อาจารย์อุดมธิปก: การทำหน้าที่ DPO มีหลักในการปฏิบัติอย่างไรให้สอดคล้องกับกฎหมาย PDPA

อาจารย์สุกฤษ: ในการปฏิบัติ หน้าที่ของ DPO ให้ได้ตามมาตรฐานกฎหมายกำหนด ผมแนะนำหลักในการปฏิบัติงานการคุ้มครองข้อมูลส่วนบุคคล (Privacy Operational Life Cycle) 4 ขั้นตอน ได้แก่

1. ขั้นการประเมิน (Assess)

2. ขั้นการป้องกัน (Protect)

3. ขั้นการสร้างความยั่งยืน (Sustain)

4. ขั้นการตอบสนอง (Respond)

อาจารย์อุดมธิปก: ขั้นตอนการประเมิน (Assess) DPO ต้องทำอะไรบ้างครับ?

อาจารย์สุกฤษ: สำหรับขั้นตอนการประเมินการคุ้มครองข้อมูลส่วนบุคคลนั้น DPO ต้องดำเนินการดังนี้ครับ:

1. องค์กรต้องแจ้งรายชื่อของผู้ที่รับหน้าที่ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หรือ DPO พร้อมทั้งรายละเอียดการติดต่อ สถานที่ เบอร์โทรศัพท์ อีเมล ให้กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ผ่านช่องทางอีเมลได้ตามที่อยู่อีเมลนี้ (Email: [email protected])

2. การปฏิบัติหน้าที่ DPO ที่ดี DPO ควรมีการทบทวนบริบทองค์กรและเข้าใจกับประเภทของธุรกิจที่องค์กรดำเนินการอยู่ มีการระบุข้อมูลส่วนบุคคลที่องค์กรมีการประมวลผลไม่ว่าจะเป็นการสะสมแต้มบัตรสมาชิกอย่างเป็นระบบ การเก็บข้อมูลประวัติอาชญากรรมเพื่อการพิจารณารับคนเข้าทำงานของฝ่าย HR ฯลฯ เพื่อให้ทราบถึงกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลและปรับปรุงการทำงานให้สอดคล้องตามที่กฎหมายกำหนด

3. DPO ควรมีการกำหนดให้แต่ละหน่วยงานในองค์กรจัดทำ ใบบันทึกข้อมูลส่วนบุคคล หรือ DIM (Data Inventory Mapping) พร้อมทั้งช่วยแนะนำ ตรวจสอบกิจกรรมของหน่วยงานอื่น ๆ ในองค์กร ประมวลผลข้อมูลส่วนบุคคลได้อย่างถูกต้อง และไม่ละเมิดข้อมูลส่วนบุคคล

4. DPO ควรมีการแนะนำและช่วยจัดทำ “บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล” หรือ RoPA (Record of Processing Activities) ให้เป็นไปตามมาตรฐานกฎหมาย PDPA มาตรา 39 เพื่อให้องค์กรได้ทราบถึงกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในภาพรวมขององค์กรอย่างละเอียด อ่านเพิ่มเติมเกี่ยวกับ RoPA คลิก

5. กรณีที่องค์กรมีโครงการ หรือกิจกรรมใหม่ ๆ ไม่ว่าจะเป็นกิจกรรมส่งเสริมการตลาด คู่ค้าใหม่ (New Vendor) หรือแม้กระทั่งองค์กรมีสถานะใหม่อันเกิดจากการควบรวมกิจการ (Merger and Acquisition) DPO อาจจำเป็นต้องทำ หรือให้เจ้าของโครงการนั้น ๆ จัดทำ “การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล” หรือ DPIA (Data Protection Impact Assessment) เพื่อประเมินความเสี่ยง หากกิจกรรมนั้น ๆ มีความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพครับ

อาจารย์อุดมธิปก: อาจารย์ช่วยขยายความในส่วนของ ขั้นการป้องกัน (Protect) ได้ไหมครับว่า DPO อยู่ในจุดไหนของขั้นตอนนี้

