Blockdit Logo (Mobile)
กฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA
13 มิ.ย. 2021 เวลา 04:17 • ธุรกิจ
ทำความรู้จักอาชีพใหม่มาแรง
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer คือใคร?
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) คือ เจ้าหน้าที่ดูแลความปลอดภัยเกี่ยวกับข้อมูลส่วนบุคคลทั้งหมดในองค์กรทั้งข้อมูลของพนักงานและข้อมูลของลูกค้า ตามข้อกำหนดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โดยมีหน้าที่ให้คำแนะนำแก่องค์กรและพนักงานในการปฏิบัติตาม PDPA ตรวจสอบการดำเนินงานขององค์กรให้เป็นไปอย่างถูกต้องตามข้อกำหนดของกฎหมาย และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในนามขององค์กร
• เมื่อไหร่จึงจะต้องมี DPO?
องค์กรต่างๆ จะต้องจัดให้มี DPO หากองค์กรนั้น
1. เป็นหน่วยงานของรัฐ
2. มีการตรวจสอบข้อมูลส่วนบุคคลอย่างเป็นระบบหรืออย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือ
3. มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว (sensitive personal data) เช่น ข้อมูลสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวมิติ ข้อมูลเชื้อชาติ และข้อมูลศาสนา เป็นต้น
• หน้าที่และความรับผิดชอบของ DPO ตาม PDPA
1. ให้คำแนะนาแก่องค์กร รวมทั้งลูกจ้างหรือผู้รับจ้างขององค์กรเกี่ยวกับการปฏิบัติตาม PDPA
2. ตรวจสอบการดำเนินงานของผู้องค์กร รวมทั้งลูกจ้างหรือผู้รับจ้างขององค์กรเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตาม PDPA
3. ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขององค์กร รวมทั้งลูกจ้างหรือผู้รับจ้างขององค์กรในการปฏิบัติตามPDPA
4. รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตาม PDPA
• คุณสมบัติของ DPO
PDPA ไม่ได้กำหนดคุณสมบัติของ DPO ไว้อย่างเฉพาะเจาะจง แต่ DPO ควรจะต้องมีความรู้ความเข้าใจ PDPA เป็นอย่างดี รวมถึงเข้าใจกระบวนการทำงานและการประมวลผลข้อมูลส่วนบุคคลขององค์กรด้วย
DPO อาจจะเป็นพนักงานขององค์กรหรือเป็นผู้รับจ้างภายนอกที่องค์กรจัดหาจัดจ้างมาก็ได้ โดยองค์กรจะต้องสนับสนุนการปฏิบัติหน้าที่ของ DPO โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ด้วย
ในการปฏิบัติหน้าที่ของ DPO จะต้องไม่มีผลประโยชน์ทับซ้อน ตัวอย่างเช่น ผู้จัดการฝ่ายขายของบริษัทที่ต้องทำยอดขายให้แก่บริษัท ถือว่ามีผลประโยชน์ทับซ้อน ไม่เหมาะสมที่จะทำหน้าที่เป็นผู้ดูแลความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
• แนวปฏิบัติที่ดี (best practice) ในการจ้าง DPO
PDPA กำหนดว่า DPO อาจเป็นพนักงานขององค์กรหรือเป็นผู้รับจ้างให้บริการตามสัญญากับที่ทำกับองค์กรก็ได้ แต่ละแนวทางก็มีข้อดีและข้อเสียแตกต่างกัน
การมี DPO ที่เป็นพนักงานประจำองค์กร (in-house DPO) มีข้อดีตรงที่พนักงานมีความรู้ความเข้าใจกระบวนการทำงานขององค์กรเป็นอย่างดี และสามารถตอบสนองหรือเข้าถึงได้อย่างรวดเร็วและสะดวก อย่างไรก็ตาม การเฟ้นหาพนักงานผู้มีความเชี่ยวชาญและประสบการณ์เฉพาะด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยนั้นเป็นเรื่องที่ค่อนข้างยาก เนื่องจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย หรือ PDPA ยังเป็นเรื่องใหม่ หากองค์กรต้องการผู้มีความรู้และประสบการณ์ตรงจริง ก็จะต้องเสียค่าตอบแทนที่สูงมาก ดังนั้น การใช้บริการ outsourced DPO จึงเป็นทางเลือกที่ง่าย สะดวก และมีประสิทธิภาพสูง
โฆษณา