ดร.อุดมธิปก ไพรเกษตร ผู้ก่อตั้ง PDPA Thailand และประธานเจ้าหน้าที่บริหาร บริษัท ดีบีซี กรุ๊ป จำกัด (DBC Group) พร้อมด้วย นายสุกฤษ โกยอัครเดช ประธานเจ้าหน้าที่ฝ่ายปรึกษาและสอบทาน และนายพงษ์ศักดิ์ ธัมประพาสอัศดร ประธานเจ้าหน้าที่ฝ่ายข้อมูลและนวัตกรรม ร่วมกันขับเคลื่อนเมื่อกฎหมายลูก PDPA มีผลบังคับใช้ ทำให้องค์กรต้องมี DPO ตามที่กฎหมาย PDPA กำหนด ไม่เช่นนั้นอาจมีโทษปรับทางปกครองสูงสุด 1 ล้านบาท และควรให้ความสำคัญกับบุคคลที่จะมาเป็น “DPO” (Data Protection Officer) หรือ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” แม้ว่ากฎหมายไม่ได้กำหนดคุณสมบัติไว้ก็ตาม เพราะไม่ใช่ใครๆ ก็สามารถเป็นได้

จากกรณีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ออกกฎหมายลำดับรองที่เกี่ยวกับองค์กร ที่ต้องมี DPO ตามมาตราที่ 41 ครบถ้วนเมื่อวันที่ 14 ก.ย. 66 ที่ผ่านมา หลังจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือกฎหมาย PDPA มีผลบังคับใช้โดยสมบูรณ์ เมื่อวันที่ 1 มิ.ย. 65 ซึ่งมาตรา 41 ของกฎหมายฉบับนี้

องค์กรที่ต้องมี DPO จะมี 3 กลุ่ม ประกอบด้วย กลุ่มที่ 1 คือ หน่วยงานรัฐ, กลุ่มที่ 2 คือ หน่วยงานที่จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ และมีข้อมูลส่วนบุคคลเป็นจำนวนมาก และกลุ่มที่ 3 คือ องค์กรที่มีการใช้ข้อมูลอ่อนไหวหรือข้อมูลลักษณะพิเศษตามมาตรา 26 ซึ่งขณะนี้มีการประกาศองค์กรที่ต้องมี DPO ครบถ้วนแล้ว หากองค์กรไม่มี DPO ตามประกาศจะมีโทษทางปกครองตามมาตราที่ 82 และมาตราที่ 85 ของกฎหมายฉบับนี้ มีโทษปรับทางปกครองสูงสุด 1 ล้านบาท

นอกจากหน่วยงานดังกล่าวข้างต้นแล้ว หน่วยงานอื่นๆ ที่ต้องมี DPO เช่น สถานพยาบาล บริษัทประกันชีวิต ประกันภัย หน่วยงานที่ให้สินเชื่อบุคคลทุกประเภท บริษัทที่มีระบบสมาชิกในรูปแบบอิเล็กทรอนิกส์ บริษัทจัดหางาน ห้างสรรพสินค้า บริษัทที่ขายของออนไลน์ หรือให้บริการข้อมูลหรือสารสนเทศในระบบอิเล็กทรอนิกส์ เป็นต้น ซึ่งกฎหมายกำหนดให้องค์กรเหล่านี้ ต้องมี DPO ไว้คอยให้คำแนะนำแก่เจ้าของธุรกิจและเจ้าหน้าที่ภายในบริษัท ให้สามารถดำเนินการตามที่กฎหมายกำหนดได้

โดย DPO จึงไม่จำเป็นต้องเป็นนักกฎหมายหรือไอที แต่ห้ามมีความขัดแย้งผลประโยชน์ในหน้าที่การงานที่รับผิดชอบ เช่น เป็นผู้ใช้ข้อมูลส่วนบุคคลในองค์กร แต่มาดูเรื่องการทำ DPO ขององค์กรไม่ได้ ขณะเดียวกันบางองค์กร DPO ไม่สามารถทำงานคนเดียวได้ เพราะมีภารกิจมากมาย ดังนั้น DPO ที่ดี จึงต้องมีความรู้และทักษะที่เป็นสหวิทยาการ 3 ด้าน คือ เข้าใจกฎหมาย ไอที และธุรกิจ และสื่อสารได้ หลายองค์กรจึงอาจจะตั้ง DPO เป็นตำแหน่งใหม่ หรือใช้บุคคลโดยมอบหมายหน้าที่รับผิดชอบให้เข้ามาช่วยเป็นทีมสนับสนุน หรืออาจจะมีหลายคนในรูปแบบคณะทำงาน หรือ Outsource ให้บุคคลหรือองค์กรอื่นดูแล

ทั้งนี้ เพื่อตอบโจทย์องค์กรที่มีความจำเป็นต้องมี DPO บริษัท ดีบีซี กรุ๊ป จำกัด จึงได้ร่วมกับ PDPA Thailand และสถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) จัดทำหลักสูตร DPO in Action เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภาคปฏิบัติขึ้นมา โดยหลักสูตรนี้เหมาะกับองค์กรที่ต้องการมี DPO ในองค์กร เพราะจะช่วยเตรียมความพร้อมให้ DPO ปฏิบัติตาม PDPA ได้อย่างถูกต้อง แม่นยำ ลดความเสี่ยงและความผิดพลาดที่จะเกิดขึ้น และบริการ DPO Online เพื่อตอบโจทย์องค์กรที่ไม่พร้อมมี DPO มาทำงานเป็นพนักงานประจำ หรือพนักงานประจำที่จะมาเป็น DPO ยังขาดความรู้หรือความชำนาญในระยะแรก และองค์กรไม่ต้องการเสี่ยงที่จะไม่มี DPO ในองค์กร แต่ให้ บริษัท ดีบีซี กรุ๊ป จำกัด เข้ามาช่วยดูแลในการเป็น DPO ให้

#PDPAThailand #DBCGroup
#PDPA #พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
#DPO #เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
#DPOinAction #DPOOnline