คอลัมนิสต์

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลแบบสัญญาจ้าง

By Tech, Law and Security04 มิ.ย. 2021 เวลา 5:00 น.
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลแบบสัญญาจ้าง

ก่อนการบังคับใช้ GDPR มีการคาดการณ์ว่าจะทำให้มีความต้องการตำแหน่ง 'เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล' ไม่น้อยกว่า 75,000 อัตรา (IAPP 2016)

162273174151

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หรือ “DPO” (Data Protection Officer) เป็นกลไกสำคัญในการพิสูจน์ให้เห็นถึงการปฏิบัติตามหลักความรับผิดชอบ (Demonstrate of Accountability Principle) เนื่องจาก DPO ถือเป็นกลไกสำคัญในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของหลาย ๆ ประเทศ อาทิ สหภาพยุโรปและประเทศไทย ซึ่งก่อนการบังคับใช้ GDPR มีการคาดการณ์ว่าจะทำให้มีความต้องการตำแหน่ง DPO เพื่อให้สอดคล้องกับกฎหมายไม่น้อยกว่า 75,000 อัตรา (IAPP 2016) ในขณะที่ข้อมูลการศึกษาของ IAPP-EY Annual Governance Report of 2019 ระบุว่ามีองค์กรไม่น้อยกว่า 5 แสนองค์กรได้ดำเนินการจดทะเบียน DPO กับหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ ในสหภาพยุโรป (Data Protection Authorities, “DPAs) ซึ่งเป็นจำนวนที่สูงกว่าอัตราที่คาดไว้จำนวนมาก

              IAPP-EY Report 2019 ยังแสดงข้อมูลให้เห็นด้วยว่าจากจำนวนบริษัทที่ทำการสำรวจ 375 องค์กรพบว่าจำนวนร้อยละ 54 มี DPO เพียงหนึ่งคน ในขณะที่อีกร้อยละ 18 มี DPO มากกว่าหนึ่งคน นอกจากนี้ร้อยละ 28 ของผู้ตอบแบบสอบถามยังมีสถานะเป็น DPO ขององค์กรเพื่อเป็นไปตามกฎหมายภาคบังคับของ GDPR (mandatory DPO) ในขณะที่ร้อยละ 5 ของผู้ตอบแบบสอบถามมีตำแหน่ง DPO โดยภาคสมัครใจ (voluntary DPO) แม้ว่าตามกฎหมายจะไม่ได้บังคับให้มี DPO ก็ตาม ซึ่งตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA) ก็มีบทบัญญัติในเรื่องการแต่งตั้งและอำนาจหน้าที่ของ DPO ไปในทิศทางเดียวกันกับ GDPR ของสหภาพยุโรป

162273176579

          ในเรื่องของคุณสมบัติและการแต่งตั้ง DPO นั้น มีกรณีศึกษาที่น่าสนใจ ดังนี้

  1. การกำหนดคุณสมบัติของ DPO ไม่เป็นไปตามกฎหมาย: เมื่อวันที่ 5 กันยายน 2561 ศาลปกครองชั้นต้นในอิตาลีตัดสินว่าองค์กรไม่สามารถปฏิเสธใบสมัครตำแหน่ง DPO โดยอ้างเหตุเนื่องจากผู้สมัครไม่ได้เป็นผู้ตรวจสอบ/หัวหน้าผู้ตรวจสอบตาม ISO 27001 ที่ได้รับการรับรอง ซึ่งแม้ว่า ISO 27001 จะเป็นมาตรฐานการรักษาความปลอดภัยข้อมูลระดับสากล และได้กำหนดมาตรฐานและเงื่อนไขที่แต่ละบุคคลต้องปฏิบัติตามเพื่อเป็นผู้ตรวจสอบ/หัวหน้าผู้ตรวจประเมิน ISO 27001 ที่ได้รับการรับรองเช่นการเข้าร่วมหลักสูตรเฉพาะและผ่านการสอบก็ตาม แต่องค์กรไม่สามารถนำคุณสมบัตินั้นมาเป็นเหตุปฏิเสธการสมัครตำแหน่ง DPO ได้ เนื่องจากกฎหมายมิได้กำหนดคุณสมบัติดังกล่าวเอาไว้ (ในอิตาลี DPO ถือว่าเป็น unregulated professional)
  2. การขัดกันแห่งผลประโยชน์: เมื่อวันที่ 20 ตุลาคม 2559 คณะกรรมาธิการการคุ้มครองข้อมูลของรัฐบาวาเรีย ประเทศเยอรมนีได้ลงโทษปรับองค์กรแห่งหนึ่งเนื่องจากการแต่งตั้ง DPO ซึ่งดำรงตำแหน่งผู้จัดการด้านไอทีด้วย โดยคณะกรรมการฯ ถือว่าการดำรงตำแหน่งทั้งสองนี้ก่อให้เกิดความขัดแย้งทางผลประโยชน์และบุคคลนั้นไม่สามารถปฏิบัติหน้าที่ตามความรับผิดชอบของเขาในฐานะ DPO ได้หากยังมีหน้าที่รับผิดชอบในการดำเนินงานสำหรับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลขององค์กรนั้น ๆ

