News

| Wednesday, 06 March 2024 |
Written by 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ต้องกำกับดูแลอะไรบ้างภายในองค์กร

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer – DPO คือบุคคลที่รับผิดชอบในการดูแลและปกป้องข้อมูลส่วนบุคคลภายในองค์กร ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ยังมีหน้าที่ในการติดต่อกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานที่เกี่ยวข้อง และให้คำปรึกษาแก่บุคลากรภายในองค์กร

ก่อนอื่นเรามาเช็คกันก่อนว่าองค์กรของคุณจำเป็นต้องมี DPO หรือไม่ ?

  • หน่วยงานรัฐหรือองค์กรสาธารณะ ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
  • องค์กรที่มีกิจกรรมหลักที่เกี่ยวข้องกับการประมวลผลข้อมูลอย่างสม่ำเสมอและเป็นจำนวนมาก เช่น ธุรกิจประกันภัย สถาบันทางการเงิน ธุรกิจรักษาความปลอดภัย บริการโซเชียลมีเดียและโฆษณาตามพฤติกรรม แอปพลิเคชัน ธุรกิจขนส่งเดลิเวอรี่ บริษัทจัดหางาน ธุรกิจทีมีระบบสมาชิกเพื่อรับสิทธิประโยชน์ต่าง ๆ
  • ธุรกิจโทรคมนาคม ฯลฯ มีการรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นกิจกรรมหลัก
  • มีการเก็บรวบรวมข้อมูลส่วนบุคคลตั้งแต่ 100,000 รายขึ้นไป

ถ้าเข้าข้อใดข้อหนึ่ง ก็ถือว่าองค์กรของท่านต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลแล้ว และเจ้าหน้าที่ DPO ต้องทำยังไงให้องค์กรของท่านปฏิบัติตาม PDPA อย่างสมบูรณ์ วันนี้จะพาทุกท่านมาเจาะลึก 3 แนวทาง ที่ DPO ต้องควบคุมดูแล ให้องค์กรเป็นไปตามกฎหมาย PDPA

1. การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Oversight)

2. การออกแบบเอกสาร และกำหนดมาตรการการรักษาความมั่นคงปลอดภัย (Document design & Security measures)

3. การทวนสอบการปฏิบัติงาน (Conducting PDPA Compliance Audits)

 

1. การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Oversight)

เรื่องนี้จะกล่าวถึงการกำกับดูแลภาพรวมที่องค์กรจะต้องจัดให้มีผู้รับผิดชอบอย่างชัดเจน เพื่อส่งเสริม และสนับสนุนให้มีการดำเนินการเกี่ยวกับการปฏิบัติตาม PDPA รวมถึงให้คำแนะนำ ตลอดจนการกำหนดแนวทางการปฏิบัติต่าง ๆ ขององค์กร โดย

- องค์กรต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หากเข้าหลักเกณฑ์ตามที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) กำหนด โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ที่แต่งตั้ง หรือคัดเลือกมานั้น ต้องมีความรู้ ความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นอย่างดี รวมถึงต้องมีอิสระในการทำงาน โดยปราศจากการถูกแทรกแซงโดยหน่วยงาน หรือบุคลากรภายในองค์กร

- องค์กรต้องแจ้งข้อมูลรายละเอียดของ DPO ให้กับ สคส. รับทราบตามช่องทางที่กำหนด (ช่องทางการแจ้ง https://pdpc.e-office.cloud/d/4d843905)

- จัดตั้งคณะทำงานคุ้มครองข้อมูลส่วนบุคคลขององค์กร โดยอาจกำหนดให้ตัวแทนของแต่ละส่วนงานเข้ามาทำหน้าที่เป็นคณะทำงานฯ เพื่อร่วมกันกำหนดมาตรการ หรือวิธีการปฏิบัติให้สอดคล้องตามกิจกรรมการดำเนินงาน และควรมีการกำหนดวาระการประชุมที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลอย่างชัดเจน

- จัดให้มีการอบรมความรู้ด้าน PDPA ก่อนเริ่มงาน (Orientation) ให้แก่พนักงาน รวมถึงจัดอบรมสร้างความตระหนักการรับรู้และความเข้าใจเกี่ยวกับ PDPA ประจำปี (Refresh Training) และจัดให้มีการประเมินความรู้ความเข้าใจพนักงานก่อนและหลังฝึกอบรม โดยมีเกณฑ์การประเมินอย่างชัดเจน

