หลายบริษัทอาจทราบกันดีว่า หากไม่มีการแต่งตั้ง DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จะผิดกฎหมายจากข้อบัญญัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA (Personal Data Protection Act) ระบุไว้ค่อนข้างกว้างเกี่ยวกับแง่มุมขององค์กรธุรกิจ โดยเฉพาะธุรกิจ SME ที่ยังมีโครงสร้างบริษัทขนาดเล็ก ตามนิยามของกฎหมาย ‘ขนาด’ ไม่ใช่ประเด็นสำคัญ แต่รูปแบบการดำเนินการและขั้นตอนเป็นตัวชี้วัดว่า องค์กรของท่านจำเป็นต้องมีตำแหน่ง DPO ในบริษัทหรือไม่?
องค์กรใดบ้าง? ต้องแต่งตั้ง DPO
1. หน่วยงานรัฐและองค์กรสาธารณะที่มีการจัดเก็บข้อมูลประชาชน (ยกเว้นศาล)
2. องค์กรที่มีการเก็บและประมวลผลข้อมูลบุคคลเป็น ‘จำนวนมาก’ หรือมีการเก็บ ประมวลผลและติดตามข้อมูลส่วนบุคคลอย่างต่อเนื่อง
กฎหมาย PDPA ระบุถึงขอบเขตของคำว่า ‘ข้อมูลจำนวนมาก’ คือบุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนมากกว่า 5 หมื่นราย หรือมีข้อมูลอ่อนไหว (Sensitive Data) มากกว่า 5 พันรายการภายในระยะเวลา 1 ปี
รวมถึงองค์กรที่มีการประมวลผลข้อมูลบุคคลอย่างต่อเนื่อง เช่น มีพนักงานเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ‘เป็นประจำ’ มากกว่า 20 คน หรือมีสาขาที่เก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมากกว่า 20 แห่ง จำเป็นต้องมี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
กฎหมาย PDPA ได้นิยามการแต่งตั้ง DPO ภายในองค์กรธุรกิจไว้ค่อนข้าง ‘คลุมเครือ’ จึงต้องใช้การตีความอย่างรัดกุม รวมถึงองค์กรที่มีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มี ‘ความเสี่ยง’ อาจก่อให้เกิดการละเมิดข้อมูลส่วนบุคคลได้ง่าย ทำให้เข้าข่ายการแต่งตั้ง DPO เช่นเดียวกัน
หากองค์กรที่กฎหมาย PDPA ระบุไว้ว่าต้องมีการแต่งตั้ง DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แต่ไม่มีการดำเนินการ รวมถึงไม่ดำเนินการสนับสนุน และอำนวยความสะดวกในการปฏิบัติหน้าที่ของ DPO ให้ออกจากงาน หรือเลิกสัญญาการจ้างด้วยเหตุจากการปฏิบัติหน้าที่ตามกฎหมาย PDPA จะมีโทษทางปกครองโดยปรับไม่เกิน 1 ล้านบาท
ทำให้ทราบว่าตำแหน่งงาน DPO มีสถานะที่กฎหมายคุ้มครอง อย่างไรก็ตาม บริษัทสามารถแต่งตั้งคนในองค์กร หรือจ้างคนที่มีความรู้เกี่ยวกับ PDPA จากภายนอก (Outsource) มาทำหน้าที่ในส่วนนี้ได้เช่นกัน จึงเป็นที่ทราบกันว่ากฎหมาย PDPA ให้ความสำคัญกับการมี DPO ในองค์กรธุรกิจมากเลยทีเดียว
เจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคล ตำแหน่งทดแทน DPO ที่ควรมีในองค์กร
เมื่อดูสาระสำคัญในกฎหมาย รวมถึงหลักเกณฑ์ที่ยังไม่แน่ชัด หลายท่านคงสงสัยว่าบริษัทใดควรแต่งตั้ง DPO ด้วยเหตุนี้ ผู้ประกอบการบริษัทขนาดกลางและขนาดย่อม หรือ SME อาจพิจารณาเพิ่มตำแหน่ง เจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคล ในองค์กร เพื่อเป็นมาตรการระยะสั้นในการรับมือกฎหมาย PDPA เกี่ยวกับข้อมูลส่วนบุคคล ซึ่งถือว่าเป็นตำแหน่งที่ควรมีไว้ในองค์กรเลยทีเดียว
