15 เรื่องที่ DPO ต้องทำเพื่อคุ้มครองข้อมูลส่วนบุคคลองค์กรตาม PDPA
ในวันที่องค์กรจำเป็นต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือแม้แต่คุณเองคือคนที่องค์กรเลือกให้เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตามที่กฎหมายกำหนด
เพื่อให้องค์กรดำเนินกิจกรรมหรืองานต่าง ๆ ได้สอดคล้องกับกฎหมาย PDPA องค์กรคาดหวังอะไรจากเจ้าหน้าที่ DPO ? เราได้รวบรวม “15 ข้อที่ DPO ต้องทำ เมื่อเข้ารับตำแหน่ง” มาให้แล้ว
15 ข้อ หรือ 15 บทบาท ในการปฏิบัติงานการคุ้มครองข้อมูลส่วนบุคคล (Privacy Operational Life Cycle) แบ่งเป็น 4 ขั้นตอน ดังนี้
1. ขั้นการประเมิน (Assess)
2. ขั้นการป้องกัน (Protect)
3. ขั้นการสร้างความยั่งยืน (Sustain)
4. ขั้นการตอบสนอง (Respond)
ขั้นตอนสำหรับการปฏิบัติงานการคุ้มครองข้อมูลส่วนบุคคล (Privacy Operational Life Cycle)
ขั้นการประเมิน (Assess)
1. องค์กรหรือ DPO ต้องแจ้งรายชื่อ DPO พร้อมทั้งรายละเอียดการติดต่อ สถานที่ เบอร์โทรศัพท์ (แนะนำเป็นเบอร์โทรศัพท์ที่ติดต่อได้จริงขององค์กร) อีเมล ให้กับสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) ผ่านช่องทางอิเล็กทรอนิกส์ ที่อยู่อีเมล [email protected]
2. DPO ที่ดี ต้องศึกษาและทำความเข้าใจรูปแบบธุรกิจ (Business Model) ขององค์กรว่ามีรูปแบบการทำธุรกิจแบบไหน เช่น B2B, B2C หรือเป็น Platform C2C เป็นต้น
3. DPO ต้องทำความเข้าใจและสามารถระบุข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวม ใช้อยู่ (Identify Personal Data Processed)
4. DPO ต้องช่วยแนะนำ หรือในบางครั้งต้องช่วยจัดทำให้แต่ละหน่วยธุรกิจขององค์กรมีการจัดทำระเบียนบันทึกข้อมูลส่วนบุคคล Data Inventory Mapping (DIM)
5. DPO ช่วยจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity : RoPA) ตามมาตรา 39 ซึ่งประกอบไปด้วยข้อมูลที่จัดเก็บ วัตถุประสงค์ในการเก็บข้อมูล ใช้ฐานทางกฎหมายใดในการประมวลผล ระยะเวลาในการเก็บรักษา สิทธิและวิธีการเข้าถึงของเจ้าของข้อมูลส่วนบุคคล รายละเอียดข้อมูลในการติดต่อองค์กร รวมถึงคำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
6. DPO ต้องประเมินความเสี่ยง กรณีองค์กรมีการทำกิจกรรมทางการตลาดใหม่ๆ หรือองค์กรมีคู่ค้าใหม่ (New Vendor) หรือแม้กระทั่งองค์กรมีสถานะใหม่อันเกิดจากการควบรวมกิจการ (Merger and Acquisition) ถ้าประเมินแล้วกิจกรรมนั้นอาจนำไปสู่การละเมิดสิทธิและเสรีภาพของบุคคล DPO อาจจะต้องจัดทำหรือแนะนำให้ผู้รับผิดชอบในฝ่ายนั้นๆ ดำเนินการจัดทำ “การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล” (Data Protection Impact Assessment : DPIA)
ขั้นการป้องกัน (Protect)
7. ศึกษาหรือจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) รวมถึงนโยบายพนักงาน นโยบายการจัดซื้อจัดจ้าง นโยบายการรักษาข้อมูล การทำลายข้อมูล ตลอดจนประกาศความเป็นส่วนตัว (Privacy Notices) ตามมาตรา 23 เพื่อชี้แจงเกี่ยวกับวัตถุประสงค์ในการประมวลผลข้อมูลให้เจ้าของข้อมูลส่วนบุคคลทราบ
