ลงบทความเมื่อวันที่ 27 กรกฏาคม 2566 (ปรับปรุงเมื่อวันพฤหัสบดีที่ 9 พ.ย. 2566)
ในอดีตภาคธุรกิจได้นำข้อมูลส่วนบุคคลมาใช้เป็นเครื่องมือในการขับเคลื่อนธุรกิจ ทำให้เกิดกฎหมาย PDPA ขึ้นมาเพื่อคุ้มครอง ทำให้มีการระมัดระวังในการนำข้อมูลส่วนบุคคลมาใช้ภายใต้การประกาศกฎหมาย PDPA ที่มีรายละเอียดค่อนข้างอ่อนไหว อีกทั้งยังต้องอาศัยการตีความตามข้อกฎหมาย โดยมีหลายกรณีที่มีการฟ้องร้องหรือถูกปรับเงินเกิดขึ้นที่ต่างประเทศ ส่วนใหญ่เกิดจากการขาดการตีความตามข้อกฎหมาย อันเป็นเหตุให้เกิดการฟ้องร้องคดีละเมิดข้อมูลส่วนบุคคล ทำให้สามารถกล่าวได้อย่างชัดเจนว่า DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีความสำคัญมากในทุกองค์กร
องค์กรลักษณะไหนที่จำเป็นต้องแต่งตั้ง DPO ตามกฎหมาย PDPA
กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA มาตรา 41) มีบทบัญญัติในประเด็นนี้ว่า ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลจะต้องกำหนดให้มี DPO ประจำ ในกรณีดังต่อไปนี้
- เป็นองค์กรสาธารณะหรือหน่วยงานรัฐตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด เช่น กรมการกงสุล ธนาคารแห่งประเทศไทย กรมการขนส่งทางบก กรมควบคุมโรค เป็นต้น
- มีกิจกรรมหลักที่ตรวจสอบผลข้อมูลหรือระบบสม่ำเสมอและจำนวนมาก ซึ่งต้องมีการสอดส่องดูแล/ตรวจสอบข้อมูลอย่างเป็นระบบและสม่ำเสมอ เช่น บริษัทรักษาความปลอดภัย ธนาคาร/ผู้ให้บริการด้านการเงิน ธุรกิจประกัน บริการโซเชียลมีเดีย แอปพลิเคชันบริการขนส่งเดลิเวอรี่ บริษัทจัดหางาน ห้างสรรพสินค้าที่มีระบบสมาชิก บริษัทรักษาความปลอดภัยข้อมูล ธุรกิจสื่อสาร/บริการอินเทอร์เน็ต และอื่นๆ เป็นต้น อ่านบทความเกี่ยวกับมาตราที่ 41 (2) เพิ่มเติม https://pdpathailand.com/news-article/pdpa-mdes-41/
- มีกิจกรรมหลักเป็นการประมวลผลข้อมูลส่วนบุคคลประเภทอ่อนไหว (มาตรา 26) เช่น โรงพยาบาล ผู้ให้บริการด้านการแพทย์และการรักษา เป็นต้น
หากองค์กรไม่มี DPO ตามหลักเกณฑ์ มีโทษปรับตามกฎหมาย !
