เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล คือ

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คือกฎหมายคุ้มครองข้อมูลที่บ่งบอกความเป็นตัวตน ไม่ว่าจะเป็นภาพ ชื่อ สำเนาบัตรประชาชน ใบขับขี่ อีเมล เบอร์โทรศัพท์ และยังครอบคลุมไปถึงไปถึงข้อมูลการใช้งานบนโลกออนไลน์ทุกประเภท

• หากมีการนำข้อมูลไปเก็บ ใช้ หรือเปิดเผย ต้องได้รับการยินยอมจากเจ้าของข้อมูล
• เจ้าของข้อมูลมีสิทธิ์ลบหรือทำลายข้อมูลออกจากระบบได้
• มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานรัฐที่มีความเชี่ยวชาญพิเศษ ที่ช่วยดูแลประชาชนจากการถูกละเมิดข้อมูลส่วนบุคคล

มีองค์ประกอบสำคัญดังนี้

1. ข้อมูลส่วนบุคคล (Personal Data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวตนบุคคลนั้นได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายความว่าบุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามผู้ควบคุมข้อมูล บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่ถือว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคล
4. เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายความว่า บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล
5. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) หมายความว่า ตัวแทนผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ที่ทำหน้าที่ให้คำแนะนำและตรวจสอบในการปฏิบัติตาม พ.ร.บ. ฉบับนี้

ถ้าพบว่ามีผู้ละเมิดนำข้อมูลที่ไม่ได้อนุญาตไปใช้ประโยชน์ หรือไม่ยอมลบตามที่ถูกร้องขอ หรือสร้างความเสียหาย มีโทษสูงสุด จำคุก 1 ปี ปรับ 5 ล้านบาท

กฎหมายมีผลบังคับใช้ 28 พฤษภาคม พ.ศ. 2563

Download พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

แหล่งที่มา

http://www.mratchakitcha.soc.go.th

โดย นายกุลางกูร พัฒนเมธาดา

ร่วมแสดงความคิดเห็น

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA เป็นกฎหมายที่สร้างความตื่นตัวอย่างมาก โดยหลาย ๆ องค์กรหันมาศึกษาและพยายามดำเนินการคุ้มครองข้อมูลส่วนบุคคลตามข้อกำหนดของกฎหมายอย่างจริงจังกันแล้ว เพราะกำหนดการบังคับใช้ พ.ร.บ. อย่างเต็มรูปแบบกำลังใกล้เข้ามาทุกขณะ (มิถุนายน 2564)

ผู้บริหารขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลก็คงเคยได้ยินเรื่องราวเกี่ยวกับ Data Protection Officer (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) หรือที่เรียกกันติดปากอย่างย่อ ๆ ว่า DPO (ดีพีโอ) กันมาบ้าง เพราะทั้งใน PDPA และ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ที่ได้ชื่อว่าเป็นแม่แบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย ต่างมีบทบัญญัติที่กล่าวถึงความจำเป็นและบทบาทหน้าที่ของตำแหน่งงานนี้

DPO คือใคร?

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer เป็นตำแหน่งงานใหม่ที่เกิดขึ้นมาพร้อมกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเป็น “ผู้รับผิดชอบ” ให้แน่ใจว่าการประมวลผลข้อมูลขององค์กรดำเนินการอย่างสอดคล้องกับกฎหมายและราบรื่นมากที่สุด และมีหน้าที่ (ตาม PDPA มาตรา 42 และเอกสารประกอบอื่น) ดังต่อไปนี้

