หากไม่มี DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จะผิดกฎหมายหรือไม่ ? เราเชื่อว่าหลายๆ บริษัทอยากทราบข้อเท็จจริงและทางออกสำหรับเรื่องนี้ เนื่องจากข้อบัญญัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ระบุไว้ ‘ค่อนข้างกว้าง’ สำหรับแง่มุมขององค์กรธุรกิจ โดยเฉพาะ SME ที่ยังมีคำถามคาใจ ว่าโครงสร้างบริษัทขนาดเล็กอย่าง SME จะต้องมีการแต่งตั้ง DPO ภายในองค์กรด้วยหรือไม่ ซึ่งหากดูกันตามนิยามของกฎหมาย ‘ขนาด’ กลับไม่ใช่ประเด็นสำคัญ แต่รูปแบบการดำเนินการและขั้นตอนกลับเป็นสิ่งชี้วัดว่าจำเป็นต้องมีตำแหน่งดังกล่าวภายในบริษัท โดยจะต้องพิจารณาจากเรื่องเหล่านี้
- หน่วยงานรัฐและองค์กรสาธารณะที่มีการจัดเก็บข้อมูลประชาชน (ยกเว้นศาล)
- องค์กรที่มีการเก็บและประมวลผลข้อมูลบุคคลเป็น ‘จำนวนมาก’ หรือมีการเก็บ ประมวลผลและติดตามข้อมูลส่วนบุคคลอย่างต่อเนื่อง
ทั้งนี้จะเห็นว่า กฎหมาย PDPA ระบุถึงขอบเขตของคำว่า ‘ข้อมูลจำนวนมาก’ คือ บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนมากกว่า 5 หมื่นราย หรือมีข้อมูลส่วนบุคคลประเภทอ่อนไหว (Sensitive Data) มากว่า 5 พันรายการภายในระยะเวลา 1ปี
รวมถึงองค์กรที่มีการประมวลผลข้อมูลบุคคลอย่างต่อเนื่อง เช่น มีพนักงานเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล ‘เป็นประจำ’ มากกว่า 20 คน หรือมีสาขาที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมากกว่า 20 แห่ง กรณีลักษณะนี้ เรากลับคิดไปถึงว่า ‘ธุรกิจแฟรนไชส์’ ที่มีสาขาจำนวนมากจะต้องแต่งตั้ง DPO ด้วยหรือไม่ ไว้โอกาสต่อไปเราจะมาวิเคราะห์เรื่องนี้กันอีกครั้ง ส่วนในบทความนี้ เราจะมาหาทางออกสำหรับคำถามที่ว่าถ้าไม่มี DPO จะทำอย่างไรกันต่อ
ดังนั้น จะเห็นว่า นิยามในการแต่งตั้ง DPO ภายในองค์กรธุรกิจมีการกำหนดไว้ค่อนข้าง ‘คลุมเครือ’ และอาจจะต้องใช้การตีความอย่างรัดกุม รวมถึงองค์กรธุรกิจที่มีการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มี ‘ความเสี่ยง’ อันอาจจะก่อให้เกิดการละเมิดข้อมูลส่วนบุคคลได้ง่าย ก็ดูเหมือนว่าเข้าข่ายต้องแต่งตั้ง DPO เช่นกัน
และต้องทราบด้วยว่า หากองค์กรที่กฎหมายระบุว่า ‘ต้องแต่งตั้ง DPO’ แต่ไม่มีการดำเนินการ รวมถึงหากไม่ดำเนินการสนับสนุน และอำนวยความสะดวกในการปฏิบัติหน้าที่ของ DPO ให้ออกจากงาน หรือเลิกสัญญาการจ้างด้วยเหตุจากการปฏิบัติหน้าที่ตามกฎหมาย PDPA จะมีโทษทางปกครองโดยปรับไม่เกิน 1 ล้านบาท
สิ่งนี้บ่งชี้ว่า ตำแหน่ง DPO ยังมีสถานะที่กฎหมายคุ้มครองอีกด้วย อย่างไรก็ตาม บริษัทสามารถแต่งตั้งคนในองค์ หรือจะจ้างคนที่มีความรู้จากภายนอก (Outsource) มาทำหน้าที่นี้ได้เช่นกัน
ดังนั้นจะเห็นว่า กฎหมายให้ความสำคัญกับการมี DPO แต่ในขณะเดียวกัน เรื่องนี้หากไม่เอาข้อกำหนดจากหลักเกณฑ์ตามกฎหมาย PDPA มาเทียบเคียง แต่ดูที่ ‘วัตถุประสงค์’ ในการปกป้องคุ้มครองข้อมูลประชาชนซึ่งเป็นสาระสำคัญของกฎหมายฉบับนี้ เรื่องอาจง่ายกว่าที่คิด !
เจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคล ตำแหน่งที่ทุกบริษัทควรเพิ่มไว้ในองค์กร
อย่างที่บอกว่าหากดูที่สาระสำคัญของกฎหมาย และภายใต้หลักเกณฑ์ที่ยังไม่แน่ชัด ว่าบริษัทใดบ้างควรแต่งตั้ง DPO ด้วยเหตุนี้ ผู้ประกอบการบริษัทขนาดกลางและขนาดย่อม หรือ SME อาจจะพิจารณาเพิ่มตำแหน่งในองค์กร ในส่วนของงานด้านข้อมูลส่วนบุคคลเพื่อเป็น ‘มาตรการระยะสั้น’ ในการรับมือกฎหมาย PDPA ที่พึ่งจะประกาศใช้ในวันที่ 1มิถุนายน 2565 ที่ผ่านมา ถือเป็นยันต์คุ้มภัยใบแรกที่เราแนะนำว่าควรต้องมี
ทั้งเป็นการเตรียมความพร้อมในเบื้องต้นแก่องค์กรขนาดกลางและขนาดเล็กให้ได้มีความตระหนัก และเข้าใจเรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคลมากยิ่งขึ้น ทั้งไม่เฉพาะประโยชน์โดยภาพรวมของบริษัท แต่ยังเป็นการปลุกสำนึกเรื่องความปลอดภัยของข้อมูลส่วนบุคคล และป้องกันเหตุละเมิดกฎหมายให้แก่พนักงานในบริษัทได้อีกด้วย รวมถึงบริษัทยังสามารถพิจารณาจัดจ้างแบบระยะสั้นสำหรับงานในตำแหน่งนี้ได้อีกด้วย ซึ่งมีประโยชน์ต่อบริษัท SME หรือผู้ประกอบการรายเล็กในหลายประเด็น เช่น
1.มีต้นทุนด้านเงินเดือนที่ต่ำกว่าการจ้าง DPO
2.สามารถดำเนินกิจกรรมทางธุรกิจได้อย่างถูกต้องตามกฎหมาย
3.สร้างค่านิยมในการปกป้องข้อมูลส่วนบุคคลภายในองค์กร
4.มีอิสระในการจ้างงาน ให้ตรงกับความต้องการและความจำเป็นของบริษัทอย่างแท้จริง
5.สามารถป้องกันความเสี่ยงการละเมิดข้อมูลส่วนบุคคลของลูกค้า คู่ค้าหรือคู่สัญญา
6.สามารถให้ความรู้แก่พนักงานในบริษัทเรื่องกฎหมาย PDPA อย่างถูกต้องและเป็นรากฐานในการเพิ่มตำแหน่ง DPO ของพนักงานภายในบริษัทในอนาคตได้
กรณีบริษัทจะแต่งตั้ง DPO คุณสมบัติจะต้องเพียบพร้อมด้วยคุณวุฒิ และวัยวุฒิ จะต้องพิจารณาในระดับหัวหน้างาน และมีความเชี่ยวชาญกฎหมาย PDPA และมีสิทธิที่จะสั่งการหรือประสานงานกับผู้บริหารบริษัท รวมถึงประสานงานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยตรง
แต่สำหรับตำแหน่งงานของ ‘เจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคล’ ซึ่งอาจจะไม่ต้องถึงกับต้องมีความเชี่ยวชาญในข้อกฎหมายตามหลักเกณฑ์ของ DPO แต่ก็ควรเป็นคนที่มีวุฒิภาวะที่ดี และมีคุณสมบัติดังนี้
1.มีความเข้าใจเรื่องกฎหมาย PDPA ในระดับที่ดี หรือมีความสนใจและศึกษาข้อมูลจากแหล่งต่างๆ อยู่เสมอ
- มีความเข้าใจเกี่ยวกับโครงสร้างพื้นฐานด้านไอที เทคโนโลยีและกิจกรรมต่างๆ ภายในองค์กร
3.มีทักษะในการสื่อสารที่ดี เพื่อประโยชน์ในการประสานงานและให้คำแนะนำกับแผนกต่างๆ
4.กล้าคิด กล้าตัดสินใจ และมีความตระหนักในบทบาทหน้าที่อย่างเคร่งครัด
5.ซื่อสัตย์ต่อองค์กร และเก็บความลับได้
ทั้งนี้ สำหรับองค์กรที่กฎหมาย PDPA ระบุว่าจะต้องแต่งตั้ง DPO ก็ยังสามารถพิจารณาตำแหน่งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลเพิ่มเติมได้ ซึ่งตำแหน่งดังกล่าวสามารถจะเป็นผู้ช่วยงานของ DPO ให้การดำเนินงานต่างๆ เป็นไปอย่างสะดวกและรวดเร็วมากยิ่งขึ้น เพื่อให้สามารถมั่นใจได้ว่า บริษัทได้มีมาตรการและการจัดการที่รัดกุมและเป็นไปตามที่กฎหมายกำหนด และยังสร้างมาตรฐานใหม่สำหรับองค์กรยุคใหม่ที่ใส่ใจเรื่องการคุ้มครองข้อมูลส่วนบุคคลของประชาชน เป็นรากฐานที่สำคัญในการทำธุรกิจในอนาคตได้อีกด้วย เพราะโลกหลังจากที่มี พ.ร.บ.คุ้มครองข้อมูลฯ ข้อมูลส่วนบุคคลจะไม่ใช่ทรัพย์สินของบริษัท และเป็นสิ่งที่ยืมใช้ และควรใช้อย่างระมัดระวัง