- ควรมีการจัดอบรมความรู้เฉพาะทางแก่ผู้ที่ปฏิบัติหน้าที่เป็น DPO ขององค์กร เพื่อให้ DPO มีความรู้เพียงพอในการให้คำปรึกษา และแนะนำการปฏิบัติงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลแก่พนักงานภายในบริษัท

 

2. การทดสอบประสิทธภาพความพร้อมในกระบวนการและความเข้าใจองผู้ปฏิบัติงาน และกำหนดมาตรการการรักษาความมั่นคงปลอดภัย (Document design & Security measures)

ข้อนี้จะกล่าวถึงการจัดเตรียมเอกสาร และกระบวนการที่องค์กรต้องจัดทำให้มีความพร้อม หรือกำหนดให้มีขั้นตอนการปฏิบัติและความเข้าใจของผู้ปฏิบัติ ซึ่งรวมถึงมาตรการทั้งหมดที่องค์กรควรจัดให้มี เพื่อให้การปฏิบัติตาม PDPA ขององค์กร มีความถูกต้อง และสอดคล้องตามข้อกำหนดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยมีรายละเอียดที่สำคัญ ดังต่อไปนี้

- กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) เพื่อเป็นแนวทางการปฏิบัติด้านข้อมูลส่วนบุคคลให้แก่พนักงานภายในองค์กรรับทราบ และปฏิบัติตาม

- จัดทำประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) ให้ครอบคลุมเจ้าของข้อมูลส่วนบุคคลกลุ่มต่างๆ เพื่อแจ้งวัตถุประสงค์ในการจัดเก็บข้อมูลส่วนบุคคล ก่อน หรือขณะจัดเก็บข้อมูลส่วนบุคคล

- จัดให้มีแบบฟอร์ม หรือระบบที่ใช้รองรับการขอความยินยอมขอใช้ข้อมูลส่วนบุคคล (Consent Form) สำหรับข้อมูลที่มีการจัดเก็บนอกเหนือจากฐานกฎหมายที่กำหนด และต้องมีการทบทวนวัตถุประสงค์ในการขอความยินยอมอย่างสม่ำเสมอ โดยสิ่งสำคัญที่มองข้ามไม่ได้ คือ การขอความยินยอมนั้น ต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคล และต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน

- จัดให้มีแบบฟอร์ม หรือระบบที่ใช้รองรับการขอใช้สิทธิสำหรับเจ้าของข้อมูลส่วนบุคคล และช่องทางในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ต้องมีการบันทึก หรือจัดเก็บประวัติคำขอฯ ดังกล่าวไว้เป็นเอกสารหรือระบบอิเล็กทรอนิกส์ และที่ขาดไม่ได้คือ การจัดทำคู่มือการปฏิบัติงานที่เกี่ยวข้องกับกระบวนการจัดการคำร้องสิทธิของเจ้าของข้อมูลส่วนบุคคล สำหรับเป็นแนวทางให้กับผู้ปฏิบัติงานสามารถศึกษา และสามารถปฏิบัติตามได้อย่างถูกต้อง

- จัดให้มีแบบฟอร์ม หรือช่องทาง สำหรับรองรับการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล รวมถึงกระบวนการปฏิบัติเมื่อมีเกิดเหตุการละเมิดข้อมูลส่วนบุคคล

- จัดทำเอกสารบันทึกการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities : ROPA) สำหรับใช้บันทึกรายละเอียดกิจกรรมที่เกี่ยวข้องกับการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของแต่ละฝ่ายภายในองค์กร โดยให้มีเนื้อหาสอดคล้องตามมาตรา 39 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยแบบบันทึกฯ ดังกล่าว ควรมีการปรับปรุงเมื่อมีการเปลี่ยนแปลงกระบวนการปฏิบัติงานที่มีนัยสำคัญ ทั้งนี้ แบบบันทึกฯ ดังกล่าว ต้องพร้อมใช้งานทันทีเมื่อถูกเรียกตรวจสอบจากเจ้าของข้อมูลส่วนบุคคล หรือสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

