ทำความรู้จักอาชีพใหม่มาแรง !

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer

ทำความรู้จักอาชีพใหม่มาแรง
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ
Data Protection Officer

  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer คือใคร?

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) คือ เจ้าหน้าที่ดูแลความปลอดภัยเกี่ยวกับข้อมูลส่วนบุคคลทั้งหมดในองค์กรทั้งข้อมูลของพนักงานและข้อมูลของลูกค้า ตามข้อกำหนดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โดยมีหน้าที่ให้คำแนะนำแก่องค์กรและพนักงานในการปฏิบัติตาม PDPA ตรวจสอบการดำเนินงานขององค์กรให้เป็นไปอย่างถูกต้องตามข้อกำหนดของกฎหมาย และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในนามขององค์กร

  • เมื่อไหร่จึงจะต้องมี DPO?

องค์กรต่างๆ จะต้องจัดให้มี DPO หากองค์กรนั้น

  1. เป็นหน่วยงานของรัฐ
  2. มีการตรวจสอบข้อมูลส่วนบุคคลอย่างเป็นระบบหรืออย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือ
  3. มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว (sensitive personal data) เช่น ข้อมูลสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวมิติ ข้อมูลเชื้อชาติ และข้อมูลศาสนา เป็นต้น
  • หน้าที่และความรับผิดชอบของ DPO ตาม PDPA
  1. ให้คำแนะนาแก่องค์กร รวมทั้งลูกจ้างหรือผู้รับจ้างขององค์กรเกี่ยวกับการปฏิบัติตาม PDPA
  2. ตรวจสอบการดำเนินงานของผู้องค์กร รวมทั้งลูกจ้างหรือผู้รับจ้างขององค์กรเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตาม PDPA
  3. ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขององค์กร รวมทั้งลูกจ้างหรือผู้รับจ้างขององค์กรในการปฏิบัติตามPDPA
  4. รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตาม PDPA
  • คุณสมบัติของ DPO

PDPA ไม่ได้กำหนดคุณสมบัติของ DPO ไว้อย่างเฉพาะเจาะจง แต่ DPO ควรจะต้องมีความรู้ความเข้าใจ PDPA เป็นอย่างดี รวมถึงเข้าใจกระบวนการทำงานและการประมวลผลข้อมูลส่วนบุคคลขององค์กรด้วย

DPO อาจจะเป็นพนักงานขององค์กรหรือเป็นผู้รับจ้างภายนอกที่องค์กรจัดหาจัดจ้างมาก็ได้ โดยองค์กรจะต้องสนับสนุนการปฏิบัติหน้าที่ของ DPO โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ด้วย

ในการปฏิบัติหน้าที่ของ DPO จะต้องไม่มีผลประโยชน์ทับซ้อน ตัวอย่างเช่น ผู้จัดการฝ่ายขายของบริษัทที่ต้องทำยอดขายให้แก่บริษัท ถือว่ามีผลประโยชน์ทับซ้อน ไม่เหมาะสมที่จะทำหน้าที่เป็นผู้ดูแลความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

  • แนวปฏิบัติที่ดี (best practice) ในการจ้าง DPO

PDPA กำหนดว่า DPO อาจเป็นพนักงานขององค์กรหรือเป็นผู้รับจ้างให้บริการตามสัญญากับที่ทำกับองค์กรก็ได้ แต่ละแนวทางก็มีข้อดีและข้อเสียแตกต่างกัน

การมี DPO ที่เป็นพนักงานประจำองค์กร (in-house DPO) มีข้อดีตรงที่พนักงานมีความรู้ความเข้าใจกระบวนการทำงานขององค์กรเป็นอย่างดี และสามารถตอบสนองหรือเข้าถึงได้อย่างรวดเร็วและสะดวก อย่างไรก็ตาม การเฟ้นหาพนักงานผู้มีความเชี่ยวชาญและประสบการณ์เฉพาะด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยนั้นเป็นเรื่องที่ค่อนข้างยาก เนื่องจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย หรือ PDPA ยังเป็นเรื่องใหม่  หากองค์กรต้องการผู้มีความรู้และประสบการณ์ตรงจริง ก็จะต้องเสียค่าตอบแทนที่สูงมาก ดังนั้น การใช้บริการ outsourced DPO จึงเป็นทางเลือกที่ง่าย สะดวก และมีประสิทธิภาพสูง

Languages »