหมาย ก็ต่อเมื่อมีการทุจริตภายในองค์กรระหว่างทำหน้าที่นี้ หรือนำข้อมูลส่วนบุคคลไปใช้และเผยแพร่จนเกิดความเสียหายแก่องค์กรนั่นเอง 

สรุปแล้ว เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญต่อบริษัทในยุคปัจจุบันอย่างมาก โดยเฉพาะบางองค์กรที่กฎหมาย PDPA กำหนดให้มีหน้าที่ต้องแต่งตั้ง DPO ยิ่งต้องรีบแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยทันที อีกทั้งเราต้องมั่นใจได้ว่าผู้ที่ทำหน้าที่นี้ มีความรู้ความเชี่ยวชาญเกี่ยวกฎหมาย PDPA อย่างแท้จริง

เพื่อให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สามารถทำหน้าที่ได้อย่างมีประสิทธิภาพ ช่วยให้องค์กรใช้ข้อมูลส่วนบุคคล ได้อย่างถูกต้องตามกฎหมาย PDPA และป้องกันไม่ให้เกิดปัญหาต่าง ๆ ในอนาคตนั่นเองค่ะ 

วันนี้ บริษัทคุณมี Privacy Policy หรือยัง?

เริ่มต้นการเป็นเจ้าหน้าที่ DPO ง่าย ๆ ให้ EasyPDPA แนะนำแพ็กเกจ PDPA ที่ตอบโจทย์กับความต้องการของคุณมากที่สุดให้ ไม่ว่าจะเป็น

  • Privacy Policy: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับบริษัทหรือองค์กรที่ต้องการเก็บข้อมูลส่วนบุคคล เริ่มต้นเพียง 1,290 บาท
  • DPO Working Document Package: แพ็ครวบรวมเอกสาร PDPA ทุกด้าน สำหรับเจ้าหน้าที่ DPO โดยเฉพาะ เริ่มต้นเพียง 4,990 บาท
  • Cookies Policy Package แพ็ครวบรวมเอกสาร PDPA สำหรับการเว็บไซต์ที่มีการเก็บข้อมูลด้วย Cookies เริ่มต้นเพียง 599 บาท

อ่านบทความที่น่าสนใจเกี่ยวกับ PDPA ได้ที่: 

สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามกฎหมาย PDPA ที่บริษัทควรรู้!

PDPA คืออะไร? – สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย

อ้างอิงข้อมูลจาก:

เอกสารผลการรับฟังความเห็นเกี่ยวกับร่างกฎหมายลําดับรองกลุ่มที่ 1

บทความที่เกี่ยวข้อง