Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

ดูให้รู้! หน้าที่ของ DPO ตามนิยามกฎหมาย PDPA ธุรกิจใดเข้าข่ายต้องมี และคำแนะนำสำหรับบริษัทที่ยังไม่พร้อมรับมือ

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ดูให้รู้! หน้าที่ของ DPO ตามนิยามกฎหมาย PDPA ธุรกิจใดเข้าข่ายต้องมี และคำแนะนำสำหรับบริษัทที่ยังไม่พร้อมรับมือ

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

โดยบทบาทหน้าที่หลักของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO- Data Protection Officer) คือทำให้แน่ใจว่าองค์กรมีการดำเนินการได้ถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA โดยพึ่งมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา เป็นกฎหมายว่าด้วยการปกป้องและคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันการนำข้อมูลส่วนตัวที่องค์กรต่างๆ มีการจัดเก็บหรือนำมาประมวลผลที่อาจก่อให้เกิดผลกระทบทั้งด้านร่างกายและจิตใจต่อเจ้าของข้อมูล อาทิ เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง อับอาย ถูกเลือกปฏิบัติ หรือเพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย หรืออาจนำไปสู่เรื่องร้ายแรงกว่านั้น

ด้วยเหตุนี้ ข้อมูลส่วนบุคคล ที่ในอดีตภาคธุรกิจได้นำมาเป็นเครื่องมือในการขับเคลื่อนธุรกิจจึงเป็นสิ่งที่กฎหมายให้ความคุ้มครอง ดังนั้นจึงต้องระมัดระวังในการนำมาใช้ภายใต้การประกาศใช้กฎหมายใหม่ที่มีรายละเอียดที่ค่อนข้าง ‘อ่อนไหว’ อีกทั้งยังต้องอาศัยการตีความตามข้อกฎหมาย โดยในหลายกรณีเหตุการณ์ฟ้องร้องหรือถูกปรับเงินที่เกิดขึ้นในต่างประเทศ ส่วนใหญ่เกิดจากการขาดตีความตามข้อกฎหมายเป็นเหตุให้เกิดการฟ้องร้องคดีละเมิดข้อมูลส่วนบุคคล ด้วยเหตุผลนี้ จึงสามารถกล่าวได้ว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO จึงมีความสำคัญมากกับทุกองค์กร

องค์กรแบบไหน? ต้องแต่งตั้ง DPO ตามบัญญัติในกฎหมาย PDPA

ภายใต้การบังคับใช้กฎหมาย PDPA ของไทย ซึ่งระบุว่า องค์กรที่มีความ จำเป็น ต้องแต่งตั้ง DPO คือ หน่วยงานรัฐ องค์กรสาธารณะ หรือธุรกิจที่มีการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเป็นจำนวนมาก (โดยคำจำกัดความของคำว่า ‘จำนวนมาก’ ในที่นี้อ้างอิงจากกฎหมาย PDPA ที่ระบุว่า บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000)

รวมถึงองค์กรธุรกิจที่มีการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล ‘อย่างต่อเนื่อง หรือ มีความเสี่ยง ที่อาจจะก่อให้เกิดการละเมิดข้อมูลส่วนบุคคลได้ง่าย เช่น

