การปฏิบัติหน้าที่ จนท.คุ้มครองข้อมูลส่วนบุคคล | Tech, Law and security

การปฏิบัติหน้าที่ จนท.คุ้มครองข้อมูลส่วนบุคคล | Tech, Law and security

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO ถือเป็นบุคคลสำคัญในการนำพาให้องค์กรสามารถปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้อย่างถูกต้อง เรียกได้ว่าเป็น PDPA Champion เลยทีเดียว

ตำแหน่งงาน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO (Data Protection Officer) ดังกล่าวเป็นเรื่องใหม่และยังไม่มีความชัดเจนในหลาย ๆ ประเด็น

ผู้เขียนจึงขอนำกรณีศึกษาที่ CNPD ซึ่งเป็นคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศลักเซมเบิร์กที่บังคับใช้ GDPR ที่เป็นกฎหมายต้นแบบของไทยในการกำหนดให้มีตำแหน่ง DPO มาเป็นกรณีศึกษาว่า DPO นั้นควรมีสถานะและบทบาทหน้าที่อย่างไรบ้างในองค์กร 

คำวินิจฉัยที่ 36FR/2021 ลงวันที่ 13 ตุลาคม 2564 CNPD ได้วางหลักเกณฑ์สำคัญเกี่ยวกับการทำหน้าที่ของ DPO ตาม GDPR ไว้หลายประการและถูกเผยแพร่อย่างกว้างขวางในกลุ่ม DPO ของสหภาพยุโรป
    คดีดังกล่าวสืบเนื่องจากการที่ CNPD ได้ดำเนินการตรวจสอบองค์กรต่าง ๆ ว่าปฏิบัติหน้าที่ตาม GDPR ในส่วนของการแต่งตั้ง DPO ไว้ถูกต้องหรือไม่ โดยให้องค์กรต่าง ๆ ทำการประเมินตนเองด้วยแบบสอบถามที่ CNPD กำหนดซึ่งประกอบด้วย 11 วัตถุประสงค์การควบคุม (control objectives) ดังนี้
(1) มีการแต่งตั้ง DPO ในกรณีที่เป็นองค์กรที่ต้องแต่งตั้ง DPO ตามที่กฎหมายกำหนด
(2) มีการเผยแพร่ข้อมูลการติดต่อของ DPO
(3) มีการแจ้งข้อมูลการติดต่อของ DPO ต่อ CNPD ในฐานะหน่วยงานบังคับใช้กฎหมาย
(4) มีการแต่งตั้ง DPO ที่มีคุณสมบัติเหมาะสมต่อการปฏิบัติหน้าที่
(5) พันธกิจและหน้าที่ของอื่น ๆ ไม่ก่อให้เกิดการขัดกันแห่งผลประโยชน์ 
(6) มีการจัดสรรทรัพยากรอย่างเพียงพอให้แก่ DPO ในการปฏิบัติหน้าที่
(7) DPO มีความเป็นอิสระในการปฏิบัติหน้าที่
(8) มีมาตรการเชิงองค์กรเพื่อให้ DPO มีส่วนร่วมในกิจกรรมการประมวลผลขององค์กร
(9) DPO สามารถปฏิบัติหน้าที่ในการให้ข้อมูลและให้คำแนะนำแก่องค์กรและพนักงาน
(10) DPO ตรวจสอบและกำกับการประมวลผลข้อมูลส่วนบุคคลขององค์กรอย่างเหมาะสม
(11) DPO มีส่วนร่วมในการจัดทำรายงานผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล 

จากวัตถุประสงค์การควบคุมทั้ง 11 ข้อดังกล่าว CNPD พบว่าบริษัทที่เป็นคู่กรณีในคดีนี้ปฏิบัติไม่ถูกต้องรวม 4 ข้อ ได้แก่ข้อ (4), (6), (8), และ (10) ดังนี้
1.DPO ที่มีคุณสมบัติเหมาะสมต่อการปฏิบัติหน้าที่
    CNPD ให้ความเห็นว่า DPO ควรต้องมีประสบการณ์การทำงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลไม่น้อยกว่า 3 ปี การที่ DPO มีตำแหน่งเป็น “Chief Compliance & Legal Officer” มาก่อนการได้รับหน้าที่เป็น DPO ไม่ทำให้ DPO มีคุณสมบัติที่เหมาะสมโดยอัตโนมัติ
    ตามข้อแนะนำของ WP29 Guidelines on Data Protection Officer (2017) DPO ควรต้องมีความเชี่ยวชาญในกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้น ๆ และแนวทางปฏิบัติที่เกี่ยวข้อง รวมทั้งต้องมีความเข้าใจอย่างลึกซึ้งใน GDPR  และควรจะมีความเข้าใจในกิจกรรมการประมวลผลขององค์กร การจัดการสารสนเทศและมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอีกด้วย