อาจารย์สุกฤษ: ต้องบอกไว้ก่อนเลยว่า DPO จะมีส่วนสำคัญในทุกขั้นตอนที่กล่าวมา ซึ่งในส่วนของ ขั้นการป้องกัน (Protect) ผมขอแนะนำดังนี้ครับ

• DPO ควรศึกษาหรือจัดทำ นโยบายความเป็นส่วนตัว (Privacy Policy) ซึ่งประกอบด้วย นโยบายพนักงาน นโยบายการจัดซื้อจัดจ้าง นโยบายการรักษาข้อมูล การทำลายข้อมูล ตลอดจนประกาศความเป็นส่วนตัว (Privacy Notices) ตามมาตรา 23 เพื่อแจ้งถึงวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคล ให้แก่เจ้าของข้อมูลส่วนบุคคลทราบ

• กรณีที่องค์กรมีการใช้ฐานความยินยอม (Consent) ในการประมวลผลข้อมูลส่วนบุคคล DPO ควรมีการตรวจสอบในส่วนของแบบฟอร์มที่ใช้ในการขอความยินยอม แม้แต่ช่องทางหรือวิธีการในการถอนความยินยอมตามความประสงค์ของเจ้าของข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด

• ในกิจกรรมที่องค์กรมีการ “จ้าง” ให้ผู้ใด “ประมวลผลข้อมูลส่วนบุคคล” แทนในกิจกรรมนั้น ๆ เช่น บริษัทสรรหาบุคลากรเข้าทำงาน ฯลฯ DPO ควรมีการจัดทำ หรือร่วมดำเนินการจัดทำ “ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล” หรือ DPA (Data Processing Agreement) ตามมาตรา 40 วรรค 3 เพื่อให้การประมวลผลข้อมูลส่วนบุคคลเป็นไปตามวัตถุประสงค์ที่องค์กรกำหนด

• หากองค์กรมีการใช้ระบบที่มีการเก็บข้อมูลชีวภาพ ไม่ว่าจะเป็น การสแกนลายนิ้วมือ หรือใบหน้า เพื่อยืนยันเวลาเข้า – ออก สถานทำงาน ขอแนะนำให้ DPO มีการติดต่อและร่วมมือกับผู้พัฒนาระบบ หรือฝ่าย IT ที่เกี่ยวข้องในการผลักดันหลักการคุ้มครองข้อมูลส่วนบุคคลหรือความเป็นส่วนตัว (Privacy) ให้อยู่ในแผนตั้งแต่กระบวนการการออกแบบ (Privacy by Design) เพื่อให้การประมวลผลข้อมูลส่วนบุคคลสอดคล้องกับกฎหมายด้วยครับ

อาจารย์อุดมธิปก: แล้วในขั้นการสร้างความยั่งยืน (Sustain) เกี่ยวข้องกับ DPO อย่างไรบ้างครับ?

อาจารย์สุกฤษ: มองเผิน ๆ คำว่าความยั่งยืนอาจดูไม่เกี่ยวข้องกับ DPO ในทางตรง แต่หากมองลงไปให้ลึกกว่านี้ การสร้างความยั่งยืนในระยะยาว ไม่เพียงจะช่วยให้ DPO ทำงานได้ง่ายขึ้น แต่จะช่วยให้ DPO สัมฤทธิ์ผลในการปฏิบัติหน้าที่นี้ได้ด้วย ซึ่งผมขอแนะนำในการสร้างความยั่งยืน ดังนี้

• แนะนำให้ DPO มีการสอบทาน (Audit) การดำเนินการต่าง ๆ ที่เกี่ยวข้องกับกฎหมาย PDPA ทั้งในส่วนของเอกสาร มาตรการรักษาความมั่นคงปลอดภัยข้อมูล ฯลฯ ซึ่งส่วนนี้สามารถทำร่วมกับบุคคลากรภายนอกที่มีความเชี่ยวชาญเฉพาะทางร่วมด้วยได้ องค์กรมีการสอบทานอยู่เป็นประจำ ช่วยลดเสี่ยงละเมิดข้อมูลส่วนบุคคลได้เป็นอย่างมาก