  • ธนาคาร/ผู้ให้บริการด้านการเงิน
  • สายการบิน
  • บริษัทเดินรถไม่ประจำทาง/ธุรกิจรถเช่า
  • ไปรษณีย์/ขนส่งด่วน (Express)
  • ธุรกิจประกัน
  • ธุรกิจสื่อสาร/บริการอินเทอร์เน็ต
  • โรงพยาบาล/ผู้ให้บริการด้านการแพทย์และการรักษา
  • อสังหาริมทรัพย์
  • ธุรกิจผู้สูงอายุ /บ้านพักคนชรา
  • สถานรับเลี้ยงเด็ก
  • สถานศึกษา/สถาบันกวดวิชา
  • ธุรกิจบริการท่องเที่ยว/โรงแรม/บริการที่พักรูปแบบต่างๆ
  • แอปพลิเคชันส่งอาหาร
  • แอปพลิเคชันขายของออนไลน์
  • ธุรกิจค้าปลีกที่จัดทำระบบสมาชิก
  • ธุรกิจขายตรงที่มีระบบสมาชิกหรือเครือข่าย
  • บริษัทรักษาความปลอดภัย
  • พนักงานทำความสะอาด/บริการซ่อมบำรุง
  • ธุรกิจเกม
  • กลุ่มธุรกิจที่มีการเฝ้าติดตามพฤติกรรมผู้บริโภคด้วยวิธีใดก็ตาม หรือไม่การถ่ายโอนข้อมูลระหว่างธุรกิจในเครือที่อยู่ต่างประเทศ ตลอดจนกิจกรรมด้านการตลาดที่มีการทำการตลาดโดยประมวลข้อมูลส่วนบุคคลของลูกค้า เป็นต้น

อย่างไรก็ตาม โดยหลักเกณฑ์ดังกล่าวยังคงเป็นขอบเขต กว้างๆ ทำให้หลายๆ ธุรกิจยังคงไม่แน่ใจว่า สถานะที่แท้จริงขององค์กรจำเป็นต้องแต่งตั้ง DPO หรือไม่?

หลักเกณฑ์ไม่ชัด! แต่โทษปรับเงินเป็นสิ่งที่แน่นอน!

อย่างที่บอกว่าเรื่องนี้ ข้อกฎหมายยังต้องอาศัยการตีความ แต่สิ่งที่ผู้ประกอบการควรทราบและเข้าใจตรงกันคือ แม้หลักเกณฑ์ว่าองค์กรใดควรแต่งตั้ง DPO ยังไม่ชัดเจน ซึ่งอาจจะต้องรอการออกกฎหมายลูกมากำกับ แต่ได้มีการกำหนดข้อบังคับและบทลงโทษที่แน่นอนไว้แล้ว โดยมีทั้งความผิดทางแพ่ง ความผิดทางอาญา และยังมีโทษทางปกครองที่เป็นค่าปรับที่สูงพอสมควรหากมีการละเมิดหรือไม่ปฏิบัติตามกฎหมาย PDPA ซึ่งสามารถศึกษาจากข่าวที่เกิดขึ้นในต่างประเทศได้หลายกรณี

และต้องทราบอีกว่า หากองค์กรที่กฎหมายระบุว่าต้องแต่งตั้ง DPO แต่ไม่มีการดำเนินการจะมีโทษทางปกครองโดยปรับไม่เกิน 1 ล้านบาท รวมถึงหากไม่ดำเนินการสนับสนุนและอำนวยความสะดวกในการปฏิบัติหน้าที่ของ DPO หรือให้ DPO ออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามกฎหมาย PDPA

ซึ่งบ่งชี้ว่าตำแหน่ง DPO ยังมีสถานะที่กฎหมายคุ้มครองอีกด้วย แม้จะดูขัดแย้งจากการกำหนดคุณสมบัติ และหลักเกณฑ์ขององค์กรที่ควรแต่งตั้ง DPO อยู่บ้าง แต่ถึงอย่างนั้นก็เป็นเหตุจำเป็นที่ต้องปฏิบัติตามข้อบังคับของกฎหมาย หากไม่อยากเดือดร้อนภายหลัง!

 

ทางออกสำหรับองค์กรธุรกิจ หากยังไม่แน่ใจว่าต้องมี DPO หรือไม่? 

