คุณสมบัติของ Data Protection Officer และหน้าที่ขององค์กร
คุณสมบัติของ DPO และหน้าที่ขององค์กร
ผู้ประกอบการควรสรรหา DPO ที่เป็นผู้มีความรู้ความเข้าใจทั้งทางด้านกฎหมาย เทคโนโลยี และลักษณะของกิจการ และหลังจากได้แต่งตั้ง DPO ที่มีคุณสมบัติที่เหมาะสม
ผู้ประกอบการควรสรรหา DPO ที่เป็นผู้มีความรู้ความเข้าใจทั้งทางด้านกฎหมาย เทคโนโลยี และลักษณะของกิจการ และหลังจากได้แต่งตั้ง DPO ที่มีคุณสมบัติที่เหมาะสม
Cap & Corp Forum
หลังจากได้มีการตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ขึ้น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) ถือเป็นวิชาชีพใหม่ที่มีความสำคัญและมีบทบาทเป็นอย่างยิ่งในการช่วยให้ผู้ประกอบการที่มีการดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (การประมวลผลข้อมูลส่วนบุคคล) ไม่ว่าจะในฐานะของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลให้สามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลได้อย่างถูกต้องและเป็นไปตามที่ PDPA กำหนด โดยในขณะเดียวกัน DPO ยังมีบทบาทที่สำคัญต่อการสนับสนุนให้เจ้าของข้อมูลส่วนบุคคลได้รับความคุ้มครองสิทธิในความเป็นส่วนตัว ซึ่งถือเป็นสิทธิเสรีภาพขั้นพื้นฐาน (fundamental rights) ของประชาชนตามเจตนารมณ์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลอีกด้วย
ในบริบทของ หลักความรับผิดชอบ (Accountability Principle) ต่อการประมวลผลข้อมูลส่วนบุคคล DPO จึงมีบทบาทสำคัญอย่างมากในการแสดงให้เห็นว่า องค์กรนั้น ๆ มีความพร้อมในการปฏิบัติตามกฎหมายและได้กำหนดตัวบุคคลที่มีหน้าที่ในการกำกับและตรวจสอบการดำเนินการตาม PDPA ขององค์กรแล้ว ซึ่งตำแหน่ง DPO นี้ อาจเป็นการกำหนดหน้าที่ให้กับพนักงานในองค์กรก็ได้ (internal DPO) หรือจะใช้ลักษณะของสัญญาจ้างจากบุคคลภายนอกก็ได้ (DPO As A Service) ซึ่งทั้งสองรูปแบบมีข้อดีข้อเสียต่างกันไปขึ้นอยู่กับบริบทการประมวลผลข้อมูลส่วนบุคคลขององค์กรและขนาดกิจการ
ตาม PDPA กำหนดให้กิจการใน 3 ลักษณะดังต่อไปนี้ ต้องจัดให้มี DPO (mandatory DPO) กล่าวคือ
(1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
(2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคลที่จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
(3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการประมวลผลข้อมูลส่วนบุคคลประเภทที่กฎหมายมุ่งคุ้มครองเป็นพิเศษตามมาตรา 26
นอกจาก DPO ภาคบังคับแล้ว หลาย ๆ องค์กรก็อาจจะแต่งตั้ง DPO ภาคสมัครใจก็ได้ กล่าวคือ แม้ว่ากฎหมายจะไม่ได้บังคับให้มี DPO แต่เพื่อให้การบริหารความเสี่ยงของการจัดการข้อมูลภายในองค์กรเป็นไปอย่างมีประสิทธิภาพและสอดคล้องกับกฎหมายมากยิ่งขึ้น องค์กรนั้น ๆ ก็อาจจะพิจารณาแต่งตั้ง DPO ขึ้นด้วยก็ได้ แต่ก็ต้องพึงระวังว่าการแต่งตั้ง DPO ภาคสมัครใจนั้น (voluntary DPO) ก็อาจนำมาทั้งหน้าที่และความรับผิดขององค์กรและ DPO ตามกฎหมายด้วยเช่นกัน (ข้อแนะนำของ WP29)
ดังนั้น เพื่อให้การทำงานของ DPO เป็นไปตามเจตนารมณ์ของกฎหมายและลดโอกาสในการประมวลผลข้อมูลส่วนบุคคลที่อาจเป็นการละเมิดต่อกฎหมาย DPO จึงจำเป็นต้องมีคุณสมบัติดังต่อไปนี้
(1) มีความเข้าใจในหลักการ เนื้อหา และวิธีการปฏิบัติตาม PDPA เป็นอย่างดี
(2) มีความเชี่ยวชาญทางด้านมาตรการด้วนความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศทั้งในมาตรการความมั่นคงปลอดภัยทางด้านเทคนิค (technical measure) มาตรการความมั่นคงปลอดภัยทางด้านองค์กร (organizational measure) และมาตรการความมั่นคงปลอดภัยทางกายภาพ (physical measures)
