นับตั้งแต่มีการออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างแพร่หลาย ซึ่งกฎหมายที่รู้จักโดยทั่วกันคือ GDPR (General Data Protection Regulation) ซึ่งบังคับใช้สำหรับประเทศในยุโรป ที่ออกมาควบคุมและดูแลกำกับการใช้ข้อมูลส่วนบุคคลขององค์กรหรือหน่วยงานให้ปฏิบัติอย่างถูกต้องตามกฎหมาย
เพื่อให้มี “ตัวแทน” สำหรับองค์กร ที่เข้ามาดูแลเรื่องเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือรู้จักกันในนาม เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO: Data Protection Officer)
ณ ตอนนี้ได้มีกฎหมายบังคับใช้ หากองค์กรหรือบริษัทเข้าหลักเกณฑ์ตามที่กำหนด จำเป็นต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สำหรับการคุ้มครองหรือสำหรับการประมวลผลข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนด อาทิ กฎหมาย GDPR หรือแม้แต่กฎหมาย PDPA ที่มีการบังคับใช้ในประเทศไทย
เพื่อให้องค์กรหรือหน่วยงานสามารถมั่นใจได้ว่า DPO มีการจัดการเกี่ยวกับข้อมูลส่วนบุคคล ไม่ว่าจะเป็น ลูกค้า คู่ค้า หรือบุคลากรในองค์กร ฯลฯ ได้อย่างถูกต้องและมีประสิทธิภาพ จึงจำเป็นอย่างยิ่งที่ DPO ควรจัดทำรายงานประเมิน เพื่อทบทวนกิจกรรมต่าง ๆ เป็นประจำในทุกปี ซึ่งจะช่วยให้ DPO และองค์กรได้มองเห็นถึงภาพรวมของผลลัพธ์ในปฏิบัติหน้าที่ DPO
รายงานประเมินประจำปีของ DPO คืออะไร ?
รายงานประจำปีในฐานะ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เป็นรายงานที่จะช่วยให้ DPO สามารถรายงานการทำงานของตัวเองให้กับองค์กรได้ ซึ่งจะแสดงให้เห็นถึงผลการปฏิบัติหน้าที่ไม่ว่าจะเป็นรายบุคคลหรือคณะทำงานในรอบปีที่ผ่านมา
ทั้งในเรื่องของการประเมินความเสี่ยง การบริหารจัดการความเสี่ยง การรับแจ้งเหตุละเมิด การรับแจ้งการขอใช้สิทธิ การตรวจสอบและให้คำแนะนำ รวมไปถึงการปรับปรุงโครงการที่เกี่ยวข้องทั้งหมดกับการคุ้มครองข้อมูลส่วนบุคคล
แล้ว DPO ควรจัดทำรายงานฉบับนี้ตอนไหน ?
ตามหลักของข้อกฎหมายส่วนนี้ไม่ได้มีบอกว่าต้องทำทุก ๆ ปลายปี หรือทุก ๆ รอบปิดงบประมาณประจำปี ซึ่งหากจะให้แนะนำ สามารถจัดทำรายงานประจำปีของ DPO ให้เสร็จสิ้นในช่วงปลายปีปัจจุบัน หรือสามารถข้ามไปช่วงต้นปีถัดไปได้เช่นกัน
ถ้าเป็นไปได้แนะนำให้บันทึกรายงานอยู่เป็นประจำ ไม่ว่าจะทำเป็นรายวัน รายสัปดาห์ หรือจะเป็นรายเดือน เพื่อให้ในตอนที่ต้องทำเป็นรายงานประจำปีสะดวกและมีเนื้อหาครบถ้วนมากที่สุด
รายงานฉบับนี้ใครบ้างที่ควรรู้ ?
การรายงานผลประจำปีของ DPO สามารถนำเสนอต่อผู้บริหารได้หลายส่วนงาน ไม่ว่าจะเป็น ประธานเจ้าหน้าที่บริหาร (CEO), รองผู้อำนวยการ, ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (CISO), ผู้บริหารธุรกิจ, ฝ่ายพัฒนาทรัพยากรบุคคล ฯลฯ
สำหรับการเขียนรายงานประจำปี DPO ที่ดี สามารถประกอบไปด้วย
ข้อมูลทางสถิติ: จำนวนข้อมูลส่วนบุคคลที่มีการประมวลผล, จำนวนของ DPIA ที่ดำเนินการตลอดทั้งปี, จำนวนการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ฯลฯ
เอกสารที่เกี่ยวข้องกับองค์กร: Privacy Policy, Privacy Notice, สัญญาที่เกี่ยวข้องอื่น ๆ
ซึ่งสำหรับการเขียนรายงานฉบับนี้สามารถสามารถเรียงลำดับการนำเสนอได้ไม่ว่าจะเป็น จากช่วงเวลา จากแนวทาง จากลำดับความสำคัญหรือลำดับของความเสี่ยง
PDPA Thailand ขอแนะนำ! 10 สิ่งที่ต้องทำสู่การบรรลุเป้าหมายการทำรายงานประจำปีของ DPO
ทบทวนบริบทขององค์กร
DPO ต้องมีการทบทวนบริบทองค์กร หรือประเภทของธุรกิจที่ทำอยู่ว่าเข้าข่ายต้องแต่งตั้ง DPO ตามกฎหมายคุ้มครองข้อมูลส่วนแล้วหรือยัง ?