 โดยบทบาทของ DPO ตามข้อกำหนดในกฎหมาย PDPA คำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอาจจะเป็นผู้บริหารหรือพนักงานที่มีตำแหน่งตั้งแต่หัวหน้างานขึ้นไป หรือจะเป็นการจัดจ้างเจ้าหน้าที่จากภายนอกก็ได้เช่นกัน แต่ไม่ควรเป็นสัญญาในช่วงสั้นๆ โดยมีหน้าที่ที่ต้องรับผิดชอบคือ

  • ให้คำแนะนำแก่เจ้าของธุรกิจและเจ้าหน้าที่ภายในบริษัทให้สามารถดำเนินการตามที่กฎหมายกำหนด
  • ตรวจสอบการดำเนินงานของบริษัท รวมถึงลูกจ้าง/ผู้รับจ้างในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามกฎหมาย อาทิ การจัดทำแบบประเมินความเสี่ยงการละเมิดข้อมูลส่วนบุคคลภายในบริษัท (DPIA : Data Protection Impact Assessment)
  • ประสานงานและให้ความร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล หากเกิดปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายในบริษัท อาทิ จัดการคำขอใช้สิทธิ หรือข้อร้องเรียนต่างๆ
  • ส่งเสริมให้ภายในบริษัทมีค่านิยมในการคุ้มครองข้อมูลส่วนบุคคล
  • รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่

ดังนั้น หากดูจากบทหน้าที่และคุณสมบัติของ DPO ต้องเป็นเจ้าหน้าที่ในระดับหัวหน้างานขึ้นไป และมีความเชี่ยวชาญในเรื่องกฎหมาย PDPA อย่างน้อย 5 ปี และอาจจะต้องมีใบรับรองคุณสมบัติและความเชี่ยวชาญจากสถาบันที่กฎหมายหรือคณะกรรมการฯ กำหนด (อ้างอิงจากหลักเกณฑ์ของ GDPR) ซึ่งอาจทำให้บางธุรกิจที่ยังไม่แน่ใจว่า ต้องแต่งตั้ง DPO หรือไม่ หรืออีกนัยหนึ่งอาจไม่ต้องการเพิ่มต้นทุนการจัดการภายในบริษัทในตำแหน่งนี้มากจนเกินไป

ด้วยเหตุนี้ ผู้ประกอบการอาจจะพิจารณาแต่งตั้ง เจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลภายในบริษัท ที่มีความรู้และความเข้าใจในกฎหมาย PDPA มาทดแทนในช่วงเวลาที่ยัง คลุมเครือ’ นี้ไปก่อนได้ ซึ่งอาจจะยังไม่ต้องถึงกับมีคุณสมบัติครบถ้วนตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด แต่ต้องมีความเข้าใจและสนใจในเรื่องกฎหมาย PDPA หรืออาจจะพิจารณาแต่งตั้งบุคคลภายนอกตามสัญญาจ้างระยะสั้นเพื่อปฏิบัติหน้าในการให้คำแนะการดำเนินการภายในบริษัทให้เป็นไปตามที่กฎหมายกำหนด ซึ่งเป็นต้นทุนที่ต่ำกว่าการจ้าง DPO แน่นอน

กระนั้น การแต่งตั้งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลในลักษณะนี้ ไม่แนะนำ สำหรับบริษัทที่ที่มีการเก็บ และประมวลผลข้อมูลอย่างต่อเนื่อง ซึ่งมีความเสี่ยงสูงมากในการละเมิดกฎหมาย หรือเกิดเหตุละเมิดข้อมูลส่วนบุคคลได้ง่าย

อย่างไรก็ตาม กฎหมาย PDPA ที่มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลและป้องกันการแสวงหาประโยชน์โดยมิชอบ ดังนั้น บุคคลลากรภายในบริษัทควรจะมีความรู้ ความเข้าใจ และความตระหนักร่วมต่อการปกป้องข้อมูลส่วนบุคคลภายในองค์กร เหตุนี้ ผู้ประกอบการควรจะมีการฝึกอบรวม จัดคอร์สเรียน หรือจัดกิจกรรมที่เป็นการส่งเสริมความรู้และการปกป้องข้อมูลส่วนบุคคลภายในบริษัทประกอบด้วย จึงจะเป็นแนวทางที่ถูกต้องในการรับมือกฎหมาย PDPA  

 

Share :

บทความที่เกี่ยวข้อง

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมี
Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