การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือเรียกสั้น ๆ ว่า DPO (Data Protection Officer) เป็นผู้ที่มีหน้าที่สำคัญในการจัดการ และตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพื่อช่วยให้องค์กรนั้นสามารถดำเนินงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA อีกทั้งเป็นตำแหน่งที่กฎหมาย PDPA กำหนดให้บางองค์กรที่เข้าเกณฑ์นี้ ต้องแต่งตั้งเจ้าหน้าที่ DPO ขึ้นด้วย

ตามกฎหมาย PDPA ได้กำหนดให้บางองค์กรไม่ว่าจะเป็นองค์กรภาครัฐหรือเอกชนที่เข้าเกณฑ์ ตามที่กำหนดต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ขึ้น เพื่อให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเข้ามาช่วยตรวจสอบ จัดการ และช่วยให้การดำเนินงาน เกี่ยวกับข้อมูลส่วนบุคคลเป็นไปอย่างราบรื่น มีประสิทธิภาพและถูกต้องตามหลัก PDPA สำหรับองค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (DC) และผู้ประมวลผลข้อมูลส่วนบุคคล (DP) ที่มีหน้าที่ต้องแต่งตั้ง DPO ตามกฎหมาย สามารถได้เป็น 3 ประเภท ดังนี้

1. การดำเนินการใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะเกี่ยวกับกิจกรรมหลัก (Core Activities) หรือกิจกรรมเสริมก็ตามซึ่งกิจกรรมหลัก (Core Activities) หมายความว่า การดำเนินการที่จำเป็น และมีความสำคัญเพื่อบรรลุวัตถุประสงค์ หรือเป้าหมายหลักในการดำเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เช่น การประมวลข้อมูลส่วนบุคคลเพื่อการให้บริการแก่ลูกค้าและการบันทึกข้อมูลการรับบริการของลูกค้า ซึ่งมีความจำเป็นในการให้บริการรับจ้างขนส่งสินค้า

2. องค์กรที่มีกิจกรรมหลักที่มีการติดตาม, เฝ้าสังเกต, วิเคราะห์ หรือทำนายพฤติกรรม ทัศนคติ หรือลักษณะเฉพาะของบุคคล (Profile) ซึ่งโดยทั่วไปจะมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบ (Systematic) และเกิดขึ้นเป็นประจำหรือเป็นปกติธุระ (Regular) ให้ถือว่าการดำเนินกิจกรรมนั้นมีความจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ สมควรกำหนดหลักเกณฑ์ที่ต้องจัดให้มี DPO โดยมีองค์ประกอบดังนี้

• การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ถือบัตรสมาชิก บัตรอิเล็กทรอนิกส์ หรือบัตรในลักษณะเดียวกัน ซึ่งสามารถตรวจสอบรายละเอียดข้อมูลการใช้งานบัตรได้
• ข้อมูลลูกค้าในบริการที่มีการตรวจสอบสถานะ ประวัติ ก่อนเข้าทำสัญญา หรือบริการในลักษณะเดียวกัน เพื่อประเมินความเสี่ยงด้านในต่างๆ เช่น การให้คะแนนเครดิต, การพิจารณาเบี้ยประกัน, การป้องกันการโกง/ฉ้อฉล เป็นต้น
• มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณาตามพฤติกรรม
• การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าโดยผู้ให้บริการระบบเครือข่ายคอมพิวเตอร์หรือผู้ประกอบกิจการโทรคมนาคม
• การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการเฝ้าระวังและรักษาความปลอดภัย ตามสถานที่ต่างๆ
• กรณีอื่นตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

3. การดำเนินกิจกรรมของ Data Controller และ Data Processor เป็นกิจกรรมหลัก ซึ่งมีข้อมูลส่วนบุคคลเป็นจำนวนมาก จะมีการพิจารณาดังนี้

• จำนวนหรือสัดส่วนของเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้อง
• ปริมาณ ประเภท หรือลักษณะของข้อมูลส่วนบุคคล
• ระยะเวลาของการเก็บรวบรวมข้อมูล
• ขอบเขตของพื้นที่หรือจำนวนประเทศในการใช้ข้อมูลส่วนบุคคลขององค์กร

รวมถึงกรณีดังต่อไปนี้ ก็ถือเป็นกรณีที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก

• มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตั้งแต่ 100,000 รายขึ้นไป
• มีการโฆษณาผ่านโปรแกรมค้นหาหรือสื่อสังคมออนไลน์ ที่มีผู้ใช้งานอย่างกว้างขวาง
• มีการใช้ข้อมูลส่วนบุคคลเกี่ยวกับประกันชีวิตหรือสถาบันการเงิน
• ผู้ได้รับใบอนุญาตประกอบกิจการโทรคมนาคมแบบที่สามตามกฎหมาย
• กรณีอื่นตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

แม้ว่ากฎหมาย PDPA ไม่ได้กำหนดคุณสมบัติ DPO ไว้ แต่ DPO ควรมีความรู้และความเข้าใจกฎหมาย PDPA เข้าใจกระบวนการทางธุรกิจว่ามีการเก็บประมวลผล และต้องมีความเข้าใจในระบบเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับการทำงานและการรักษาความปลอดภัยข้อมูล ตลอดจนสามารถสื่อสารกับบุคคลภายในและภายนอกได้เป็นอย่างดี

ตัวอย่าง ธุรกิจที่จำเป็นต้องจัดตั้ง DPO ตามประกาศฉบับนี้ ได้แก่

• ธุรกิจที่ใช้ช่องทาง Social Media สำหรับการสื่อสาร
• ธุรกิจเกี่ยวกับประกันชีวิต ประกันวินาศภัย หรือสถาบันการเงิน
• ผู้ให้บริการระบบเครือข่ายคอมพิวเตอร์
• ธุรกิจเกี่ยวกับโทรคมนาคม
• ผู้ให้บริการด้านการโฆษณาตามพฤติกรรม ผ่านโปรแกรมค้นหา ที่มีการใช้งานอย่างกว้างขวาง

นอกจากนี้ ธุรกิจหรือองค์กรใดที่มีการใช้ข้อมูลส่วนบุคคลเป็นจำนวนมากอยู่สม่ำเสมอก็จำเป็นที่จะต้องมี DPO ด้วยเช่นกัน

แม้ว่าบางองค์กรจะไม่อยู่ในเกณฑ์ที่กำหนด แต่การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้ผู้รับผิดชอบหลักในการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ ก็จะช่วยให้องค์กรมีระบบจัดการข้อมูลส่วนบุคคลที่มีประสิทธิภาพ รวมถึงมีเจ้าหน้าที่คอยช่วยจัดการ และตรวจสอบการดำเนินงาน ให้ถูกต้องตามหลักกฎหมาย PDPA มากขึ้นด้วย

สำหรับองค์กรไหนที่กฎหมายกำหนดให้ต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แต่บริษัทไม่ยอมทำตาม องค์กรนั้นอาจมีโทษทางปกครองตามกฎหมายได้ ซึ่งโทษทางปกครองโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีอัตราสูงสุดไม่เกิน 1 ล้านบาท

• กลับเมนูหลัก

ที่มา :

• กรุงเทพธุรกิจ
• คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล