cookies privacy คือ อะไร? ทำไมเจ้าของเว็บไซต์จึงไม่ควรมองข้าม!
ในยุคนี้ บริษัทส่วนใหญ่ล้วนมีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลทั้งสิ้น ไม่ว่าจะเป็น ข้อมูลส่วนบุคคล (Personal Data) ของลูกค้า หรือพนักงานในองค์กรเอง
ถึงแม้ว่าการใช้ข้อมูลส่วนบุคคล จะช่วยให้เรามีข้อมูลมากพอจนสามารถนำไปต่อยอดทางธุรกิจ หรือดำเนินงานให้มีประสิทธิภาพขึ้นได้ แต่ถ้าบริษัทไหนมีการจัดเก็บข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ก็อาจส่งผลให้เกิดปัญหาต่าง ๆ ตามมาได้ ไม่ว่าจะเป็นการละเมิด สิทธิของเจ้าของข้อมูลส่วนบุคคล หรือการกระทำอื่นที่ผิดหลักกฎหมาย PDPA
ด้วยสาเหตุนี้ บริษัทที่มีการประมวลผลข้อมูลส่วนบุคคลเป็นประจำ หรือต้องใช้ข้อมูลส่วนบุคคลจำนวนมาก ควรจะมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ขึ้น เพื่อช่วยให้การจัดการข้อมูลเป็นไปอย่างราบรื่นและถูกหลักกฎหมาย PDPA
ถ้าใครอยากรู้ว่า DPO คือใคร? และมีหน้าที่สำคัญอย่างไรต่อองค์กรในยุคนี้ ลองหาคำตอบได้ในบทความนี้ รับรองว่าจะได้ความรู้ไปแบบเต็ม ๆ แน่นอนค่ะ
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือเรียกสั้น ๆ ว่า DPO (Data Protection Officer) เป็นผู้ที่มีหน้าที่สำคัญในการจัดการและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
เพื่อช่วยให้องค์กรนั้นสามารถดำเนินงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA อีกทั้งเป็นตำแหน่งที่กฎหมาย PDPA กำหนดให้บางองค์กรที่เข้าเกณฑ์นี้ ต้องแต่งตั้งเจ้าหน้าที่ DPO ขึ้นด้วย
หากคุณมีความจำเป็นต้องรับ หรือส่งต่อ เปิดเผยข้อมูลส่วนบุคคลของบุคคลใดก็ตาม กับบุคคลภายนอกองค์กรของท่าน เช่น การส่งต่อข้อมูลลูกค้าให้แก่ ผู้ให้บริการภายนอก (Outsource) เพื่อการจัดส่งสินค้า หรือกรณีที่คุณเป็นบริษัทที่ปรึกษาที่ได้รับข้อมูล ต่อมาจากผู้ว่าจ้าง) เพื่อเป็นการรับประกันสิทธิ หน้าที่ และความรับผิดชอบของคู่สัญญาทั้งสองฝ่าย เกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล ควรมีการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน
ตามกฎหมาย PDPA ได้กำหนดให้บางองค์กรไม่ว่าจะเป็นองค์กรภาครัฐหรือเอกชนที่เข้าเกณฑ์ ตามที่กำหนดต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ขึ้น เพื่อให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเข้ามาช่วยตรวจสอบ จัดการ และช่วยให้การดำเนินงาน เกี่ยวกับข้อมูลส่วนบุคคลเป็นไปอย่างราบรื่น มีประสิทธิภาพและถูกต้องตามหลัก PDPA
สำหรับองค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (DC) และผู้ประมวลผลข้อมูลส่วนบุคคล (DP) ที่มีหน้าที่ต้องแต่งตั้ง DPO ตามกฎหมาย สามารถได้เป็น 3 ประเภท ดังนี้
1. หน่วยงานรัฐ ซึ่งรวมถึง ส่วนราชการ รัฐวิสาหกิจ และองค์กรปกครองส่วนท้องถิ่น
2. องค์กรที่ประกอบธุรกิจหลัก (Core activities) เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว (Sensitive PII) เช่น โรงพยาบาล บริษัทประกัน หรือบริษัทเทคโนโลยีที่ประมวลผลข้อมูล facial recognition เป็นต้น
3. องค์กรอื่นที่มีกิจกรรมประมวลผลข้อมูลส่วนบุคคล “จำนวนมาก”
นอกจากนี้ แม้ว่าบางองค์กรจะไม่อยู่ในเกณฑ์ที่กำหนด แต่การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้ผู้รับผิดชอบหลักในการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ ก็จะช่วยให้องค์กรมีระบบจัดการข้อมูลส่วนบุคคลที่มีประสิทธิภาพ รวมถึงมีเจ้าหน้าที่คอยช่วยจัดการ และตรวจสอบการดำเนินงาน ให้ถูกต้องตามหลักกฎหมาย PDPA มากขึ้นด้วย
สำหรับองค์กรไหนที่กฎหมายกำหนดให้ต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แต่บริษัทไม่ยอมทำตาม องค์กรนั้นอาจมีโทษทางปกครองตามกฎหมายได้
โทษทางปกครองโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สูงสุดถึง 1 ล้านบาท!!
