แนวทางในการคัดเลือก เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

 19 total views

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer:DPO) ถือเป็นบุคคลสำคัญในการกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้กำหนดหน้าที่ในการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ โดยให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี DPO ในกรณีดังต่อไปนี้

(1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ

(2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ

(3) “กิจกรรมหลัก” ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26

ในปัจจุบัน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังไม่ได้มีการออกประกาศตามข้อ (1) และ (2) ดังกล่าวข้างต้น

ในส่วนของบุคคลที่จะทำหน้าที่ DPO กฎหมายกำหนดว่าอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้รับจ้างให้บริการตามสัญญาก็ได้เช่นกัน

หน้าที่หลัก ๆ ของ DPO คือ การให้คำแนะนำและตรวจสอบองค์กรนั้น ๆ ในการปฏิบัติและดำเนินการให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ รวมทั้งการประสานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคล

DPO จึงมีบทบาทสำคัญอย่างยิ่งในการนำพาองค์กรให้ปฏิบัติสอดคล้องกับกฎหมาย โดยในการแต่งตั้ง DPO องค์กรจะต้องพิจารณาถึงคุณสมบัติของบุคคลที่จะมาทำหน้าที่ DPO ให้สามารถปฏิบัติตามให้สอดคล้องกับหน้าที่ที่กฎหมายกำหนดไว้ได้ และต้องไม่มีการขัดกันแห่งผลประโยชน์ (conflict of interest)

กล่าวคือ มีส่วนร่วมในการกำหนดวิธีการและวัตถุประสงค์ หรือการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขององค์กร

นอกจากจะกำหนดหน้าที่ของ DPO แล้ว กฎหมายยังกำหนดหน้าที่ขององค์กรให้ต้อง “สนับสนุนการปฏิบัติหน้าที่” ของ DPO อีกด้วย อาทิ ต้องจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอและอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่

อีกทั้ง DPO ต้องมีความเป็นอิสระในการปฏิบัติหน้าที่ โดยการห้ามเลิกจ้างด้วยเหตุที่ DPO ปฏิบัติหน้าที่ตามกฎหมาย รวมทั้งให้สามารถรายงานไปยังผู้บริหารสูงสุดขององค์กรได้โดยตรง เป็นต้น

การแต่ง DPO ที่เหมาะสม มีความรู้ความสามารถจึงเป็นองค์ประกอบที่สำคัญของการดำเนินงานขององค์กรให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อแสดงให้เห็นถึงความรับผิดชอบและการปฏิบัติตามกฎหมาย (accountability)

ในการสรรหาและแต่งตั้ง DPO ที่เหมาะสมนั้น CNIL ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศฝรั่งเศส ได้ให้แนวทางในการพิจารณาและดำเนินการไว้ดังนี้

(1) บุคคลนั้นเป็นผู้ที่มีความสนใจ ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและหน้าที่ของ DPO หรือไม่

(2) องค์กรได้ตรวจสอบว่าตำแหน่งหรือหน้าที่ที่มีอยู่เดิม (ตำแหน่งปัจจุบัน) ของบุคคลที่จะเป็น DPO ไม่ก่อให้เกิดผลประโยชน์ทับซ้อนแล้วหรือไม่

(3) บุคคลที่จะเป็น DPO มีความรู้หรือความเชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลทั้งทางกฎหมายและทางเทคนิค มีความรู้เกี่ยวกับแนวปฏิบัติขององค์กรและธุรกิจนั้น ๆ รวมถึงทักษะที่จำเป็น เช่น ความสามารถในการสื่อสาร ฯลฯ หรือไม่?

(4) หากมีความจำเป็น องค์กรจะมีแผนการฝึกอบรมสำหรับ DPO หรือไม่?

(5) องค์กรได้พิจารณาเอกสารเพื่อแสดงให้เห็นถึงการคัดเลือก DPO อย่างเหมาะสมหรือไม่? เช่น CV หรือใบรับรอง (Certification) ฯลฯ

(6) องค์กรมีแผนจะสื่อสารภายในองค์กรแก่พนักงาน ลูกจ้าง ฯลฯ เกี่ยวกับการกำหนดให้มี DPO หรือไม่?

(7) หน้าที่และเงื่อนไขในการปฏิบัติหน้าที่ของ DPO ถูกกำหนดไว้ในสัญญาให้บริการหรือคำสั่งแต่งตั้งหรือไม่?

(8) มีการรับรองความเป็นอิสระของ DPO หรือไม่ เช่น จะไม่ถูกลงโทษในการปฏิบัติหน้าที่ DPO การไม่ถูกสั่งการในบริบทของการปฏิบัติหน้าที่ DPO?

(9) องค์กรอนุญาตให้ DPO สามารถรายงานโดยตรงต่อผู้บริหารระดับสูงสุดขององค์กรในส่วนที่เกี่ยวข้องกับการปฏิบัติหน้าที่ DPO หรือไม่?

(10) มีการประเมินภาระงานและความต้องการของ DPO เช่น โครงสร้างพื้นฐาน พนักงานสนับสนุน ฯลฯ หรือไม่?

(11) DPO สามารถเข้าถึงข้อมูลที่เป็นประโยชน์ได้หรือไม่ มีการอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลและกิจกรรมการประมวลผลข้อมูลส่วนบุคคลหรือไม่?

(12) องค์กรมีการกำหนดวิธีการติดต่อที่ช่วยให้เจ้าของข้อมูลส่วนบุคคลสามารถ DPO ได้โดยง่าย เช่น อีเมลโดยเฉพาะ เบอร์โทรศัพท์ ฯลฯ หรือไม่?

(13) องค์กรมีการกำหนดขอบเขตภาระงานของ DPO อย่างชัดเจนหรือไม่ เช่น การเก็บบันทึก การจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล ฯลฯ

หากในการแต่งตั้ง DPO ขององค์กร ได้ทำการประเมินจากข้อแนะนำทั้ง 13 ข้อดังกล่าวข้างต้น ย่อมแสดงให้เห็นว่า (demonstrate of compliance) การแต่งตั้ง DPO ขององค์กรได้พิจารณาอย่างเหมาะสมแล้ว

และแม้องค์กรจะไม่เข้าหลักเกณฑ์ตามที่กฎหมายกำหนดให้ต้องมี DPO แต่หากองค์กรมีความพร้อม และต้องการดำเนินการที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลให้มีความเป็นระบบ ถูกต้อง และมีประสิทธิภาพ และสร้างคงวามน่าเชื่อถือต่อผู้รับบริการ

การจัดให้มีบุคคลที่มีหน้าที่และความรับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคล เสมือนหนึ่ง DPO ขององค์กรก็ถือเป็นแนวปฏิบัติที่ดีขององค์กร

แหล่งข้อมูล

https://www.bangkokbiznews.com/tech/gadget/1047833


Smart City Thailand : 02 054 7755 , 08 6984 3245
Contact us : thunya.b@gmail.com | thunya@securitysystems.in.th

© smartcitythailand 11 โกสุมรวมใจ ดอนเมือง กรุงเทพมหานคร 10210