PDPA Thailand ชี้จุด เพื่อลดความเสี่ยงจากการทำผิดกฎหมาย PDPA องค์กรควรมี DPO ตามที่กฎหมายกำหนด ไม่เช่นนั้นอาจมีโทษปรับทางปกครองสูงสุด 1 ล้านบาท และควรให้ความสำคัญกับบุคคลที่จะมาเป็น “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หรือ “DPO” แม้ว่ากฎหมายไม่ได้กำหนดคุณสมบัติไว้ก็ตาม เพราะไม่ใช่ใครๆ ก็สามารถเป็นได้
ดร.อุดมธิปก ไพรเกษตร ผู้ก่อตั้งPDPA Thailand และประธานกรรมการบริหาร บริษัท ดีบีซี กรุ๊ป จำกัด (DBC Group) ได้ให้ความเห็นกรณีที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกกฎหมายลำดับรองที่เกี่ยวกับองค์กร ที่ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) ตามมาตราที่ 41 ครบถ้วนเมื่อวันที่ 14 กันยายน 2566 ที่ผ่านมา หลังจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือกฎหมาย PDPA มีผลบังคับใช้โดยสมบูรณ์เมื่อวันที่ 1 มิถุนายน 2565 ว่า
“ตามกฎหมาย DPO จะมีบทบาทหน้าที่ช่วยองค์กรตามมาตรา 42 ได้แก่ 1. ช่วยในการให้ความรู้และคำปรึกษากับองค์กรเกี่ยวกับ PDPA 2.ตรวจสอบการทำงาน PDPA ขององค์กร 3. ประสานงานเกี่ยวกับการดำเนินการคุ้มครองข้อมูลส่วนบุคคลกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และเจ้าของข้อมูลส่วนบุคคล 4. รักษาความลับของข้อมูลส่วนบุคคลที่เกิดจากการทำงานตามกฎหมายนี้
มาตรา 41 ของกฎหมายฉบับนี้ องค์กรที่ต้องมี DPO จะมี 3 กลุ่ม โดยที่กลุ่มที่ 1 คือ หน่วยงานรัฐ, กลุ่มที่ 2 คือ หน่วยงานที่จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ และมีข้อมูลส่วนบุคคลเป็นจำนวนมาก และกลุ่มที่ 3 คือ องค์กรที่มีการใช้ข้อมูลอ่อนไหวหรือข้อมูลลักษณะพิเศษตาม มาตรา 26 ซึ่งขณะนี้มีการประกาศองค์กรที่ต้องมี DPO ครบถ้วนแล้ว ทั้งนี้ องค์กรที่ไม่มี DPO ตามประกาศจะมีโทษทางปกครองตามมาตราที่ 52 และมาตราที่ 85 ของกฎหมายฉบับนี้
กฎหมายไม่ได้กำหนดคุณสมบัติของ DPO ว่าจะต้องจบอะไร มีความรู้แบบไหน อายุเท่าไร แต่เนื่องจาก DPO จะช่วยให้องค์กรปฏิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง จึงควรมีความรู้และความเข้าใจกฎหมาย PDPA เข้าใจกระบวนการทางธุรกิจว่ามีการเก็บประมวลผล ใช้ข้อมูลส่วนบุคคล แบบไหนและอย่างไร และต้องมีความเข้าใจระบบเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับการทำงานและการรักษาความปลอดภัยข้อมูล ตลอดจนสามารถสื่อสารกับบุคคลภายในและภายนอกได้
DPO จึงไม่จำเป็นต้องเป็นนักกฎหมายหรือไอที แต่ห้ามมีความขัดแย้งผลประโยชน์ในหน้าที่การงานที่รับผิดชอบ เช่น เป็นผู้ใช้ข้อมูลส่วนบุคคลในองค์กร แต่มาดูเรื่องการทำ DPO ขององค์กรไม่ได้ ขณะเดียวกันบางองค์กร DPO ไม่สามารถทำงานคนเดียวได้ เพราะมีภารกิจมากมาย ดังนั้น DPO ที่ดี จึงต้องมีความรู้และทักษะที่เป็นสหวิทยาการ 3 ด้าน +1 คือ เข้าใจกฎหมาย ไอที และธุรกิจ และสื่อสารได้ หลายองค์กรจึงอาจจะตั้ง DPO เป็นตำแหน่งใหม่ หรือใช้บุคคลที่มีหน้าที่รับผิดชอบช่วยทีมสนับสนุน หรืออาจจะมีหลายคนในรูปแบบคณะทำงาน หรือ Outsource ให้บุคคลหรือองค์กรอื่นดูแล