หากไม่มีการแต่งตั้ง DPO ในองค์กรที่เข้าข่าย มีทั้งโทษความผิดทางแพ่ง ความผิดทางอาญา และยังมีโทษทางปกครองที่เป็นค่าปรับที่สูงพอสมควร โดยเฉพาะองค์กรที่กฎหมายระบุว่าต้องแต่งตั้ง DPO แต่ไม่มีการดำเนินการจะมีโทษทางปกครองโดยปรับไม่เกิน 1 ล้านบาท
บทบาทหน้าที่ของ DPO
ตามข้อกำหนดในกฎหมาย PDPA บทบาทหน้าที่ของ DPO ควรมีความรู้และความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล โดยจะเป็นบุคลากรในองค์กรหรือจัดจ้างเจ้าหน้าที่จากภายนอก (Outsource) ก็ได้เช่นกัน แต่ไม่ควรเป็นสัญญาระยะสั้น โดยหน้าที่ของ DPO มีดังต่อไปนี้
- ให้คำแนะนำแก่เจ้าของธุรกิจและเจ้าหน้าที่ภายในบริษัทให้สามารถดำเนินการตามที่กฎหมายกำหนด
- ตรวจสอบการดำเนินงานของบริษัท รวมถึงลูกจ้าง/ผู้รับจ้างในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามกฎหมาย อาทิ การจัดทำแบบประเมินความเสี่ยงการละเมิดข้อมูลส่วนบุคคลภายในบริษัท (DPIA: Data Protection Impact Assessment) เป็นต้น
- ทำหน้าที่ประสานงานและให้ความร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล หากเกิดปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายในบริษัท อาทิ จัดการคำขอใช้สิทธิ หรือข้อร้องเรียนต่างๆ เป็นต้น
- ส่งเสริมให้ภายในบริษัทมีค่านิยมในการคุ้มครองข้อมูลส่วนบุคคล
- รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาจากการปฏิบัติหน้าที่ DPO
*ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลเป็นผู้รับผิดชอบต่อการแสดงออกและการดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลขององค์กรเสมอ DPO หรือเจ้าหน้าที่คุ้มครองครองข้อมูลส่วนบุคคลมิใช่ผู้ที่รับผิดชอบโดยส่วนตัว
DPO จะต้องได้รับความสะดวกจากผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูลในการปฏิบัติหน้าที่ มีอิสระในการปฏิบัติหน้าที่โดยไม่ขึ้นอยู่กับหน่วยงานหรือแผนกอื่นๆ ในองค์กร มีอำนาจ และจะต้องสามารถรายงานไปยังบรรดาผู้บริหารสูงสุด (Top Management) เช่น บอร์ดบริหารของผู้ควบคุมข้อมูล/ผู้ประมวลข้อมูลได้โดยตรงในกรณีที่เกิดปัญหาขึ้น เป็นต้น
ทั้งนี้ หากไม่ดำเนินการสนับสนุนและอำนวยความสะดวกในการปฏิบัติหน้าที่ของ DPO หรือแจ้งให้ DPO ออกจากการปฏิบัติหน้าที่หรือยกเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามกฎหมาย PDPA ทำให้ทราบว่าตำแหน่งเจ้าหน้าที่ DPO มีสถานะที่กฎหมายคุ้มครองด้วย
การกำหนดตำแหน่ง DPO ขององค์กร กล่าวได้ว่าเป็นการดำเนินการตาม “หลักความรับผิดชอบ” (Accountability) ซึ่งเป็นหนึ่งในหลักการสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ระบุว่าคุณต้องรับผิดชอบดำเนินการตามกฎหมาย และมีหลักฐาน/ข้อพิสูจน์ที่แสดงให้เห็นถึงการดำเนินการตามกฎหมายด้วย
สุดท้ายแล้ว กฎหมาย PDPA มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล และป้องกันการแสวงหาผลประโยชน์โดยมิชอบ เพราะฉะนั้นบุคลากรภายในบริษัทควรมีความรู้ ความเข้าใจ และความตระหนักร่วมต่อการปกป้องข้อมูลส่วนบุคคลภายในองค์กร ด้วยเหตุนี้ ผู้ประกอบการองค์กรธุรกิจทุกแห่งควรฝึกอบรม จัดคอร์สเรียน หรือจัดกิจกรรมที่เป็นการส่งเสริมความรู้และการปกป้องข้อมูลส่วนบุคคลภายในบริษัทควบคู่ด้วยกัน จึงกลายเป็นแนวทางในการรับมือกฎหมาย PDPA ที่ถูกต้อง
