ลงบทความเมื่อวันที่ 2 สิงหาคม 2566 (ปรับปรุงเมื่อวันพฤหัสบดีที่ 9 พ.ย. 2566)
ปัจจุบันหลายบริษัททราบกันดีว่า หากไม่มีการแต่งตั้ง DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จะผิดกฎหมายจากข้อบัญญัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ระบุไว้ค่อนข้างกว้างเกี่ยวกับแง่มุมขององค์กรธุรกิจ โดยเฉพาะธุรกิจ SME ที่ยังมีโครงสร้างบริษัทขนาดเล็ก ตามนิยามของกฎหมาย ‘ขนาด’ ไม่ใช่ประเด็นสำคัญ แต่รูปแบบการดำเนินการและขั้นตอนเป็นตัวชี้วัดว่า องค์กรของท่านจำเป็นต้องมีตำแหน่ง DPO ในบริษัทหรือไม่?
องค์กรใดบ้าง? ต้องแต่งตั้ง DPO
- หน่วยงานรัฐตามที่คณะกรรมการประกาศกำหนด (มาตรา 41 (1))
- องค์กรที่มีกิจกรรมหลักเป็นการประมวลผลข้อมูลส่วนบุคคลซึ่งต้องตรวจสอบข้อมูลหรือระบบสม่ำเสมอโดยมีข้อมูลจำนวนมาก อ่านบทความเกี่ยวกับเกณฑ์ตามกฎหมายประกาศมาตรา 41 (2) เพิ่มเติม
- องค์กรที่มีกิจกรรมเป็นการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26 หากองค์กรใดที่กฎหมาย PDPA ระบุไว้ว่าต้องมีการแต่งตั้ง DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แต่ไม่มีการดำเนินการ รวมถึงไม่ดำเนินการสนับสนุน และอำนวยความสะดวกในการปฏิบัติหน้าที่ของ DPO ให้ออกจากงาน หรือเลิกสัญญาการจ้างด้วยเหตุจากการปฏิบัติหน้าที่ตามกฎหมาย PDPA จะมีโทษทางปกครองโดยปรับสูงสุดไม่เกิน 1 ล้านบาท
ทำให้ทราบว่าตำแหน่งงาน DPO มีสถานะที่กฎหมายคุ้มครอง อย่างไรก็ตาม บริษัทสามารถแต่งตั้งบุคลากรในองค์กร หรือจ้างคนที่มีความรู้เกี่ยวกับ PDPA จากภายนอก (Outsource) มาทำหน้าที่ในส่วนนี้ได้เช่นกัน
เจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคล ตำแหน่งทดแทน DPO ที่ควรมีในองค์กร
ในกรณีที่องค์กรไม่เข้าหลักเกณฑ์การแต่งตั้ง DPO องค์กรอาจพิจารณาเพิ่มตำแหน่ง เจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลในองค์กร เพื่อเป็นมาตรการระยะสั้นในการรับมือกฎหมาย PDPA เกี่ยวกับข้อมูลส่วนบุคคล ซึ่งถือว่าเป็นตำแหน่งที่ควรมีไว้ในองค์กรเลยทีเดียว
อีกทั้ง ยังเป็นการเตรียมความพร้อมในเบื้องต้นให้แก่องค์กรให้ตระหนักรู้เรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคลมากยิ่งขึ้น ไม่ว่าจะเพื่อประโยชน์โดยรวมของบริษัท หรือการปลุกสำนึกเรื่องความปลอดภัยของข้อมูลส่วนบุคคล รวมถึงป้องกันเหตุละเมิดกฎหมายให้แก่พนักงานในบริษัทอีกด้วย
อย่างไรก็ตาม บริษัทสามารถพิจารณาจัดจ้างแบบระยะสั้นสำหรับงานในตำแหน่งนี้ได้อีกด้วย ซึ่งมีประโยชน์ในหลายประเด็นดังต่อไปนี้
- มีต้นทุนด้านเงินเดือนที่ต่ำกว่าการจ้าง DPO
- สามารถดำเนินกิจกรรมทางธุรกิจได้อย่างถูกต้องตามกฎหมาย
- สร้างค่านิยมในการปกป้องข้อมูลส่วนบุคคลภายในองค์กร
- มีอิสระในการจ้างงานให้ตรงกับความต้องการและความจำเป็นของบริษัทอย่างแท้จริง
- สามารถป้องกันความเสี่ยงการละเมิดข้อมูลส่วนบุคคลของลูกค้า คู่ค้า หรือคู่สัญญา
- สามารถให้ความรู้แก่พนักงานในบริษัทเรื่องกฎหมาย PDPA อย่างถูกต้องและเป็นรากฐานในการเพิ่มตำแหน่ง DPO ของพนักงานภายในบริษัทในอนาคตได้
เจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคล ตำแหน่งทดแทน DPO ที่ควรมีในองค์กร