ทั้งนี้ยังเป็นการเตรียมความพร้อมในเบื้องต้นให้แก่องค์กรขนาดกลางและขนาดเล็กให้ตระหนักรู้เรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคลมากยิ่งขึ้น ไม่ว่าจะเพื่อประโยชน์โดยรวมของบริษัท หรือการปลุกสำนึกเรื่องความปลอดภัยของข้อมูลส่วนบุคคล รวมถึงป้องกันเหตุละเมิดกฎหมายให้แก่พนักงานในบริษัทอีกด้วย
อย่างไรก็ตาม บริษัทสามารถพิจารณาจัดจ้างแบบระยะสั้นสำหรับงานในตำแหน่งนี้ได้อีกด้วย ซึ่งมีประโยชน์ต่อบริษัท SME หรือผู้ประกอบการรายเล็กในหลายประเด็น ได้แก่
1. มีต้นทุนด้านเงินเดือนที่ต่ำกว่าการจ้าง DPO
2. สามารถดำเนินกิจกรรมทางธุรกิจได้อย่างถูกต้องตามกฎหมาย
3. สร้างค่านิยมในการปกป้องข้อมูลส่วนบุคคลภายในองค์กร
4. มีอิสระในการจ้างงาน ให้ตรงกับความต้องการและความจำเป็นของบริษัทอย่างแท้จริง
5. สามารถป้องกันความเสี่ยงการละเมิดข้อมูลส่วนบุคคลของลูกค้า คู่ค้าหรือคู่สัญญา
6. สามารถให้ความรู้แก่พนักงานในบริษัทเรื่องกฎหมาย PDPA อย่างถูกต้องและเป็นรากฐานในการเพิ่มตำแหน่ง DPO ของพนักงานภายในบริษัทในอนาคตได้
คุณสมบัติของเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคล
แจ้งให้ทราบโดยทั่วกันว่า กรณีแต่งตั้ง DPO จะต้องมีคุณสมบัติที่เพียบพร้อมด้วยคุณวุฒิ และวัยวุฒิ ซึ่งพิจารณาจากระดับหัวหน้างาน ที่สำคัญต้องมีความเชี่ยวชาญด้านกฎหมาย PDPA รวมถึงมีสิทธิสั่งการหรือประสานงานกับผู้บริหารบริษัท และคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้โดยตรง
ส่วนตำแหน่งงาน เจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคล ไม่จำเป็นต้องมีความเชี่ยวชาญข้อกฎหมายตามหลักเกณฑ์ของ PDPA แต่ควรมีวุฒิภาวะที่ดี และมีคุณสมบัติดังต่อไปนี้
1. มีความเข้าใจเรื่องกฎหมาย PDPA ในระดับที่ดี หรือมีความสนใจและศึกษาข้อมูลจากแหล่งต่างๆ อยู่เสมอ
มีความเข้าใจเกี่ยวกับโครงสร้างพื้นฐานด้านไอที เทคโนโลยีและกิจกรรมต่างๆ ภายในองค์กร
2. มีทักษะในการสื่อสารที่ดี เพื่อประโยชน์ในการประสานงานและให้คำแนะนำกับแผนกต่างๆ
3. กล้าคิด กล้าตัดสินใจ และมีความตระหนักในบทบาทหน้าที่อย่างเคร่งครัด
4. ซื่อสัตย์ต่อองค์กร และเก็บความลับได้
ถึงแม้ว่ากฎหมาย PDPA ระบุให้แต่งตั้ง DPO แต่ก็ยังสามารถพิจารณาตำแหน่งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลเพิ่มเติมได้ ซึ่งตำแหน่งดังกล่าวสามารถเป็นผู้ช่วยเหลืองานของ DPO คอยให้การดำเนินงานต่าง ๆ เป็นไปอย่างราบรื่น สะดวก รวดเร็วมากยิ่งขึ้น ทำให้มั่นใจได้ว่า บริษัทมีมาตรการและการจัดการที่รัดกุมตามที่กฎหมายกำหนด รวมถึงสร้างมาตรฐานใหม่สำหรับองค์กรยุคใหม่ที่คอยใส่ใจเรื่องการคุ้มครองข้อมูลส่วนบุคคลของประชาชน อันเป็นรากฐานสำคัญในการทำธุรกิจในอนาคตอีกด้วย