เราจะเห็นได้ว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญต่อองค์กรอย่างมาก โดยเฉพาะบริษัทที่มีการประมวลผลข้อมูลส่วนบุคคลเป็นประจำหรือเป็นจำนวนมาก ยิ่งต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้ช่วยในการจัดการกับข้อมูลส่วนบุคคลเหล่านี้ เพื่อให้ถูกต้องตามหลักกฎหมาย PDPA นั่นเอง
คำถามต่อมาที่หลายคนสงสัย คงหนีไม่พ้นเรื่องเกี่ยวกับ คุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จะมีอะไรบ้าง? และใครเหมาะสมที่จะเป็นทำงานในตำแหน่งนี้? ดูรายละเอียดในหัวข้อต่อไปนี้ได้เลยค่ะ
คำตอบคือไม่จำเป็น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลสามารถเป็นคนภายในองค์กร หรือคนภายนอกองค์กรก็ได้ ขอแค่เป็นบุคคลที่มีคุณสมบัติครบถ้วน ก็สามารถทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดได้
PDPA กำหนดคุณสมบัติหลักของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลว่าต้องมีความเข้าใจเกี่ยวกับ PDPA และต้องสามารถดำเนินการควบคุมการประมวลผลข้อมูลส่วนบุคคลได้ โดยไม่ได้กำหนดคุณสมบัติพิเศษด้านการศึกษาหรือวิชาชีพ
ในปัจจุบันมีการออก (ร่าง) ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นมาในเบื้องต้น โดยกำหนดว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องได้รับการอบรม / ผ่านการทดสอบจากหลักสูตรที่ได้รับการรับรอง โดยต้องอบรมไม่เกิน 1 ปี ก่อนหรือขณะแต่งตั้ง และต้องฝึกทบทวนอย่างน้อยทุก 3 ปี
และหากมีความคืบหน้าที่ชัดเจนเกี่ยวกับคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทาง EasyPDPA จะมาอัพเดทข้อมูลใหม่ ๆ ให้ทุกคนได้รู้กันแน่นอนค่ะ
ตามกฎหมาย PDPA ได้ระบุไว้เพียงว่า เจ้าหน้าที่ DPO จะต้องเป็นบุคคลธรรมดาเท่านั้น ดังนั้น องค์กรที่มีหน้าที่หรือต้องการแต่งตั้งเจ้าหน้าที่ DPO
สามารถแต่งตั้งคณะทำงาน เจ้าหน้าที่ DPO ทำงานร่วมกันได้ตั้งแต่ 1 คนขึ้นไป แต่องค์กรหนึ่งต้องมีการแจ้งการแต่งตั้ง เจ้าหน้าที่ DPO 1 บุคคล ไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
หมายเหตุ: สำหรับบริษัทที่มีธุรกิจอยู่ในเครือเดียวกัน สามารถจัดตั้งให้มีเจ้าหน้าที่ DPO ร่วมกันระหว่างบริษัทในเครือธุรกิจนั้น เพื่อช่วยให้การทำงานสะดวกมากยิ่งขึ้น แต่ก็ต้องรับประกันว่า DPO นั้นต้องสามารถประสานงานกับทุกบริษัทในกลุ่มได้จริง
จะเห็นได้ว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญสำหรับการดำเนินงานที่เกี่ยวข้องกับ PDPA ซึ่งผู้ที่ได้รับการแต่งตั้งเป็น DPO จากองค์กร อาจมีข้อสงสัยอย่างอื่นตามมา ไม่ว่าจะเป็น DPO ต้องทำหน้าที่อะไรอย่างไรบ้าง? มีความเสี่ยงในการทำหน้าที่ DPO หรือไม่?