หากจำเป็นต้องแต่งตั้งแล้ว สิ่งที่ต้องทำเมื่อเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีอะไรบ้างแล้วเจ้าหน้าที่ DPO ปฏิบัติงานตามหน้าที่แล้วหรือไม่ หรือแต่งตั้งไว้เพียงเพื่อปฏิบัติตามข้อบังคับของกฎหมาย ต้องไม่ลืมว่า DPO ไม่เพียงแต่เป็นผู้ตรวจสอบกิจกรรมขององค์กรให้สอดคล้องกับกฎหมาย เพราะ DPO จะต้องเป็นกำลังหลักในการสร้างการตระหนักรู้ของบุคลากรในองค์กรด้วย
การมีปฏิสัมพันธ์ระหว่าง DPO และหน่วยงานอื่น ๆ
มีการบันทึกรายงานในส่วนของการติดต่อทั้งภายในองค์กร ไม่ว่าจะเป็นการติดต่อกับบุคลากรส่วนปฏิบัติการขององค์กร ที่รับผิดชอบในการประมวลผลข้อมูลส่วนบุคคล
หรือจะการติดต่อภายนอกองค์กร โดยเฉพาะกับหน่วยงานกำกับดูแลด้านข้อมูลส่วนบุคคลของประเทศนั้น ๆ เช่นเดียวกับการติดต่อกับ DPO ขององค์กรอื่น สำหรับการแลกเปลี่ยนความรู้และข่าวสารซึ่งกันและกัน รายงานในส่วนนี้ จะเป็นส่วนช่วยส่งเสริมความเชื่อมั่น และความน่าเชื่อถือในฐานะของ DPO ได้อีกด้วย
แผนปฏิบัติการ
ส่วนของแผนปฏิบัติการเป็นขั้นตอนที่สำคัญต่อ DPO เป็นอย่างมาก แผนปฏิบัติการที่ดี จะนำไปสู่การปฏิบัติงานที่ดีด้วย ซึ่งแผนปฏิบัติการอาจประกอบไปด้วย การแบ่งโครงสร้างของแผนปฏิบัติการตามหัวข้อที่วางไว้, กำหนด Timeline ของแต่ละงานให้เหมาะสม, มีการกำหนดวัตถุประสงค์การทำงาน เป็นต้น สำหรับในขั้นตอนนี้จะช่วยสรุปการทำงานในรอบปีที่ผ่านมาและทำให้การวางแผนปฏิบัติในรอบปีถัดไปสะดวกมากยิ่งขึ้น
นอกจากนี้แผนการปฏิบัติการจะช่วยให้ DPO สามารถตรวจสอบได้ว่า เราบรรลุวัตถุประสงค์การทำงานในฐานะ DPO หรือไม่ และที่สำคัญยิ่งกว่านั้นสิ่งนี้จะช่วยให้สามารถตรวจสอบและทบทวนถึงสาเหตุที่ไม่สามารถบรรลุวัตถุประสงค์การทำงานได้อีกด้วย
การประเมินผลกระทบการละเมิดข้อมูลส่วนบุคคล
การรายงานผลในขั้นตอนนี้ จะช่วยให้ DPO สามารถบอกได้ถึงจำนวนของ DPIA ที่สำเร็จในรอบปีที่ผ่านมา และเป็นจุดชี้แจงที่บอกว่า ณ ตอนนี้ เราเรียงลำดับความสำคัญของ DPIA กับงานอื่นเป็นอย่างไรบ้าง ไม่ว่าจะเป็นในเรื่องของการใช้เวลาไปเท่าไหร่ในการทำ DPIA , มีการทำ Workshop บ้างแล้วหรือไม่ ซึ่งรายงานในส่วนนี้จะเป็นส่วนช่วยให้เห็นถึงภาพรวมเรื่องของให้ความสำคัญและมีการลงทุนในงานอย่างไรบ้าง
การฝึกอบรมพนักงานและการสร้างการตระหนักรู้
มีการจัดฝึกอบรมและส่งเสริมการสร้างการตระหนักรู้ในเรื่องของกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA ซึ่ง DPO จะต้องมีการลงบันทึกรายงานประจำปีไม่ว่าจะเป็นในเรื่องของ พนักงานได้รับการฝึกอบรมอย่างไรบ้าง, มีการจัดอบรมอย่างไรบ้างสำหรับพนักงานใหม่, ในการฝึกอบรมเรื่องต่าง ๆ มีการใช้บริการวิทยากรภายนอกหรือไม่ และสิ่งที่พนักงานได้รับจากกิจกรรมฝึกอบรมและการสร้างการตระหนักรู้มีอะไรบ้าง
