Thai (TH) 
English (UK) 
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer – DPO คือบุคคลที่รับผิดชอบในการดูแลและปกป้องข้อมูลส่วนบุคคลภายในองค์กร ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ยังมีหน้าที่ในการติดต่อกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานที่เกี่ยวข้อง และให้คำปรึกษาแก่บุคลากรภายในองค์กร
ก่อนอื่นเรามาเช็คกันก่อนว่าองค์กรของคุณจำเป็นต้องมี DPO หรือไม่ ?
- หน่วยงานรัฐหรือองค์กรสาธารณะ ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
- องค์กรที่มีกิจกรรมหลักที่เกี่ยวข้องกับการประมวลผลข้อมูลอย่างสม่ำเสมอและเป็นจำนวนมาก เช่น ธุรกิจประกันภัย สถาบันทางการเงิน ธุรกิจรักษาความปลอดภัย บริการโซเชียลมีเดียและโฆษณาตามพฤติกรรม แอปพลิเคชัน ธุรกิจขนส่งเดลิเวอรี่ บริษัทจัดหางาน ธุรกิจทีมีระบบสมาชิกเพื่อรับสิทธิประโยชน์ต่าง ๆ
- ธุรกิจโทรคมนาคม ฯลฯ มีการรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นกิจกรรมหลัก
- มีการเก็บรวบรวมข้อมูลส่วนบุคคลตั้งแต่ 100,000 รายขึ้นไป
ถ้าเข้าข้อใดข้อหนึ่ง ก็ถือว่าองค์กรของท่านต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลแล้ว และเจ้าหน้าที่ DPO ต้องทำยังไงให้องค์กรของท่านปฏิบัติตาม PDPA อย่างสมบูรณ์ วันนี้จะพาทุกท่านมาเจาะลึก 3 แนวทาง ที่ DPO ต้องควบคุมดูแล ให้องค์กรเป็นไปตามกฎหมาย PDPA
1. การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Oversight)
2. การออกแบบเอกสาร และกำหนดมาตรการการรักษาความมั่นคงปลอดภัย (Document design & Security measures)
3. การทวนสอบการปฏิบัติงาน (Conducting PDPA Compliance Audits)
1. การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Oversight)
เรื่องนี้จะกล่าวถึงการกำกับดูแลภาพรวมที่องค์กรจะต้องจัดให้มีผู้รับผิดชอบอย่างชัดเจน เพื่อส่งเสริม และสนับสนุนให้มีการดำเนินการเกี่ยวกับการปฏิบัติตาม PDPA รวมถึงให้คำแนะนำ ตลอดจนการกำหนดแนวทางการปฏิบัติต่าง ๆ ขององค์กร โดย
- องค์กรต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หากเข้าหลักเกณฑ์ตามที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) กำหนด โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ที่แต่งตั้ง หรือคัดเลือกมานั้น ต้องมีความรู้ ความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นอย่างดี รวมถึงต้องมีอิสระในการทำงาน โดยปราศจากการถูกแทรกแซงโดยหน่วยงาน หรือบุคลากรภายในองค์กร
- องค์กรต้องแจ้งข้อมูลรายละเอียดของ DPO ให้กับ สคส. รับทราบตามช่องทางที่กำหนด (ช่องทางการแจ้ง https://pdpc.e-office.cloud/d/4d843905)
- จัดตั้งคณะทำงานคุ้มครองข้อมูลส่วนบุคคลขององค์กร โดยอาจกำหนดให้ตัวแทนของแต่ละส่วนงานเข้ามาทำหน้าที่เป็นคณะทำงานฯ เพื่อร่วมกันกำหนดมาตรการ หรือวิธีการปฏิบัติให้สอดคล้องตามกิจกรรมการดำเนินงาน และควรมีการกำหนดวาระการประชุมที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลอย่างชัดเจน
- จัดให้มีการอบรมความรู้ด้าน PDPA ก่อนเริ่มงาน (Orientation) ให้แก่พนักงาน รวมถึงจัดอบรมสร้างความตระหนักการรับรู้และความเข้าใจเกี่ยวกับ PDPA ประจำปี (Refresh Training) และจัดให้มีการประเมินความรู้ความเข้าใจพนักงานก่อนและหลังฝึกอบรม โดยมีเกณฑ์การประเมินอย่างชัดเจน
- ควรมีการจัดอบรมความรู้เฉพาะทางแก่ผู้ที่ปฏิบัติหน้าที่เป็น DPO ขององค์กร เพื่อให้ DPO มีความรู้เพียงพอในการให้คำปรึกษา และแนะนำการปฏิบัติงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลแก่พนักงานภายในบริษัท
2. การทดสอบประสิทธภาพความพร้อมในกระบวนการและความเข้าใจองผู้ปฏิบัติงาน และกำหนดมาตรการการรักษาความมั่นคงปลอดภัย (Document design & Security measures)
ข้อนี้จะกล่าวถึงการจัดเตรียมเอกสาร และกระบวนการที่องค์กรต้องจัดทำให้มีความพร้อม หรือกำหนดให้มีขั้นตอนการปฏิบัติและความเข้าใจของผู้ปฏิบัติ ซึ่งรวมถึงมาตรการทั้งหมดที่องค์กรควรจัดให้มี เพื่อให้การปฏิบัติตาม PDPA ขององค์กร มีความถูกต้อง และสอดคล้องตามข้อกำหนดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยมีรายละเอียดที่สำคัญ ดังต่อไปนี้
- กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) เพื่อเป็นแนวทางการปฏิบัติด้านข้อมูลส่วนบุคคลให้แก่พนักงานภายในองค์กรรับทราบ และปฏิบัติตาม
- จัดทำประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) ให้ครอบคลุมเจ้าของข้อมูลส่วนบุคคลกลุ่มต่างๆ เพื่อแจ้งวัตถุประสงค์ในการจัดเก็บข้อมูลส่วนบุคคล ก่อน หรือขณะจัดเก็บข้อมูลส่วนบุคคล
- จัดให้มีแบบฟอร์ม หรือระบบที่ใช้รองรับการขอความยินยอมขอใช้ข้อมูลส่วนบุคคล (Consent Form) สำหรับข้อมูลที่มีการจัดเก็บนอกเหนือจากฐานกฎหมายที่กำหนด และต้องมีการทบทวนวัตถุประสงค์ในการขอความยินยอมอย่างสม่ำเสมอ โดยสิ่งสำคัญที่มองข้ามไม่ได้ คือ การขอความยินยอมนั้น ต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคล และต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน
- จัดให้มีแบบฟอร์ม หรือระบบที่ใช้รองรับการขอใช้สิทธิสำหรับเจ้าของข้อมูลส่วนบุคคล และช่องทางในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ต้องมีการบันทึก หรือจัดเก็บประวัติคำขอฯ ดังกล่าวไว้เป็นเอกสารหรือระบบอิเล็กทรอนิกส์ และที่ขาดไม่ได้คือ การจัดทำคู่มือการปฏิบัติงานที่เกี่ยวข้องกับกระบวนการจัดการคำร้องสิทธิของเจ้าของข้อมูลส่วนบุคคล สำหรับเป็นแนวทางให้กับผู้ปฏิบัติงานสามารถศึกษา และสามารถปฏิบัติตามได้อย่างถูกต้อง
- จัดให้มีแบบฟอร์ม หรือช่องทาง สำหรับรองรับการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล รวมถึงกระบวนการปฏิบัติเมื่อมีเกิดเหตุการละเมิดข้อมูลส่วนบุคคล
- จัดทำเอกสารบันทึกการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities : ROPA) สำหรับใช้บันทึกรายละเอียดกิจกรรมที่เกี่ยวข้องกับการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของแต่ละฝ่ายภายในองค์กร โดยให้มีเนื้อหาสอดคล้องตามมาตรา 39 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยแบบบันทึกฯ ดังกล่าว ควรมีการปรับปรุงเมื่อมีการเปลี่ยนแปลงกระบวนการปฏิบัติงานที่มีนัยสำคัญ ทั้งนี้ แบบบันทึกฯ ดังกล่าว ต้องพร้อมใช้งานทันทีเมื่อถูกเรียกตรวจสอบจากเจ้าของข้อมูลส่วนบุคคล หรือสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
