เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) มีบทบาทหน้าที่ทำให้องค์กรมีการดำเนินการภายในบริษัทได้ถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA ที่บังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 ซึ่งเป็นกฎหมายที่ว่าด้วยเรื่องของการปกป้องและคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันการนำข้อมูลส่วนตัวที่องค์กรต่าง ๆ ได้จัดเก็บหรือนำมาประมวลผลที่อาจก่อให้เกิดผลกระทบทั้งด้านร่างกาย และจิตใจต่อเจ้าของข้อมูล เช่น เสื่อมเสียชื่อเสียง ถูกดูหมิ่น เกลียดชัง อับอาย ถูกเลือกปฏิบัติ หรือเพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย หรืออาจนำไปสู่เรื่องร้ายแรงกว่านั้น

ในอดีตภาคธุรกิจได้นำ ข้อมูลส่วนบุคคล มาใช้เป็นเครื่องมือในการขับเคลื่อนธุรกิจ ทำให้เกิดกฎหมาย PDPA ขึ้นมาคุ้มครอง ดังนั้นการระมัดระวังในการนำข้อมูลส่วนบุคคลมาใช้ภายใต้การประกาศกฎหมาย PDPA ที่มีรายละเอียดค่อนข้างอ่อนไหว ทั้งยังต้องอาศัยการตีความตามข้อกฎหมาย โดยมีหลายกรณีที่มีการฟ้องร้องหรือถูกปรับเงินเกิดขึ้นที่ต่างประเทศ ส่วนใหญ่เกิดจากการขาดการตีความตามข้อกฎหมาย อันเป็นเหตุให้เกิดการฟ้องร้องคดีละเมิดข้อมูลส่วนบุคคล ทำให้สามารถกล่าวได้อย่างชัดเจนว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO มีความสำคัญมากในทุกองค์กร

องค์กรแบบไหน? จำเป็นต้องแต่งตั้ง DPO ตามบัญญัติในกฎหมาย PDPA

กฎหมาย PDPA ของไทย ได้ระบุไว้ว่า องค์กรที่มีความ ‘จำเป็น’ จะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO คือหน่วยงานรัฐ องค์กรสาธารณะ หรือธุรกิจที่มีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็น ‘จำนวนมาก’ อ้างอิงจากกฎหมาย PDPA ที่ระบุว่า บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนของเจ้าข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000 ราย

ทั้งนี้ยังรวมถึงองค์กรธุรกิจที่มีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ‘อย่างต่อเนื่อง’ หรือ ‘มีความเสี่ยง’ ที่อาจก่อให้เกิดการละเมิดข้อมูลส่วนบุคคลได้ง่าย เช่น

• ธนาคาร/ผู้ให้บริการด้านการเงิน
• สายการบิน
• บริษัทเดินรถไม่ประจำทาง/ธุรกิจรถเช่า
• ไปรษณีย์/ขนส่งด่วน (Express)
• ธุรกิจประกัน
• ธุรกิจสื่อสาร/บริการอินเทอร์เน็ต
• โรงพยาบาล/ผู้ให้บริการด้านการแพทย์และการรักษา
• อสังหาริมทรัพย์
• ธุรกิจผู้สูงอายุ /บ้านพักคนชรา
• สถานรับเลี้ยงเด็ก
• สถานศึกษา/สถาบันกวดวิชา
• ธุรกิจบริการท่องเที่ยว/โรงแรม/บริการที่พักรูปแบบต่างๆ
• แอปพลิเคชันส่งอาหาร
• แอปพลิเคชันขายของออนไลน์
• ธุรกิจค้าปลีกที่จัดทำระบบสมาชิก
• ธุรกิจขายตรงที่มีระบบสมาชิกหรือเครือข่าย
• บริษัทรักษาความปลอดภัย
• พนักงานทำความสะอาด/บริการซ่อมบำรุง
• ธุรกิจเกม

นอกจากนี้ยังมีกลุ่มธุรกิจที่มีการเฝ้าติดตามพฤติกรรมผู้บริโภคด้วยวิธีใดก็ตาม หรือไม่การถ่ายโอนข้อมูลระหว่างธุรกิจในเครือที่อยู่ต่างประเทศ ตลอดจนกิจกรรมด้านการตลาดที่มีการทำการตลาดโดยประมวลข้อมูลส่วนบุคคลของลูกค้า เป็นต้น

โทษปรับเงิน! หากองค์กรไม่มี DPO ตามหลักเกณฑ์

ถึงแม้ว่าหลักเกณฑ์ของกฎหมาย PDPA ยังไม่ระบุว่าองค์กรธุรกิจประเภทใด ควรแต่งตั้ง DPO อย่างชัดเจน แต่มีข้อกำหนดที่ชัดเจนเกี่ยวกับบทลงโทษไว้แล้ว หากไม่แต่งตั้ง DPO ในบริษัทที่เข้าข่าย โดยมีทั้งโทษความผิดทางแพ่ง ความผิดทางอาญา และยังมีโทษทางปกครองที่เป็นค่าปรับที่สูงพอสมควร โดยเฉพาะองค์กรที่กฎหมายระบุว่าต้องแต่งตั้ง DPO แต่ไม่มีการดำเนินการจะมีโทษทางปกครองโดยปรับไม่เกิน 1 ล้านบาท

ทั้งนี้หากไม่ดำเนินการสนับสนุนและอำนวยความสะดวกในการปฏิบัติหน้าที่ของ DPO หรือแจ้งให้ DPO ออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามกฎหมาย PDPA ทำให้ทราบว่าตำแหน่งเจ้าหน้าที่ DPO ยังมีสถานะที่กฎหมายคุ้มครองอีกด้วย

แนวทางสำหรับองค์กรธุรกิจ หากยังไม่แน่ใจว่าต้องมี DPO หรือไม่? 

บทบาทของ DPO ตามข้อกำหนดในกฎหมาย PDPA จะคำนึงถึงความรู้และความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล โดยจะเป็นผู้บริหารหรือพนักงานที่มีตำแหน่งตั้งแต่หัวหน้างานขึ้นไปก็ได้ หรือจัดจ้างเจ้าหน้าที่จากภายนอก (Outsource) ก็ได้เช่นกัน แต่ไม่ควรเป็นสัญญาระยะสั้น โดยหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) มีดังนี้

1. ให้คำแนะนำแก่เจ้าของธุรกิจและเจ้าหน้าที่ภายในบริษัทให้สามารถดำเนินการตามที่กฎหมายกำหนด
2. ให้การตรวจสอบการดำเนินงานของบริษัท รวมถึงลูกจ้าง/ผู้รับจ้างในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามกฎหมาย อาทิ การจัดทำแบบประเมินความเสี่ยงการละเมิดข้อมูลส่วนบุคคลภายในบริษัท (DPIA: Data Protection Impact Assessment)
3. ทำหน้าที่ประสานงานและให้ความร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล หากเกิดปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายในบริษัท อาทิ จัดการคำขอใช้สิทธิ หรือข้อร้องเรียนต่าง ๆ
4. ส่งเสริมให้ภายในบริษัทมีค่านิยมในการคุ้มครองข้อมูลส่วนบุคคล
5. รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาจากการปฏิบัติหน้าที่ DPO

สรุปได้ว่า บทบาทหน้าที่และคุณสมบัติของ DPO จะต้องเป็นเจ้าหน้าที่ในระดับหัวหน้างานขึ้นไป และมีความเชี่ยวชาญในเรื่องกฎหมาย PDPA อย่างน้อย 5 ปี และอาจจะต้องมีใบรับรองคุณสมบัติและความเชี่ยวชาญจากสถาบันที่กฎหมายหรือคณะกรรมการฯ กำหนด เช่นเดียวกับหลักเกณฑ์ของ GDPR ซึ่งทำให้องค์กรธุรกิจบางแห่งไม่แน่ใจว่าต้องแต่งตั้ง DPO หรือไม่ หรือจำเป็นต้องเพิ่มต้นทุนการจัดการภายในบริษัทในตำแหน่งนี้ขึ้นหรือไม่

ทำให้ผู้ประกอบการธุรกิจอาจพิจารณาแต่งตั้ง เจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลภายในบริษัท ที่มีความรอบรู้และความเข้าใจในเรื่องของกฎหมาย PDPA มาทดแทนในช่วงเวลาที่ยังไม่สามารถตัดสินใจได้ไปก่อน ทั้งนี้สามารถเลือกพิจารณาแต่งตั้งบุคคลภายนอกตามสัญญาจ้างระยะสั้นเพื่อปฏิบัติหน้าที่ในการให้คำแนะนำเกี่ยวกับการดำเนินการภายในบริษัทให้เป็นไปตามกฎหมายกำหนด ซึ่งต้นทุนต่ำกว่าการจ้างพนักงานในตำแหน่ง DPO อย่างแน่นอน

อย่างไรก็ตาม สำหรับบริษัทที่มีการเก็บ และประมวลผลข้อมูลอย่างต่อเนื่อง ซึ่งมีความเสี่ยงสูงในการละเมิดกฎหมาย หรือเกิดเหตุละเมิดข้อมูลส่วนบุคคลได้ง่าย เราไม่แนะนำให้แต่งตั้งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคล เพราะอาจเกิดการดำเนินการที่ไม่เหมาะสมหรือถูกต้องตามกฎหมาย PDPA ได้

สุดท้ายแล้ว กฎหมาย PDPA มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล และป้องกันการแสวงหาผลประโยชน์โดยมิชอบ เพราะฉะนั้นบุคลากรภายในบริษัทควรมีความรู้ ความเข้าใจ และความตระหนักร่วมต่อการปกป้องข้อมูลส่วนบุคคลภายในองค์กร ด้วยเหตุนี้ ผู้ประกอบการองค์กรธุรกิจทุกแห่งควรฝึกอบรม จัดคอร์สเรียน หรือจัดกิจกรรมที่เป็นการส่งเสริมความรู้และการปกป้องข้อมูลส่วนบุคคลภายในบริษัทควบคู่ด้วยกัน จึงกลายเป็นแนวทางในการรับมือกฎหมาย PDPA ที่ถูกต้อง