15 เรื่องที่ต้องทำ เมื่อรับตำแหน่ง DPO

      เมื่อองค์กรเอกชนส่วนใหญ่ มีกลุ่มงานระดับผู้บริหารหรือ C-Suite ระดับงานที่ขึ้นต้นด้วยคำว่า “Chief” ภายในองค์กร และเมื่อองค์กรต้องมีการแต่งตั้ง DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเกิดขึ้น องค์กรคาดหวังอะไรจาก DPO? เราได้รวบรวม “15 ข้อที่ DPO ต้องทำ เมื่อเข้ารับตำแหน่ง” มาให้แล้ว

     15 ข้อ หรือ 15 บทบาท ในการปฏิบัติงานการคุ้มครองข้อมูลส่วนบุคคล (Privacy Operational Life Cycle) แบ่งเป็น 4 ขั้นตอน ดังนี้

   1. ขั้นการประเมิน (Assess)

   2. ขั้นการป้องกัน (Protect)

   3. ขั้นการสร้างความยั่งยืน (Sustain)

   4. ขั้นการตอบสนอง (Respond)

ขั้นตอนสำหรับการปฏิบัติงานการคุ้มครองข้อมูลส่วนบุคคล (Privacy Operational Life Cycle)

ขั้นการประเมิน (Assess)

1. องค์กรหรือ DPO ต้องแจ้งรายชื่อ DPO พร้อมทั้งรายละเอียดการติดต่อ สถานที่ เบอร์โทรศัพท์ (แนะนำเป็นเบอร์โทรศัพท์ที่ติดต่อได้จริงขององค์กร) อีเมล ให้กับสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) ผ่านช่องทางอิเล็กทรอนิกส์ ที่อยู่อีเมล [email protected]

2. DPO ที่ดี ต้องศึกษาและทำความเข้าใจรูปแบบธุรกิจ (Business Model) ขององค์กรว่ามีรูปแบบการทำธุรกิจแบบไหน เช่น B2B, B2C หรือเป็น Platform C2C เป็นต้น 

3. DPO ต้องทำความเข้าใจและสามารถระบุข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวม ใช้อยู่ (Identify Personal Data Processed)

4. DPO ต้องช่วยแนะนำ หรือในบางครั้งต้องช่วยจัดทำให้แต่ละหน่วยธุรกิจขององค์กรมีการจัดทำระเบียนบันทึกข้อมูลส่วนบุคคล Data Inventory Mapping (DIM)

5. DPO ช่วยจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity : RoPA) ตามมาตรา 39 ซึ่งประกอบไปด้วยข้อมูลที่จัดเก็บ วัตถุประสงค์ในการเก็บข้อมูล ใช้ฐานทางกฎหมายใดในการประมวลผล ระยะเวลาในการเก็บรักษา สิทธิและวิธีการเข้าถึงของเจ้าของข้อมูลส่วนบุคคล รายละเอียดข้อมูลในการติดต่อองค์กร รวมถึงคำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล

6. DPO ต้องประเมินความเสี่ยง กรณีองค์กรมีการทำกิจกรรมทางการตลาดใหม่ๆ หรือองค์กรมีคู่ค้าใหม่ (New Vendor) หรือแม้กระทั่งองค์กรมีสถานะใหม่อันเกิดจากการควบรวมกิจการ (Merger and Acquisition) ถ้าประเมินแล้วกิจกรรมนั้นอาจนำไปสู่การละเมิดสิทธิและเสรีภาพของบุคคล DPO อาจจะต้องจัดทำหรือแนะนำให้ผู้รับผิดชอบในฝ่ายนั้นๆ ดำเนินการจัดทำ “การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล” (Data Protection Impact Assessment : DPIA) 

ขั้นการป้องกัน (Protect)

7. ศึกษาหรือจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) รวมถึงนโยบายพนักงาน นโยบายการจัดซื้อจัดจ้าง นโยบายการรักษาข้อมูล การทำลายข้อมูล ตลอดจนประกาศความเป็นส่วนตัว (Privacy Notices) ตามมาตรา 23 เพื่อชี้แจงเกี่ยวกับวัตถุประสงค์ในการประมวลผลข้อมูลให้เจ้าของข้อมูลส่วนบุคคลทราบ

8. กรณีที่มีการใช้ฐานความยินยอม DPO ต้องเป็นผู้รับผิดชอบในการช่วยจัดทำหรือให้ความเห็นเกี่ยวกับสัญญาหรือแบบฟอร์มที่ต้องมีการขอความยินยอมเกี่ยวกับข้อมูลส่วนบุคคล (Consent Form)