อีกคดีหนึ่งตัดสินโดย Belgian Data Protection Authority เมื่อวันที่ 28 เมษายน 2563 เนื่องจากบริษัทแห่งหนึ่งแต่งตั้ง DPO จากบุคคลที่ดำรงตำแหน่ง Head of compliance, internal audit and risk management อย่างไรก็ตามมีข้อน่าสังเกตว่าการที่จะเกิดกรณีขัดกันแห่งผลประโยชน์หรือไม่ต้องพิจารณาเป็นรายกรณีไป (case by case analysis) และคำตัดสินกรณีนี้ไม่ได้ทำให้เจ้าหน้าที่ฝ่ายการปฏิบัติตามกฎหมาย (Compliance Officer) ภายในองค์กรนั้น ๆ ไม่สามารถดำรงตำแหน่ง DPO ได้โดยทันที แต่ต้องพิจารณาลักษณะของหน้าที่และบริบทต่าง ๆ ของการปฏิบัติงานประกอบกัน

3.DPO ต้องเป็นบุคคลธรรมดา: เมื่อวันที่ 13 กันยายน 2562 ศาลปกครองของเมือง Puglia ประเทศอิตาลี ได้วินิจฉัยว่าการจ้าง DPO จากภายนอก (DPO as a Service) ต้องเป็นการจ้างบุคคล ไม่ใช่การจ้างบริษัท

4.การมีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลไม่ทำให้พ้นหน้าที่การตั้ง DPO ตามกฎหมาย: คดีนี้เกิดขึ้นในประเทศสเปน โดยเมื่อวันที่ 20 มิถุนายน 2563 Spanish Data Protection Authority ได้มีคำสั่งปรับบริษัทแห่งหนึ่งที่มีหน้าที่ต้องแต่งตั้ง DPO ตามกฎหมาย แต่ไม่ยอมแต่งตั้งบุคคลให้มีตำแหน่งดังกล่าว โดยได้แต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Committee) ขึ้นมาแทนเพื่อทำหน้าที่ของ DPO ตามที่กฎหมายกำหนด

จากกรณีศึกษาทั้งสี่ข้อข้างต้นจะพบว่าปัญหาส่วนหนึ่งเกิดจากความยากของการสรรหาบุคคลภายในองค์กรที่มีคุณสมบัติเหมาะสมในการทำหน้าที่ DPO ทางออกหนึ่งที่เป็นไปได้เพื่อการจัดสรรความเสี่ยงขององค์กรที่ต้องการ DPO คือ การตั้ง DPO จากบุคคลภายนอก ซึ่งตาม GDPR และ PDPA รูปแบบของการแต่งตั้ง DPO นั้นอาจเป็นได้ทั้งแบบ in-house DPO คือการตั้งบุคคลในองค์กรของตนเองเป็น DPO หรือใช้รูปแบบของ outsourced DPO หรือ DPO as a Service ก็ได้ 

ในเรื่องคุณสมบัติของการเป็น DPO นั้น ตาม PDPA คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจมีประกาศกำหนดคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้โดยคำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 41 วรรค 6) ในขณะที่ตาม GDPR นั้นกำหนดไว้แต่เพียงว่าจะต้องเป็นผู้มีความรู้ความผู้เชี่ยวชาญเกี่ยวกับกฎหมายและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลและมีความสามารถในการปฏิบัติหน้าที่ตามที่กฎหมายกำหนดเท่านั้น  

            ข้อดีของ DPO as a Service นั้นมีอยู่หลายประการ อาทิองค์กรไม่ต้องแบกรับค่าใช้จ่ายในส่วนของการจ้าง DPO และให้เจ้าหน้าที่ในองค์กรสามารถปฏิบัติหน้าที่ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างเต็มความสามารถโดยไม่ต้องกังวลเรื่องของการจขัดกันแห่งผลประโยชน์ที่อาจจะเกิดขึ้น ส่วนข้อกังวลเรื่องการรักษาความลับขององค์กรนั้น DPO ทุกคนมีหน้าที่ในการรักษาความลับและมีความรับผิดทางกฎหมายอยู่แล้ว

ผู้เขียนหวังว่า กรณีศึกษาของสหภาพยุโรปข้างต้น น่าจะพอเป็นประโยชน์ต่อองค์กรต่าง ๆ ที่กำลังพิจารณาแต่งตั้ง DPO ตาม PDPA ได้ไม่มากก็น้อย.