เมื่อองค์กรต้องมี DPO อะไรคือคุณสมบัติที่ DPO ต้องมี เมื่อองค์กรต้องมี DPO และหากได้รับมอบหมายเป็น DPO ต้องทำอะไรบ้าง? [Guest Post]

เมื่อการประกาศใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act (PDPA) ทำให้หลายๆ องค์กรเริ่มลุกขึ้นมาตระหนักและเล็งเห็นถึงความสำคัญด้าน PDPA นี้กันมากขึ้น เพราะในองค์กรส่วนใหญ่ล้วนมีการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลทั้งสิ้น ไม่ว่าจะเป็น ข้อมูลส่วนบุคคล (Personal Data) ของลูกค้า หรือพนักงานภายในองค์กรเอง

และถึงแม้ว่าการใช้ข้อมูลส่วนบุคคลจะช่วยให้มีข้อมูลมากเพียงพอ ที่จะสามารถนำไปใช้ดำเนินการทำงานให้มีประสิทธิภาพหรือต่อยอดทางธุรกิจได้ แต่ถ้าบริษัทไหนไม่มีการจัดเก็บข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ก็อาจจะส่งผลให้เกิดปัญหาต่างๆ ตามมาอย่างแน่นอน ไม่ว่าจะเป็น สิทธิของเจ้าของข้อมูลส่วนบุคคล หรือการกระทำอื่นๆ ที่ผิดหลักกฎหมาย PDPA ได้

ด้วยสาเหตุนี้ องค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลเป็นประจำ หรือต้องใช้ข้อมูลส่วนบุคคลจำนวนมาก ควรที่จะมีการแต่งตั้ง DPO ตามประกาศกฎหมาย PDPA เมื่อวันที่ 14 กันยายน 2566 มีผลบังคับใช้ในวันที่ 13 ตุลาคม 2566 เรื่อง “การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566”

DPO คือใคร?
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer หรือเรียกสั้นๆ ว่า DPO  เป็นผู้ที่มีหน้าที่สำคัญในการจัดการและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพื่อช่วยให้องค์กรนั้นๆ สามารถที่จะดำเนินการทำงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA อีกทั้งเป็นตำแหน่งที่กฎหมาย PDPA กำหนดให้ในบางองค์กรที่เข้าเกณฑ์ จำเป็นต้องแต่งตั้ง DPO ขึ้นด้วย

แต่ถึงแม้ว่าบางองค์กรจะไม่เข้าอยู่ในเกณฑ์ที่กำหนด แต่การแต่งตั้ง DPO ให้เป็นผู้รับผิดชอบหลักในการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะนั้น ก็จะช่วยให้องค์กรมีระบบการจัดการข้อมูลส่วนบุคคลที่มีประสิทธิภาพ รวมไปถึงเจ้าหน้าที่ที่คอยช่วยจัดการและตรวจสอบการดำเนินการทำงานต่างๆ ให้มีความถูกต้องตามหลักกฎหมาย PDPA มากยิ่งขึ้นด้วย แต่ถ้าหากองค์กรไหนไม่แต่งตั้งตามที่กฎหมาย PDPA กำหนด องค์กรนั้นเสี่ยงอาจมีโทษทางปกครองตามกฎหมายได้ ซึ่งโทษทางปกครองโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ปรับสูงสุดถึง 1 ล้านบาท

DPO จึงมีความสำคัญต่อองค์กรเป็นอย่างมาก โดยเฉพาะบริษัทที่มีการประมวลผลข้อมูลส่วนบุคคลเป็นประจำหรือเป็นจำนวนมาก ยิ่งต้องมี DPO เป็นผู้ช่วยในการจัดการกับข้อมูลส่วนบุคคลเหล่านี้ เพื่อให้มีความแม่นยำและถูกต้องตามกฎหมาย PDPA

