ลงบทความเมื่อวันที่ 19 เมษายน 2565 (ปรับปรุงเมื่อวันศุกร์ที่ 10 พ.ย. 2566)
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกสั้น ๆ กันว่า DPO (Data Protection Officer) ตำแหน่งงานใหม่ที่ได้รับความสนใจมาอย่างยาวนาน นับตั้งแต่การประกาศ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยังคงเป็นที่ถกเถียงกันว่าองค์กรไหนต้องมี DPO ประจำบ้าง และคุณจำเป็นต้องมีบุคคลนี้อยู่ในองค์กรหรือไม่
จากเดิมที่ ฝ่าย ICDL-PDPA สถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) ได้เคยรีวิวสรุปเรื่องราวเกี่ยวกับ DPO เอาไว้ในบทความ PDPA Focus ตอน DPO : Data Protection Officer (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) คลิกอ่านเพิ่มเติม ได้มีการจัดเสวนา การรับฟังความเห็นเกี่ยวกับร่างกฎหมายลำดับรองกลุ่มที่ 1 ภายใต้โครงการศึกษาและเตรียมการเพื่อจัดทำร่างกฎหมายลำดับรองภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งนำเสนอร่างประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” ที่ส่วนหนึ่งกล่าวถึงลักษณะขององค์กรที่ต้องมี DPO อย่างละเอียดและชัดเจนมากขึ้น โดยขยายความเพิ่มเติมจาก PDPA มาตรา 41
ลักษณะขององค์กรที่ต้องมี DPO
ลองเช็กดูว่าองค์กรของคุณเข้าข่ายตามนี้หรือไม่? ถ้าใช่ตั้งแต่ข้อ 1-2 ก็ชัวร์แล้ว องค์กรของคุณจะต้องมี DPO
- องค์กรสาธารณะหรือหน่วยงานรัฐ (Public Authorities) ประกอบด้วย ส่วนราชการ รัฐวิสาหกิจ องค์กรปกครองส่วนท้องถิ่น และหน่วยงานอื่นของรัฐ (ยกเว้นศาลที่ประมวลผลข้อมูลเพื่อดำเนินการตามขอบเขตของอำนาจศาล)
- องค์กรที่ประมวลผลข้อมูลส่วนบุคคลจำนวนมาก หรือประมวลผลข้อมูลส่วนบุคคลอันมีลักษณะพิเศษจำนวนมาก โดยนิยาม “จำนวนมาก” อันเป็นเหตุที่องค์กรจำเป็นต้องมีเ DPO
- มีข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลมากกว่า 50,000 ราย อยู่ภายใต้ความดูแล ในระยะเวลา 12 เดือน
- มีข้อมูลส่วนบุคคลอันมีลักษณะพิเศษ (PDPA มาตรา 26) ของเจ้าของข้อมูลส่วนบุคคลมากกว่า 5,000 ราย อยู่ภายใต้ความดูแล ในระยะเวลา 12 เดือน
- มีพนักงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นประจำมากกว่า 20 คน
- มีสาขาหรือสถานที่ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมากกว่า 20 แห่ง
3. ผู้ให้บริการบัตรโดยสารสาธารณะ หรือบัตรอื่นๆ ที่ผู้ให้บริการบัตรหรือบุคคลอื่นนอกเหนือเจ้าของข้อมูลส่วนบุคคลสามารถตรวจสอบรายละเอียดข้อมูลการใช้งานบัตรได้
4. บริษัทประกันภัย ธนาคารพาณิชย์ หรือธุรกิจที่มีการตรวจสอบสถานะ ประวัติ หรือคุณสมบัติของลูกค้าก่อนทำสัญญาหรือให้บริการ
5. แพลตฟอร์ม Search Engine หรือ Social Media ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณาตามพฤติกรรม (Behavioral Advertising)
6. ผู้ให้บริการเฝ้าระวังพฤติกรรมของบุคคลเพื่อวัตถุประสงค์ด้านการรักษาความปลอดภัยของสถานที่
*โดยทั้งนี้ข้อ 3 – 6 จะต้องเป็นองค์กรที่เข้าข่ายประมวลผลข้อมูลส่วนบุคคลจำนวนมาก หรือข้อมูลส่วนบุคคลอันมีลักษณะพิเศษจำนวนมากตามที่กล่าวในข้อ 2
ข้อมูลส่วนบุคคลอันมีลักษณะพิเศษ (Special Categories of Personal Data) และ ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) คือ ข้อมูลประเภทเดียวกัน มีการใช้คำปรับเปลี่ยนตามกฎหมาย GDPR ของยุโรป เนื่องจากแต่ละบุคคลตีความ “ความอ่อนไหว” ของข้อมูลไม่เท่ากัน บางคนอาจคิดว่าข้อมูลบางชุดไม่อ่อนไหว และไม่ได้ปรับใช้มาตรฐานการคุ้มครองข้อมูลอย่างเหมาะสมตามที่กฎหมายกำหนด ข้อมูลส่วนบุคคลอันมีลักษณะพิเศษมีความหมายที่ครอบคลุมข้อมูลส่วนบุคคลกลุ่มนี้ได้กว้างและเหมาะสมกว่าคำเดิม
ข้อมูลส่วนบุคคลอันมีลักษณะพิเศษ (Special Categories of Personal Data) และข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) คือ ข้อมูลประเภทเดียวกัน มีการใช้คำปรับเปลี่ยนตามกฎหมาย GDPR ของยุโรป เนื่องจากแต่ละบุคคลตีความ “ความอ่อนไหว” ของข้อมูลไม่เท่ากัน บางคนอาจคิดว่าข้อมูลบางชุดไม่อ่อนไหว และไม่ได้ปรับใช้มาตรฐานการคุ้มครองข้อมูลอย่างเหมาะสมตามที่กฎหมายกำหนด ข้อมูลส่วนบุคคลอันมีลักษณะพิเศษมีความหมายที่ครอบคลุมข้อมูลส่วนบุคคลกลุ่มนี้ได้กว้างและเหมาะสมกว่าคำเดิม
แม้ลักษณะขององค์กรที่ต้องมี DPO ตามที่กล่าวมาข้างต้น จะยังไม่ได้รับการบัญญัติเป็นกฎหมายรอง (ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) ออกมาอย่างเป็นทางการ แต่ก็ทำให้เราสามารถมองเห็นแนวโน้มได้ว่าองค์กรของคุณเข้าข่ายหรือไม่ เพื่อเตรียมการสำหรับการแต่งตั้ง DPO ตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล/ผู้ประมวลผลข้อมูลส่วนบุคคลภายใต้ PDPA
การคุ้มครองข้อมูลส่วนบุคคลเป็น “วัฒนธรรมใหม่” ที่ทุกคนในองค์กรโดยเฉพาะผู้บริหารควรรู้ และเริ่มต้นปรับการดำเนินงานภายในองค์กรให้สอดคล้องกับกฎหมาย การมี DPO ช่วยส่งเสริมให้การคุ้มครองข้อมูลส่วนบุคคลขององค์กรมีประสิทธิภาพสูงขึ้นอย่างเป็นระบบ และเหมาะกับองค์กรที่มีข้อมูลส่วนบุคคลภายใต้ความดูแลเป็นจำนวนมาก หรือมีผลกระทบสูงหากเกิดการละเมิด
หากคุณเป็นอีกคนที่ยังไม่แน่ใจเกี่ยวกับประเด็นด้านการคุ้มครองข้อมูลส่วนบุคคล องค์กรต้องมี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่ หรือดำเนินการคุ้มครองข้อมูลส่วนบุคคลในมิติอื่นๆ อย่างไร สามารถขอรับคำปรึกษาและบริการ PDPA และ DPO ครบวงจร โดยทีมผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลจากเราได้ สอบถามบริการ >> Line OA: @pdpathailand
