รูปแบบ และประเภทของ DPO รวมถึงตามหลักของการคุ้มครองข้อมูลส่วนบุคคล (ปรับปรุงเมื่อวันอังคารที่ 7 พ.ย. 2566)

แชร์

อ่าน

ครั้ง

โดย : กฤตพล ศรีระษา

รูปแบบ และประเภทของ DPO รวมถึงตามหลักของการคุ้มครองข้อมูลส่วนบุคคล (ปรับปรุงเมื่อวันอังคารที่ 7 พ.ย. 2566)

แชร์

อ่าน

ครั้ง

โดย : กฤตพล ศรีระษา

     จากบทความ Link ได้พูดถึง DPO พอสังเขปแล้วว่า DPO คือใคร และมีความสำคัญต่อองค์กรแค่ไหน และหากฝ่าฝืนอาจมีโทษทางปกครอง แล้วถ้าองค์กรต้องตั้ง DPO ควรแต่งตั้งรูปแบบไหนดี? สามารถจ้างบุคคลภายนอกให้ทำแทนได้หรือไม่? บทความนี้จะเป็นแนวทางเบื้องต้นในการแต่ตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลขององค์กร ซึ่งอาจจะมีการเปลี่ยนแปลงได้หากว่ามีกฎหมายลูกออกตามมาในภายหลัง

แต่งตั้ง DPO เป็นบุคคลเดียว หรือคณะบุคคลดี?

   

 ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.  2562 (Personal Data Protection Act : PDPA) ไม่ได้มีการระบุไว้อย่างชัดเจน ว่าจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) เป็นบุคคลเดียวหรือเป็นคณะบุคคล ดังนั้น การที่จะแต่งตั้ง DPO จึงสามารถแต่งตั้งเป็นบุคคลเดียวหรือเป็นคณะบุคคลก็ได้ แต่งตั้งตามความเหมาะสมขององค์กร ซึ่งทั้ง 2 รูปแบบ มีข้อดีและข้อด้อยแตกต่างกัน ตามตารางข้างล่างนี้

 

DPO  บุคคลเดียว (คนเดียว)

DPO คณะบุคคล (คณะทำงาน)

ข้อดี

ถ้าเป็นบุคคลเดียวสามารถดำเนินการตัดสินใจเกี่ยวกับการดำเนินการเรื่องข้อมูลส่วนบุคคลได้อย่างรวดเร็ว

ในการตัดสินใจมีความแม่นยำและเป็นประโยชน์ต่อองค์กร เนื่องจากมีบุคลากรจากหลายแผนกที่มีความชำนาญมาช่วยให้ข้อมูลในการตัดสินใจ เนื่องจากมีผู้เชี่ยวชาญหลายๆ ด้านมาช่วยพิจารณาให้สอดคล้องกับธุรกิจขององค์กร

ข้อด้อย

DPO จำเป็นต้องมีความรู้เกี่ยวกับข้อมูลส่วนบุคคลหลากหลายด้าน

การดำเนินการที่อาจจะมีความล่าช้ามากกว่าการมี DPO ที่เป็นบุคคลเดีย; เนื่องจากจำเป็นต้องผ่านการพิจารณาจากคณะกรรมการหลายๆ ด้านก่อนถึงจะตัดสินใจ

       จากตารางสามารถเปรียบเทียบเห็นได้ว่า DPO ที่เป็นบุคคลคนเดียว ค่อนข้างจะเหมาะสมกับองค์กรที่มีขนาดเล็ก หรือองค์กรที่ไม่มีความซับซ้อนในเชิงโครงสร้างหรือกระบวนการ แต่ถ้าองค์กรนั้นมีลักษณะที่มีความซับซ้อนในเชิงโครงสร้างหรือองค์กรที่มีขนาดใหญ่ จำเป็นต้องใช้ความเชี่ยวชาญหลายๆ ด้านในการขับเคลื่อนองค์กร การที่ DPO เป็นคณะบุคคลย่อมมีความเหมาะสมกับธุรกิจและรูปแบบขององค์กรมากกว่า ถึงแม้ว่าจะมีข้อด้อยในการดำเนินการด้านการตอบสนองค่อนข้างล่าช้ากว่ารูปแบบบุคคลเดียวก็ตาม

DPO สามารถเป็นคนนอกได้หรือไม่?

เป็นคำถามต่อมา บุคคลภายคนนอกรับบทเป็น DPO ได้หรือไม่ ซึ่งหลายๆ องค์กรให้เหตุผลว่า จะเกิดปัญหาเรื่องทรัพยากรบุคคล คือ ต้องจัดหาจัดจ้างเจ้าหน้าที่เพื่อมาทำหน้าที่ตำแหน่งนี้ หรือบุคลากรที่มีอยู่ยังไม่มีความรู้ความเข้าใจในเรื่องดังกล่าว ประเด็นนี้ ในปัจจุบันพระราชบัญญัติคุ้มครองข้อมูลส่สวนบุคคล (PDPA) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง ณ ปัจจุบัน (มกราคม 2566) ยังไม่มีการกำหนดบุคคลที่จะเข้ามาเป็น DPO ดังนั้น การที่องค์กรหรือหน่วยงานจะจัดจ้างบุคคลภายนอกเพื่อให้มาดำเนินการแทน ย่อมสามารถทำได้เช่นกัน ซึ่งในปัจจุบันมีหลายบริษัทที่ให้บริการ DPO Outsource ทั้งนี้ องค์กรก็ต้องเลือกองค์กรที่มีความสามารถด้วยเช่นกัน โดยการจ้าง Outsource จะมีข้อดีและข้อด้อย ตามตารางข้างล่างนี้

 

ข้อดี

ข้อด้อย

Outsource

· ไม่เปลืองทรัพยากรบุคคล

· มีความแม่นยำ มีความเชี่ยวชาญ

ด้านข้อมูลส่วนบุคคลโดยตรง

· มีค่าใช้จ่ายที่เพิ่มขึ้น

· บุคลากรจำเป็นต้องมีการศึกษาเพิ่มขึ้น

· บุคคลภายนอกไม่เข้าใจธุรกิจเท่ากับบุคลากรภายในองค์กร

 

จากตารางสามารถเปรียบเทียบเห็นได้ว่า การจ้างมีข้อดีคือบุคลากรที่มาดำเนินการแทนในฐานะ Outsource นั้น มั่นใจได้ว่าบุคคลที่มาดำเนินการแทนนั้น มีความรู้ความสามารถด้านข้อมูลส่วนบุคคลเนื่องจากเป็นผู้ให้บริการด้านการคุ้มครองข้อมูลส่วนบุคคล แต่ก็มีข้อจำกัดเรื่องค่าใช้จ่ายที่เพิ่มขึ้นเนื่องจากจ้างงานบุคลากรภายนอกเข้ามา ทั้งนี้ ขึ้นอยู่กับองค์กรว่ามีการดำเนินการหรือเตรียมการด้านข้อมูลส่วนบุคคลมากน้อยแค่เพียงใด

      สุดท้ายนี้ บทความนี้เป็นแนวทางเบื้องต้นในการพิจารณารูปแบบและประเภทของ DPO ซึ่งข้อมูลอาจจะมีการปรับเปลี่ยนเพิ่มเติมหลังจากมีกฎหมายลูกหรือกฎหมายอื่นที่เกี่ยวข้องที่จะออกตามมาภายหลัง 

บทความที่เกี่ยวข้อง

PDPA Thailand เตือนภัย LINE OA ปลอม อ้างเป็นหน่วยงานรัฐ ขอข้อมูลลูกค้า