หลังจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.  2562 (Personal Data Protection Act : PDPA) มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 หลายองค์กรเริ่มมีความตระหนักถึงการทำให้องค์กรปฏิบัติตาม PDPA ตัวอย่างเช่น การจัดทำขั้นตอนการทำ PDPA หรือจัดทำเอกสารต่างๆ เพื่อให้สอดคล้อง โดยแต่ละธุรกิจนั้นก็อาจจะมีความแตกต่างกันไป เช่น โรงพยาบาลหรือสถานศึกษาย่อมมีขั้นตอนการทำ PDPA ที่ไม่เหมือนกัน เป็นต้น แต่สิ่งหนึ่งที่มีความจำเป็น คือ การหาบุคคลเดียวหรือคณะบุคคลที่จะเข้ามาทำหน้าที่ในการดำเนินการด้านข้อมูลส่วนบุคคล ซึ่งตามหลัก PDPA ได้มีการกำหนดตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) ขึ้นเพื่อดำเนินการคุ้มครองข้อมูลส่วนบุคคลขององค์กร

DPO สามารถเป็นคนนอกได้หรือไม่?

ท่านเคยสงสัยกันหรือไม่ว่า?  DPO นั้นสามารถเป็นคนนอก หรือเป็น Outsource ได้หรือไม่ ซึ่งหลักของ PDPA ไม่ได้มีการกำหนดไว้ว่าคนที่จะเป็น DPO จำเป็นต้องเป็นคนนอกหรือสามารถจ้าง Outsource ได้ ดังนั้น แปลว่าองค์กรสามารถจัดจ้างคนนอกเพื่อมาเป็น DPO ได้

DPO ต้องประสานงานกับใครบ้าง?

DPO Outsource นั้นนอกจากจำเป็นต้องดูแลเรื่องข้อมูลลส่วนบุคคลขององค์กรแล้ว จำเป็นต้องมีการประสานงานเพื่อให้งานต่างๆ เป็นไปอย่างราบรื่น ดังนั้น บุคคลที่ DPO Outsource ต้องประสานงานด้วย ได้แก่

1. พนักงานหรือบุคลากรในองค์กร เนื่องจาก DPO Outsource มีหน้าที่ในการให้คำแนะนำในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล รวมถึงตรวจสอบการดำเนินการขององค์กรด้วย
2. สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ซึ่ง DPO Outsource จะต้องมีหน้าที่เป็นตัวกลางในการประสานงานหรือให้ความร่วมมือกับ สคส. ในกรณีที่เกิดปัญหาในการดำเนินการ
3. เจ้าของข้อมูลส่วนบุคคลในบางครั้ง DPO Outsource เองนั้นจำเป็นต้องมีการประสานงานกับเจ้าของข้อมูลส่วนบุคคลในกรณีที่เกิดปัญหาในการประมวลข้อมูลส่วนบุคคล ได้แก่ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามหลักของ PDPA

จากที่กล่าวมาข้างต้น จะเห็นได้ว่าตำแหน่ง DPO มีความสำคัญ แม้แต่ในเรื่องของการประสานงานเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างราบรื่น ดังนั้น การที่องค์กรจะเลือกใช้ DPO Outsource จึงต้องให้ความสำคัญไม่น้อยไปกว่ากัน

องค์กรควรเลือก DPO Outsource ด้วยเหตุผลใดบ้าง?

ตำแหน่ง DPO ถือได้ว่าเป็นบทบาทหนึ่งที่มีความสำคัญในการดูแลเกี่ยวกับข้อมูลส่วนบุคคลขององค์กร ดังนั้น การที่องค์กรจะสรรหา DPO Outsource เข้ามาเพื่อดูแลจัดการย่อมเป็นเรื่องที่ต้องให้ความสำคัญ ซึ่งยอมรับก่อนว่าในปัจจุบัน (กุมภาพันธ์ 2566) ยังไม่มีการกำหนดคุณลักษณะที่ชัดเจนของบุคคลที่จะมาทำหน้าที่เป็น DPO แต่อย่างน้อยที่สุด DPO Outsource ควรจะมีคุณสมบัติหรือคุณลักษณะที่ควรพิจารณา ดังนี้

1. มีประสบการณ์ด้านการให้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากตัว DPO Outsource นั้นจะต้องมีความรู้ความเข้าใจในขั้นตอนการทำ PDPA ดังนั้น จึงเป็นประเด็นแรกในการพิจารณาหาบุคคลหรือคณะบุคคลที่เหมาะสมจะมาเป็น DPO Outsource แก่องค์กร
2. มีความรู้ความเข้าใจองค์กรหรือมีประสบการณ์การให้คำปรึกษาด้านข้อมูลส่วนบุคคล นอกจากจะต้องมีความรู้ในกระบวนการตามหลัก PDPA แล้ว สิ่งที่สำคัญไม่แพ้กัน คือ การที่ DPO Outsource ควรจะมีความรู้ความเข้าใจในธุรกิจหรือองค์กร ทั้งนี้ รวมไปถึงวัฒนธรรมองค์กรด้วย
3. มีการรับรองจากสถาบัน ข้อนี้ทางผู้เขียนมองว่าเป็นหนึ่งในการพิจารณาถึงผู้จะเข้ามาทำหน้าที่ DPO ได้ระดับหนึ่ง เนื่องจากในข้อที่ 2 บุคคลที่จะเข้าใจองค์กรจริงๆ นั้นอาจจะหาได้ยากหากไม่ใช่บุคลากรในองค์กร ทั้งนี้ หากองค์กรต้องมีการคัดเลือกใครที่จะมาเป็น DPO Outsource  การที่บุคคลหรือองค์กรนั้นมีใบรับรองหรือได้รับการรับรองจากหน่วยงาน ก็ย่อมเป็นที่วางใจได้ว่า บุคคลหรือองค์กรที่จะเข้ามาดูแลข้อมูลส่วนบุคคลขององค์กรนั้นมีมาตรฐานได้รับการยอมรับ

โดยภาพรวมนั้น DPO ถือว่าเป็นตัวละครสำคัญคนหนึ่งในด้านการคุ้มครองข้อมูลส่วนบุคค] นอกจากบทบาทหน้าที่ที่มีต่อองค์กร ยังรวมไปถึงการประสานงานกับบุคคลต่างๆ เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปตามหลักการคุ้มครองข้อมูลส่วนบุคคล ดังนั้น DPO Outsource จึงเป็นทางเลือกหนึ่งที่จะช่วยเหลือองค์กรให้ดำเนินการด้านข้อมูลส่วนบุคคลอย่างราบรื่น จึงเป็นที่มาของบทความ เพื่อเป็นแนวทางหรือหลักเกณฑ์ในการพิจารณาคร่าวๆ เพื่อให้เกิดประโยชน์ต่อองค์กรต่อไป

กฤตพล ศรีระษา
ที่ปรึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคลอาวุโส PDPA Thailand