เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer:DPO) ถือเป็นบุคคลสำคัญในการกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้กำหนดหน้าที่ในการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ โดยให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี DPO ในกรณีดังต่อไปนี้
(1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ
(2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ
(3) “กิจกรรมหลัก” ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26
ในปัจจุบัน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังไม่ได้มีการออกประกาศตามข้อ (1) และ (2) ดังกล่าวข้างต้น
ในส่วนของบุคคลที่จะทำหน้าที่ DPO กฎหมายกำหนดว่าอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้รับจ้างให้บริการตามสัญญาก็ได้เช่นกัน
หน้าที่หลัก ๆ ของ DPO คือ การให้คำแนะนำและตรวจสอบองค์กรนั้น ๆ ในการปฏิบัติและดำเนินการให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ รวมทั้งการประสานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคล
DPO จึงมีบทบาทสำคัญอย่างยิ่งในการนำพาองค์กรให้ปฏิบัติสอดคล้องกับกฎหมาย โดยในการแต่งตั้ง DPO องค์กรจะต้องพิจารณาถึงคุณสมบัติของบุคคลที่จะมาทำหน้าที่ DPO ให้สามารถปฏิบัติตามให้สอดคล้องกับหน้าที่ที่กฎหมายกำหนดไว้ได้ และต้องไม่มีการขัดกันแห่งผลประโยชน์ (conflict of interest)
กล่าวคือ มีส่วนร่วมในการกำหนดวิธีการและวัตถุประสงค์ หรือการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขององค์กร
นอกจากจะกำหนดหน้าที่ของ DPO แล้ว กฎหมายยังกำหนดหน้าที่ขององค์กรให้ต้อง “สนับสนุนการปฏิบัติหน้าที่” ของ DPO อีกด้วย อาทิ ต้องจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอและอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่
อีกทั้ง DPO ต้องมีความเป็นอิสระในการปฏิบัติหน้าที่ โดยการห้ามเลิกจ้างด้วยเหตุที่ DPO ปฏิบัติหน้าที่ตามกฎหมาย รวมทั้งให้สามารถรายงานไปยังผู้บริหารสูงสุดขององค์กรได้โดยตรง เป็นต้น
การแต่ง DPO ที่เหมาะสม มีความรู้ความสามารถจึงเป็นองค์ประกอบที่สำคัญของการดำเนินงานขององค์กรให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อแสดงให้เห็นถึงความรับผิดชอบและการปฏิบัติตามกฎหมาย (accountability)
ในการสรรหาและแต่งตั้ง DPO ที่เหมาะสมนั้น CNIL ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศฝรั่งเศส ได้ให้แนวทางในการพิจารณาและดำเนินการไว้ดังนี้
(1) บุคคลนั้นเป็นผู้ที่มีความสนใจ ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและหน้าที่ของ DPO หรือไม่
(2) องค์กรได้ตรวจสอบว่าตำแหน่งหรือหน้าที่ที่มีอยู่เดิม (ตำแหน่งปัจจุบัน) ของบุคคลที่จะเป็น DPO ไม่ก่อให้เกิดผลประโยชน์ทับซ้อนแล้วหรือไม่
(3) บุคคลที่จะเป็น DPO มีความรู้หรือความเชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลทั้งทางกฎหมายและทางเทคนิค มีความรู้เกี่ยวกับแนวปฏิบัติขององค์กรและธุรกิจนั้น ๆ รวมถึงทักษะที่จำเป็น เช่น ความสามารถในการสื่อสาร ฯลฯ หรือไม่?
(4) หากมีความจำเป็น องค์กรจะมีแผนการฝึกอบรมสำหรับ DPO หรือไม่?
(5) องค์กรได้พิจารณาเอกสารเพื่อแสดงให้เห็นถึงการคัดเลือก DPO อย่างเหมาะสมหรือไม่? เช่น CV หรือใบรับรอง (Certification) ฯลฯ
(6) องค์กรมีแผนจะสื่อสารภายในองค์กรแก่พนักงาน ลูกจ้าง ฯลฯ เกี่ยวกับการกำหนดให้มี DPO หรือไม่?
(7) หน้าที่และเงื่อนไขในการปฏิบัติหน้าที่ของ DPO ถูกกำหนดไว้ในสัญญาให้บริการหรือคำสั่งแต่งตั้งหรือไม่?
(8) มีการรับรองความเป็นอิสระของ DPO หรือไม่ เช่น จะไม่ถูกลงโทษในการปฏิบัติหน้าที่ DPO การไม่ถูกสั่งการในบริบทของการปฏิบัติหน้าที่ DPO?
(9) องค์กรอนุญาตให้ DPO สามารถรายงานโดยตรงต่อผู้บริหารระดับสูงสุดขององค์กรในส่วนที่เกี่ยวข้องกับการปฏิบัติหน้าที่ DPO หรือไม่?
(10) มีการประเมินภาระงานและความต้องการของ DPO เช่น โครงสร้างพื้นฐาน พนักงานสนับสนุน ฯลฯ หรือไม่?
(11) DPO สามารถเข้าถึงข้อมูลที่เป็นประโยชน์ได้หรือไม่ มีการอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลและกิจกรรมการประมวลผลข้อมูลส่วนบุคคลหรือไม่?
(12) องค์กรมีการกำหนดวิธีการติดต่อที่ช่วยให้เจ้าของข้อมูลส่วนบุคคลสามารถ DPO ได้โดยง่าย เช่น อีเมลโดยเฉพาะ เบอร์โทรศัพท์ ฯลฯ หรือไม่?
(13) องค์กรมีการกำหนดขอบเขตภาระงานของ DPO อย่างชัดเจนหรือไม่ เช่น การเก็บบันทึก การจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล ฯลฯ
หากในการแต่งตั้ง DPO ขององค์กร ได้ทำการประเมินจากข้อแนะนำทั้ง 13 ข้อดังกล่าวข้างต้น ย่อมแสดงให้เห็นว่า (demonstrate of compliance) การแต่งตั้ง DPO ขององค์กรได้พิจารณาอย่างเหมาะสมแล้ว
และแม้องค์กรจะไม่เข้าหลักเกณฑ์ตามที่กฎหมายกำหนดให้ต้องมี DPO แต่หากองค์กรมีความพร้อม และต้องการดำเนินการที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลให้มีความเป็นระบบ ถูกต้อง และมีประสิทธิภาพ และสร้างคงวามน่าเชื่อถือต่อผู้รับบริการ
การจัดให้มีบุคคลที่มีหน้าที่และความรับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคล เสมือนหนึ่ง DPO ขององค์กรก็ถือเป็นแนวปฏิบัติที่ดีขององค์กร
แหล่งข้อมูล