ทวนความเข้าใจ DPO เขาคือใคร เรามาทำความรู้จักกับ DPO กันก่อนครับ… DPO (Data Protection Officer) หรือ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” เป็นอีกหนึ่งตำแหน่งที่มีบทบาทสำคัญในการทำ PDPA โดยเป็นผู้ดูแลและให้ความคุ้มครองเกี่ยวกับข้อมูลส่วนบุคคลขององค์กร DPO อาจเป็นพนักงานที่มาจากการแต่งตั้งขององค์กร หรือองค์กรอาจจัดหา Outsource DPO Service เพื่อดูแลเรื่องนี้โดยเฉพาะ โดยสามารถแต่งตั้งแบบบุคคลเดียว หรือคณะ (หรือบุคคลเดียวที่มีผู้ช่วยในการทำงานของ DPO) ก็ได้ โดยองค์กรควรมีการพิจารณาถึงคุณสมบัติของผู้ที่จะมาเป็น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ดังนี้
✔ มีความรู้ความเข้าใจเกี่ยวกับกฎหมายตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
✔ เข้าใจภาพรวมธุรกิจและวัฒนธรรมขององค์กร มีความชำนาญในธุรกิจที่ต้องดูแล
✔ มีทักษะความรู้หลายๆ ด้านประกอบกัน เช่น ทักษะด้านการติดต่อ ทักษะการประสานงานที่ดี ทักษะด้าน IT
✔ ทราบเกี่ยวกับข้อกฎหมายต่างๆ ทั้งในประเทศ และต่างประเทศ กรณีที่องค์กรมีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
✔ ช่วยสร้างวัฒนธรรม PDPA ในองค์กร สามารถช่วยถ่ายทอดและให้ความรู้ ความเข้าใจ ถึงแนวปฏิบัติ เพื่อให้ทุกฝ่ายในองค์กรมีการดำเนินการตามแนวทางทอย่างถูกต้องและเหมาะสม
ธุรกิจประเภทไหนบ้างที่ต้องมีการจัดตั้ง DPO? เราสรุปให้
(1) Social media (เป็นช่องทางสื่อสารระหว่างบุคคล กลุ่ม หรือสาธารณะ)
(2) ผู้ให้บริการที่ต้องตรวจสอบสถานะประวัติก่อนที่เจ้าของข้อมูลจะทำสัญญา
(3) ผู้ให้บริการระบบเครือข่ายคอมพิวเตอร์ ผู้ประกอบกิจการโทรคมนาคม
(4) ผู้ให้บริการด้านการโฆษณาตามพฤติกรรม
เกณฑ์ที่ต้องพิจารณาสำหรับธุรกิจหรือกิจการในการจัดให้มี DPO ต้องคำนึงถึงมาตรฐาน และแนวปฏิบัติของธุรกิจ รวมถึงความเสี่ยงและผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลด้วย DPO สามารถปฏิบัติหน้าที่หรือการกิจอื่นได้ โดยต้องรองรับกับ สคส. ว่าหน้าที่หรือกิจการอื่นที่ได้ทำไปไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
องค์กรไหนบ้างที่ต้องแต่งตั้ง DPO?
ตามมาตรา 41 ระบุไว้ว่า ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน (DPO) ในกรณีดังต่อไปนี้
(1) เป็นหน่วยงานของรัฐตามที่คณะกรรมการประกาศกำหนด
(2) การดำเนินกิจกรรมขององค์กรในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนด
(3) องค์กรมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว (ตามมาตรา 26)
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในเครือกิจการ หรือเครือธุรกิจเดียวกัน เพื่อการประกอบกิจการหรือหรือธุรกิจร่วมกันตามมาตรา 29 (2) ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวอาจจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกันได้
อ้างอิง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 41 และ 42