DPO คืออะไร ? ตัวช่วยดูแลข้อมูลส่วนบุคคลที่ไว้ใจได้

DPO คือใคร?

DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) คือบุคคลที่ทำหน้าที่ในการดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดภายในองค์กร ไม่ว่าจะเป็นข้อมูลภายในหรือภายนอกองค์กรก็ตาม โดยเจ้าหน้าที่ DPO นั้นจะทำหน้าที่ให้คำปรึกษา ตรวจสอบ กำกับดูแลการใช้ข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งองค์กรจะไม่สามารถห้ามไม่ให้ DPO ทำหน้าที่ตามที่กฎหมายกำหนด หรือไล่ DPO ออกได้

ใครคือผู้ที่จะเข้ามาทำหน้าที่ในตำแหน่ง DPO

ความสำคัญของ PDPA คือการทำให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล โดยมีสิทธิที่สำคัญคือ สิทธิการรับทราบและยิมยอมการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว คัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว

ใครคือผู้ที่จะเข้ามาทำหน้าที่ในตำแหน่ง DPO

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO จะเป็นบุคคลที่ได้รับการแต่งตั้งจากผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งผู้ที่จะมาทำหน้าที่ DPO คือบุคคลที่จะต้องมีความรู้ความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล การประมวลผลข้อมูลองค์กร และสามารถกำหนดทิศทางของการเก็บรักษาข้อมูลนั้นๆ ให้ปลอดภัย ซึ่งคุณสมบัติของผู้ที่จะเข้ามาเป็น DPO ได้มีดังต่อไปนี้

มีความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นๆ ที่เกี่ยวข้องอย่างเชี่ยวชาญ

ต้องมีความรู้ความเข้าใจเกี่ยวกับโครงสร้างพื้นฐานด้าน IT และโครงสร้างทางเทคนิคของบริษัท

ต้องมีความสามารถในการจัดการการปกป้องข้อมูลและการปฏิบัติตามข้อกำหนดของกฎหมาย

ควรเป็นหนึ่งในทีมของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หรือเป็นบุคคลในองค์กรเพื่อที่จะสามารถเข้าถึงกับทุกคนในองค์กรได้

ต้องไม่มีผลประโยชน์ทับซ้อนกับตำแหน่งเดิมที่ได้รับมอบหมาย หรือตำแหน่งที่มีความเกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล

หน้าที่ของ DPO คืออะไร?

ตำแหน่ง DPO คือตำแหน่งที่มีความสำคัญในการรวบรวมและจัดเก็บข้อมูลส่วนบุคคล ซึ่งหน้าที่ของ DPO และความรับผิดชอบของตำแหน่งนี้ยังรวมไปถึง

การให้ความรู้แก่พนักงาน เกี่ยวกับข้อกำหนดและกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ฝึกอบรมเจ้าหน้าที่ที่ทำหน้าที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

ตรวจสอบการดำเนินการของผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล และพนักงานที่ทำหน้าที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ว่ามีการปฏิบัติตามข้อกำหนดและมีการแก้ไขปัญหาที่อาจจะเกิดขึ้นในเชิงรุก

เก็บรักษาบันทึกที่ครอบคลุมกิจกรรมและการประมวลผลข้อมูลทั้งหมดที่ดำเนินการโดยบริษัท รวมไปถึงวัตถุประสงค์ของการประมวลผลข้อมูล ที่จำเป็นจะต้องเปิดเผยต่อสาธารณะเมื่อมีการร้องขอ

ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล

ประสานงานกับเจ้าของข้อมูลส่วนบุคคลเพื่อแจ้งให้ทราบเกี่ยวกับวิธีการใช้ข้อมูลส่วนบุคคล สิทธิ์ในการลบข้อมูลส่วนบุคคล และมาตรการขององค์กรที่ใช้ในการปกป้องข้อมูลส่วนบุคคล

องค์กรควรที่จะต้องมี DPO หรือไม่

เจ้าหน้าที่ DPO คือบุคคลที่มีความสำคัญอย่างมากในการทำหน้าที่ตรวจสอบกระบวนการเก็บ ใช้ และเผยแพร่ข้อมูลต่างๆ อย่างเป็นระบบ ซึ่งสิ่งที่จำเป็นจะต้องนำมาพิจารณาก่อนที่จะสรรหาบุคคลมารับตำแหน่ง DPO คือจำนวนของเจ้าของข้อมูล (Data Subject) จำนวนของหน่วยข้อมูล (Data Item) ระยะเวลาในการเก็บข้อมูล สถานที่เก็บข้อมูลส่วนบุคคล เป็นต้น ซึ่งหากองค์กรธุรกิจมีขนาดเล็กหรือไม่ได้มีกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูล อาจจะไม่จำเป็นต้องจ้าง DPO เข้ามาทำหน้าที่ในส่วนนี้

เพิ่มความปลอดภัยในการเก็บข้อมูลส่วนบุคคล เจ้าหน้าที่ DPO คือบุคคลที่จะเข้ามาดูแลรักษาข้อมูลส่วนบุคคลที่เก็บเอาไว้ให้ปลอดภัย ไม่ว่าจะเป็นการเก็บข้อมูลผ่านทางช่องทางใดก็ตาม เพื่อป้องกันไม่ให้เกิดปัญหาตามมาภายหลัง ต้องเริ่มต้นที่การสร้าง Privacy Policy ให้เหมาะสมกับความต้องการในการใช้งาน