IT & gadget

แนวทางในการคัดเลือก เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

By ศุภวัชร์ มาลานนท์, ปัณฑารีย์ อวยจินดา | Tech, Law and Security14 ม.ค. 2023 เวลา 9:26 น.
แนวทางในการคัดเลือก เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer:DPO) ถือเป็นบุคคลสำคัญในการกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้กำหนดหน้าที่ในการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ โดยให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี DPO ในกรณีดังต่อไปนี้

    (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ 

    (2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ 

    (3) “กิจกรรมหลัก” ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26 

ในปัจจุบัน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังไม่ได้มีการออกประกาศตามข้อ (1) และ (2) ดังกล่าวข้างต้น

    ในส่วนของบุคคลที่จะทำหน้าที่ DPO กฎหมายกำหนดว่าอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้รับจ้างให้บริการตามสัญญาก็ได้เช่นกัน

หน้าที่หลัก ๆ ของ DPO คือ การให้คำแนะนำและตรวจสอบองค์กรนั้น ๆ ในการปฏิบัติและดำเนินการให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ รวมทั้งการประสานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคล 

    DPO จึงมีบทบาทสำคัญอย่างยิ่งในการนำพาองค์กรให้ปฏิบัติสอดคล้องกับกฎหมาย โดยในการแต่งตั้ง DPO องค์กรจะต้องพิจารณาถึงคุณสมบัติของบุคคลที่จะมาทำหน้าที่ DPO ให้สามารถปฏิบัติตามให้สอดคล้องกับหน้าที่ที่กฎหมายกำหนดไว้ได้ และต้องไม่มีการขัดกันแห่งผลประโยชน์ (conflict of interest)

กล่าวคือ มีส่วนร่วมในการกำหนดวิธีการและวัตถุประสงค์ หรือการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขององค์กร

เนื้อหาที่เกี่ยวข้อง

 นอกจากจะกำหนดหน้าที่ของ DPO แล้ว กฎหมายยังกำหนดหน้าที่ขององค์กรให้ต้อง “สนับสนุนการปฏิบัติหน้าที่” ของ DPO อีกด้วย อาทิ ต้องจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอและอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่

อีกทั้ง DPO ต้องมีความเป็นอิสระในการปฏิบัติหน้าที่ โดยการห้ามเลิกจ้างด้วยเหตุที่ DPO ปฏิบัติหน้าที่ตามกฎหมาย รวมทั้งให้สามารถรายงานไปยังผู้บริหารสูงสุดขององค์กรได้โดยตรง เป็นต้น

แนวทางในการคัดเลือก เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

    การแต่ง DPO ที่เหมาะสม มีความรู้ความสามารถจึงเป็นองค์ประกอบที่สำคัญของการดำเนินงานขององค์กรให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อแสดงให้เห็นถึงความรับผิดชอบและการปฏิบัติตามกฎหมาย (accountability)

ในการสรรหาและแต่งตั้ง DPO ที่เหมาะสมนั้น CNIL ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศฝรั่งเศส ได้ให้แนวทางในการพิจารณาและดำเนินการไว้ดังนี้

(1)    บุคคลนั้นเป็นผู้ที่มีความสนใจ ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและหน้าที่ของ DPO หรือไม่
(2)    องค์กรได้ตรวจสอบว่าตำแหน่งหรือหน้าที่ที่มีอยู่เดิม (ตำแหน่งปัจจุบัน) ของบุคคลที่จะเป็น DPO ไม่ก่อให้เกิดผลประโยชน์ทับซ้อนแล้วหรือไม่
(3)    บุคคลที่จะเป็น DPO มีความรู้หรือความเชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลทั้งทางกฎหมายและทางเทคนิค มีความรู้เกี่ยวกับแนวปฏิบัติขององค์กรและธุรกิจนั้น ๆ  รวมถึงทักษะที่จำเป็น เช่น ความสามารถในการสื่อสาร ฯลฯ หรือไม่?
(4)    หากมีความจำเป็น องค์กรจะมีแผนการฝึกอบรมสำหรับ DPO หรือไม่?
(5)    องค์กรได้พิจารณาเอกสารเพื่อแสดงให้เห็นถึงการคัดเลือก DPO  อย่างเหมาะสมหรือไม่? เช่น CV หรือใบรับรอง (Certification) ฯลฯ 
(6)    องค์กรมีแผนจะสื่อสารภายในองค์กรแก่พนักงาน ลูกจ้าง ฯลฯ เกี่ยวกับการกำหนดให้มี DPO หรือไม่?
(7)    หน้าที่และเงื่อนไขในการปฏิบัติหน้าที่ของ DPO ถูกกำหนดไว้ในสัญญาให้บริการหรือคำสั่งแต่งตั้งหรือไม่?
(8)    มีการรับรองความเป็นอิสระของ DPO หรือไม่ เช่น จะไม่ถูกลงโทษในการปฏิบัติหน้าที่ DPO การไม่ถูกสั่งการในบริบทของการปฏิบัติหน้าที่ DPO?

แนวทางในการคัดเลือก เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
(9)    องค์กรอนุญาตให้ DPO สามารถรายงานโดยตรงต่อผู้บริหารระดับสูงสุดขององค์กรในส่วนที่เกี่ยวข้องกับการปฏิบัติหน้าที่ DPO หรือไม่?
(10)    มีการประเมินภาระงานและความต้องการของ DPO เช่น โครงสร้างพื้นฐาน พนักงานสนับสนุน ฯลฯ หรือไม่?
(11)    DPO สามารถเข้าถึงข้อมูลที่เป็นประโยชน์ได้หรือไม่ มีการอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลและกิจกรรมการประมวลผลข้อมูลส่วนบุคคลหรือไม่? 
(12)    องค์กรมีการกำหนดวิธีการติดต่อที่ช่วยให้เจ้าของข้อมูลส่วนบุคคลสามารถ DPO ได้โดยง่าย เช่น อีเมลโดยเฉพาะ เบอร์โทรศัพท์ ฯลฯ หรือไม่?
(13)    องค์กรมีการกำหนดขอบเขตภาระงานของ DPO อย่างชัดเจนหรือไม่ เช่น การเก็บบันทึก การจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล ฯลฯ 

    หากในการแต่งตั้ง DPO ขององค์กร ได้ทำการประเมินจากข้อแนะนำทั้ง 13 ข้อดังกล่าวข้างต้น ย่อมแสดงให้เห็นว่า (demonstrate of compliance) การแต่งตั้ง DPO ขององค์กรได้พิจารณาอย่างเหมาะสมแล้ว

และแม้องค์กรจะไม่เข้าหลักเกณฑ์ตามที่กฎหมายกำหนดให้ต้องมี DPO แต่หากองค์กรมีความพร้อม และต้องการดำเนินการที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลให้มีความเป็นระบบ ถูกต้อง และมีประสิทธิภาพ และสร้างคงวามน่าเชื่อถือต่อผู้รับบริการ

การจัดให้มีบุคคลที่มีหน้าที่และความรับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคล เสมือนหนึ่ง DPO ขององค์กรก็ถือเป็นแนวปฏิบัติที่ดีขององค์กร.

ทัศนะ Tech, Law and Security

ศุภวัชร์ มาลานนท์

GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ปัณฑารีย์ อวยจินดา 
บริษัท ดีพีโอเอเอเอส จำกัด