การปฏิบัติหน้าที่ จนท.คุ้มครองข้อมูลส่วนบุคคล | Tech, Law and security
2.การจัดสรรทรัพยากรอย่างเพียงพอให้แก่ DPO ในการปฏิบัติหน้าที่
    การจัดสรรทรัพยากรบุคคลเพื่อมาทำหน้าที่ DPO องค์กรควรต้องมีบุคคลที่ปฏิบัติหน้าที่เต็มเวลาในฐานะ DPO ในคณะ DPO (DPO Team) ที่บริษัทตั้งขึ้น โดยพิจารณาจากหน่วยนับภาระงาน (full time equivalent, FTE) ร่วมกันของทั้งคณะเท่ากับ 1 คนที่ทำงานเต็มเวลาในฐานะ DPO 
    CNPD พิจารณาหน่วยนับภาระงานของบริษัทได้ประมาณ 0.7 จากจำนวนทีม DPO สามคน จึงถือว่าบริษัทจัดสรรทรัพยากรบุคคลไม่เพียงพอต่อการปฏิบัติหน้าที่ DPO (เนื่องจากคดีนี้ ทีม DPO ในบริษัทปฏิบัติหน้าที่อื่น ๆ ด้วย)
3.การมีส่วนร่วมของ DPO ในกิจกรรมการประมวลผลขององค์กร
    ตามกฎหมาย DPO ต้องเข้าไปมีส่วนร่วมในกิจกรรมการประมวลผลขององค์กรในทุก ๆ กิจกรรม ซึ่งวัตถุประสงค์การควบคุมข้อนี้จะบรรลุผลได้เมื่อ DPO สามารถเข้าไปมีส่วนร่วมในการประชุมคณะกรรมการบริหาร  การมีส่วนร่วมในโครงการใหม่หรือผลิตภัณฑ์ใหม่ขององค์กร คณะกรรมการเกี่ยวกับเทคโนโลยีสารสนเทศ หรือคณะกรรมการอื่น ๆ ขององค์กรที่จะเกี่ยวข้องกับข้อมูลส่วนบุคคล ซึ่ง CNPD ไม่พบว่าบริษัทมีขั้นตอนหรือกระบวนการให้ DPO เข้าไปมีส่วนร่วมอย่างเพียงพอและเหมาะสมในกิจกรรมการประมวลผลขององค์กรแต่อย่างใด

WP29 Guidelines ให้ข้อแนะนำว่า DPO อาจเข้าไปมีส่วนร่วมในการดำเนินการขององค์กรได้ดังนี้ 
(1)การให้ DPO ได้เข้าร่วมการประชุมของฝ่ายบริหารระดับกลางและระดับสูงอย่างสม่ำเสมอ
(2)ให้ DPO มีส่วนร่วมในกระบวนการที่ต้องมีการตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคล
(3)นำความเห็นของ DPO มาเป็นส่วนหนึ่งของกระบวนการตัดสินใจเสมอ
(4)ปรึกษา DPO โดยทันทีเมื่อมีเหตุการณ์ข้อมูลรั่วไหลหรือมีเหตุการละเมิดข้อมูลส่วนบุคคล

การปฏิบัติหน้าที่ จนท.คุ้มครองข้อมูลส่วนบุคคล | Tech, Law and security
4.การตรวจสอบและกำกับการประมวลผลข้อมูลส่วนบุคคลขององค์กร
    ในคดีนี้บริษัทมีมาตรการเกี่ยวกับการจัดการคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล แต่ไม่มีระบบการทบทวนตรวจสอบว่ามาตรการดังกล่าวเหมาะสมและเพียงพอหรือไม่ แต่ต่อมาบริษัทสามารถพิสูจน์ได้ว่าได้มีการทบทวนมาตรการต่าง ๆ อย่างสม่ำเสมอแล้ว
    จากแนวทางการตรวจสอบและคำวินิจฉัยของ CNPD จะเห็นว่าการทำหน้าที่ของ DPO ตาม GDPR นั้นมีบทบาทและความสำคัญอย่างมากและถูกกำหนดมาตรฐานและหน้าที่ไว้สูงสมกับที่เป็นบุคคลที่ได้รับความไว้วางใจให้ปฏิบัติหน้าที่คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลและนำพาองค์กรปฏิบัติให้สอดคล้องกับกฎหมาย.