โดยในวันนี้ EasyPDPA ก็รวบรวมข้อมูลเกี่ยวกับหน้าที่และความเสี่ยงของเจ้าหน้าที่ DPO มาฝากทุกคนกันค่ะ รับรองว่าอ่านจบแล้ว จะช่วยให้เราเข้าใจแนวทางการทำงานของ DPO มากขึ้น
สำหรับหน้าที่ของเจ้าหน้าที่ DPO นั้น เรียกได้ว่าครอบคลุมตั้งแต่การให้คำแนะนำ ตรวจสอบ รวมถึงช่วยจัดการการดำเนินงานด้านข้อมูลส่วนบุคคล ให้เป็นไปอย่างมีประสิทธิภาพ และที่สำคัญสอดคล้องกับ PDPA จึงเป็นหน้าที่ที่สำคัญไม่แพ้ตำแหน่งอื่นเลยทีเดียวค่ะ
1. การให้คำแนะนำรายบุคคล (Go-To Person)
เจ้าหน้าที่ DPO จะต้องมีความรู้ความเข้าใจเกี่ยวกับ PDPA และให้คำแนะนำ
ชี้แนะ เป็นที่ปรึกษาให้แก่ องค์กร พนักงานและบุคคลที่เกี่ยวข้องทั้งหมด ให้สามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกรอบของ PDPA
2. การควบคุมภายในองค์กร (Internal Control)
DPO จะต้องเป็นผู้ติดต่อประสานงานกับแผนกต่าง ๆ ภายในองค์กร เพื่อสร้างความรู้ความเข้าใจเกี่ยวกับ PDPA รวมถึงต้องมีการตรวจสอบการประมวลผลข้อมูลส่วนบุคคลของแต่ละแผนก ว่ามีการดำเนินการที่ถูกต้องตามหลักกฎหมาย PDPA หรือไม่?
นอกจากนี้ DPO จะต้องเป็นคนประสานงานติดต่อและดำเนินการโดยเร็ว ในกรณีที่เกิดปัญหาการละเมิดข้อมูลส่วนบุคคล (Data Breach) โดยมีกระบวนการตั้งแต่การรับเรื่อง การตรวจสอบข้อเท็จจริง การทำงาน และให้คำปรึกษาแก่องค์กรหรือบริษัท เพื่อหาแนวทางการแก้ไขปัญหาที่เกิดขึ้นด้วย
3. การติดต่อประสานงานภายนอกองค์กร (External Communication)
DPO จะทำหน้าที่เป็นผู้ติดต่อประสานงานกับ เจ้าของข้อมูล ในกรณีมีการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) อีกทั้งเป็นผู้ติดต่อประสานงานกับ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อรายงานการเกิด Data Breach หรือคำร้องเรียนที่เกิดขึ้นในองค์กรด้วย
ในกฎหมาย PDPA ได้กำหนดชัดเจนแล้วว่า ถ้า DPO ให้คำแนะนำที่ถูกต้อง เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่องค์กรแล้ว แต่องค์กรไม่ยอมทำตาม เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งไม่ได้มีสถานะเป็น DC / DP ภายใต้ PDPA จึงไม่ต้องรับผิดชอบต่อการกระทำใด ๆ ที่องค์กรในฐานะ DC / DP ต้องรับผิดโดยตรง ดังนั้น DPO ไม่ใช่ผู้รับผิดจำคุกกรณีองค์กรมีความเสี่ยงโทษทางอาญา และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ยังได้รับสิทธิในการปกป้องคุ้มครองตามกฎหมาย PDPA
เพื่อไม่ให้ถูกเลิกจ้างหรือถูกไล่ออกอย่างไม่เป็นธรรม จากการปฏิบัติหน้าที่นี้อีกด้วย ซึ่ง DPO จะรับผิดทางกฎหมาย ก็ต่อเมื่อมีการทุจริตภายในองค์กรระหว่างทำหน้าที่นี้ หรือนำข้อมูลส่วนบุคคลไปใช้และเผยแพร่จนเกิดความเสียหายแก่องค์กรนั่นเอง
สรุปแล้ว เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญต่อบริษัทในยุคปัจจุบันอย่างมาก โดยเฉพาะบางองค์กรที่กฎหมาย PDPA กำหนดให้มีหน้าที่ต้องแต่งตั้ง DPO ยิ่งต้องรีบแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยทันที อีกทั้งเราต้องมั่นใจได้ว่าผู้ที่ทำหน้าที่นี้ มีความรู้ความเชี่ยวชาญเกี่ยวกฎหมาย PDPA อย่างแท้จริง
เพื่อให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สามารถทำหน้าที่ได้อย่างมีประสิทธิภาพ ช่วยให้องค์กรใช้ข้อมูลส่วนบุคคล ได้อย่างถูกต้องตามกฎหมาย PDPA และป้องกันไม่ให้เกิดปัญหาต่าง ๆ ในอนาคตนั่นเองค่ะ
เริ่มต้นการเป็นเจ้าหน้าที่ DPO ง่าย ๆ ให้ EasyPDPA แนะนำแพ็กเกจ PDPA ที่ตอบโจทย์กับความต้องการของคุณมากที่สุดให้ ไม่ว่าจะเป็น
อ่านบทความที่น่าสนใจเกี่ยวกับ PDPA ได้ที่:
สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามกฎหมาย PDPA ที่บริษัทควรรู้!
PDPA คืออะไร? – สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย
อ้างอิงข้อมูลจาก:
เอกสารผลการรับฟังความเห็นเกี่ยวกับร่างกฎหมายลําดับรองกลุ่มที่ 1