เราเชื่อว่าในปัจจุบันหลาย ๆ คนน่าจะเริ่มรู้จักและค้นคว้าข้อมูลเกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มาเบื้องต้นกันบ้างแล้ว ซึ่งจะมีหนึ่งคำที่พบเจอได้ในบทความที่เกี่ยวข้องกับ PDPA อย่าง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หรือ เจ้าหน้าที่ DPO (Data Protection Officer) สำหรับคนที่ยังไม่ได้ทำความเข้าใจอย่างลึกซึ้งกับเรื่องนี้ อาจเกิดความสงสัยได้ว่าเจ้า
หน้าที่ DPO เป็นใคร มีหน้าที่สำคัญและคุณสมบัติอย่างไร บทความนี้จะตอบข้อสงสัยกันให้กระจ่าง
Data Protection Officer คือใคร?Data Protection Officer หรือ DPO คือบุคคลที่เข้ามาดูแลและคุ้มครองเกี่ยวกับข้อมูลส่วนบุคคลในบริษัท ซึ่งหน้าที่ของ DPO จะรับผิดชอบการให้คำแนะนำกับบุคคลที่มีหน้าที่ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลขององค์กรที่เกี่ยวกับการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ครอบคลุมไปถึงการตรวจสอบกระบวนการดำเนินงานขององค์กรให้เป็นไปตามข้อกำหนดของ พ.ร.บ. และประสานงานพร้อมให้ความร่วมมือกับสำนักงานกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหาขึ้นนั่นเอง
หน้าที่ของ DPO มีอะไรบ้าง?สำหรับผู้ที่เป็น DPO ซึ่งถือได้ว่าเป็นตำแหน่งสำคัญในองค์กรที่ต้องรวบรวมและจัดเก็บข้อมูลส่วนบุคคล ซึ่งหน้าที่ของคนที่เป็น DPO จะต้องรับผิดชอบหลากหลายด้านที่เกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งสามารถแบ่งหน้าที่หลัก ๆ ได้ดังนี้
- จะต้องให้คำแนะนำและความรู้ในการปฏิบัติตามข้อกำหนดสำคัญต่างๆเกี่ยวกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล แก่ผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล และพนักงานที่เกี่ยวข้อง
- ตรวจสอบการดำเนินงานขององค์กรในการเข้าถึงและดูแลข้อมูลส่วนบุคคลต่างๆ ให้เป็นไปอย่างถูกต้องตามข้อกำหนดใน PDPA
- ประเมินผลและระบุถึงจุดประสงค์ของการนำข้อมูลส่วนบุคคลไปใช้หรือเผยแพร่ และชี้แจงถึงสิทธิ์ของเจ้าของข้อมูล รวมถึงมาตรการที่องกรณ์นำมาใช้ในการปกป้องข้อมูลส่วนบุคคล
- ประสานงานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล(PDPA) ในกรณีเกิดปัญหาเกี่ยวกับการใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล ในองค์กร
คุณสมบัติที่สำคัญของ DPO สำหรับการแต่งตั้งเจ้าหน้าที่ DPO ประจำองค์กรที่ดี หรือว่าจ้างบริษัทตัวแทนเพื่อช่วยจัดหาเจ้าหน้าที่ที่มาทำตำแหน่งดังกล่าว ควรพิจารณาจากคุณสมบัติ ดังนี้
- ต้องมีความเชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลและมีความเข้าใจอย่างถ่องแท้เกี่ยวกับโครงสร้างพื้นฐานทางด้านไอที
- ต้องมีความน่าเชื่อถือ ความรับผิดชอบและซื่อสัตย์ต่อหน้าที่เพราะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) จำเป็นที่จะต้องแจ้งเตือนต่อเจ้าหน้าที่ร่วมองค์กร
- ควรมีประสบการณ์การทำงาน (มากกว่า 5 ปี) ในตำแหน่งเกี่ยวกับความเป็นส่วนตัว และ/หรือ การจัดการความเสี่ยงของการปฏิบัติตามข้อกำหนดกฎหมาย
ซึ่งคุณสมบัติข้างต้นถือเป็นคุณสมบัติขั้นพื้นฐานของการคัดเลือกเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สำหรับคุณสมบัติที่เป็นทางการจำเป็นจะต้องรอคณะกรรมการข้อมูลส่วนบุคคล (ประเทศไทย) ประกาศอีกครั้งในอนาคตอันใกล้
สรุปได้ว่าเจ้าหน้าที่ DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ถือเป็นตำแหน่งที่กำเนิดมาควบคู่กับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่กำลังจะบังคับใช้ในเวลาอันใกล้ ทำให้หลาย ๆ องค์กรจำเป็นจะต้องแต่งตั้งตำแหน่งนี้ขึ้นมาเพื่อช่วยอำนวยความสะดวกด้านการคุ้มครองข้อมูลส่วนบุคคลภายในบริษัท และช่วยประสานงาน ดำเนินการให้เป็นไปตามข้อกำหนดของกฏหมายได้อย่างราบรื่น