หลังจากที่กฎหมาย PDPA ประกาศใช้ ก่อให้เกิดสายอาชีพใหม่ที่เรียกว่า "ผู้คุ้มครองข้อมูล (DPO)" เป็นลูกผสมระหว่าง นักกฎหมาย ไอที และ นักการตลาด เข้าด้วยกันใน 1 คน ซึ่งเป็นสิ่งที่หายากมากในตลาด ณ ขณะนี้ ดังนั้น เราจะอธิบายเกี่ยวกับสายอาชีพใหม่ ให้ท่านได้ข้อมูลที่ดีที่สุดในการเลือก DPO ครับ
DPO หมายถึง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับจ้างให้บริการตามสัญญากับผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้ โดย ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ตามมาตรา 41 และหน้าที่ตามมาตรา 42 พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และอ้างอิงตามหลัก กฎหมายคุ้มครองข้อมูลทั่วไป (GDPR)
อ้างอิงตามมาตรา 42 ใน พรบ.คุ้มครองข้อมูลส่วนบุคคล
" ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้
(1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่ คณะกรรมการประกาศกำหนด
(2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนด
(3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26"
หน้าที่ของ DPO
ตามที่ระบุไว้ในมาตรา 42 ในพรบ.คุ้มครองข้อมูลส่วนบุคคลได้ระบุไว้ดังนี้
ให้คำแนะนำ
ตรวจสอบ
ประสานงาน
รักษาความลับ
นอกจากนั้นในร่างประกาศเดี่ยวข้องกับ DPO ในประกาศ ณ วันที่ 13 ธันวาคม 2566 ที่ผ่านมาได้ระบุเพิ่มเติมถึงหน้าที่การทำงานของ DPO รวมไปถึงการกำหนดให้ทุกองค์กรมี DPO อ้างอิงตามรูปแบบการประเมินความจำเป็นในการมี DPO จะพบว่า บริษัทส่วนใหญ่ มักจะมี กิจกรรมหลัก (core activities) ที่หมายความถึง การดำเนินการที่จำเป็นและมีความสำคัญเพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดำเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล แต่ไม่รวมถึงกิจกรรมเสริม ( ancillary activities) ที่เป็นเพียงงานสนับสนุนในการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งไม่ใช่การดำเนินการที่จำเป็นและมีความสำคัญเพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดำเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล อาทิ ( 1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อการให้บริการแก่ลูกค้าและการบันทึกข้อมูลการรับบริการของลูกค้า ซึ่งเป็นการดำเนินการที่จำเป็นและมีความสำคัญสำหรับการให้บริการรับจ้างขนส่งสินค้า หรือ (2) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากกล้องวงจรปิด ซึ่งเป็นการดำเนินการที่จำเป็นและมีความสำคัญสำหรับการรับจ้างรักษาความปลอดภัยให้กับสถานที่ต่าง ๆ เป็นต้น
คุณสมบัติที่เหมาะสมในการเป็น DPO
DPO ควรเป็นผู้ที่ความรู้กฎหมายในระดับดีเป็นผู้เชี่ยวชาญเฉพาะ พื่อการบริหารจัดการด้านข้อมูลที่เหมาะสมต่อองค์กร นอกจากนั้นมีคุณสมบัติเพิ่มเติมดังต่อไปนี้
1. มีความเข้าใจหลากหลาย โดยเฉพาะ 3 มิติข้างล่าง หากอ้างอิงจาก DPO ตามหลักการของ GDPR และ PIPL แล้วนั้น การได้ใบอนุญาต DPO จะได้มาจากการการสอบที่ต้องประกอบด้วยองค์ความรู้ทั้ง 3 อย่างเข้าด้วยกัน อันได้แก่
มีความเข้าใจเรื่องกฎหมาย เพราะหน้าที่ต้องสามารถให้คำปรึกษาและความเห็นต่าง ๆ ในการจัดการภายในเกี่ยวกับกฎหมาย
มีความเข้าใจในเรื่องการตลาด
มีความเข้าใจในระบบ IT
2. DPO License (ถ้ามี) ถ้าเป็นไปได้ควรมีในระดับสากลไว้ด้วย เพื่อรองรับลูกค้าหรือมาตรฐานอื่น ๆ ที่เป็นระดับนานาชาติ
3. การอบรมจากที่ต่าง ๆ (ถ้ามี) ควรมีการอัพเดทข้อมูลอยู่ตลอดเวลา เนื่องจากเทคโนโลยีมีการเปลี่ยนแปลงอยู่ตลอดเวลา