3 แนวทาง บริหารจัดการ DPO ในองค์กร ให้ความคุ้มค่า มีประสิทธิภาพ และถูกกฎหมาย
เมื่อองค์กรหรือธุรกิจที่เกี่ยวข้องตามประกาศกฎหมาย PDPA และเข้าข่ายที่ต้องมี DPO ตามประกาศตามประกาศกฎหมาย PDPA เมื่อวันที่ 14 กันยายน 2566 จะมีผลบังคับใช้ในวันที่ 13 ธันวาคม 2566 เรื่อง “การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” นั้น
ว่าด้วยกิจการที่จะต้องมี DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อคอยให้คำปรึกษา ตรวจสอบการดำเนินงาน และประสานงานภายในองค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ในการมี DPO ที่เป็นบุคลากรภายในองค์กร หรืออาจจัดตั้ง DPO จากภายนอกองค์กร (Outsource) ก็ย่อมได้ ซึ่งขึ้นอยู่กับความพร้อมขององค์กร และ DPO ควรมีความรู้ ความเข้าใจ ความเชี่ยวชาญ และประสบการณ์ด้านกฎหมาย PDPA รวมถึงทักษะของการสื่อสารและการประสานงานทั้งภายในและภายนอกเป็นสำคัญ
3 แนวทางสำคัญ สำหรับการบริหารจัดการ DPO ว่าองค์กรควรเลือก DPO แบบไหน? ให้ความคุ้มค่า ได้ประสิทธิภาพ และถูกกฎหมาย
- ความคุ้มค่า พิจารณาจากกิจกรรมและความต้องการในการดำเนินงานขององค์กรเป็นหลัก โดยพิจารณาจากปัจจัยต่างๆ อาทิ
- องค์กรต้องมี DPO ประจำหรือไม่? พิจารณาตามประกาศของกฎหมาย PDPA หากพิจารณาดูแล้วไม่จำเป็นต้องมี DPO ประจำ ก็ไม่จำเป็นต้องจ้าง DPO ประจำ
- กิจกรรมการตลาดขององค์กรมีทุกวัน ทุกสัปดาห์หรือไม่? หากมีกิจกรรมเพียงเดือนละ 1-2 ครั้ง ก็ไม่จำเป็นต้องมี DPO ประจำ
- มีลูกค้ามาขอใช้สิทธิมากน้อยแค่ไหน? หากไม่ได้มีลูกค้ามาขอใช้สิทธิ ก็ไม่จำเป็นต้องจ้าง DPO ประจำ
- องค์กรสามารถจัดทำ PDPA เองได้หรือไม่? หากองค์กรสามารถจัดทำเองได้ ให้เลือกใช้บุคลากรภายใน แต่ถ้าไม่สามารถจัดทำเองได้ ให้ใช้บริการ Outsource เข้ามาช่วย Set up จะดีกว่า
ดังนั้น การเลือกใช้ DPO ที่เป็นบุคลากรภายใน ควรเป็นองค์กรที่มีกิจกรรมการตลาด, ลูกค้ามาขอใช้สิทธิ และองค์กรสามารถจัดทำ PDPA ที่ไม่บ่อยและไม่มากจนเกินไป แต่หากทั้งหมดที่กล่าวมาเกิดขึ้นบ่อยครั้งและมากจนนับจำนวนครั้งไม่ได้ (ความถี่) ควรใช้บริการ Outsource ที่เป็น DPO ภายนอกเข้ามาเป็น DPO ภายในองค์กรของคุณแทน
- มีประสิทธิภาพ พิจารณาจากคุณสมบัติและบทบาทหน้าที่ของ DPO โดยคำนึงถึงลักษณะการดำเนินธุรกิจขององค์กรและปริมาณงานด้านคุ้มครองข้อมูลส่วนบุคคลขององค์กร
- DPO บุคคลเดียว หากองค์กรแต่งตั้ง DPO เพียงบุคคลเดียว ควรพิจารณาเลือกจากตำแหน่งที่มีอยู่ในองค์กรที่มีคุณสมบัติและบทบาทหน้าที่เหมาะสม เช่น ฝ่าย Compliance, ฝ่าย Risk, ฝ่าย Internal Audit, ตำแหน่งนิติกร เป็นต้น
