5 ปัจจัย ในการแต่งตั้ง DPO ให้เหมาะสมกับองค์กร ก่อนจ้าง DPO Outsource
การจ้างบุคคลภายนอก (Outsource) ให้มาดำเนินงานหรือปฏิบัติหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) นั้น เพื่อให้เกิดความมั่นใจว่าบุคคลที่จ้างมานั้นจะสามารถปฏิบัติหน้าที่หรือดำเนินงานตามความรับผิดชอบได้อย่างมีประสิทธิภาพ สามารถนำองค์กรให้ปฏิบัติตามกฎหมาย PDPA ได้อย่างครบถ้วนและปลอดภัย
หากองค์กรของคุณต้องมี DPO แต่ยังไม่แน่ใจว่าควรแต่งตั้งรูปแบบไหนดี ระหว่างการแต่งตั้ง DPO ที่เป็นบุคคลภายในองค์กร หรือการจ้างบุคคลภายนอก (DPO Outsource)
5 ปัจจัยในการพิจารณาในการเลือก DPO ให้เหมาะสมกับองค์กรของคุณ
- ความซับซ้อนของธุรกิจ
องค์กรควรพิจารณาจากระดับความซับซ้อนของการดำเนินงานในธุรกิจของตนเอง เนื่องจากการเลือกคนในองค์กรหรือคนนอกองค์กร ก็มีความเหมาะสมกับบริบทและความซับซ้อนที่แตกต่างกัน อาทิ องค์กรขนาดใหญ่หรือองค์กรที่มีข้อมูลส่วนบุคคลจำนวนมาก อาจจำเป็นที่จะต้องจ้าง DPO Outsource คือ DPO ที่มีความเชี่ยวชาญเฉพาะด้าน หรือมีประสบการณ์ในการทำงานกับองค์กรที่มีขนาดและลักษณะการดำเนินงานที่คล้ายคลึงกัน
- ความเชี่ยวชาญ
DPO ต้องมีความรู้ความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นอย่างดี รวมถึงกฎหมายที่เกี่ยวข้องอื่นๆ เช่น กฎหมายเทคโนโลยีสารสนเทศ กฎหมายแรงงาน กฎหมายอาญา เป็นต้น หากองค์กรไม่มีพนักงานภายในองค์กรที่มีความเชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลเลย อาจจำเป็นที่จะต้องจ้าง DPO Outsource คือ DPO ที่มีความเชี่ยวชาญด้านเข้ามาช่วยในการดำเนินการแทน
- การจัดการความเสี่ยงและความปลอดภัย
การเลือกคนในองค์กรหรือคนนอกองค์กรควรระวังความเสี่ยงในการหลุดรั่วของข้อมูลและให้คำแนะนำเพื่อลดความเสี่ยงในการเกิด Conflict of Interest (การขัดผลประโยชน์) ตัวอย่าง เช่น หาก DPO เป็นพนักงานภายในองค์กร อาจมีความเป็นไปได้ที่จะเกิดการขัดแย้งระหว่างบทบาทหน้าที่ของ DPO กับบทบาทหน้าที่อื่นๆ ในองค์กร ซึ่งอาจนำไปสู่ความเสี่ยงในการรั่วไหลของข้อมูลส่วนบุคคลได้
- ความสะดวกในการติดต่อ
หากองค์กรมีการดำเนินงานที่ต้องใช้ความร่วมมือระหว่าง DPO กับหน่วยงานอื่นๆ ในองค์กรอย่างใกล้ชิด อาจจำเป็นต้องเลือก DPO ที่เป็นพนักงานภายในองค์กร เพื่อให้สามารถติดต่อได้ง่ายและสะดวก
- งบประมาณ
การเลือกคนในหรือคนนอกองค์กรต้องพิจารณาถึงความคุ้มค่าของงบประมาณที่มีอยู่และความจำเป็นสำหรับการจ้างบุคคลภายนอก จึงมีหลายปัจจัยที่องค์กรควรประเมินและกำหนดงบประมาณที่เหมาะสม
การจัดตั้งเจ้าหน้าที่ DPO แบบ Hybrid
สำหรับองค์กรที่ยังไม่มั่นใจว่าจะเลือกรูปของ DPO ในองค์กรอย่างไร ก็สามารถเลือกใช้วิธีการแบบ ผสมผสานระหว่างการจ้าง DPO Outsource กับการแต่งตั้งคณะทำงาน DPO ที่เรียกว่าแบบ Hybrid ประกอบด้วยผู้เชี่ยวชาญจากแผนกต่างๆ ภายในองค์กร มาทำงานร่วมกัน ทำงานเป็นคู่ขนานกันไป 3 เดือน, 6 เดือน เมื่อคณะทำงานขององค์กรแข็งแรง สามารถใช้คณะทำงานภายในทั้งหมดโดยไม่ต้องใช้ DPO Outsource
หากองค์กรของคุณเข้าข่ายตามที่กฎหมายกำหนด แต่ยังไม่พร้อมควรเลือกแต่งตั้ง DPO Outsource เพราะมั่นใจได้ว่าจะได้รับคำแนะนำจากผู้ที่มีความเชี่ยวชาญด้านข้อมูลส่วนบุคคลโดยตรง แต่ถ้าหากองค์กรมีบุคคลภายในองค์กรที่มีความรู้ความเข้าใจเกี่ยวกับข้อกฎหมายและต้องการมี DPO อย่างใกล้ชิดควรเลือกแต่งตั้งบุคคลภายในองค์กร ทั้งนี้ การเลือกระหว่างการจ้าง DPO Outsource กับแต่งตั้งบุคคลภายในองค์กร ขึ้นอยู่กับปัจจัยขององค์กรที่ต้องพิจารณาอย่างรอบคอบให้เหมาะสมกับบริบทและความต้องการขององค์กร
หากองค์กรใดจำเป็นต้องมี DPO เพื่อช่วยในการจัดการเรื่องข้อมูลส่วนบุคคล แต่ยังหา DPO ไม่ได้ หรือไม่แน่ใจว่าพนักงานขององค์กรมีความรู้หรือทักษะการจะเป็น DPO ได้ดีพอหรือไม่ ? ให้ DPO Online จาก PDPA Thailand เป็นผู้ช่วยบริหารจัดการและดูแลองค์กรของคุณให้ คลิกดูรายละเอียดเพิ่มเติม https://pdpathailand.info/dpo-online
#PDPA #พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