“นอกจากหน่วยงานรัฐแล้ว หน่วยงานอื่นที่ต้องมี DPO เช่น สถานพยาบาล บริษัทประกันชีวิต ประกันภัย หน่วยงานที่ให้สินเชื่อบุคคลทุกประเภท บริษัทที่มีระบบสมาชิกในรูปแบบอิเล็กทรอนิกส์ บริษัทจัดหางาน ห้างสรรพสินค้า บริษัทที่ขายของออนไลน์ หรือให้บริการข้อมูลหรือสารสนเทศในระบบอิเล็กทรอนิกส์ เป็นต้น ซึ่งกฎหมายกำหนดให้องค์กรเหล่านี้ต้องมี DP0ไว้คอยให้คำแนะนำแก่เจ้าของธุรกิจและเจ้าหน้าที่ภายในบริษัทให้สามารถดำเนินการตามที่กฎหมายกำหนดได้” ดร.อุดมธิปก กล่าว
เพื่อตอบโจทย์องค์กรที่มีความจำเป็นต้องมี DPO PDPA Thailand ได้ร่วมกับบริษัท ดีบีซี กรุ๊ป จำกัด และสถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) จัดทำ หลักสูตร DPO in Action เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภาคปฏิบัติขึ้นมา โดยหลักสูตรนี้เหมาะกับองค์กรที่ต้องการมี DPO ในองค์กร เพราะจะช่วยเตรียมความพร้อมให้ DPO รู้ลึก รู้จริง ปฏิบัติตาม PDPA ได้อย่างถูกต้อง แม่นยำ ลดความเสี่ยง และความผิดพลาดที่จะเกิดขึ้น
โดยออกแบบเฉพาะให้ผู้เข้าอบรม ได้มีความรู้ความเข้าใจในหลักการ ทฤษฎี กฎหมาย แนวปฏิบัติ และกรณีศึกษา ผ่านการศึกษาทั้งในรูปแบบ e-Learning รวมทั้งการฟังบรรยายและแลกเปลี่ยนในห้องเรียน พร้อมทั้งการฝึกปฏิบัติเพื่อให้เกิดทักษะในการปฏิบัติหน้าที่ตามมาตรา 42 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อย่างแ okท้จริง” (*เนื้อหาหลักสูตรอ้างอิงประกาศหลักสูตรฝึกอบรมเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล)
สำหรับองค์กรที่อยากจะมีผู้เชี่ยวชาญมาดูแลเรื่อง DPO นายพงษ์ศักดิ์ ธัมประพาสอัศดร ประธานเจ้าหน้าที่ฝ่ายข้อมูลและนวัติกรรม บริษัท ดีบีซี กรุ๊ป จำกัด (DBC Group) กล่าวว่า “บริษัทฯ ได้จัดทำ บริการ DPO Online เพื่อตอบโจทย์องค์กรที่ไม่พร้อมมี DPO มาทำงานเป็นพนักงานประจำ หรือพนักงานประจำที่จะมาเป็น DPO ยังขาดความรู้หรือความชำนาญในระยะแรก และองค์กรไม่ต้องการเสี่ยงที่จะไม่มี DPO ในองค์กร แต่ให้ บริษัท ดีบีซี กรุ๊ป จำกัด เข้ามาช่วยดูแลในการเป็น DPO ให้”
“DPO ที่ดีขององค์กร ไม่ใช่เพียงแค่รู้สาระสำคัญของกฎหมาย ต้องเข้าใจถึงกระบวนการธุรกิจและธรรมชาติของลูกค้าขององค์กรตนเองด้วย PDPA Thailand คือ ผู้บริการให้คำปรึกษา สอบทาน ฝึกอบรม ทดสอบ เพื่อบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data Protection Act. 2562 (PDPA) แก่องค์กรธุรกิจ ภายใต้ความร่วมมือของเครือข่ายผู้เชี่ยวชาญ Core Trainer Team ด้านการคุ้มครองข้อมูลส่วนบุคคลมากกว่า 50 ท่าน จากสถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) ซึ่งได้รับการการสนับสนุนด้านวิชาการ จากมูลนิธิ International Computer Driving License (ICDL) จากสหภาพยุโรป (EU) ในฐานะที่เป็นต้นกำเนิดของกฎหมาย GDPR และการบริหารงานโดย บริษัท ดีบีซี กรุ๊ป จำกัด (DBC Group) ในฐานะผู้ให้บริการ PDPA รายแรกๆ ในประเทศไทย