• DPO ควรผลักดัน หรือจัดอบรม (Training) ในเรื่องของกฎหมาย PDPA อยู่เสมอ เพื่อสร้างทักษะและส่งเสริมความรู้ ด้านการคุ้มครองข้อมูลส่วนบุคคล รวมถึงผลักดันโครงการฝึกอบรมที่มีความรอบด้าน เช่น ความปลอดภัยทางไซเบอร์ (Cyber Security) เป็นต้น

• เพื่อให้บุคลากรในองค์กร มีการปฏิบัติงานเป็นมาตรฐานเดียวกัน DPO สามารถจัดทำคู่มือการทำงานที่เกี่ยวข้อง เพื่อให้การปฏิบัติงานเป็นไปตามกฎหมาย PDPA กำหนดครับ

อาจารย์อุดมธิปก: สุดท้ายในส่วนของ ขั้นการตอบสนอง (Respond) DPO ควรปฏิบัติอย่างไรครับ?

อาจารย์สุกฤษ: ในส่วนของการตอบสนองผมแบ่งออกเป็น 2 ส่วนดังนี้ครับ

• ส่วนของการตอบสนองการใช้ของเจ้าของข้อมูลส่วนบุคคล หรือ DSR  (Data Subject Request) DPO ควรมีการวางแผนตั้งแต่การออกแบบ แบบฟอร์มการขอใช้สิทธิ ช่องทางการขอใช้สิทธิ การติดต่อสื่อสารกับผู้ร้องขอ ฯลฯ รวมถึงบริหารจัดการการร้องขอในกรณีที่ผู้ใช้สิทธิเป็นผู้บรรลุนิติภาวะ ผู้ไม่บรรลุนิติภาวะ หรือแม้แต่บุคคลหย่อนความสามารถด้วยเช่นกัน

• ในส่วนสุดท้ายนี้ จะเป็นเรื่องของการรายงานการรั่วไหลของข้อมูลส่วนบุคคล (Data Breach Management) ขอแนะนำให้ DPO มีการวางมาตรการตั้งแต่ขั้นตอนการออกแบบ จัดทำ ปรับปรุงให้ผู้รับผิดชอบในองค์กรและพนักงานทราบ รวมถึงเป็นคนกลางประสานงาน ตรวจสอบ ค้นหาความจริง กรณีเกิดเหตุละเมิดในองค์กร พร้อมทั้งนำเหตุละเมิดที่เกิดขึ้นไปทบทวนถึงต้นตอของปัญหาและหาวิธีป้องกันการเกิดปัญหาดังกล่าวอีกครั้งในอนาคต

อาจารย์อุดมธิปก: จากทั้งหมดที่อาจารย์สุกฤษกล่าวมา แสดงให้เห็นเลยว่าในเรื่องของกฎหมาย PDPA มีเรื่องที่องค์กรและ DPO ต้องเตรียมความพร้อมหลายด้าน ไม่ว่าจะเป็น ความรู้ ประสบการณ์ งบประมาณ และระยะเวลา เพื่อให้องค์กรดำเนินการงานได้สอดคล้องตามกฎหมายกำหนด

หากท่านใดอยากรู้ว่าตัวเองมีความรู้และความเข้าใจเรื่องกฎหมาย PDPA มากน้อยแค่ไหน ขอแนะนำแบบประเมินความรู้ด้วย PDPA Quiz >> คลิก หรือยังไม่มั่นใจว่าองค์กรเข้าข่ายต้องแต่งตั้ง DPO แล้วหรือยัง สามารถตรวจสอบได้ด้วยแบบประเมินองค์กร DPO Checklist >> คลิก