Blog > เริ่มแล้ว! องค์กรที่ต้องแต่งตั้ง DPO ตามกฎหมาย PDPA เริ่มแล้ว! องค์กรที่ต้องแต่งตั้ง DPO ตามกฎหมาย PDPA 6 days ago Share หากเราได้ติดตามข่าวสารในช่วงเดือนกันยายน พ.ศ. 2566 ได้มีประกาศเรื่อง “การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41(2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” หลังจากนั้นในเดือนตุลาคมได้มีการนำร่องเริ่มบังคับใช้ในส่วนของหน่วยงานรัฐ นี่นับว่าเป็นสัญญาณการตื่นตัวให้องค์กรควรเตรียมความพร้อมที่จะต้องหันมาให้ความสำคัญและประกาศแต่งตั้ง DPO ภายในองค์กร ซึ่งจะมีผลบังคับใช้พร้อมกันในวันที่ 13 ธันวาคม พ.ศ. 2566 DPO คือใคร สำคัญกับองค์กรอย่างไร DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล คือบุคคลที่ทำหน้าที่ในการดูแลรักษาข้อมูลส่วนบุคคลทั้งภายในและภายนอกองค์กร โดยจะทำหน้าที่ให้คำปรึกษา ตรวจสอบ และกำกับดูแลการใช้ข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล Checklist องค์กรแบบไหนจำเป็นต้องแต่งตั้ง DPO รู้หรือไม่ DPO สำคัญต่อบริษัทบางประเภทที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (DC: Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (DP: Data Processor) ซึ่งองค์กรที่จำเป็นต้องแต่งตั้ง DPO มีดังนี้ หน่วยงานรัฐหรือองค์กรสาธารณะ ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด องค์กรที่มีกิจกรรมหลักที่เกี่ยวข้องกับการประมวลผลข้อมูลอย่างสม่ำเสมอและเป็นจำนวนมาก เช่น ธุรกิจประกันภัย สถาบันทางการเงิน ธุรกิจรักษาความปลอดภัย บริการโซเชียลมีเดียและโฆษณาตามพฤติกรรม แอปพลิเคชัน ธุรกิจขนส่งเดลิเวอรี่ บริษัทจัดหางาน ธุรกิจทีมีระบบสมาชิกเพื่อรับสิทธิประโยชน์ต่าง ๆ ธุรกิจโทรคมนาคม ฯลฯ องค์กรที่มีกิจกรรมหลักเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลประเภทอ่อนไหว เช่น โรงพยาบาลบริษัทเทคโนโลยีที่ประมวลผลข้อมูลทางชีวภาพ (Biometrics) ลักษณะองค์กรข้างต้นนี้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ควรพิจารณาการแต่งตั้ง DPO และแนวทางปฏิบัติตามกฎหมาย PDPA เพื่อลดความเสี่ยงและป้องกันการละเมิดที่อาจจะเกิดขึ้นได้ในอนาคต บทบาทหน้าที่ของ DPO ตามมาตรา 42 พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดหน้าที่อำนาจหน้าที่ DPO ว่าควรมีความรู้ความเชี่ยวชาญในการรวบรวมและจัดเก็บข้อมูลส่วนบุคคล โดยมีรายละเอียดดังนี้ ให้คำปรึกษาและแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เกี่ยวกับข้อกำหนดและกฎหมายคุ้มครองข้อมูลส่วนบุคคล ตรวจสอบการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล และพนักงานที่ทำหน้าที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ว่ามีการปฏิบัติตามข้อกำหนดและมีการแก้ไขปัญหาที่อาจจะเกิดขึ้นในเชิงรุก ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล เก็บรักษาความลับ บันทึกที่ครอบคลุมกิจกรรมและการประมวลผลข้อมูลทั้งหมดที่ดำเนินการโดยบริษัท รวมไปถึงวัตถุประสงค์ของการประมวลผลข้อมูล ที่จำเป็นจะต้องเปิดเผยต่อสาธารณะเมื่อมีการร้องขอ ประสานงานกับเจ้าของข้อมูลส่วนบุคคลเพื่อแจ้งให้ทราบเกี่ยวกับวิธีการใช้ข้อมูลส่วนบุคคล สิทธิ์ในการลบข้อมูลส่วนบุคคล และมาตรการขององค์กรที่ใช้ในการปกป้องข้อมูลส่วนบุคคล ใครมีหน้าที่แต่งตั้ง DPO ในองค์กร ตามกฎหมาย PDPA กำหนดให้องค์กรบางประเภทที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (DC: Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (DP: Data Processor) และประมวลผลข้อมูลส่วนบุคคลอ่อนไหวเป็นกิจกรรมหลัก หรือประมวลผลข้อมูลส่วนบุคคลเป็นประจำและเป็นจำนวนมากตามเกณฑ์ที่กำหนด (มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตั้งแต่ 100,000 รายขึ้นไป) จะต้องมีหน้าที่แต่งตั้ง DPO ตามความเหมาะสม ใครสามารถเป็น DPO ได้บ้าง DPO เป็นผู้ที่จะต้องมีความรู้ความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล การประมวลผลข้อมูลองค์กร และสามารถกำหนดทิศทางของการเก็บรักษาข้อมูลนั้น ๆ ให้ปลอดภัย ซึ่งควรมีคุณสมบัติดังนี้ มีความเข้าใจและเชี่ยวชาญเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ๆ ที่เกี่ยวข้อง มีความรู้ความเข้าใจเกี่ยวกับโครงสร้างพื้นฐานด้าน IT และโครงสร้างทางเทคนิคขององค์กร ต้องไม่มีผลประโยชน์ทับซ้อนกับตำแหน่งเดิมที่ได้รับมอบหมาย หรือตำแหน่งที่มีความเกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ต้องมีความสามารถในการจัดการการปกป้องข้อมูลและการปฏิบัติตามข้อกำหนดของกฎหมาย ควรเป็นหนึ่งในทีมของผู้ควบคุมข้อมูลส่วนบุคคล (DC: Data Controller) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (DP: Data Processor) หรือเป็นบุคคลในองค์กรเพื่อที่จะสามารถเข้าถึงกับทุกคนในองค์กรได้ โดยการแต่งตั้ง DPO สามารถแต่งตั้งได้ทั้งเป็นบุคคลเดียวและคณะบุคคล ทั้งนี้จะขึ้นอยู่กับขนาดโครงสร้างขององค์กร หากเป็นองค์กรที่มีขนาดเล็ก หรือมีโครงสร้างที่ไม่ซับซ้อน การมี DPO ที่เป็นบุคคลเดียวก็เพียงพอแล้ว แต่หากองค์กรมีโครงสร้างที่ซับซ้อนหรือมีขนาดใหญ่ การแต่งตั้ง DPO เป็นคณะบุคคลก็จะเหมาะสมกว่า ก้าวต่อไปกับสิ่งที่องค์กรควรต้องปรับตัว ทุกวันนี้การทำธุรกิจต้องปรับตัวให้ทันกับยุคสมัยที่เปลี่ยนไปอย่างรวดเร็ว ในขณะเดียวกันก็ต้องปรับระบบให้เท่าทันกับกฎหมายด้วยเช่นกัน ซึ่งข้อบังคับการแต่งตั้ง DPO ตามกฎหมาย PDPA ที่กำลังจะเกิดขึ้นในอีกไม่กี่วันข้างหน้านี้ จึงมีความสำคัญต่อองค์กรในปัจจุบันอย่างมาก โดยเฉพาะในองค์กรที่เกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคล ยิ่งต้องรีบแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่มีคุณสมบัติที่เหมาะสม เพื่อสามารถปฏิบัติได้ตามแนวทางของข้อกฎหมายได้อย่างมีประสิทธิภาพและถูกต้อง อีกทั้งยังเพื่อป้องกันปัญหาต่าง ๆ ในอนาคตอย่างทันท่วงที You may also like Tutorials อะไรคือ Cookies consent ทำไมเจ้าของเว็บไซต์ต้องมี 1 week ago Tutorials จัดกิจกรรมแจกของบน Facebook อย่างไรหลัง PDPA บังคับใช้ 5 days ago Tutorials 5 เรื่องที่ต้องรู้เกี่ยวกับ Email Consent ใน PDPA 5 days ago More posts