เมื่อดูสาระสำคัญในกฎหมาย รวมถึงหลักเกณฑ์ที่ยังไม่แน่ชัด หลายท่านคงสงสัยว่าบริษัทใดควรแต่งตั้ง DPO ด้วยเหตุนี้ ผู้ประกอบการบริษัทขนาดกลางและขนาดย่อม หรือ SME อาจพิจารณาเพิ่มตำแหน่ง เจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคล ในองค์กร เพื่อเป็นมาตรการระยะสั้นในการรับมือกฎหมาย PDPA เกี่ยวกับข้อมูลส่วนบุคคล ซึ่งถือว่าเป็นตำแหน่งที่ควรมีไว้ในองค์กรเลยทีเดียว
ทั้งนี้ยังเป็นการเตรียมความพร้อมในเบื้องต้นให้แก่องค์กรขนาดกลางและขนาดเล็กให้ตระหนักรู้เรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคลมากยิ่งขึ้น ไม่ว่าจะเพื่อประโยชน์โดยรวมของบริษัท หรือการปลุกสำนึกเรื่องความปลอดภัยของข้อมูลส่วนบุคคล รวมถึงป้องกันเหตุละเมิดกฎหมายให้แก่พนักงานในบริษัทอีกด้วย
อย่างไรก็ตาม บริษัทสามารถพิจารณาจัดจ้างแบบระยะสั้นสำหรับงานในตำแหน่งนี้ได้อีกด้วย ซึ่งมีประโยชน์ต่อบริษัท SME หรือผู้ประกอบการรายเล็กในหลายประเด็น ได้แก่
1. มีต้นทุนด้านเงินเดือนที่ต่ำกว่าการจ้าง DPO
2. สามารถดำเนินกิจกรรมทางธุรกิจได้อย่างถูกต้องตามกฎหมาย
3. สร้างค่านิยมในการปกป้องข้อมูลส่วนบุคคลภายในองค์กร
4. มีอิสระในการจ้างงาน ให้ตรงกับความต้องการและความจำเป็นของบริษัทอย่างแท้จริง
5. สามารถป้องกันความเสี่ยงการละเมิดข้อมูลส่วนบุคคลของลูกค้า คู่ค้าหรือคู่สัญญา
6. สามารถให้ความรู้แก่พนักงานในบริษัทเรื่องกฎหมาย PDPA อย่างถูกต้องและเป็นรากฐานในการเพิ่มตำแหน่ง DPO ของพนักงานภายในบริษัทในอนาคตได้
คุณสมบัติของเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคล
แจ้งให้ทราบโดยทั่วกันว่า กรณีแต่งตั้ง DPO จะต้องมีคุณสมบัติที่เพียบพร้อมด้วยคุณวุฒิและวัยวุฒิ ซึ่งพิจารณาจากระดับหัวหน้างาน ที่สำคัญต้องมีความเชี่ยวชาญด้านกฎหมาย PDPA รวมถึงมีสิทธิสั่งการหรือประสานงานกับผู้บริหารบริษัท และคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้โดยตรง ส่วนตำแหน่งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคล ไม่จำเป็นต้องมีความเชี่ยวชาญข้อกฎหมายตามหลักเกณฑ์ของ PDPA แต่ควรมีวุฒิภาวะที่ดี และมีคุณสมบัติดังต่อไปนี้
- มีความเข้าใจเรื่องกฎหมาย PDPA ในระดับที่ดี หรือมีความสนใจและศึกษาข้อมูลจากแหล่งต่างๆ อยู่เสมอ
- มีความเข้าใจเกี่ยวกับโครงสร้างพื้นฐานด้านไอที เทคโนโลยี และกิจกรรมต่างๆ ภายในองค์กร
- มีทักษะในการสื่อสารที่ดี เพื่อประโยชน์ในการประสานงานและให้คำแนะนำกับแผนกต่างๆ
- กล้าคิด กล้าตัดสินใจ และมีความตระหนักในบทบาทหน้าที่อย่างเคร่งครัด
- ซื่อสัตย์ต่อองค์กร และเก็บความลับได้
ถึงแม้ว่ากฎหมาย PDPA ระบุให้แต่งตั้ง DPO แต่ก็ยังสามารถพิจารณาตำแหน่งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลเพิ่มเติมได้ ซึ่งตำแหน่งดังกล่าวสามารถเป็นผู้ช่วยเหลืองานของ DPO คอยให้การดำเนินงานต่างๆ เป็นไปอย่างราบรื่น สะดวก รวดเร็วมากยิ่งขึ้น ทำให้มั่นใจได้ว่า บริษัทมีมาตรการและการจัดการที่รัดกุมตามที่กฎหมายกำหนด รวมถึงสร้างมาตรฐานใหม่สำหรับองค์กรยุคใหม่ที่คอยใส่ใจเรื่องการคุ้มครองข้อมูลส่วนบุคคลของประชาชน อันเป็นรากฐานสำคัญในการทำธุรกิจในอนาคตอีกด้วย