Data Protection Officer (DPO) คือใคร? มีหน้าที่สำคัญอะไร ทำไมทุกบริษัทต้องมี!

บังคับใช้แล้ว กฎหมายที่หลายคนอาจเริ่มรู้จักและได้อ่านข้อมูลมาบ้าง อย่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) แต่ในบทความนี้ เราจะมาเจาะลึกในเรื่องของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) ที่กำหนดอยู่ในกฎหมาย PDPA ว่า คือใคร มีหน้าที่สำคัญอะไร และทำไมทุกบริษัทถึงจำเป็นจะต้องมีเพื่อให้สอดคล้องกับกฎหมาย PDPA ที่ได้บังคับใช้อย่างเต็มรูปแบบแล้ว

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) คือใคร?

Data Protection Officer หรือ DPO คือ เจ้าหน้าที่ดูแลความปลอดภัยเกี่ยวกับข้อมูลส่วนบุคคลทั้งหมดในองค์กรทั้งข้อมูลภายใน (ข้อมูลพนักงาน) (สามารถอ่านบทความเพิ่มเติมเกี่ยวกับ การดูแลข้อมูลพนักงานได้ที่นี่) และข้อมูลภายนอก (ข้อมูลลูกค้า) ตั้งแต่ตรวจสอบการรวบรวมข้อมูลจนถึงนำไปใช้ เผยแพร่ จัดเก็บ และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

• ให้คำแนะนำและความรู้ในการปฏิบัติตามข้อกำหนดสำคัญต่างๆ เกี่ยวกับ พรบ.คุ้มครองข้อมูลส่วนบุคคลแก่ผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูลและพนักงานที่เกี่ยวข้อง
• ตรวจสอบการดำเนินงานขององค์กร ในการเข้าถึงและดูแลข้อมูลส่วนบุคคลต่างๆ ให้เป็นไปอย่างถูกต้องตามข้อกำหนดใน PDPA
• ประเมินผลและระบุถึงจุดประสงค์ ของการนำข้อมูลส่วนบุคคลไปใช้หรือเผยแพร่ และชี้แจงถึงสิทธิ์ของเจ้าของข้อมูล รวมถึงมาตรการที่องกรณ์นำมาใช้ในการปกป้องข้อมูลส่วนบุคคล
• ประสานงานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPA) ในกรณีเกิดปัญหาเกี่ยวกับการใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล ในองค์กร

ที่มา: DPO หน้าที่

โดยปกติแล้วทางบริษัทสามารถแต่งตั้งพนักงานในองค์กรให้รับตำแหน่งเป็น DPO หรือจะว่าจ้างบริษัทตัวแทนในการช่วยจัดหาให้กับองค์กรก็ทำได้เช่นเดียวกัน

ซึ่งผู้ที่จะมาเป็น Data Protection Officer จะต้องมีความเชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลและมีความเข้าใจอย่างถ่องแท้เกี่ยวกับโครงสร้างพื้นฐานทางด้านไอที ต้องมีความน่าเชื่อถือ ความรับผิดชอบและซื่อสัตย์ต่อหน้าที่เพราะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล จำเป็นที่จะต้องแจ้งเตือนต่อเจ้าหน้าที่

หากพบการไม่ปฏิบัติตามข้อกำหนดภายใน และสามารถรายงานต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม หากพบการทุจริตหรือไม่ปฏิบัติตามข้อกำหนด PDPA แม้องค์กรจะถูกปรับเงินจำนวนมากก็ตาม

ปัจจุบันทุกบริษัทไม่ว่าจะเป็นองค์กรขนาดเล็ก หรือหน่วยงานขนาดใหญ่ จะต้องมีเก็บข้อมูลส่วนบุคคลไว้ในองค์กรอย่างแน่นอน เพียงแต่มีนโยบายที่คุ้มครองข้อมูลส่วนบุคคลเหล่านั้นเพียงแค่บางส่วนเท่านั้น

ซึ่งถ้าหาก พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ถูกบังคับใช้อย่างเต็มรูปแบบในปี 2565 นี้ ทุกหน่วยงานที่เข้าข่ายการบังคับใช้กฎหมาย PDPA จำเป็นจะต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ไว้เพื่อคุ้มครองข้อมูลส่วนบุคคลในบริษัท เพราะถ้าหากองค์กรใดฝ่าฝืนไม่ปฏิบัติตาม อาจเสี่ยงต่อการถูกลงโทษ จาการไม่ปฏิบัติตามกฎหมาย ซึ่งสามารถถูกปรับได้สูงสุดถึง 5 ล้านบาท

ปัจจุบันหน่วยงานที่ช่วยรับสรรหาและดูแลเรื่อง Data Protection Officer ในประเทศยังมีอยู่ไม่มาก แต่หนึ่งในหน่วยงานที่สามารถจัดการดูแลได้อย่างครอบคลุมคือบริษัท Lim & Partner Recruitment ซึ่งเป็นองค์กรที่จะช่วยคุณกำหนดบุคคลที่จะมาเป็น DPO ในบริษัทได้ตรงตามคุณสมบัติที่กำหนดไว้

รวมถึงสามารถจัดอบรมเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลให้กับพนักงานที่เกี่ยวข้องได้รับความรู้คำแนะนำที่ถูกต้องในการคุ้มครองข้อมูลส่วนบุคคลในบริษัท และยังรับเป็นที่ปรึกษาให้กับองค์กรต่างๆที่ต้องการคำแนะนำแบบผู้เชี่ยวชาญในด้าน DPO และ PDPA

หากคุณเป็นองค์กรที่เข้าข่ายอยู่ในกฎหมาย PDPA ที่กำลังมีการบังคับใช้อยู่นี้ ตอนนี้ได้ถึงเวลาเตรียมพร้อมรับมือด้วยการเริ่มจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พร้อมกับเตรียมประกาศนโยบายที่เกี่ยวข้องกับ PDPA ให้กับองค์กรรับรู้อย่างชัดเจน เพื่อการปฏิบัติตามกฎหมายกันอย่างถูกต้อง และยังเป็นการสร้างความเชื่อมั่นในองค์กร ไม่เพียงแค่กับพนักงานแต่รวมถึงลูกค้าของคุณด้วย

You May Also Like