- มีการจัดการเอกสารที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ทั้งในรูปแบบกระดาษและอิเล็กทรอนิกส์ โดยกำหนดผู้ที่เข้าถึงข้อมูลอย่างชัดเจน รวมถึงกำหนดระยะเวลาในการจัดเก็บเอกสาร และทำลายด้วยวิธีการที่เหมาะสม เช่น ใช้เครื่องย่อยเอกสาร เป็นต้น

- มีการใช้มาตรการทางด้านเทคนิค ไม่ว่าจะเป็นการติดตั้ง Anti-Virus การกำหนดรหัสผ่าน การกำหนดสิทธิ์การเข้าถึงระบบงานต่างๆที่เกี่ยวข้อง

- หากมีการนำส่งข้อมูลส่วนบุคคลภายในบริษัทให้กับบุคคลภายนอก องค์กรต้องจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) เพื่อเป็นเงื่อนไขในการประมวลผลข้อมูลส่วนบุคคล

- องค์กรควรจัดทำแบบประเมินความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และติดตามความเสี่ยงดังกล่าวให้อยู่ในระดับที่เหมาะสม

 

3. การทวนสอบการปฏิบัติงาน (Conducting PDPA Compliance Audits)

เป็นขั้นตอนที่สำคัญ เพื่อตรวจสอบ หรือสอบทานว่าองค์กรได้ปฏิบัติตามกฎหมาย และมีมาตรการที่เพียงพอในการปกป้องข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการแล้วอย่างถูกต้อง นอกจากนี้ยังช่วยในเรื่องของทบทวนว่าองค์กรต้องเสริม หรือปรับปรุงมาตรการส่วนใดเพิ่มเติมได้บ้าง เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลขององค์กรมีความรัดกุมมากยิ่งขึ้น หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ เช่น สภาพแวดล้อมธุรกิจ และกฎหมายที่เกี่ยวข้อง เป็นต้น

- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ต้องหมั่นตรวจสอบ หรือทบทวนการปฏิบัติงานเกี่ยวกับ PDPA ของแต่ละฝ่ายงานที่เกี่ยวข้องภายในองค์กร โดยอาจจะกำหนดให้มีรอบการตรวจสอบ หรือทบทวนไตรมาสละ 1 ครั้ง (สำหรับช่วงแรกที่เริ่มมีการปฏิบัติตาม PDPA) และอาจจะลดรอบการตรวจสอบ หรือทบทวนลงให้เหลือปีละ 1 ครั้ง

- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ต้องมีการรายงานผลการดำเนินงานให้แก่ฝ่ายบริหารได้รับทราบ โดยอาจจะมีการจัดประชุมร่วมกับฝ่ายบริหารภายหลังจากที่มีการตรวจสอบ หรือทบทวนการปฏิบัติงานเกี่ยวกับ PDPA ทั้งนี้ อาจจัดให้มีทำรายงานผลการดำเนินงานที่เป็นลายลักษณ์อักษร สำหรับใช้เป็นเครื่องมือในการติดตามผลความคืบหน้าของการปฏิบัติตามได้นั่นเอง

 

การเป็น DPO ไม่ใช่เรื่องยาก และก็ไม่ใช่เรื่องง่าย หากท่านกำลังมองหาที่ปรึกษาการปฏิบัติงานเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO Consult) หรือบริการอื่นๆ ที่เกี่ยวข้องกับ สามารถติดต่อได้ที่ คุณกัญทิมา หุมากรณ์ 02-596-0500 ต่อ 327

ถ้าชอบก็อย่าลืมกด Like และกดติดตาม Facebook Fan Page “บริษัท ตรวจสอบภายในธรรมนิติ จำกัด” ของเราด้วยนะคะ ท่านจะได้ไม่พลาดเนื้อหาดีๆ ในครั้งถัดไป สำหรับวันนี้ก็ขอกล่าวคำว่า “ขอบคุณ และสวัสดีค่ะ”

 

 

ผู้เขียน คุณโศรญา กมลวานนท์

ผู้เรียบเรียง คุณเอกรัตน์ บุณยรัตนกลิน

 

 

Last modified on Wednesday, 06 March 2024