• ให้คำแนะนำแก่ผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูล และบุคคลอื่น ๆ ที่เกี่ยวข้อง เกี่ยวกับการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ตลอดจนกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับอื่น
• ดูแลการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลขององค์กรและบุคลากรที่เกี่ยวข้อง ให้สอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายคุ้มครองข้อมูลขององค์กร รวมถึงจัดการกิจกรรมคุ้มครองข้อมูลภายในองค์กร เช่น การสร้างความตระหนักถึงประเด็นและกระบวนการคุ้มครองข้อมูล การฝึกอบรมบุคลากร การประเมินความเสี่ยงของข้อมูล การตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร และการรับมือกับคำร้องด้านการประมวลผลข้อมูลจากเจ้าของข้อมูลส่วนบุคคลหรือหน่วยงานที่มีส่วนได้ส่วนเสีย เป็นต้น
• ประสานงานและร่วมมือกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล (หรือหน่วยงานที่เกี่ยวข้อง) ในกรณีที่มีปัญหาในการประมวลผลข้อมูล
• บันทึกและเก็บรักษารายการกิจกรรมการประมวลผลข้อมูลขององค์กร
• รักษาความลับของข้อมูลส่วนบุคคลจากการปฏิบัติหน้าที่

*ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลเป็นผู้รับผิดชอบต่อการแสดงออกและการดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลขององค์กรเสมอ เจ้าหน้าที่คุ้มครองครองข้อมูลส่วนบุคคลมิใช่ผู้ที่รับผิดชอบโดยส่วนตัว

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องได้รับความสะดวกจากผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูลในการปฏิบัติหน้าที่ มีอิสระในการปฏิบัติหน้าที่โดยไม่ขึ้นอยู่กับหน่วยงานหรือแผนกอื่น ๆ ในองค์กร มีอำนาจ และจะต้องสามารถรายงานไปยังบรรดาผู้บริหารสูงสุด (Top Management) อย่างเช่น บอร์ดบริหาร ของผู้ควบคุมข้อมูล/ผู้ประมวลข้อมูลได้โดยตรงในกรณีที่เกิดปัญหาขึ้น

การกำหนดตำแหน่ง DPO ขององค์กร กล่าวได้ว่าเป็นการดำเนินการตาม “หลักความรับผิดชอบ” (Accountability) ซึ่งเป็นหนึ่งในหลักการสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR ที่ระบุว่าคุณต้องรับผิดชอบดำเนินการตามกฎหมาย และมีหลักฐาน/ข้อพิสูจน์ที่แสดงให้เห็นถึงการดำเนินการตามกฎหมายด้วย

กฎหมายบัญญัติไว้ องค์กรของคุณต้องมี DPO หรือไม่?

สำหรับผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูลหลาย ๆ คนที่กำลังรู้สึกสับสน อาจมีความเชื่อว่า “ขนาดขององค์กร” คือตัวแปรสำคัญที่ใช้พิจารณา และ “องค์กรขนาดใหญ่” คือองค์กรที่จำเป็นต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเอาไว้คอยสอดส่องดูแลกิจกรรมการประมวลผลข้อมูล…ซึ่งในความเป็นจริงแล้วไม่แน่เสมอไปครับ

กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้งสองฉบับ (GDPR มาตรา 37 และ PDPA มาตรา 41) มีบทบัญญัติที่คล้ายคลึงกันเกี่ยวกับประเด็นนี้ว่า ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลจะต้องกำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลประจำ ในกรณีที่:

• เป็นองค์กรสาธารณะหรือหน่วยงานรัฐตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ยกเว้นศาลที่ประมวลผลข้อมูลเพื่อดำเนินการตามขอบเขตของอำนาจศาล
• มีกิจกรรมการประมวลผลข้อมูลของบุคคลจำนวนมาก ซึ่งต้องมีการสอดส่องดูแล/ตรวจสอบข้อมูลอย่างเป็นระบบและสม่ำเสมอ (เช่น การติดตามพฤติกรรมบุคคลออนไลน์)
• มีกิจกรรมการประมวลผลข้อมูลส่วนบุคคลจำนวนมาก ที่เข้าข่ายเป็นข้อมูลส่วนบุคคลอ่อนไหว หรือเป็นข้อมูลที่สัมพันธ์การตัดสินคดีความหรือข้อกล่าวหา