9. ถ้าองค์กรมีการจ้างบุคคลที่สามมาประมวลผลข้อมูลส่วนบุคคลแล้ว บุคคลที่สามมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) DPO ก็ต้องจัดทำหรือให้ความคิดเห็นองค์กรเกี่ยวกับ “ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล” (Data Processing Agreement : DPA) มาตรา 40 วรรค 3 ระหว่างองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Datra Controller) กับบุคคลหรือนิติบุคคลอื่นในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

10. ร่วมมือกับฝ่ายสารสนเทศในการให้ความเห็นระบบต่างๆ ให้เป็นไปตามกฎหมาย เช่น ระบบการสแกนลายนิ้วมือหรือการสแกนใบหน้าอันเป็นข้อมูลชีวมิติ หรือในกรณีที่องค์กรมีระบบ Application ก็ควรผลักดันหลักการคุ้มครองข้อมูลส่วนบุคคลหรือความเป็นส่วนตัว (Privacy) ให้อยู่ในแผนตั้งแต่กระบวนการการออกแบบ (Privacy by Design : PbD) 

ขั้นการสร้างความยั่งยืน (Sustain)

11. ช่วยผลักดันให้เกิดกระบวนการสอบทาน (Audit) เกี่ยวกับมาตรการความมั่นคงปลอดภัยของข้อมูล โดยทำงานร่วมกับบุคลากรภายนอกที่มีความเชี่ยวชาญเฉพาะด้านมาช่วยในการสอบทาน ด้วยกรอบต่างๆ เช่น การบริหารจัดการข้อมูลส่วนบุคคลตามมาตรฐาน ISO 27701:2019 หรือมาตรฐานอื่นๆ ที่ใกล้เคียงกัน ซึ่งการสอบทานเป็นกระบวนการที่วัดประสิทธิภาพขององค์กรในมิติ การปฏิบัติการ งานระบบ และงานกระบวนการ เป็นต้น

12. ผลักดันโครงการอบรม (Training) ให้ผู้รับผิดชอบและพนักงานที่เกี่ยวข้องในองค์กรให้มีขีดความสามารถรวมถึงความรู้ทักษะของการคุ้มครองข้อมูลส่วนบุคคลรวมถึงให้มีความรู้เข้าใจในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงผลักดันโครงการการสร้างความตระหนักรู้ (Awareness) ในแต่ละหัวข้อ เช่น ความปลอดภัย (Security) การเปลี่ยนรหัส (Password) ให้ผู้รับผิดชอบและพนักงานที่เกี่ยวข้องในองค์กร เป็นต้น

13. ช่วยจัดทำคู่มือการทำงานเกี่ยวกับ PDPA ให้กับพนักงานที่เกี่ยวข้องในองค์กร

ขั้นการตอบสนอง (Respond)

14. งานมาตราการการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล  (Data Subject Request : DSR) ตั้งแต่ขั้นตอนการศึกษาออกแบบ ปรับปรุง รวมถึงจัดทำและเป็นผู้รับผิดชอบหลักในกรณีที่เจ้าของข้อมูลส่วนบุคคล ทั้งผู้บรรลุนิติภาวะ ผู้ไม่บรรลุนิติภาวะ หรือบุคคลหย่อนความสามารถมาใช้สิทธิกับองค์กร

15. งานมาตรการรายงานการรั่วไหลของข้อมูลส่วนบุคคล (Data Breach Notification Management) ตั้งแต่ขั้นตอนการออกแบบ จัดทำ ทดลอง ปรับปรุง หรืออบรมให้ผู้รับผิดชอบในองค์กรและพนักงานทราบ รวมถึงเป็นคนกลางประสานงาน ตรวจสอบ ค้นหาความจริง กรณีเกิดเหตุละเมิดในองค์กร DPO อาจนำเหตุละเมิดข้อมูลส่วนบุคคลไปทบทวน (Review) ถึงต้นตอของปัญหาว่าเกิดจากเหตุใด มีหนทางใดในการแก้ไขในอนาคต

      แล้วท่านรู้จริงหรือไม่? ว่าท่านมีความรู้ความเข้าใจเกี่ยวกับบทบาทและหน้าที่ของ DPO ตามกฎหมาย PDPA กำหนดอย่างแท้จริง เช็กให้ชัวร์ DPO Quiz แบบทดสอบประเมินตนเอง เกี่ยวกับบทบาทและหน้าที่ของ DPO คลิกเลย