นอกจากนี้ DPO จะต้องเป็นกำลังหลักในการขับเคลื่อนให้พนักงานในองค์กรทุกคนมีความเข้าใจ และให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การปฏิบัติงานของพนักงาน รวมไปถึงการดำเนินกิจกรรมขององค์กรเป็นไปตามที่กฎหมายกำหนด
เจ้าของข้อมูลส่วนบุคคล
หน้าที่ของ DPO สำหรับการทำรายงานประจำปีต้องไม่ลืมที่จะบันทึก “การขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย” ว่าองค์กรได้รับการขอใช้สิทธิในเรื่องต่าง ๆ ในรอบปีที่ผ่านมากี่ครั้ง ซึ่งควรมีการติดตามสถานะการร้องขออยู่เสมอ ทั้งในเรื่องของ สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล ฯลฯ เพื่อเป็นการจัดการมาตรรองรับการใช้สิทธิในด้านต่าง ๆ ขององค์กรอย่างมีประสิทธิภาพ
ความปลอดภัยและการป้องกันข้อมูลรั่วไหล
สิ่งสำคัญที่องค์กรควรให้ความสำคัญในเรื่องของ “ความปลอดภัยของข้อมูล” ซึ่งข้อมูลส่วนบุคคลที่องค์กรได้มีการเก็บรวบรวม ต้องอยู่ในความปลอดภัยสูงสุด ทั้งในขั้นตอนของ การประมวลผลข้อมูล, การโอนข้อมูล ฯลฯ
ซึ่งมาตรการป้องกันข้อมูลส่วนแรก องค์กรสามารถเลือกใช้เครื่องมือต่าง ๆ ที่มีความปลอดภัยสูงช่วยจัดการในเรื่องของการป้องกันข้อมูลส่วนบุคคล และมาตรการในส่วนที่สอง มุ่งเน้นไปที่การพัฒนาในส่วนของ “บุคลากร” สำหรับการป้องกัน Human Error ที่จะนำไปสู่การละเมิดข้อมูลส่วนบุคคล หรือแม้แต่จะการปฏิบัติหน้าที่ที่ทำให้ข้อมูลรั่วไหลได้
การออกแบบการคุ้มครองข้อมูลส่วนบุคคล
ในส่วนนี้แนะนำให้มีการเขียนรายงานถึงการออกแบบการคุ้มครองข้อมูลส่วนบุคคลในรายงานไม่ว่าจะเป็น การออกแบบระบบ บริการ และกระบวนการต่าง ๆ ตลอดถึงการกำหนดวงจรชีวิตของข้อมูล เป็นการวางแผนมาตรการทางเทคนิคและการจัดการองค์กร ซึ่งแสดงให้เห็นถึงประสิทธิภาพของการวางระบบการคุ้มครองข้อมูลส่วนบุคคลรวมไปถึงช่วยวางแผนการปรับปรุงระบบการคุ้มครองข้อมูลส่วนบุคคลในปีอนาคตได้อีกด้วย
สัญญาการว่าจ้างบุคลากรภายนอกสำหรับการประมวลผลข้อมูล
การบันทึกรายการจ้างบุคลากรภายนอกสำหรับการประมวลผลข้อมูลส่วนบุคคล ทั้งในเรื่องของ อุปสรรคที่เจอในการประมวลผลข้อมูล จำนวนผู้รับจ้างในรอบปีที่ผ่านมา สถานะของสัญญาจ้าง ณ ปัจจุบัน ปัญหาที่พบด้านความปลอดภัยในช่วงที่มีการว่าจ้างกัน รวมไปถึงข้อกำหนดต่าง ๆ ที่ได้ทำกับผู้ว่าจ้างแต่ละราย เพื่อให้การวางแผนการทำงานร่วมกันขององค์กรกับบุคลากรภายนอกสะดวกและง่ายยิ่งขึ้น
การทำสัญญา (Contract)
