เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) หรือที่เรียกสั้น ๆ กันว่า DPO ตำแหน่งงานใหม่ที่ได้รับความสนใจมาอย่างยาวนาน นับตั้งแต่การประกาศ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในปี 2562 ยังคงเป็นที่ถกเถียงกันว่าองค์กรไหนต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลประจำบ้าง … และคุณจำเป็นต้องมีบุคคลนี้อยู่ในองค์กรหรือไม่
จากเดิมที่เรา ฝ่าย ICDL-PDPA สถาบันพัฒนาและทดสอบทักษะดิจิทัล DDTI ได้เคยรีวิวสรุปเรื่องราวเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเอาไว้ในบทความ PDPA Focus: ตอน Data Protection Officer – DPO (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) เมื่อต้นปี (2564) ได้มีการจัดเสวนา การรับฟังความเห็นเกี่ยวกับร่างกฎหมายลำดับรองกลุ่มที่ 1 ภายใต้โครงการศึกษาและเตรียมการเพื่อจัดทำร่างกฎหมายลำดับรองภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งนำเสนอ ร่างประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ที่ส่วนหนึ่งกล่าวถึงลักษณะขององค์กรที่ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างละเอียดและชัดเจนมากขึ้น โดยขยายความเพิ่มเติมจาก PDPA มาตรา 41
ลักษณะขององค์กรที่ต้องมี DPO
ลองเช็กดูว่าองค์กรของคุณเข้าข่ายตามนี้หรือไม่? ถ้าใช่ตั้งแต่ข้อ 1-2 ก็ชัวร์แล้ว องค์กรของคุณจะต้องมี DPO ครับ
1. องค์กรสาธารณะหรือหน่วยงานรัฐ (Public Authorities) ประกอบด้วย ส่วนราชการ รัฐวิสาหกิจ องค์กรปกครองส่วนท้องถิ่น และหน่วยงานอื่นของรัฐ (ยกเว้นศาลที่ประมวลผลข้อมูลเพื่อดำเนินการตามขอบเขตของอำนาจศาล)
2. องค์กรที่ประมวลผลข้อมูลส่วนบุคคลจำนวนมาก หรือประมวลผลข้อมูลส่วนบุคคลอันมีลักษณะพิเศษจำนวนมาก โดยนิยาม “จำนวนมาก” อันเป็นเหตุที่องค์กรจำเป็นต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล คือ
- มีข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลมากกว่า 50,000 ราย อยู่ภายใต้ความดูแล ในระยะเวลา 12 เดือน
- มีข้อมูลส่วนบุคคลอันมีลักษณะพิเศษ (PDPA มาตรา 26) ของเจ้าของข้อมูลส่วนบุคคลมากกว่า 5,000 ราย อยู่ภายใต้ความดูแล ในระยะเวลา 12 เดือน
- มีพนักงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นประจำมากกว่า 20 คน
- มีสาขาหรือสถานที่ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมากกว่า 20 แห่ง
3. ผู้ให้บริการบัตรโดยสารสาธารณะ หรือบัตรอื่น ๆ ที่ผู้ให้บริการบัตรหรือบุคคลอื่นนอกเหนือเจ้าของข้อมูลส่วนบุคคลสามารถตรวจสอบรายละเอียดข้อมูลการใช้งานบัตรได้
4. บริษัทประกันภัย ธนาคารพาณิชย์ หรือธุรกิจที่มีการตรวจสอบสถานะ ประวัติ หรือคุณสมบัติของลูกค้าก่อนทำสัญญาหรือให้บริการ
5. แพลตฟอร์ม Search Engine หรือ Social Media ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณาตามพฤติกรรม (Behavioral Advertising)
6. ผู้ให้บริการเฝ้าระวังพฤติกรรมของบุคคลเพื่อวัตถุประสงค์ด้านการรักษาความปลอดภัยของสถานที่
*โดยทั้งนี้ข้อ 3. – 6. จะต้องเป็นองค์กรที่เข้าข่ายประมวลผลข้อมูลส่วนบุคคลจำนวนมาก หรือข้อมูลส่วนบุคคลอันมีลักษณะพิเศษจำนวนมากตามที่กล่าวในข้อ 2.
ข้อมูลส่วนบุคคลอันมีลักษณะพิเศษ (Special Categories of Personal Data) และ ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) คือ ข้อมูลประเภทเดียวกัน มีการใช้คำปรับเปลี่ยนตามกฎหมาย GDPR ของยุโรป เนื่องจากแต่ละบุคคลตีความ “ความอ่อนไหว” ของข้อมูลไม่เท่ากัน บางคนอาจคิดว่าข้อมูลบางชุดไม่อ่อนไหว และไม่ได้ปรับใช้มาตรฐานการคุ้มครองข้อมูลอย่างเหมาะสมตามที่กฎหมายกำหนด ข้อมูลส่วนบุคคลอันมีลักษณะพิเศษมีความหมายที่ครอบคลุมข้อมูลส่วนบุคคลกลุ่มนี้ได้กว้างและเหมาะสมกว่าคำเดิม
แม้ลักษณะขององค์กรที่ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กล่าวมาข้างต้น จะยังไม่ได้รับการบัญญัติเป็นกฎหมายรอง (ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลฯ) ออกมาอย่างเป็นทางการ แต่ก็ทำให้เราสามารถมองเห็นแนวโน้มได้ว่าองค์กรของคุณเข้าข่ายหรือไม่ เพื่อเตรียมการสำหรับการแต่งตั้ง DPO ตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล/ผู้ประมวลผลข้อมูลส่วนบุคคลภายใต้ PDPA
การคุ้มครองข้อมูลส่วนบุคคลเป็น “วัฒนธรรมใหม่” ที่ทุกคนในองค์กรโดยเฉพาะผู้บริหารควรรู้ และเริ่มต้นปรับการดำเนินงานภายในองค์กรให้สอดคล้องกับกฎหมาย การมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลช่วยส่งเสริมให้การคุ้มครองข้อมูลส่วนบุคคลขององค์กรมีประสิทธิภาพสูงขึ้นอย่างเป็นระบบ และเหมาะกับองค์กรที่มีข้อมูลส่วนบุคคลภายใต้ความดูแลเป็นจำนวนมาก หรือมีผลกระทบสูงหากเกิดการละเมิด
…………………………
หากคุณเป็นอีกคนที่ยังไม่แน่ใจเกี่ยวกับประเด็นด้านการคุ้มครองข้อมูลส่วนบุคคล องค์กรต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่ หรือดำเนินการคุ้มครองข้อมูลฯ ในมิติอื่น ๆ อย่างไร ปรึกษาเราได้ที่ pdpa.online.th หรือเฟซบุ๊ก PDPA Thailand ให้เราเป็น Solution ด้าน PDPA ที่ใช่สำหรับคุณ