(3) มีความเชี่ยวชาญทางด้านเทคนิคในการออกแบบเทคโนโลยีให้มีค่าเริ่มต้นที่เป็นมิตรต่อการคุ้มครองข้อมูลส่วนบุคคลและมีความมั่นคงปลอดภัย (privacy by design and by default & data security)
(4) มีความเข้าใจในกิจการหรือประเภทของธุรกิจที่ทางบริษัทประกอบกิจการอยู่ (sector-specific knowledge)
(5) มีประสบการณ์ที่เหมาะสมกับขนาดขององค์กร
(6) มีความตระหนักในเรื่องของการประมวลผลข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว (sensitive data)
(7) มีความสามารถในการจัดการสอบสวนให้คำปรึกษา วิเคราะห์ และประเมินสถานการณ์และจัดทำบันทึกเป็นเอกสาร
(8) มีความสามารถในการประสานงานกับเจ้าของข้อมูลส่วนบุคคลและองค์กร
นอกจากเรื่องคุณสมบัติของ DPO ที่กล่าวมาข้างต้นแล้ว หน้าที่ในการสนับสนุนการทำหน้าที่ของ DPO ก็ถือเป็นอีกประเด็นหนึ่งที่ทั้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องให้ความสำคัญ กล่าวคือ
(1) การสนับสนุนการทำหน้าที่ PDPA มาตรา 42 ได้กำหนดหน้าที่ให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องสนับสนุนการปฏิบัติหน้าที่ของ DPO โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่อีกด้วย
(2) การลงโทษหรือไล่ออกผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล จะให้ DPO ออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่ DPO ปฏิบัติหน้าที่ตามกฎหมายไม่ได้ ทั้งนี้เพื่อเป็นหลักประกันในการทำหน้าที่ของ DPO อย่างเป็นอิสระ (independent in role and function) ที่ในสถานะหนึ่งก็มีบทบาทในการปฏิบัติหน้าที่ในการคุ้มครองสิทธิด้านความเป็นส่วนตัวของประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคล (มาตรา 42)
(3) การประสานงานภายในองค์กร DPO ต้องสามารถรายงานเหตุการณ์และรายละเอียดในการทำหน้าที่ต่าง ๆ ไปยังผู้บริหารสูงสุดขององค์กรได้โดยตรง ทั้งนี้เพื่อเป็นหลักประกันทางด้านความอิสระในการปฏิบัติหน้าที่และเพื่อให้มั่นใจว่าการตัดสินใจและการติดตามงานของ DPO นั้นสามารถดำเนินไปโดยปราศจากความล่าช้าหรืออาจเกิดความกดดันจากลำดับการบังคับบัญชาหรือการแทรกแซงจากบุคคลที่สาม
(4) การปฏิบัติหน้าที่อื่น ๆ ของ DPO โดยหลักการแล้วองค์กรสามารถที่จะมอบหมายหน้าที่ต่าง ๆ นอกเหนือไปจากการทำหน้าที่ในฐานะของ DPO ตามที่กล่าวมาแล้วข้างต้นได้ตราบเท่าที่หน้าที่นั้นไม่เป็นการขัดต่อการปฏิบัติหน้าที่ (conflict of interest) ในฐานะของ DPO ทั้งนี้ใน PDPA ได้บัญญัติไว้ว่าผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่มีการมอบหมายหน้าที่อื่นแก่ DPO นั้น ต้องสามารถให้ความรับรองกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ว่า หน้าที่หรือภารกิจดังกล่าวที่มอบหมายให้ DPO ปฏิบัตินั้นไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ของ DPO ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
กล่าวโดยสรุปคือ ผู้ประกอบการควรสรรหา DPO ที่เป็นผู้มีความรู้ความเข้าใจทั้งทางด้านกฎหมาย เทคโนโลยี และลักษณะของกิจการ และหลังจากได้แต่งตั้ง DPO ที่มีคุณสมบัติที่เหมาะสมแล้ว การช่วยเหลือสนับสนุนและให้หลักประกันความเป็นอิสระต่อการทำหน้าที่ของ DPO ก็เป็นอีกประเด็นหนึ่งที่สำคัญไม่ยิ่งหย่อนไปกว่ากันในการที่จะช่วยลดโอกาสที่อาจเกิดเหตุการณ์การประมวลผลข้อมูลส่วนบุคคลโดยละเมิดต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ศุภวัชร์ มาลานนท์, CIPP/E
Certified Information Privacy Professional/ Europe
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
ชิโนภาส อุดมผล
Optimum Solution Defined (OSD)