- มีการจัดการเอกสารที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ทั้งในรูปแบบกระดาษและอิเล็กทรอนิกส์ โดยกำหนดผู้ที่เข้าถึงข้อมูลอย่างชัดเจน รวมถึงกำหนดระยะเวลาในการจัดเก็บเอกสาร และทำลายด้วยวิธีการที่เหมาะสม เช่น ใช้เครื่องย่อยเอกสาร เป็นต้น
- มีการใช้มาตรการทางด้านเทคนิค ไม่ว่าจะเป็นการติดตั้ง Anti-Virus การกำหนดรหัสผ่าน การกำหนดสิทธิ์การเข้าถึงระบบงานต่างๆที่เกี่ยวข้อง
- หากมีการนำส่งข้อมูลส่วนบุคคลภายในบริษัทให้กับบุคคลภายนอก องค์กรต้องจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) เพื่อเป็นเงื่อนไขในการประมวลผลข้อมูลส่วนบุคคล
- องค์กรควรจัดทำแบบประเมินความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และติดตามความเสี่ยงดังกล่าวให้อยู่ในระดับที่เหมาะสม
3. การทวนสอบการปฏิบัติงาน (Conducting PDPA Compliance Audits)
เป็นขั้นตอนที่สำคัญ เพื่อตรวจสอบ หรือสอบทานว่าองค์กรได้ปฏิบัติตามกฎหมาย และมีมาตรการที่เพียงพอในการปกป้องข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการแล้วอย่างถูกต้อง นอกจากนี้ยังช่วยในเรื่องของทบทวนว่าองค์กรต้องเสริม หรือปรับปรุงมาตรการส่วนใดเพิ่มเติมได้บ้าง เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลขององค์กรมีความรัดกุมมากยิ่งขึ้น หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ เช่น สภาพแวดล้อมธุรกิจ และกฎหมายที่เกี่ยวข้อง เป็นต้น
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ต้องหมั่นตรวจสอบ หรือทบทวนการปฏิบัติงานเกี่ยวกับ PDPA ของแต่ละฝ่ายงานที่เกี่ยวข้องภายในองค์กร โดยอาจจะกำหนดให้มีรอบการตรวจสอบ หรือทบทวนไตรมาสละ 1 ครั้ง (สำหรับช่วงแรกที่เริ่มมีการปฏิบัติตาม PDPA) และอาจจะลดรอบการตรวจสอบ หรือทบทวนลงให้เหลือปีละ 1 ครั้ง
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ต้องมีการรายงานผลการดำเนินงานให้แก่ฝ่ายบริหารได้รับทราบ โดยอาจจะมีการจัดประชุมร่วมกับฝ่ายบริหารภายหลังจากที่มีการตรวจสอบ หรือทบทวนการปฏิบัติงานเกี่ยวกับ PDPA ทั้งนี้ อาจจัดให้มีทำรายงานผลการดำเนินงานที่เป็นลายลักษณ์อักษร สำหรับใช้เป็นเครื่องมือในการติดตามผลความคืบหน้าของการปฏิบัติตามได้นั่นเอง
การเป็น DPO ไม่ใช่เรื่องยาก และก็ไม่ใช่เรื่องง่าย หากท่านกำลังมองหาที่ปรึกษาการปฏิบัติงานเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO Consult) หรือบริการอื่นๆ ที่เกี่ยวข้องกับ สามารถติดต่อได้ที่ คุณกัญทิมา หุมากรณ์ 02-596-0500 ต่อ 327
ถ้าชอบก็อย่าลืมกด Like และกดติดตาม Facebook Fan Page “บริษัท ตรวจสอบภายในธรรมนิติ จำกัด” ของเราด้วยนะคะ ท่านจะได้ไม่พลาดเนื้อหาดีๆ ในครั้งถัดไป สำหรับวันนี้ก็ขอกล่าวคำว่า “ขอบคุณ และสวัสดีค่ะ”
ผู้เขียน คุณโศรญา กมลวานนท์
ผู้เรียบเรียง คุณเอกรัตน์ บุณยรัตนกลิน