คุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

ประกาศฉบับนี้จะมีผลบังคับใช้ในวันที่ 15 ตุลาคม 2566 เป็นต้นไป เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นกลไกสำคัญหนึ่งที่จะช่วยให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ดำเนินการให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีหน้าที่ตามที่กำหนดในมาตรา 42 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้
(1)     ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้ง ลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

(2)     ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

(3)     ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้าง หรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

(4)     รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามกฎหมาย ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล อาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับจ้างให้บริการตามสัญญากับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้

กรณีที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่หรือภารกิจอื่น ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับรองกับสำนักงานว่าหน้าที่หรือภารกิจดังกล่าว ต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ในปัจจุบันกฎหมายยังไม่ได้กำหนดคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งในอนาคตคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจประกาศกำหนดคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้โดยคำนึงถึงความรู้หรือความเชี่ยวชาญ

เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล 
IAPP ซึ่งเป็นสมาคมด้านการคุ้มครองความเป็นส่วนตัวในระดับสากล ได้ทำการสำรวจคุณสมบัติของผู้ควบคุมข้อมูลส่วนบุคคลในประเทศต่าง ๆ พบว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ  มีการกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือองค์กรต้องจัดให้มีบุคคลที่ทำหน้าที่คล้ายกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไทย

เช่น ประเทศสมาชิก EU กฎหมายคุ้มครองข้อมูลส่วนบุคคลของกลุ่มประเทศสมาชิกยุโรป หรือ General Data Protection Regulation (GDPR) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลบางกลุ่ม มีหน้าที่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

โดยวางกรอบคุณสมบัติไว้ใน มาตรา 37 วรรคห้าว่าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องพิจารณาจากคุณสมบัติทางวิชาชีพ และโดยเฉพาะอย่างยิ่ง ความรู้ความเชี่ยวชาญในกฎหมายและการปฏิบัติการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงความสามารถในการปฏิบัติภารกิจตามที่กำหนดไว้ในมาตรา 39 ของ GDPR ด้วย

ประเทศออสเตรเลีย กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศออสเตรเลีย (Privacy Act 1988) ไม่ได้บังคับว่าองค์กรจะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Privacy Officer) แต่ Austrian Information Commissioner ก็สนับสนุนให้องค์กรจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล 

และในทางปฏิบัติองค์กรก็จะกำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อให้เป็นไปตามหลักการการคุ้มครองความเป็นส่วนตัว ย่อหน้า 1.2 (Australian Privacy Principles 1.2 หรือ APP 1.2) ซึ่งกำหนดให้องค์กรต้องดำเนินการตามสมควรให้เกิดขั้นตอนที่เหมาะสมในการนำเข้าวิธีการ ขั้นตอน และระบบที่จะให้มั่นใจได้ว่าองค์กรปฏิบัติตามหลักการการคุ้มครองข้อมูลส่วนบุคคล (APPs) และสามารถจัดการเกี่ยวกับ

การหารือและการร้องเรียนที่เกี่ยวข้องได้ ดังนั้น ในทางปฏิบัติองค์กรจึงจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อทำหน้าที่จัดการกับข้อหารือ หรือคำถามเกี่ยวกับการคุ้มครองความเป็นส่วนตัว ไม่ว่าจากภายในหรือภายนอกองค์กร การร้องเรียนเกี่ยวกับความเป็นส่วนตัว รวมถึงการจัดการกรณีเกิดเหตุการละเมิดความเป็นส่วนตัว เป็นต้น

ทั้งนี้ กฎหมายไม่ได้กำหนดคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แต่องค์กรจะเป็นผู้พิจารณาคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่สามารถปฏิบัติหน้าที่ เพื่อปฏิบัติตามหลักการคุ้มครองความเป็นส่วนตัว หรือ APP 1.2 

ประเทศสิงคโปร์ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศสิงคโปร์ (Personal Data Protection Act 2012) ย่อหน้า 11 (3) กำหนดว่าองค์กรต้องกำหนดให้มีบุคคลธรรมดาอย่างน้อย 1 คน 

เพื่อดูแลการทำหน้าที่คุ้มครองข้อมูลส่วนบุคคล และเพื่อให้มั่นใจได้ว่ามีการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล กฎหมายคุ้มครองข้อมูลส่วนบุคคลสิงคโปร์ไม่ได้กำหนดคุณสมบัติของเจ้าของข้อมูลส่วนบุคคล 

แต่คณะกรรมการคุ้มครองข้อมูลสิงคโปร์ (Singapore Personal Data Protection Commission) ได้กำหนดแนวทางในการจัดหาเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมถึงแนวทางการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แนวทางการว่าจ้างเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

แนวทางการจ้างบุคคลภายนอกให้ทำหน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Outsourcing of DPO function) รวมถึงแนวทางการสร้างความสามารถในการปฏิบัติหน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

แม้ว่าพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ได้กำหนดคุณสมบัติเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลก็ควรพิจารณาคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

โดยพิจารณาจากหน้าที่ที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องปฏิบัติและความรับผิดชอบตามที่กฎหมายกำหนด ทั้งนี้ เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพ และเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไป

อ้างอิง
1.    ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566
2.    IAPP, Data Protection Officer Requirements by Country,