หลังจากที่ PDPA เลื่อนกำหนดการซ้ำแล้วซ้ำเล่า จนออกการบังคับใช้อย่างเต็มที่ในวันที่ 1 มิถุนายน 2565 หลายองค์กรเริ่มมีความตระหนักถึงการทำให้องค์กรปกิบัติตาม PDPA ตัวอย่างเช่น การจัดทำขั้นตอนการทำ PDPA หรือจัดทำเอกสารต่าง ๆ เพื่อให้สอดคล้อง โดยแต่ละธุรกิจนั้นก็อาจจะมีความแตกต่างกันไป เช่น โรงพยาบาลหรือสถานศึกษาย่อมมีขั้นตอนการทำ PDPA ที่ไม่เหมือนกัน เป็นต้น แต่สิ่งหนึ่งที่มีความจำเป็น คือ การหาบุคคลหรือคณะบุคคลที่จะเข้ามาทำหน้าที่ในการดำเนินการด้านข้อมูลส่วนบุคคล ซึ่งตามหลัก PDPA ได้มีการกำหนดตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer: DPO ขึ้นเพื่อดำเนินการคุ้มครองข้อมูลส่วนบุคคลขององค์กร
Data Protection Officer เป็นคนนอกได้หรือไม่?
ท่านเคยสงสัยกันหรือไม่ว่า DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลนั้นเป็นคนนอก หรือเป็น Outsource ได้หรือไม่หลักของ PDPA ไม่ได้มีการกำหนดไว้ว่าคนที่จะเป็น DPO จำเป็นต้องเป็นคนนอกหรือสามารถจ้าง Outsource ได้ ดังนั้นแปลว่าสามารถจัดจ้างคนนอกเพื่อมาเป็น DPO ได้
Data Protection Officer ต้องประสานงานกับใครบ้าง?
Outsource DPO นั้นนอกจากจำเป็นต้องดูแลเรื่องข้อมูลลส่วนบุคคลขององค์กรจำเป็นต้องมีการประสานงานเพื่อให้งานเป็นไปอย่างราบรื่น ดังนั้นบุคคลที่ Outsource ต้องประสานด้วย ได้แก่
พนักงานหรือบุคลากรในองค์กร เนื่องจากOutsource DPO มีหน้าที่ในการให้คำแนะนำในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล รวมถึงตรวจสอบการดำเนินการขององค์กรด้วย
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ซึ่ง Outsource DPOจะต้องมีหน้าที่เป็นตัวกลางในการประสานงานหรือให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่เกิดปัญหาในการดำเนินการ
เจ้าของข้อมูลส่วนบุคคลในบางครั้งตัวOutsource DPO เองนั้นจำเป็นต้องมีการประสานงานกับเจ้าของข้อมูลส่วนบุคคลในกรณีที่เกิดปัญหาในการประมวลข้อมูลส่วนบุคคล ได้แก่ การเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามหลักของ PDPA นั่นเอง
จากที่กล่าวมาข้างต้น จะเห็นได้ว่า DPO มีความสำคัญแม้แต่ในเรื่องของการประสานงานเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างราบรื่น ดังนั้น การที่องค์กรจะเลือกใช้ DPO Outsource จึงต้องให้ความสำคัญไม่น้อยไปกว่ากัน
องค์กรควรเลือก DPO Outsource ด้วยเหตุผลใดบ้าง?
ตำแหน่ง DPO ถือได้ว่าเป็นบทบาทหนึ่งที่มีความสำคัญในการดูแลเกี่ยวกับข้อมูลส่วนบุคคลขององค์กร ดังนั้นการที่องค์กรจะสรรหา Outsource เข้ามาเพื่อดูแลจัดการย่อมเป็นเรื่องที่ต้องให้ความสำคัญ ซึ่งยอมรับก่อนว่าในปัจจุบัน (กุมภาพันธ์ 2566) ยังไม่มีการกำหนดคุณลักษณะที่ชัดเจนของบุคคลที่จะมาทำหน้าที่เป็น DPO ก็ตามแต่อย่างน้อยที่สุด DPO Outsource ที่จะเลือกควรจะมีคุณสมับัติหรือคุณลักษณะที่ควรพิจารณา ดังนี้
มีประสบการณ์ด้านการให้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากตัวOutsource DPO นั้นจะต้องมีความรู้ความเข้าใจในการขั้นตอนการทำ PDPA ดังนั้นจึงเป็นประเด็นแรกในการพิจารณาหาบุคคลหรือคณะบุคคลที่เกมาะสมจะมาทำ Outsource DPO แก่องค์กร
มีความรู้ความเข้าใจองค์กร หรือมีประสบการณ์การให้คำปรึกษาด้านข้อมูลส่วนบุคคล นอกจากจะต้องมีความรู้ในกระบวนการตามหลัก PDPA แล้ว สิ่งที่สำคัญไม่แพ้กัน คือ การที่ Outsource DPO ควรจะมีความรู้ความเข้าใจในธุรกิจกรือองค์กร ทั้งนี้ รวมไปถึงวัฒนธรรมองค์กรด้วย
มีการรับรองจากสถาบัน ข้อนี้ทางผู้เขียนมองว่าเป็นหนึ่งในการพิจารณาถึงผู้จะเข้ามาทำหน้าที่ DPO ได้ระดับหนึ่ง เนื่องจากในข้อที่ 2บุคคลที่จะเข้าใจองค์กรจริง ๆ นั้นอาจจะหาได้ยากหากไม่ใช่บุคลากรในองค์กร ทั้งนี้หากองค์กรต้องมีการคัดเลือกใครที่จะมาเป็น Outsource DPO การที่บุคคลหรือองค์กรนั้นมีใบรับรองหรือได้รับการรับรองจากหน่วยงาน ก็ย่อมเป็นที่วางใจได้ว่า บุคคลหรือองค์กรที่จะเข้ามาดูแลข้อมูลส่วนบุคคลขององค์กรนั้นมีมาตรฐานได้รับการยอมรับ
โดยภาพรวมนั้น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล นั้นถึงว่าเป็นตัวละครสำคัญคนหนึ่งในด้านการคุ้มครองข้อมูลส่วนบุคคล นอกจากบทบาทหน้าที่ที่มีต่อองค์กรยังรวมไปถึงรวมถึงการประสานงานกับบุคคลต่าง ๆเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปตามหลักการคุ้มครองข้อมูลส่วนบุคคล ฉะนั้นDPO Outsource จึงเป็นทางเลือกหนึ่งที่จะช่วยเหลือองค์กรให้ดำเนินการด้านข้อมูลส่วนบุคคลอย่างราบรื่น จึงเป็นที่มาของบทความ เพื่อเป็นแนวทางหรือหลักเกณฑ์ในการพิจารณาคร่าว ๆ เพื่อให้เกิดประโยชน์ต่อองค์กรต่อไป.
