รู้จัก DPO ผู้ช่วยองค์กร ลดความเสี่ยงผิด ‘กฎหมาย PDPA’

รู้จัก DPO ผู้ช่วยองค์กร ลดความเสี่ยงผิด ‘กฎหมาย PDPA’

ทำความรู้จัก DPO ผู้ช่วยองค์กรด้านกฎหมาย PDPA มีผลบังคับใช้มาตั้งแต่ 1 มิ.ย. 2565 ถือเป็นแนวทางในการปกป้องสิทธิข้อมูลส่วนบุคคลในระดับสากล ที่มีขึ้นเพื่อให้ภาคเอกชนและภาครัฐ ที่เก็บรวมรวม ใช้ ให้เป็นไปตามมาตรการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว

อุดมธิปก ไพรเกษตร ผู้ก่อตั้งสื่อ PDPA Thailand และประธานกรรมการบริหาร บริษัท ดีบีซี กรุ๊ป จำกัด กล่าวว่า กฎหมายลำดับรองที่เกี่ยวกับองค์กร ได้กำหนดให้ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามมาตราที่ 41 ครบถ้วนเมื่อวันที่ 14 กันยายน 2566 ที่ผ่านมา หลังจาก กฎหมาย PDPA มีผลบังคับใช้โดยสมบูรณ์ไปแล้ว

บทบาทสำคัญไม่แพ้กัน

ตามกฎหมายตำแหน่งเจ้าหน้าที่ DPO จะมีบทบาทหน้าที่ช่วยองค์กรตามมาตรา 42 ได้แก่

1. ช่วยในการให้ความรู้และคำปรึกษากับองค์กรเกี่ยวกับ PDPA

2.ตรวจสอบการทำงาน PDPA ขององค์กร

3. ประสานงานเกี่ยวกับการดำเนินการคุ้มครองข้อมูลส่วนบุคคลกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และเจ้าของข้อมูลส่วนบุคคล

4. รักษาความลับของข้อมูลส่วนบุคคลที่เกิดจากการทำงานตามกฎหมายนี้

ซึ่งมาตรา 41 ของกฎหมายฉบับนี้ องค์กรที่ต้องมี DPO จะมี 3 กลุ่ม โดยที่กลุ่มที่ 1 คือ หน่วยงานรัฐ, กลุ่มที่ 2 คือ หน่วยงานที่จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคล และกลุ่มที่ 3 คือ องค์กรที่มีการใช้ข้อมูลอ่อนไหวหรือข้อมูลลักษณะพิเศษตามมาตรา 26 ซึ่งขณะนี้มีการประกาศองค์กรที่ต้องมี DPO ครบถ้วนแล้ว ทั้งนี้ องค์กรที่ไม่มี DPO ตามประกาศจะมีโทษทางปกครองตามมาตราที่ 52 และมาตราที่ 85 ของกฎหมายฉบับนี้

เข้าถึงกฎหมายอย่างถ่องแท้

ซึ่งกฎหมายไม่ได้กำหนดคุณสมบัติของ DPO ว่าจะต้องจบอะไร มีความรู้แบบไหน อายุเท่าไร แต่เนื่องจาก DPO จะช่วยให้องค์กรปฏิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง จึงควรมีความรู้และความเข้าใจกฎหมาย PDPA เข้าใจกระบวนการทางธุรกิจว่ามีการเก็บประมวลผล ใช้ข้อมูลส่วนบุคคล แบบไหนและอย่างไร และต้องมีความเข้าใจระบบเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับการทำงานและการรักษาความปลอดภัยข้อมูล ตลอดจนสามารถสื่อสารกับบุคคลภายในและภายนอกได้

ดังนั้น DPO จึงไม่จำเป็นต้องเป็นนักกฎหมายหรือไอที แต่ห้ามมีความขัดแย้งด้านผลประโยชน์ และต้องมีความรู้และทักษะที่เป็นสหวิทยาการ 3 ด้าน +1 คือ เข้าใจกฎหมาย ไอที และธุรกิจ หลายองค์กรจึงอาจจะตั้ง DPO เป็นตำแหน่งใหม่ หรือใช้บุคคลที่มีหน้าที่รับผิดชอบช่วยทีมสนับสนุน หรืออาจจะมีหลายคนในรูปแบบคณะทำงาน หรือ Outsource ให้บุคคลหรือองค์กรอื่นดูแล

“นอกจากหน่วยงานรัฐแล้ว หน่วยงานอื่นที่ต้องมี DPO เช่น สถานพยาบาล บริษัทประกันชีวิต ประกันภัย หน่วยงานที่ให้สินเชื่อบุคคลทุกประเภท บริษัทที่มีระบบสมาชิกในรูปแบบอิเล็กทรอนิกส์ บริษัทที่ขายของออนไลน์ หรือให้บริการข้อมูลหรือสารสนเทศในระบบอิเล็กทรอนิกส์”
 

ปั้นหลักสูตรรองรับธุรกิจ

สุกฤษ โกยอัครเดช ประธานเจ้าหน้าที่ฝ่ายปรึกษาและสอบทาน ดีบีซี เสริมว่า เพื่อตอบโจทย์องค์กรที่มีความจำเป็นต้องมี DPO บริษัท ดีบีซี กรุ๊ป จำกัด จึงได้ร่วมกับ PDPA Thailand และสถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) จัดทำ หลักสูตร DPO in Action เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภาคปฏิบัติขึ้นมา

สำหรับหลักสูตรนี้ ออกแบบเฉพาะให้ผู้เข้าอบรม ได้มีความรู้ความเข้าใจในหลักการ ทฤษฎี กฎหมาย แนวปฏิบัติ และกรณีศึกษา ผ่านการศึกษาทั้งในรูปแบบ e-Learning รวมทั้งการฟังบรรยายและแลกเปลี่ยนในห้องเรียน พร้อมทั้งการฝึกปฏิบัติเพื่อให้เกิดทักษะในการปฏิบัติหน้าที่ตามมาตรา 42 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อย่างแท้จริง