กล่าวอย่างสรุป กฎหมายบัญญัติว่าองค์กรที่จำเป็นต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล คือ องค์กรรัฐ/หน่วยงานสาธารณะ องค์กรที่ประมวลผลข้อมูลของบุคคลจำนวนมากเป็นกิจกรรมหลักที่ต้องการการดูแลอย่างสม่ำเสมอ เช่น โซเชียลมีเดีย แอปพลิเคชันบริการขนส่งเดลิเวอรี่ บริษัทจัดหางาน ห้างสรรพสินค้าที่มีระบบสมาชิก บริษัทรักษาความปลอดภัยข้อมูล ฯลฯ และองค์กรที่ประมวลผลข้อมูลส่วนบุคคลอ่อนไหวเป็นจำนวนมาก เช่น โรงพยาบาล และบริษัทประกันภัย เป็นต้น ไม่ได้มีส่วนที่ระบุถึงขนาดขององค์กรแต่อย่างใด เพียงแต่ scale ของการประมวลผลข้อมูลจำนวนมากมักเกิดขึ้นภายในองค์ขนาดใหญ่ที่มีบุคลากรดูแลเป็นจำนวนมากเช่นเดียวกันนั่นเอง

หากองค์กรของคุณไม่ได้มีกิจกรรมที่เกี่ยวข้องกับข้อมูลสักเท่าไหร่ แม้เป็นองค์กรขนาดใหญ่ก็ไม่จำเป็นต้องมี DPO

ตัวผู้บริหารเองจะต้องลองประเมินว่าองค์กรของคุณเข้าข่ายตามข้อบัญญัติของกฎหมายข้างต้นหรือไม่ ถ้าใช่ คุณควรต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล แต่ถ้าองค์กรของคุณประมวลข้อมูล (ส่วนบุคคล) จำนวนไม่มากนัก ก็ไม่มีความจำเป็นครับ เพียงแต่ต้องดูแลให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่จำเป็นและสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

คุณสมบัติของคนเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

หลังจากที่ประเมินได้แล้วว่า องค์กรของคุณจำเป็นต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่ คราวนี้เรามาดูกันที่การสรรหากันดีกว่าครับ ว่าในมุมมองของผู้บริหารหรือฝ่ายทรัพยากรบุคคลอาวุโส คุณจะมีเกณฑ์การเลือกผู้ที่มีคุณสมบัติอย่างไรเพื่อมาเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลขององค์กร เพราะหน่วยงานกลางไม่ได้มีการกำหนดคุณสมบัติอย่างเป็นทางการของผู้ที่สามารถดำรงตำแหน่งนี้ได้ออกมา

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นตำแหน่งงานที่ต้องอาศัยทั้งการศึกษา ประสบการณ์ ตลอดจนมีสายอาชีพ และ/หรือวุฒิบัตรรับรองความสามารถในแขนงต่าง ๆ ที่เกี่ยวข้อง มีรายการคุณสมบัติของผู้ที่เหมาะสมจะดำรงตำแหน่งนี้ ดังนี้

• มีความรู้ความเข้าใจและประสบการณ์เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในระดับเชี่ยวชาญ
• จบการศึกษาระดับปริญญาตรีขึ้นไปในสาขาความมั่นคงทางสารสนเทศ วิทยาการคอมพิวเตอร์ หรือสาขาใกล้เคียง หรือจบการศึกษาระดับปริญญาตรี/นิติศาสตร์บัณฑิต และมีประสบการณ์การทำงานเกี่ยวข้องกับด้านความเป็นส่วนตัว การปฏิบัติให้สอดคล้องตามกฎหมาย ความมั่นคงทางสารสนเทศ การตรวจสอบการดำเนินงาน หรือด้านอื่น ๆ ที่เกี่ยวข้อง เป็นต้น
• ควรมีประสบการณ์การทำงาน (มากกว่า 5 ปี) ในตำแหน่งเกี่ยวกับความเป็นส่วนตัว และ/หรือ การจัดการความเสี่ยงของการปฏิบัติตามข้อกำหนดกฎหมาย
• อาจจำเป็นต้องมีวุฒิบัตรรับรองจาก International Association of Privacy Professionals (IAPP) ซึ่งเป็นหน่วยงานด้านความเป็นส่วนตัว/การคุ้มครองข้อมูล/การจัดการความเสี่ยงของข้อมูล ที่ได้รับการยอมรับทั่วโลก ไม่ว่าจะเป็น CIPP หรือ CIPM ส่วนจะมีวุฒิบัตรใดอีกบ้างที่สามารถใช้เป็นมาตรฐานรับรองความรู้ความสามารถของผู้ที่มีความสามารถเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ จำเป็นต้องรอประกาศจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอีกครั้งหนึ่ง

