พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เป็นกฎหมายที่สร้างความตื่นตัวอย่างมาก โดยหลายๆ องค์กรหันมาศึกษาและพยายามดำเนินการคุ้มครองข้อมูลส่วนบุคคลตามข้อกำหนดของกฎหมายอย่างจริงจัง เพราะกฎหมายได้มีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 ที่ผ่านมา
ผู้บริหารขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลก็คงเคยได้ยินเรื่องราวเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกอย่างย่อๆ ว่า DPO (Data Protection Officer) มาบ้าง เพราะทั้งใน PDPA และ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ที่ได้ชื่อว่าเป็นแม่แบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย ต่างมีบทบัญญัติที่กล่าวถึงความจำเป็นและบทบาทหน้าที่ของตำแหน่งงานนี้
ความสำคัญของ DPO
DPO เป็นตำแหน่งงานใหม่ที่เกิดขึ้นมาพร้อมกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเป็น “ผู้รับผิดชอบ” เพื่อให้แน่ใจว่าการประมวลผลข้อมูลขององค์กรดำเนินการได้สอดคล้องกับกฎหมายและราบรื่นมากที่สุด และมีหน้าที่ตาม PDPA มาตรา 42 ดังต่อไปนี้
- ให้คำแนะนำแก่ผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูล และบุคคลอื่นๆ ที่เกี่ยวข้อง เกี่ยวกับการปฏิบัติตาม พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตลอดจนกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับอื่น
- ดูแลการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลขององค์กรและบุคลากรที่เกี่ยวข้อง ให้สอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายคุ้มครองข้อมูลขององค์กร รวมถึงจัดการกิจกรรมคุ้มครองข้อมูลภายในองค์กร
- ประสานงานและร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล (หรือหน่วยงานที่เกี่ยวข้อง) ในกรณีที่มีปัญหาในการประมวลผลข้อมูล
- บันทึกและเก็บรักษารายการกิจกรรมการประมวลผลข้อมูลขององค์กร
- รักษาความลับของข้อมูลส่วนบุคคลจากการปฏิบัติหน้าที่
ข้อพิจารณาและคุณสมบัติ DPO (กฎหมายยังไม่ได้กำหนด)
DPO เป็นตำแหน่งงานที่ต้องอาศัยทั้งการศึกษา ประสบการณ์ ตลอดจนมีสายอาชีพ และ/หรือวุฒิบัตรรับรองความสามารถในแขนงต่างๆ ที่เกี่ยวข้อง มีรายการคุณสมบัติของผู้ที่เหมาะสมจะดำรงตำแหน่งนี้ ดังต่อไปนี้
- มีความรู้ความเข้าใจและประสบการณ์เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะ
พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในระดับเชี่ยวชาญ
- จบการศึกษาระดับปริญญาตรีขึ้นไปในสาขาความมั่นคงทางสารสนเทศ วิทยาการคอมพิวเตอร์ หรือสาขาใกล้เคียง หรือจบการศึกษาระดับปริญญาตรี/นิติศาสตร์บัณฑิต และมีประสบการณ์การทำงานเกี่ยวข้องกับด้านความเป็นส่วนตัว การปฏิบัติให้สอดคล้องตามกฎหมาย ความมั่นคงทางสารสนเทศ การตรวจสอบการดำเนินงาน หรือด้านอื่นๆ ที่เกี่ยวข้อง เป็นต้น
- ควรมีประสบการณ์การทำงาน (ประมาณหรือมากกว่า 5 ปี) ในตำแหน่งเกี่ยวกับความเป็นส่วนตัว และ/หรือการจัดการความเสี่ยงของการปฏิบัติตามข้อกำหนดกฎหมาย
- อาจจำเป็นต้องมีวุฒิบัตรรับรองจาก International Association of Privacy Professionals (IAPP) ซึ่งเป็นหน่วยงานด้านความเป็นส่วนตัว/การคุ้มครองข้อมูล/การจัดการความเสี่ยงของข้อมูล ที่ได้รับการยอมรับทั่วโลก ไม่ว่าจะเป็น CIPP หรือ CIPM ส่วนจะมีวุฒิบัตรใดอีกบ้างที่สามารถใช้เป็นมาตรฐานรับรองความรู้ความสามารถของผู้ที่มีความสามารถเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ จำเป็นต้องรอประกาศจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอีกครั้งหนึ่ง
ตามข้อกำหนดของกฎหมาย DPO อาจจะเป็นบุคลากรในองค์กร หรือบุคลากรภายนอกองค์กรที่เป็น Outsource ก็ย่อมได้ โดยถ้าหากเป็นบุคลากรในองค์กรจะต้องไม่มีอำนาจหน้าที่การทำงานที่ขัดแย้งกับการปฏิบัติหน้าที่เป็น DPO อย่างไรก็ตาม GDPR สนับสนุนให้พยายามแต่งตั้งบุคลากรภายในองค์กรเป็น DPO เนื่องจากบุคคลภายในจะมองเห็นโครงสร้างการไหลเวียนของข้อมูลองค์กรได้อย่างชัดเจน และมักจะเข้าใจความต้องการของการประมวลผลข้อมูลส่วนบุคคลขององค์กรมากกว่าบุคคลภายนอกนั่นเอง
ดังนั้น DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นตำแหน่งที่เกิดขึ้นมาพร้อมกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยหลายๆ องค์กรจำเป็นต้องมีตำแหน่งนี้เพื่ออำนวยความสะดวกให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างราบรื่นและดำเนินการได้อย่างถูกต้องตามกฎหมาย ในกรณีที่องค์กรของคุณเข้าข่ายต้องมี DPO
หลักสูตรที่ช่วยให้เข้าใจบทบาทและหน้าที่ของ DPO มากยิ่งขึ้น
อบรมหลักสูตร “DPO in Action : เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภาคปฏิบัติ” ออกแบบมาเฉพาะเพื่อให้ความรู้ความเข้าใจในหลักการ ทฤษฎี กฎหมาย แนวปฏิบัติ และกรณีศึกษา เพื่อให้ปฏิบัติหน้าที่ตามมาตรา 42 พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อย่างแท้จริง สอนและบรรยายโดยทีมวิทยากรผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล จาก PDPA Thailand
คลิกดูรายละเอียดเพิ่มเติม https://pdpathailand.com/pdpa-dpo-in-action
