แชร์

การปฏิบัติหน้าที่ จนท.คุ้มครองข้อมูลส่วนบุคคล

อัพเดทล่าสุด: 24 ต.ค. 2024
90 ผู้เข้าชม

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO ถือเป็นบุคคลสำคัญในการนำพาให้องค์กรสามารถปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้อย่างถูกต้อง เรียกได้ว่าเป็น PDPA Champion เลยทีเดียว

การปฏิบัติหน้าที่ จนท.คุ้มครองข้อมูลส่วนบุคคล | Tech, Law and security
ตำแหน่งงาน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO (Data Protection Officer) ดังกล่าวเป็นเรื่องใหม่และยังไม่มีความชัดเจนในหลาย ๆ ประเด็น

ผู้เขียนจึงขอนำกรณีศึกษาที่ CNPD ซึ่งเป็นคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศลักเซมเบิร์กที่บังคับใช้ GDPR ที่เป็นกฎหมายต้นแบบของไทยในการกำหนดให้มีตำแหน่ง DPO มาเป็นกรณีศึกษาว่า DPO นั้นควรมีสถานะและบทบาทหน้าที่อย่างไรบ้างในองค์กร

คำวินิจฉัยที่ 36FR/2021 ลงวันที่ 13 ตุลาคม 2564 CNPD ได้วางหลักเกณฑ์สำคัญเกี่ยวกับการทำหน้าที่ของ DPO ตาม GDPR ไว้หลายประการและถูกเผยแพร่อย่างกว้างขวางในกลุ่ม DPO ของสหภาพยุโรป
คดีดังกล่าวสืบเนื่องจากการที่ CNPD ได้ดำเนินการตรวจสอบองค์กรต่าง ๆ ว่าปฏิบัติหน้าที่ตาม GDPR ในส่วนของการแต่งตั้ง DPO ไว้ถูกต้องหรือไม่ โดยให้องค์กรต่าง ๆ ทำการประเมินตนเองด้วยแบบสอบถามที่ CNPD กำหนดซึ่งประกอบด้วย 11 วัตถุประสงค์การควบคุม (control objectives) ดังนี้
(1) มีการแต่งตั้ง DPO ในกรณีที่เป็นองค์กรที่ต้องแต่งตั้ง DPO ตามที่กฎหมายกำหนด
(2) มีการเผยแพร่ข้อมูลการติดต่อของ DPO
(3) มีการแจ้งข้อมูลการติดต่อของ DPO ต่อ CNPD ในฐานะหน่วยงานบังคับใช้กฎหมาย
(4) มีการแต่งตั้ง DPO ที่มีคุณสมบัติเหมาะสมต่อการปฏิบัติหน้าที่
(5) พันธกิจและหน้าที่ของอื่น ๆ ไม่ก่อให้เกิดการขัดกันแห่งผลประโยชน์
(6) มีการจัดสรรทรัพยากรอย่างเพียงพอให้แก่ DPO ในการปฏิบัติหน้าที่
(7) DPO มีความเป็นอิสระในการปฏิบัติหน้าที่
(8) มีมาตรการเชิงองค์กรเพื่อให้ DPO มีส่วนร่วมในกิจกรรมการประมวลผลขององค์กร
(9) DPO สามารถปฏิบัติหน้าที่ในการให้ข้อมูลและให้คำแนะนำแก่องค์กรและพนักงาน
(10) DPO ตรวจสอบและกำกับการประมวลผลข้อมูลส่วนบุคคลขององค์กรอย่างเหมาะสม
(11) DPO มีส่วนร่วมในการจัดทำรายงานผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล

จากวัตถุประสงค์การควบคุมทั้ง 11 ข้อดังกล่าว CNPD พบว่าบริษัทที่เป็นคู่กรณีในคดีนี้ปฏิบัติไม่ถูกต้องรวม 4 ข้อ ได้แก่ข้อ (4), (6), (8), และ (10) ดังนี้


1.DPO ที่มีคุณสมบัติเหมาะสมต่อการปฏิบัติหน้าที่
CNPD ให้ความเห็นว่า DPO ควรต้องมีประสบการณ์การทำงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลไม่น้อยกว่า 3 ปี การที่ DPO มีตำแหน่งเป็น Chief Compliance & Legal Officer มาก่อนการได้รับหน้าที่เป็น DPO ไม่ทำให้ DPO มีคุณสมบัติที่เหมาะสมโดยอัตโนมัติ
ตามข้อแนะนำของ WP29 Guidelines on Data Protection Officer (2017) DPO ควรต้องมีความเชี่ยวชาญในกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้น ๆ และแนวทางปฏิบัติที่เกี่ยวข้อง รวมทั้งต้องมีความเข้าใจอย่างลึกซึ้งใน GDPR และควรจะมีความเข้าใจในกิจกรรมการประมวลผลขององค์กร การจัดการสารสนเทศและมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอีกด้วย
การปฏิบัติหน้าที่ จนท.คุ้มครองข้อมูลส่วนบุคคล | Tech, Law and security