8. กรณีที่มีการใช้ฐานความยินยอม DPO ต้องเป็นผู้รับผิดชอบในการช่วยจัดทำหรือให้ความเห็นเกี่ยวกับสัญญาหรือแบบฟอร์มที่ต้องมีการขอความยินยอมเกี่ยวกับข้อมูลส่วนบุคคล (Consent Form)
9. ถ้าองค์กรมีการจ้างบุคคลที่สามมาประมวลผลข้อมูลส่วนบุคคลแล้ว บุคคลที่สามมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) DPO ก็ต้องจัดทำหรือให้ความคิดเห็นองค์กรเกี่ยวกับ “ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล” (Data Processing Agreement : DPA) มาตรา 40 วรรค 3 ระหว่างองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) กับบุคคลหรือนิติบุคคลอื่นในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
10. ร่วมมือกับฝ่ายสารสนเทศในการให้ความเห็นระบบต่างๆ ให้เป็นไปตามกฎหมาย เช่น ระบบการสแกนลายนิ้วมือหรือการสแกนใบหน้าอันเป็นข้อมูลชีวมิติ หรือในกรณีที่องค์กรมีระบบ Application ก็ควรผลักดันหลักการคุ้มครองข้อมูลส่วนบุคคลหรือความเป็นส่วนตัว (Privacy) ให้อยู่ในแผนตั้งแต่กระบวนการการออกแบบ (Privacy by Design : PbD)
ขั้นการสร้างความยั่งยืน (Sustain)
11. ช่วยผลักดันให้เกิดกระบวนการสอบทาน (Audit) เกี่ยวกับมาตรการความมั่นคงปลอดภัยของข้อมูล โดยทำงานร่วมกับบุคลากรภายนอกที่มีความเชี่ยวชาญเฉพาะด้านมาช่วยในการสอบทาน ด้วยกรอบต่างๆ เช่น การบริหารจัดการข้อมูลส่วนบุคคลตามมาตรฐาน ISO 27701:2019 หรือมาตรฐานอื่นๆ ที่ใกล้เคียงกัน ซึ่งการสอบทานเป็นกระบวนการที่วัดประสิทธิภาพขององค์กรในมิติ การปฏิบัติการ งานระบบ และงานกระบวนการ เป็นต้น
12. ผลักดันโครงการอบรม (Training) ให้ผู้รับผิดชอบและพนักงานที่เกี่ยวข้องในองค์กรให้มีขีดความสามารถรวมถึงความรู้ทักษะของการคุ้มครองข้อมูลส่วนบุคคลรวมถึงให้มีความรู้เข้าใจในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงผลักดันโครงการการสร้างความตระหนักรู้ (Awareness) ในแต่ละหัวข้อ เช่น ความปลอดภัย (Security) การเปลี่ยนรหัส (Password) ให้ผู้รับผิดชอบและพนักงานที่เกี่ยวข้องในองค์กร เป็นต้น
13. ช่วยจัดทำคู่มือการทำงานเกี่ยวกับ PDPA ให้กับพนักงานที่เกี่ยวข้องในองค์กร
ขั้นการตอบสนอง (Respond)
14. งานมาตราการการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Request : DSR) ตั้งแต่ขั้นตอนการศึกษาออกแบบ ปรับปรุง รวมถึงจัดทำและเป็นผู้รับผิดชอบหลักในกรณีที่เจ้าของข้อมูลส่วนบุคคล ทั้งผู้บรรลุนิติภาวะ ผู้ไม่บรรลุนิติภาวะ หรือบุคคลหย่อนความสามารถมาใช้สิทธิกับองค์กร
15. งานมาตรการรายงานการรั่วไหลของข้อมูลส่วนบุคคล (Data Breach Notification Management) ตั้งแต่ขั้นตอนการออกแบบ จัดทำ ทดลอง ปรับปรุง หรืออบรมให้ผู้รับผิดชอบในองค์กรและพนักงานทราบ รวมถึงเป็นคนกลางประสานงาน ตรวจสอบ ค้นหาความจริง กรณีเกิดเหตุละเมิดในองค์กร DPO อาจนำเหตุละเมิดข้อมูลส่วนบุคคลไปทบทวน (Review) ถึงต้นตอของปัญหาว่าเกิดจากเหตุใด มีหนทางใดในการแก้ไขในอนาคต
แล้วท่านรู้จริงหรือไม่? ว่าท่านมีความรู้ความเข้าใจเกี่ยวกับบทบาทและหน้าที่ของ DPO ตามกฎหมาย PDPA กำหนดอย่างแท้จริง เช็กให้ชัวร์ DPO Quiz แบบทดสอบประเมินตนเอง เกี่ยวกับบทบาทและหน้าที่ของ DPO คลิกเลย
