ความท้าทายที่มา 'จนท.คุ้มครองข้อมูลส่วนบุคคล'

“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หรือ DPO (Data Protection Officer) เป็นกลไกสำคัญในการพิสูจน์ให้เห็นถึงการปฏิบัติตามหลักความรับผิดชอบ เนื่องจากเป็นกลไกสำคัญในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของหลายๆ ประเทศ อาทิ สหภาพยุโรปและประเทศไทย ก่อนการบังคับใช้ GDPR มีการคาดการณ์ว่าจะทำให้มีความต้องการตำแหน่ง DPO เพื่อให้สอดคล้องกับกฎหมายไม่น้อยกว่า 75,000 อัตรา (IAPP 2016)

ในขณะที่ข้อมูลการศึกษาของ IAPP-EY Annual Governance Report of 2019 ระบุว่ามีองค์กรไม่น้อยกว่า 5 แสนองค์กรได้ดำเนินการจดทะเบียน DPO กับหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศต่างๆ ในสหภาพยุโรป (Data Protection Authorities, DPAs) ซึ่งสูงกว่าจำนวนที่คาดไว้มาก

IAPP-EY Report 2019 ยังแสดงข้อมูลให้เห็นด้วยว่า จากจำนวนบริษัทที่ทำการสำรวจ 375 องค์กร พบว่าร้อยละ 54 มี DPO เพียงหนึ่งคน ในขณะที่อีกร้อยละ 18 มีมากกว่าหนึ่งคน นอกจากนี้ร้อยละ 28 ของผู้ตอบแบบสอบถามยังมีสถานะเป็น DPO ขององค์กรเพื่อเป็นไปตามกฎหมายภาคบังคับของ GDPR

ในขณะที่ร้อยละ 5 ของผู้ตอบแบบสอบถามมีตำแหน่ง DPO โดยภาคสมัครใจ แม้ว่าตามกฎหมายจะไม่ได้บังคับให้มี DPO ก็ตาม ส่วนกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA) ก็มีบทบัญญัติในเรื่องการแต่งตั้งและอำนาจหน้าที่ของ DPO ไปในทิศทางเดียวกันกับ GDPR ของสหภาพยุโรป

เรื่องของคุณสมบัติและการแต่งตั้ง DPO มีกรณีศึกษาที่น่าสนใจ ดังนี้

1.การกำหนดคุณสมบัติของ DPO ไม่เป็นไปตามกฎหมาย เมื่อวันที่ 5 ก.ย.2561 ศาลปกครองชั้นต้นในอิตาลีตัดสินว่าองค์กรไม่สามารถปฏิเสธใบสมัครตำแหน่ง DPO โดยอ้างเหตุเนื่องจากผู้สมัครไม่ได้เป็นผู้ตรวจสอบ/หัวหน้าผู้ตรวจสอบตาม ISO 27001 ที่ได้รับการรับรอง แม้ว่า ISO 27001 จะเป็นมาตรฐานการรักษาความปลอดภัยข้อมูลระดับสากล และได้กำหนดมาตรฐานและเงื่อนไขที่แต่ละบุคคลต้องปฏิบัติตามเพื่อเป็นผู้ตรวจสอบ/หัวหน้าผู้ตรวจประเมิน ISO 27001 ที่ได้รับการรับรอง เช่น การเข้าร่วมหลักสูตรเฉพาะและผ่านการสอบก็ตาม แต่องค์กรไม่สามารถนำคุณสมบัตินั้นมาเป็นเหตุแห่งการปฏิเสธ เนื่องจากกฎหมายมิได้กำหนดคุณสมบัติดังกล่าวเอาไว้ (ในอิตาลี DPO ถือว่าเป็น unregulated professional)

2.การขัดกันแห่งผลประโยชน์ เมื่อวันที่ 20 ต.ค.2559 คณะกรรมาธิการการคุ้มครองข้อมูลของรัฐบาวาเรีย ประเทศเยอรมนี ได้ลงโทษปรับองค์กรแห่งหนึ่งเนื่องจากการแต่งตั้ง DPO ซึ่งดำรงตำแหน่งผู้จัดการด้านไอทีด้วย โดยคณะกรรมการฯ ถือว่าการดำรงตำแหน่งทั้งสองนี้ก่อให้เกิดความขัดแย้งทางผลประโยชน์และบุคคลนั้นไม่สามารถปฏิบัติหน้าที่ตามความรับผิดชอบของเขาในฐานะ DPO ได้ หากยังมีหน้าที่รับผิดชอบในการดำเนินงานสำหรับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลขององค์กรนั้นๆ

