PDPA Thailand

143

PDPA Thailand
PDPA Thailand

3 แนวทาง บริหารจัดการ DPO ในองค์กร ให้ความคุ้มค่า มีประสิทธิภาพ และถูกกฎหมาย

เมื่อองค์กรหรือธุรกิจที่เกี่ยวข้องตามประกาศกฎหมาย PDPA และเข้าข่ายที่ต้องมี DPO ตามประกาศตามประกาศกฎหมาย PDPA เมื่อวันที่ 14 กันยายน 2566 จะมีผลบังคับใช้ในวันที่ 13 ธันวาคม 2566 เรื่อง “การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” นั้น

      ว่าด้วยกิจการที่จะต้องมี DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อคอยให้คำปรึกษา ตรวจสอบการดำเนินงาน และประสานงานภายในองค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ในการมี DPO ที่เป็นบุคลากรภายในองค์กร หรืออาจจัดตั้ง DPO จากภายนอกองค์กร  (Outsource) ก็ย่อมได้ ซึ่งขึ้นอยู่กับความพร้อมขององค์กร และ DPO ควรมีความรู้ ความเข้าใจ ความเชี่ยวชาญ และประสบการณ์ด้านกฎหมาย PDPA รวมถึงทักษะของการสื่อสารและการประสานงานทั้งภายในและภายนอกเป็นสำคัญ

3 แนวทางสำคัญ สำหรับการบริหารจัดการ DPO ว่าองค์กรควรเลือก DPO แบบไหน? ให้ความคุ้มค่า ได้ประสิทธิภาพ และถูกกฎหมาย

  1. ความคุ้มค่า พิจารณาจากกิจกรรมและความต้องการในการดำเนินงานขององค์กรเป็นหลัก โดยพิจารณาจากปัจจัยต่างๆ อาทิ
    • องค์กรต้องมี DPO ประจำหรือไม่? พิจารณาตามประกาศของกฎหมาย PDPA หากพิจารณาดูแล้วไม่จำเป็นต้องมี DPO ประจำ ก็ไม่จำเป็นต้องจ้าง DPO ประจำ 
    • กิจกรรมการตลาดขององค์กรมีทุกวัน ทุกสัปดาห์หรือไม่? หากมีกิจกรรมเพียงเดือนละ 1-2 ครั้ง ก็ไม่จำเป็นต้องมี DPO ประจำ
  • มีลูกค้ามาขอใช้สิทธิมากน้อยแค่ไหน? หากไม่ได้มีลูกค้ามาขอใช้สิทธิ ก็ไม่จำเป็นต้องจ้าง DPO ประจำ
  • องค์กรสามารถจัดทำ PDPA เองได้หรือไม่? หากองค์กรสามารถจัดทำเองได้ ให้เลือกใช้บุคลากรภายใน แต่ถ้าไม่สามารถจัดทำเองได้ ให้ใช้บริการ Outsource เข้ามาช่วย Set up จะดีกว่า

ดังนั้น การเลือกใช้ DPO ที่เป็นบุคลากรภายใน ควรเป็นองค์กรที่มีกิจกรรมการตลาด, ลูกค้ามาขอใช้สิทธิ และองค์กรสามารถจัดทำ PDPA ที่ไม่บ่อยและไม่มากจนเกินไป แต่หากทั้งหมดที่กล่าวมาเกิดขึ้นบ่อยครั้งและมากจนนับจำนวนครั้งไม่ได้ (ความถี่) ควรใช้บริการ Outsource ที่เป็น DPO ภายนอกเข้ามาเป็น DPO ภายในองค์กรของคุณแทน