ตามข้อกำหนดของกฎหมาย เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นบุคลากรในองค์กร หรือบุคลากร Third-Party ภายนอกองค์กรที่เป็น Outsource ก็ย่อมได้ โดยถ้าหากเป็นบุคลากรในองค์กรจะต้องไม่มีอำนาจหน้าที่การทำงานที่ขัดแย้งกับการปฏิบัติหน้าที่เป็น DPO อย่างไรก็ตาม ตามธรรมชาติแล้ว gdpr.eu สนับสนุนให้พยายามแต่งตั้งบุคลากรภายในองค์กรเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเนื่องจากบุคคลนี้เป็นผู้ที่มองเห็นโครงสร้างการไหลเวียนของข้อมูลองค์กรได้อย่างชัดเจน และมักจะเข้าใจความต้องการของการประมวลผลข้อมูลส่วนบุคคลในวงการเฉพาะมากกว่าบุคคลภายนอกนั่นเอง

โดยคุณสมบัติอย่างเป็นทางการของ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” ยังคงต้องรอคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ของไทย) ประกาศอีกครั้งเช่นกัน ซึ่งน่าจะเป็นในเร็ว ๆ นี้ ก่อน PDPA บังคับใช้อย่างเต็มรูปแบบอย่างแน่นอน

สรุป เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เป็นตำแหน่งที่เกิดขึ้นมาพร้อมกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยหลาย ๆ องค์กรจำเป็นต้องมีตำแหน่งนี้ประจำเพื่อ Facilitate – อำนวยความสะดวกให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างราบรื่นและดำเนินการได้อย่างถูกต้องตามกฎหมาย คุณต้องพิจารณาว่าองค์กรของคุณเข้าข่ายต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่ โดยแนะนำให้สรรหาจากบุคลากรภายในองค์กรเพื่อความเข้าใจที่มีต่อ Data Flow และความต้องการขององค์กร

ในมุมกลับกัน ใครอ่านบทความนี้แล้วรู้สึกอยากทำงานเป็น DPO ก็อย่าลืมสำรวจวุฒิของตนเอง ฝึกอบรมหาประสบการณ์ และสอบวุฒิบัตรรับรองความสามารถเตรียมเอาไว้เลย เพราะตำแหน่งนี้มี รายได้เฉลี่ยสูงถึง 130,000+ / เดือน (06/11/2563) เลยทีเดียวครับ!

เรียนรู้เพิ่มเติมเกี่ยวกับ การคุ้มครองข้อมูลส่วนบุคคล กับหลักสูตร Personal Data Protection Certificate: PDPC เนื้อหาครอบคลุม กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และแนวทางการปฏิบัติเพื่อคุ้มครองข้อมูลส่วนบุคคล

หากผู้บริหารองค์กรหรือผู้ที่ได้รับมอบหมายให้รับผิดชอบเกี่ยวกับด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กรท่านใด ได้อ่านบทความเกี่ยวกับ Data Protection Officer ตามข้างต้น และมีความกังวลเกี่ยวกับแนวทางการคุ้มครองข้อมุลส่วนบุคคล หรือการจ้างงานเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลประจำองค์กร บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด (Digital Business Consult: DBC) ยินดีรับให้คำปรึกษา พร้อมบริการอบรมแบบ In-house Training ภายในองค์กรและอบรมออนไลน์หลักสูตร Personal Data Protection Certificate ครบวงจร เพื่อเป็น Solution ให้กับองค์กรที่ต้องการดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA)

Our Consultation Service <<< คลิกเพื่อศึกษารายละเอียดบริการที่ปรึกษาด้าน PDPA
PDPA Thailand <<< หรือคลิกเพื่อสอบถามข้อมูลผ่านทาง Facebook Messenger

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล คือใคร

พรบ.คุ้มครองข้อมูลส่วนบุคคล หมายถึงอะไร

Dpo ต้องเป็นใคร