อีกคดีหนึ่งตัดสินโดย Belgian Data Protection Authority เมื่อวันที่ 28 เม.ย.2563 เนื่องจากบริษัทแห่งหนึ่งแต่งตั้ง DPO จากบุคคลที่ดำรงตำแหน่ง Head of compliance, internal audit and risk management มีข้อน่าสังเกตว่าการที่จะเกิดกรณีขัดกันแห่งผลประโยชน์หรือไม่ ต้องพิจารณาเป็นรายกรณีไป และคำตัดสินกรณีนี้ไม่ได้ทำให้เจ้าหน้าที่ฝ่ายการปฏิบัติตามกฎหมายภายในองค์กรนั้นๆ ไม่สามารถดำรงตำแหน่ง DPO ได้โดยทันที แต่ต้องพิจารณาลักษณะของหน้าที่และบริบทต่างๆ ของการปฏิบัติงานประกอบกัน

3.DPO ต้องเป็นบุคคลธรรมดา เมื่อวันที่ 13 ก.ย.2562 ศาลปกครองของเมือง Puglia ประเทศอิตาลี ได้วินิจฉัยว่าการจ้าง DPO จากภายนอก (DPO as a Service) ต้องเป็นการจ้างบุคคล ไม่ใช่การจ้างบริษัท

4.การมีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลไม่ทำให้พ้นหน้าที่การตั้ง DPO ตามกฎหมาย คดีนี้เกิดขึ้นในประเทศสเปน โดยเมื่อวันที่ 20 มิ.ย.2563 Spanish Data Protection Authority ได้มีคำสั่งปรับบริษัทแห่งหนึ่งที่มีหน้าที่ต้องแต่งตั้ง DPO ตามกฎหมาย แต่ไม่ยอมแต่งตั้งบุคคลให้มีตำแหน่งดังกล่าว โดยได้แต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ขึ้นมาแทนเพื่อทำหน้าที่ของ DPO ตามที่กฎหมายกำหนด

จากกรณีศึกษาทั้ง 4 ข้อข้างต้นจะพบว่า ปัญหาส่วนหนึ่งเกิดจากความยากของการสรรหาบุคคลภายในองค์กรที่มีคุณสมบัติเหมาะสมในการทำหน้าที่ DPO ทางออกหนึ่งที่เป็นไปได้เพื่อการจัดสรรความเสี่ยงขององค์กรที่ต้องการ DPO คือ การตั้งจากบุคคลภายนอก ซึ่งตาม GDPR และ PDPA รูปแบบของการแต่งตั้งนั้นอาจเป็นได้ทั้งการตั้งบุคคลในองค์กรของตนเอง หรือใช้รูปแบบของ outsourced DPO หรือ DPO as a Service ก็ได้

ในเรื่องคุณสมบัติของการเป็น DPO นั้น ตาม PDPA คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจมีประกาศกำหนดคุณสมบัติโดยคำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 41 วรรค 6) ในขณะที่ตาม GDPR นั้นกำหนดไว้แต่เพียงว่าจะต้องเป็นผู้มีความรู้ความเชี่ยวชาญเกี่ยวกับกฎหมายและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคล และมีความสามารถในการปฏิบัติหน้าที่ตามที่กฎหมายกำหนดเท่านั้น

ข้อดีของ DPO as a Service นั้นมีอยู่หลายประการ อาทิ องค์กรไม่ต้องแบกรับค่าใช้จ่ายในส่วนของการจ้าง DPO และให้เจ้าหน้าที่ในองค์กรสามารถปฏิบัติหน้าที่ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างเต็มความสามารถ โดยไม่ต้องกังวลเรื่องของการขัดกันแห่งผลประโยชน์ที่อาจจะเกิดขึ้น ส่วนข้อกังวลเรื่องการรักษาความลับขององค์กรนั้น DPO ทุกคนมีหน้าที่ในการรักษาความลับและมีความรับผิดทางกฎหมายอยู่แล้ว

ผู้เขียนหวังว่า กรณีศึกษาของสหภาพยุโรปข้างต้นน่าจะพอเป็นประโยชน์ต่อองค์กรต่างๆ ที่กำลังพิจารณาแต่งตั้ง DPO ตาม PDPA ได้ไม่มากก็น้อย