อย่างไรก็ตาม โดยหลักเกณฑ์ดังกล่าวยังคงเป็นขอบเขต ‘กว้างๆ’ ทำให้หลายๆ ธุรกิจยังคงไม่แน่ใจว่า สถานะที่แท้จริงขององค์กรจำเป็นต้องแต่งตั้ง DPO หรือไม่?

หลักเกณฑ์ไม่ชัด! แต่โทษปรับเงินเป็นสิ่งที่แน่นอน!

อย่างที่บอกว่าเรื่องนี้ ข้อกฎหมายยังต้องอาศัยการตีความ แต่สิ่งที่ผู้ประกอบการควรทราบและเข้าใจตรงกันคือ แม้หลักเกณฑ์ว่าองค์กรใดควรแต่งตั้ง DPO ยังไม่ชัดเจน ซึ่งอาจจะต้องรอการออกกฎหมายลูกมากำกับ แต่ได้มีการกำหนดข้อบังคับและบทลงโทษที่แน่นอนไว้แล้ว โดยมีทั้งความผิดทางแพ่ง ความผิดทางอาญา และยังมีโทษทางปกครองที่เป็นค่าปรับที่สูงพอสมควรหากมีการละเมิดหรือไม่ปฏิบัติตามกฎหมาย PDPA ซึ่งสามารถศึกษาจากข่าวที่เกิดขึ้นในต่างประเทศได้หลายกรณี

และต้องทราบอีกว่า หากองค์กรที่กฎหมายระบุว่าต้องแต่งตั้ง DPO แต่ไม่มีการดำเนินการจะมีโทษทางปกครองโดยปรับไม่เกิน 1 ล้านบาท รวมถึงหากไม่ดำเนินการสนับสนุนและอำนวยความสะดวกในการปฏิบัติหน้าที่ของ DPO หรือให้ DPO ออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามกฎหมาย PDPA

ซึ่งบ่งชี้ว่าตำแหน่ง DPO ยังมีสถานะที่กฎหมายคุ้มครองอีกด้วย แม้จะดูขัดแย้งจากการกำหนดคุณสมบัติ และหลักเกณฑ์ขององค์กรที่ควรแต่งตั้ง DPO อยู่บ้าง แต่ถึงอย่างนั้นก็เป็นเหตุจำเป็นที่ต้องปฏิบัติตามข้อบังคับของกฎหมาย หากไม่อยากเดือดร้อนภายหลัง!

ทางออกสำหรับองค์กรธุรกิจ หากยังไม่แน่ใจว่าต้องมี DPO หรือไม่? 

 โดยบทบาทของ DPO ตามข้อกำหนดในกฎหมาย PDPA คำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจจะเป็นผู้บริหารหรือพนักงานที่มีตำแหน่งตั้งแต่หัวหน้างานขึ้นไป หรือจะเป็นการจัดจ้างเจ้าหน้าที่จากภายนอกก็ได้เช่นกัน แต่ไม่ควรเป็นสัญญาในช่วงสั้นๆ โดยมีหน้าที่ที่ต้องรับผิดชอบคือ

• ให้คำแนะนำแก่เจ้าของธุรกิจและเจ้าหน้าที่ภายในบริษัทให้สามารถดำเนินการตามที่กฎหมายกำหนด
• ตรวจสอบการดำเนินงานของบริษัท รวมถึงลูกจ้าง/ผู้รับจ้างในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามกฎหมาย อาทิ การจัดทำแบบประเมินความเสี่ยงการละเมิดข้อมูลส่วนบุคคลภายในบริษัท (DPIA : Data Protection Impact Assessment)
• ประสานงานและให้ความร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล หากเกิดปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายในบริษัท อาทิ จัดการคำขอใช้สิทธิ หรือข้อร้องเรียนต่างๆ
• ส่งเสริมให้ภายในบริษัทมีค่านิยมในการคุ้มครองข้อมูลส่วนบุคคล
• รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่

ดังนั้น หากดูจากบทหน้าที่และคุณสมบัติของ DPO ต้องเป็นเจ้าหน้าที่ในระดับหัวหน้างานขึ้นไป และมีความเชี่ยวชาญในเรื่องกฎหมาย PDPA อย่างน้อย 5 ปี และอาจจะต้องมีใบรับรองคุณสมบัติและความเชี่ยวชาญจากสถาบันที่กฎหมายหรือคณะกรรมการฯ กำหนด (อ้างอิงจากหลักเกณฑ์ของ GDPR) ซึ่งอาจทำให้บางธุรกิจที่ยังไม่แน่ใจว่า ต้องแต่งตั้ง DPO หรือไม่ หรืออีกนัยหนึ่งอาจไม่ต้องการเพิ่มต้นทุนการจัดการภายในบริษัทในตำแหน่งนี้มากจนเกินไป

ด้วยเหตุนี้ ผู้ประกอบการอาจจะพิจารณาแต่งตั้ง เจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลภายในบริษัท ที่มีความรู้และความเข้าใจในกฎหมาย PDPA มาทดแทนในช่วงเวลาที่ยัง ‘คลุมเครือ’ นี้ไปก่อนได้ ซึ่งอาจจะยังไม่ต้องถึงกับมีคุณสมบัติครบถ้วนตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด แต่ต้องมีความเข้าใจและสนใจในเรื่องกฎหมาย PDPA หรืออาจจะพิจารณาแต่งตั้งบุคคลภายนอกตามสัญญาจ้างระยะสั้นเพื่อปฏิบัติหน้าในการให้คำแนะการดำเนินการภายในบริษัทให้เป็นไปตามที่กฎหมายกำหนด ซึ่งเป็นต้นทุนที่ต่ำกว่าการจ้าง DPO แน่นอน

กระนั้น การแต่งตั้งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลในลักษณะนี้ ไม่แนะนำ สำหรับบริษัทที่ที่มีการเก็บ และประมวลผลข้อมูลอย่างต่อเนื่อง ซึ่งมีความเสี่ยงสูงมากในการละเมิดกฎหมาย หรือเกิดเหตุละเมิดข้อมูลส่วนบุคคลได้ง่าย

อย่างไรก็ตาม กฎหมาย PDPA ที่มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลและป้องกันการแสวงหาประโยชน์โดยมิชอบ ดังนั้น บุคคลลากรภายในบริษัทควรจะมีความรู้ ความเข้าใจ และความตระหนักร่วมต่อการปกป้องข้อมูลส่วนบุคคลภายในองค์กร เหตุนี้ ผู้ประกอบการควรจะมีการฝึกอบรวม จัดคอร์สเรียน หรือจัดกิจกรรมที่เป็นการส่งเสริมความรู้และการปกป้องข้อมูลส่วนบุคคลภายในบริษัทประกอบด้วย จึงจะเป็นแนวทางที่ถูกต้องในการรับมือกฎหมาย PDPA