- กรณี DPO หลายบุคคลหรือคณะบุคคล หากองค์กรมีขนาดใหญ่และมีกิจกรรมด้านข้อมูลส่วนบุคคลที่ซับซ้อน ควรพิจารณาเลือก DPO จากหลายตำแหน่ง เพื่อให้สามารถครอบคลุมทุกด้านของงานด้านคุ้มครองข้อมูลส่วนบุคคล
ทั้งนี้ ข้อควรระวังในการแต่งตั้ง DPO ห้ามแต่งตั้ง DPO ที่มีผลประโยชน์ทับซ้อนกับองค์กร เช่น ผู้จัดการฝ่ายบุคคลหรือผู้จัดการฝ่ายสารสนเทศ เป็นต้น และห้ามแต่งตั้ง DPO ที่มีความขัดแย้งกับงานประจำที่ตนเองทำอยู่ เช่น พนักงานฝ่ายขายหรือพนักงานฝ่ายการตลาด เป็นต้น
3. ถูกต้องตามกฎหมาย ถ้าองค์กรต้องมี DPO แล้วองค์กรแต่งตั้ง DPO แสดงว่าองค์กรทำสิ่งที่เรียกว่าการรับผิดชอบต่อการกระทำ กรณีที่องค์กรไม่จำเป็นต้องมี DPO แล้วแต่งตั้งยิ่งดีขึ้นไปอีก การที่มี DPO ช่วยให้องค์กรปฏิบัติตามกฎหมาย PDPA ได้อย่างมีประสิทธิภาพ และกรณีที่องค์กรต้องมี DPO แต่องค์กรไม่ได้ให้การสนับสนุน DPO ในเรื่องของอุปกรณ์ หรือให้อำนาจบทบาทหน้าที่แก่ DPO หรือว่าการให้ทรัพยากรกับ DPO อย่างเพียงพอ หรืออำนวยความสะดวก ถ้าจ้างมาแล้วไม่มีคอมพิวเตอร์ ไม่มีการอำนวยความสะดวก อาจถูกปรับทางปกครองตามมาตรา 42 วรรค 2 ของกฎหมาย PDPA โทษปรับไม่เกิน 1,000,000 บาท
ดังนั้น องค์กรที่มี DPO จึงควรให้ความสำคัญกับการสนับสนุน DPO เพื่อให้ DPO สามารถปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพและเป็นไปตามกฎหมาย PDPA
แล้วองค์กรหรือธุรกิจของคุณรู้หรือยัง?? ว่าองค์กรเข้าข่ายต้องมี DPO เพื่อคอยให้คำปรึกษา ตรวจสอบการดำเนินงาน และประสานงานภายในองค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามกกฎหมาย PDPA กำหนดอย่างแท้จริง เช็กให้ชัวร์DPO Checklist แบบทดสอบประเมินองค์กร เมื่อองค์กรยุคใหม่ต้องมี DPO ตามกฎหมาย PDPA คลิกเลย https://pdpathailand.info/dpo-checklist
เพราะเหตุนี้ เมื่อองค์กรหรือธุรกิจจำเป็นต้องมี DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อช่วยในการจัดการเรื่องข้อมูลส่วนบุคคล แต่ยังหา DPO ไม่ได้ หรือไม่แน่ใจว่าพนักงานขององค์กรมีความรู้หรือทักษะการจะเป็น DPO ได้ดีพอหรือไม่ การใช้ผู้เชี่ยวชาญที่มีความรู้ความสามารถเฉพาะด้าน PDPA และ DPO เข้ามาเป็นบริการ Outsource ที่เป็น DPO ภายนอก มาช่วยดูแล จัดการ และประสานงานต่างๆ แทนองค์กรของคุณได้แน่นอน
#PDPA #พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