  1. มีประสิทธิภาพ พิจารณาจากคุณสมบัติและบทบาทหน้าที่ของ DPO โดยคำนึงถึงลักษณะการดำเนินธุรกิจขององค์กรและปริมาณงานด้านคุ้มครองข้อมูลส่วนบุคคลขององค์กร
  • DPO บุคคลเดียว หากองค์กรแต่งตั้ง DPO เพียงบุคคลเดียว ควรพิจารณาเลือกจากตำแหน่งที่มีอยู่ในองค์กรที่มีคุณสมบัติและบทบาทหน้าที่เหมาะสม เช่น ฝ่าย Compliance, ฝ่าย Risk, ฝ่าย Internal Audit, ตำแหน่งนิติกร เป็นต้น
  • กรณี DPO หลายบุคคลหรือคณะบุคคล หากองค์กรมีขนาดใหญ่และมีกิจกรรมด้านข้อมูลส่วนบุคคลที่ซับซ้อน ควรพิจารณาเลือก DPO จากหลายตำแหน่ง เพื่อให้สามารถครอบคลุมทุกด้านของงานด้านคุ้มครองข้อมูลส่วนบุคคล

ทั้งนี้ ข้อควรระวังในการแต่งตั้ง DPO ห้ามแต่งตั้ง DPO ที่มีผลประโยชน์ทับซ้อนกับองค์กร เช่น ผู้จัดการฝ่ายบุคคลหรือผู้จัดการฝ่ายสารสนเทศ เป็นต้น และห้ามแต่งตั้ง DPO ที่มีความขัดแย้งกับงานประจำที่ตนเองทำอยู่ เช่น พนักงานฝ่ายขายหรือพนักงานฝ่ายการตลาด เป็นต้น

dpo in action อบรม pdpa dpo

3. ถูกต้องตามกฎหมาย ถ้าองค์กรต้องมี DPO แล้วองค์กรแต่งตั้ง DPO แสดงว่าองค์กรทำสิ่งที่เรียกว่าการรับผิดชอบต่อการกระทำ กรณีที่องค์กรไม่จำเป็นต้องมี DPO แล้วแต่งตั้งยิ่งดีขึ้นไปอีก การที่มี DPO ช่วยให้องค์กรปฏิบัติตามกฎหมาย PDPA ได้อย่างมีประสิทธิภาพ และกรณีที่องค์กรต้องมี DPO แต่องค์กรไม่ได้ให้การสนับสนุน DPO ในเรื่องของอุปกรณ์ หรือให้อำนาจบทบาทหน้าที่แก่ DPO หรือว่าการให้ทรัพยากรกับ DPO อย่างเพียงพอ หรืออำนวยความสะดวก ถ้าจ้างมาแล้วไม่มีคอมพิวเตอร์ ไม่มีการอำนวยความสะดวก อาจถูกปรับทางปกครองตามมาตรา 42 วรรค 2 ของกฎหมาย PDPA โทษปรับไม่เกิน 1,000,000 บาท

ดังนั้น องค์กรที่มี DPO จึงควรให้ความสำคัญกับการสนับสนุน DPO เพื่อให้ DPO สามารถปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพและเป็นไปตามกฎหมาย PDPA

     แล้วองค์กรหรือธุรกิจของคุณรู้หรือยัง?? ว่าองค์กรเข้าข่ายต้องมี DPO เพื่อคอยให้คำปรึกษา ตรวจสอบการดำเนินงาน และประสานงานภายในองค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามกกฎหมาย PDPA กำหนดอย่างแท้จริง เช็กให้ชัวร์DPO Checklist แบบทดสอบประเมินองค์กร เมื่อองค์กรยุคใหม่ต้องมี DPO ตามกฎหมาย PDPA คลิกเลย https://pdpathailand.info/dpo-checklist

     เพราะเหตุนี้ เมื่อองค์กรหรือธุรกิจจำเป็นต้องมี DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อช่วยในการจัดการเรื่องข้อมูลส่วนบุคคล แต่ยังหา DPO ไม่ได้ หรือไม่แน่ใจว่าพนักงานขององค์กรมีความรู้หรือทักษะการจะเป็น DPO ได้ดีพอหรือไม่ การใช้ผู้เชี่ยวชาญที่มีความรู้ความสามารถเฉพาะด้าน PDPA และ DPO เข้ามาเป็นบริการ Outsource ที่เป็น DPO ภายนอก มาช่วยดูแล จัดการ และประสานงานต่างๆ แทนองค์กรของคุณได้แน่นอน

#PDPAThailand #DBCGroup 

#PDPA #พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

#DPO #เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล 

#ผู้ช่วยองค์กร #ประกาศ #บริการ
#Outsource #DPOOnline

pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม