รูปแบบ และประเภทของ DPO รวมถึงตามหลักของการคุ้มครองข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : กฤตพล ศรีระษา

รูปแบบ และประเภทของ DPO รวมถึงตามหลักของการคุ้มครองข้อมูลส่วนบุคคล

แชร์

อ่าน

ครั้ง

โดย : กฤตพล ศรีระษา

     จากบทความ Link ได้พูดถึง DPO พอสังเขปแล้วว่าคือใคร มีความจำเป็นแค่ไหนที่ต้องมี ทั้งโทษทางปกครองหาก ฝ่าฝืน หากเราคิดต่อว่าแล้วถ้าองค์กรต้องตั้ง DPO ควรตั้งรูปแบบไหนดี? จ้างคนนอกทำแทนได้หรือไม่? บทความนี้จะเป็นแนวทางเบื้องต้นในการตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลขององค์กร ซึ่งอาจจะมีการเปลี่ยนแปลงได้หากว่ามีกฎหมายลูกออกตามมาในภายหลัง

บุคคลเดียว หรือ คณะบุคคลดี?

     ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีการระบุไว้อย่างชัดเจน ว่าจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นบุคคลเดียวหรือเป็นคณะบุคคล ดังนั้น การที่จะแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจึงสามารถแต่งตั้งเป็นบุคคลเดียวหรือเป็นคณะบุคคลได้ตามแต่ความเหมาะสมขององค์กร ซึ่งทั้งสองรูปแบบมีข้อดีและข้อเสียตามตารางข้างล่าง

 

DPO คนเดียว

DPO เป็นคณะทำงาน

ข้อดี

บุคคลเดี่ยวสามารถดำเนินการตัดสินใจเกี่ยวกับการดำเนินการเรื่องข้อมูลส่วนบุคคลได้อย่างรวดเร็ว

การตัดสินใจนั้นมีความแม่นยำและเป็นประโยชน์ต่อองค์กรเนื่องจากมีบุคลกรจากหลายแผนกที่มีความชำนาญมาช่วยให้ข้อมูลในการตัดสินใจ เนื่องจากมีผุ้เชี่ยวชาญหลาย ๆด้านมาช่วยพิจารณาให้สอดคล้องกับธุรกิจขององค์กร

ข้อด้อย

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจำเป็นต้องมีความรู้เกี่ยวกับข้อมูลส่วนบุคคลหลากหลายด้าน

การดำเนินการที่อาจจะมีความล่าช้ากว่าการมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นบุคคลเดียวเนื่องจากจำเป็นต้องผ่านการพิจารณาจากคณะกรรมการหลาย ๆด้าน ก่อนถึงการตัดสินใจ

     จากข้อเปรียบเทียบเห็นได้ว่า DPO ที่เป็นบุคคลคนเดียว ค่อนข้างจะเหมาะสมกับองค์กรที่มีขนาดเล็ก หรือองค์กรที่ไม่มีความซับซ้อนในเชิงโครงสร้าง หรือกระบวนการ ซึ่งการดำเนินการบุคคลเดียวจะดีกว่า แต่ถ้าองค์กรนั้นมีลักษณะที่มีความซับซ้อนในเชิงโครงสร้างหรือ องค์กรมีขนาดใหญ่ จำเป็นต้องใช้ความเชี่ยวชาญหลาย ๆด้านในการขับเคลื่อนองค์กร การที่ DPO เป็นคณะบุคคลย่อมมีความเหมาะสมกับธุรกิจและรูปแบบขององค์กรมากกว่า แม้จะมีข้อด้อยในการดำเนินการด้านการตอบสนองค่อนข้างล่าช้ากว่ารูปแบบคนเดียวก็ตาม

คนนอกได้หรือไม่?

      เป็นคำถามต่อมา ให้คนนอกรับบาทเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ได้หรือไม่ หรือไม่ ซึ่งหลาย ๆองค์กรให้เหตุผลว่า จะเกิดปัญหาเรื่องทรัพยากรบุคคล คือต้องจัดหาจัดจ้างเจ้าหน้าที่เพื่อมาทำหน้าที่ตำแหน่งนี้ หรือบุคลากรที่มีอยู่ยังไม่มีความรู้ความเข้าใจในเรื่องดังกล่าว ประเด็นนี้ ในปัจจุบันพระราชบัญญัติคุ้มครองข้อมูลส่สวนบุคคล รวมถึงกฎหมายอื่นที่เกี่ยวข้อง ณ ปัจจุบัน (มกราคม 2566) ยังไม่มีการกำหนดบุคคลที่จะเข้ามาเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ดังนั้น การที่องค์กรหรือหน่วยงานจะจ้างบุคคลภายนอกเพื่อให้มาดำเนินการแทน ย่อมสามารถได้เช่นกัน ซึ่งในปัจจุบันมีหลายบริษัทที่ให้บริการ DPO Outsource ทั้งนี้องค์กรก็ต้องเลือกองค์กรที่มีความสามารถด้วยเช่นกัน โดยการจ้าง Outsource จะมีข้อดีและข้อด้อย ดังนี้

 ข้อดีข้อด้อย
Outsource

· ไม่เปลืองทรัพยากรบุคคล

· มีความแม่นยำ มีความเชี่ยวชาญ
ด้านข้อมูลส่วนบุคคลโดยตรง

· มีค่าใช้จ่ายที่เพิ่มขึ้น

· บุคลากรจำเป็นต้องมีการศึกษาเพิ่มขึ้น

· บุคคลภายนอกไม่เข้าใจธุรกิจเท่ากับบุคลากรภายในองค์กร

     จากตารางเห็นได้ว่าการจ้างมีข้อดีคือบุคลากรที่มาดำเนินการแทนในฐานะ Outsource นั้น มั่นใจได้ว่าบุคคลที่มาดำเนินการแทนนั้นมีความรู้ความสามารถด้านข้อมูลส่วนบุคคลเนื่องจากเป็นผู้ให้บริการด้านการคุ้มครองข้อมูลส่วนบุคคล แต่ก็มีข้อจำกัดเรื่องค่าใช้จ่ายที่เพิ่มขึ้นเนื่องจากจ้างงานบุคลากรภายนอกเข้ามา ทั้งนี้ขึ้นอยู่กับองค์กรว่ามีการดำเนินการหรือเตรียมการด้านข้อมูลส่วนบุคคลมากน้อยแค่เพียงใด

     สุดท้ายนี้ บทความนี้เป็นแนวทางเบื้องต้นในการพิจารณารูปแบบ และประเภทของ DPO ซึ่งทั้งนี้แล้วข้อมูลอาจจะมีการปรับเปลี่ยนเพิ่มเติมหลังจากมีกฎหมายลูกหรือกฎหมายอื่นที่เกี่ยวข้องที่จะออกตามมาภายหลัง

กฤตพล ศรีระษา
กฤตพล ศรีระษา
ที่ปรึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคล จาก PDPA Thailand

บริการของเรา

PDPA Consultant

บริการให้คำปรึกษาทางด้านกฎหมาย การบริหารจัดการ กระบวนการทำงาน และซอฟต์แวร์ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล โดยผู้เชี่ยวชาญ

PDPA Audit

ให้คำปรึกษา ด้านการคุ้มครองข้อมูลส่วนบุคคล ตรวจสอบการทำงาน กระบวนการบริหาร การจัดการ รวมถึงอบรมบุคลากรภายในองค์กรอย่างครบวงจร

DPO Services

บริการด้านเจ้าหน้าคุ้มครองข้อมูลส่วนบุคคล หรือ DPO แก่คณะทำงานผู้ควบคุมข้อมูลส่วนบุคคล (DC) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP) รวมถึงพนักงานภายในองค์กร

PDPA E-learning

หลักสูตรออนไลน์ที่ออกแบบเนื้อหาความรู้ด้าน PDPA อย่างครบถ้วนและครอบคลุม เข้าใจง่ายช่วยให้องค์กรเข้าใจPDPA อย่างง่ายดาย สะดวกประหยัดเวลา

PDPA Public Training

จัดอบรมและ Workshop กฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างเจาะลึก ผู้เรียนสามารถนำความรู้ไปปรับใช้ในดำเนินงานภายใต้กฎหมายได้อย่างถูกต้อง

PDPA Inhouse Training

บริการอบรมภายในด้วยหลักสูตรบรรยาย และ workshop ที่ออกแบบเฉพาะองค์กรของคุณ โดยผู้เชี่ยวชาญจาก สถาบันพัฒนาและทดสอบทักษะดิจิทัล

บทความที่เกี่ยวข้อง