2.การจัดสรรทรัพยากรอย่างเพียงพอให้แก่ DPO ในการปฏิบัติหน้าที่
การจัดสรรทรัพยากรบุคคลเพื่อมาทำหน้าที่ DPO องค์กรควรต้องมีบุคคลที่ปฏิบัติหน้าที่เต็มเวลาในฐานะ DPO ในคณะ DPO (DPO Team) ที่บริษัทตั้งขึ้น โดยพิจารณาจากหน่วยนับภาระงาน (full time equivalent, FTE) ร่วมกันของทั้งคณะเท่ากับ 1 คนที่ทำงานเต็มเวลาในฐานะ DPO
CNPD พิจารณาหน่วยนับภาระงานของบริษัทได้ประมาณ 0.7 จากจำนวนทีม DPO สามคน จึงถือว่าบริษัทจัดสรรทรัพยากรบุคคลไม่เพียงพอต่อการปฏิบัติหน้าที่ DPO (เนื่องจากคดีนี้ ทีม DPO ในบริษัทปฏิบัติหน้าที่อื่น ๆ ด้วย)


3.การมีส่วนร่วมของ DPO ในกิจกรรมการประมวลผลขององค์กร
ตามกฎหมาย DPO ต้องเข้าไปมีส่วนร่วมในกิจกรรมการประมวลผลขององค์กรในทุก ๆ กิจกรรม ซึ่งวัตถุประสงค์การควบคุมข้อนี้จะบรรลุผลได้เมื่อ DPO สามารถเข้าไปมีส่วนร่วมในการประชุมคณะกรรมการบริหาร การมีส่วนร่วมในโครงการใหม่หรือผลิตภัณฑ์ใหม่ขององค์กร คณะกรรมการเกี่ยวกับเทคโนโลยีสารสนเทศ หรือคณะกรรมการอื่น ๆ ขององค์กรที่จะเกี่ยวข้องกับข้อมูลส่วนบุคคล ซึ่ง CNPD ไม่พบว่าบริษัทมีขั้นตอนหรือกระบวนการให้ DPO เข้าไปมีส่วนร่วมอย่างเพียงพอและเหมาะสมในกิจกรรมการประมวลผลขององค์กรแต่อย่างใด

WP29 Guidelines ให้ข้อแนะนำว่า DPO อาจเข้าไปมีส่วนร่วมในการดำเนินการขององค์กรได้ดังนี้
(1)การให้ DPO ได้เข้าร่วมการประชุมของฝ่ายบริหารระดับกลางและระดับสูงอย่างสม่ำเสมอ
(2)ให้ DPO มีส่วนร่วมในกระบวนการที่ต้องมีการตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคล
(3)นำความเห็นของ DPO มาเป็นส่วนหนึ่งของกระบวนการตัดสินใจเสมอ
(4)ปรึกษา DPO โดยทันทีเมื่อมีเหตุการณ์ข้อมูลรั่วไหลหรือมีเหตุการละเมิดข้อมูลส่วนบุคคล
การปฏิบัติหน้าที่ จนท.คุ้มครองข้อมูลส่วนบุคคล | Tech, Law and security


4.การตรวจสอบและกำกับการประมวลผลข้อมูลส่วนบุคคลขององค์กร
ในคดีนี้บริษัทมีมาตรการเกี่ยวกับการจัดการคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล แต่ไม่มีระบบการทบทวนตรวจสอบว่ามาตรการดังกล่าวเหมาะสมและเพียงพอหรือไม่ แต่ต่อมาบริษัทสามารถพิสูจน์ได้ว่าได้มีการทบทวนมาตรการต่าง ๆ อย่างสม่ำเสมอแล้ว
จากแนวทางการตรวจสอบและคำวินิจฉัยของ CNPD จะเห็นว่าการทำหน้าที่ของ DPO ตาม GDPR นั้นมีบทบาทและความสำคัญอย่างมากและถูกกำหนดมาตรฐานและหน้าที่ไว้สูงสมกับที่เป็นบุคคลที่ได้รับความไว้วางใจให้ปฏิบัติหน้าที่คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลและนำพาองค์กรปฏิบัติให้สอดคล้องกับกฎหมาย.


บทความที่เกี่ยวข้อง
PDPA สื่อมวลชนและการขอใช้สิทธิลบเนื้อหาข่าว
สคส. เผยแพร่ความเห็นของคณะอนุกรรมการเฉพาะกิจ ตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
24 ต.ค. 2024
การโพสต์หรือแชร์รูปภาพ ไม่มีความรับผิดทางอาญาตาม PDPA
การโพสต์ข้อมูลส่วนบุคคล อย่างภาพใบหย่า ข้อมูลประวัติอาชญากรรม ภาพถ่ายใบหน้าลูกหนี้ แม้จะเข้าข่ายข้อยกเว้นการใช้บังคับกฎหมาย PDPA
24 ต.ค. 2024
กรรมการบริษัท ก็ต้องรู้จักปัญญาประดิษฐ์ AI
สถาบันกรรมการบริษัทแห่งออสเตรเลีย (Australian Institute of Company Directors -AICD) ได้ร่วมมือกับสถาบัน Human Technology Institute (HTI)
24 ต.ค. 2024
เว็บไซต์นี้มีการใช้งานคุกกี้ เพื่อเพิ่มประสิทธิภาพและประสบการณ์ที่ดีในการใช้งานเว็บไซต์ของท่าน ท่านสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ ประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) และ นโยบายคุกกี้
เปรียบเทียบสินค้า
0/4
ลบทั้งหมด
เปรียบเทียบ
Powered By MakeWebEasy Logo MakeWebEasy