Data Protection Officer (DPO) คือใคร? มีหน้าที่สำคัญอะไร ทำไมทุกบริษัทต้องมี!

DPO คือใคร

บังคับใช้แล้ว กฎหมายที่หลายคนอาจเริ่มรู้จักและได้อ่านข้อมูลมาบ้าง อย่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) แต่ในบทความนี้เราจะมาเจาะลึกในเรื่องของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) ที่กำหนดอยู่ในกฎหมาย PDPA ว่า คือใคร มีหน้าที่สำคัญอะไร และทำไมทุกบริษัทถึงจำเป็นจะต้องมีเพื่อให้สอดคล้องกับกฎหมาย PDPA ที่ได้บังคับใช้อย่างเต็มรูปแบบแล้ว

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) คือใคร?

Data Protection Officer หรือ DPO คือ เจ้าหน้าที่ดูแลความปลอดภัยเกี่ยวกับข้อมูลส่วนบุคคลทั้งหมดในองค์กรทั้งข้อมูลภายใน (ข้อมูลพนักงาน) (สามารถอ่านบทความเพิ่มเติมเกี่ยวกับ การดูแลข้อมูลพนักงานได้ที่นี่) และข้อมูลภายนอก (ข้อมูลลูกค้า) ตั้งแต่ตรวจสอบการรวบรวมข้อมูลจนถึงนำไปใช้ เผยแพร่ จัดเก็บ และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีหน้าที่อะไรบ้าง ?

  • ให้คำแนะนำ และความรู้ในการปฏิบัติตามข้อกำหนดสำคัญต่างๆเกี่ยวกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล แก่ผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูลและพนักงานที่เกี่ยวข้อง
  • ตรวจสอบการดำเนินงานขององค์กรในการเข้าถึงและดูแลข้อมูลส่วนบุคคลต่างๆ ให้เป็นไปอย่างถูกต้องตามข้อกำหนดใน PDPA
  • ประเมินผลและระบุถึงจุดประสงค์ของการนำข้อมูลส่วนบุคคลไปใช้หรือเผยแพร่ และชี้แจงถึงสิทธิ์ของเจ้าของข้อมูล รวมถึงมาตรการที่องกรณ์นำมาใช้ในการปกป้องข้อมูลส่วนบุคคล
  • ประสานงานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล(PDPA) ในกรณีเกิดปัญหาเกี่ยวกับการใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล ในองค์กร

ที่มา: DPO หน้าที่

คุณสมบัติใดบ้างที่สามารถเลือกเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ ?

โดยปกติแล้วทางบริษัทสามารถแต่งตั้งพนักงานในองค์กรให้รับตำแหน่งเป็น DPO หรือจะว่าจ้างบริษัทตัวแทนในการช่วยจัดหาให้กับองค์กรก็ทำได้เช่นเดียวกัน

ซึ่งผู้ที่จะมาเป็น Data Protection Officer จะต้องมีความเชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลและมีความเข้าใจอย่างถ่องแท้เกี่ยวกับโครงสร้างพื้นฐานทางด้านไอที ต้องมีความน่าเชื่อถือ ความรับผิดชอบและซื่อสัตย์ต่อหน้าที่เพราะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จำเป็นที่จะต้องแจ้งเตือนต่อเจ้าหน้าที่

หากพบการไม่ปฏิบัติตามข้อกำหนดภายใน และสามารถรายงานต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม หากพบการทุจริตหรือไม่ปฏิบัติตามข้อกำหนด PDPA แม้องค์กรจะถูกปรับเงินจำนวนมากก็ตาม

แล้วทำไมทุกบริษัทจำเป็นจะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคค ?

ปัจจุบันทุกบริษัทไม่ว่าจะเป็นองค์กรขนาดเล็ก หรือหน่วยงานขนาดใหญ่จะต้องมีเก็บข้อมูลส่วนบุคคลไว้ในองค์กรอย่างแน่นอน เพียงแต่มีนโยบายที่คุ้มครองข้อมูลส่วนบุคคลเหล่านั้นเพียงแต่บางส่วน

ซึ่งถ้าหาก พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ถูกบังคับใช้อย่างเต็มรูปแบบในปี 2565 นี้ ทุกหน่วยงานที่เข้าข่ายการบังคับใช้กฎหมาย PDPA จำเป็นจะต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ไว้เพื่อคุ้มครองข้อมูลส่วนบุคคลในบริษัท เพราะถ้าหากองค์กรใดฝ่าฝืนไม่ปฏิบัติตาม อาจเสี่ยงต่อการถูกลงโทษจาการไม่ปฏิบัติตามกฎหมาย ซึ่งสามารถถูกปรับได้สูงสุดถึง 5 ล้านบาท

Data Protection Act

แล้วมีบริษัทตัวแทนไหนบ้างที่ช่วยดูแลจัดการเรื่อง Data Protection Officer ให้กับคุณได้

ปัจจุบันหน่วยงานที่ช่วยรับสรรหาและดูแลเรื่อง Data Protection Officer ในประเทศยังมีอยู่ไม่มาก แต่หนึ่งในหน่วยงานที่สามารถจัดการดูแลได้อย่างครอบคลุมคือบริษัท Lim & Partner Recruitment ซึ่งเป็นองค์กรที่จะช่วยคุณกำหนดบุคคลที่จะมาเป็น DPO ในบริษัทได้ตรงตามคุณสมบัติที่กำหนดไว้

รวมถึงสามารถจัดอบรมเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลให้กับพนักงานที่เกี่ยวข้องได้รับความรู้คำแนะนำที่ถูกต้องในการคุ้มครองข้อมูลส่วนบุคคลในบริษัท และยังรับเป็นที่ปรึกษาให้กับองค์กรต่างๆที่ต้องการคำแนะนำแบบผู้เชี่ยวชาญในด้าน DPO และ PDPA

หากคุณเป็นองค์กรที่เข้าข่ายอยู่ในกฎหมาย PDPA ที่จะถูกบังคับใช้อย่างเต็มรูปแบบเร็วๆนี้ ตอนนี้ได้เวลาเตรียมพร้อมรับมือด้วยการเริ่มจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พร้อมกับเตรียมประกาศนโยบายที่เกี่ยวข้องกับ PDPA ให้กับองค์กรรับรู้อย่างชัดเจน เพื่อการปฏิบัติตามกฎหมายกันอย่างถูกต้อง และยังเป็นการสร้างความเชื่อมั่นในองค์กรไม่เพียงแค่กับพนักงานแต่รวมถึงลูกค้าของคุณด้วย

You May Also Like

Data management for Organization
PDPA Right of the Data Subject
ทำลายกระดาษ ทำลายเอกสารมีประโยชน์ต่อธุรกิจอย่างไร
ย้ายข้อมูล-windows-mac-คอมเก่า-คอมใหม่
old devices วิธีจัดการคอมพิวเตอร์เก่า
carbon footprint for organization
PDPA พรบ.คุ้มครองข้อมูลส่วนบุคคล บทลงโทษ
data erasure software
Certificate of Data Destruction Standard