คุณสมบัติของ DPO ในกระบวนการปฏิบัติตาม PDPA ที่สำคัญ
DPO ตำแหน่งนี้กำหนดคุณสมบัติไว้ว่าต้องมีความรู้และความเข้าใจเกี่ยวกับ PDPA และต้องมีความสามารถดำเนินการทำงานควบคุมการประมวลผลข้อมูลส่วนบุคคลได้ตรงตามกฎหมาย PDPA เท่านั้น ซึ่งคุณสมบัติอื่นๆ นอกเหนือจากนี้ยังไม่ได้มีการกำหนดเป็นพิเศษ เพียงแต่มีการกำหนดว่า DPO จำเป็นต้องได้รับการอบรมหรือผ่านการทดสอบจากหลักสูตรที่ได้รับการรับรอง โดยต้องอบรมไม่เกิน 1 ปี หรือในขณะที่แต่งตั้ง และต้องฝึกฝนพร้อมทบทวนอย่างน้อยทุกๆ 3 ปี สามารถที่จะเป็นคนภายในองค์กรหรือภายนอกองค์กรก็ได้ ขอแค่เป็นบุคคลที่มีคุณสมบัติครบถ้วนก็เพียงพอแล้ว

บทบาทของ DPO ในกระบวนการปฏิบัติตาม PDPA ที่ต้องปฏิบัติ
เมื่อเข้ารับตำแหน่ง DPO บทบาทสำคัญที่ต้องปฏิบัติงานการคุ้มครองข้อมูลส่วนบุคคล (Privacy Operational Life Cycle) ตาม PDPA แบ่งเป็น 4 ขั้นตอน คือ

1. ขั้นการประเมิน (Assess)
2. ขั้นการป้องกัน (Protect)
3. ขั้นการสร้างความยั่งยืน (Sustain)
4. ขั้นการตอบสนอง (Respond)

อ่านบทบาทของ DPO ฉบับเต็มเพิ่มเติม : https://pdpathailand.info/pdpa-dpo-things15

ดังนั้น DPO มีความสำคัญต่อองค์กรเป็นอย่างมาก โดยเฉพาะบางองค์กรที่กฎหมาย PDPA กำหนดให้มีหน้าที่ต้องแต่งตั้ง DPO จำเป็นต้องรีบเร่งแต่งตั้ง DPO ในทันที แต่ต้องมั่นใจว่าผู้ที่ทำหน้าที่นี้นั้น มีความรู้และความเข้าใจเชี่ยวชาญเกี่ยวกับกฎหมาย PDPA อย่างแท้จริง

เพื่อให้ DPO สามารถดำเนินการทำงานได้อย่างมีประสิทธิภาพ ช่วยให้องค์กรใช้ข้อมูลส่วนบุคคลได้อย่างถูกต้องตามกฎหมาย PDPA และป้องกันไม่ให้เกิดปัญหาต่างๆ หลักสูตร DPO in Action : เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภาคปฏิบัติ รุ่นที่ 3 จาก PDPA Thailand ภายใต้การบริหารงานของ บริษัท ดีบีซี กรุ๊ป จำกัด ออกแบบมาเฉพาะเพื่อให้ความรู้ความเข้าใจในหลักการ ทฤษฎี กฎหมาย แนวปฏิบัติ และกรณีศึกษา เพื่อให้ปฏิบัติหน้าที่ตามมาตรา 42 พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อย่างแท้จริง ผ่านการเรียนรู้ด้วยตนเอง (Self-Directed Learning ผ่าน e-Learning), การเรียนรู้และแลกเปลี่ยนในห้องเรียน (Classroom แบบ Onsite), การฝึกฝนและแลกเปลี่ยนการปฏิบัติในรูปแบบกลุ่มในห้องเรียน (Classroom แบบ Onsite) และการรับรองความรู้ โดยเปิดหลักสูตรอบรม 3 วัน 24 ชั่วโมง อ่านรายละเอียดเพิ่มเติม : https://pdpathailand.info/DPOinAction

สนใจสอบถามเพิ่มเติม
โทรศัพท์ : 02-029-0707 กด 1-3
มือถือ : 081-632-5918
Line ID : @pdpathailand
Facebook : PDPA Thailand