ในยุคที่ขับเคลื่อนด้วยข้อมูล หลายบริษัทหรือองค์กรจึงเริ่มหันมาให้ความสำคัญกับการดูแลรักษาข้อมูลกันมากขึ้น ยิ่งเมื่อมีการประกาศใช้พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ยิ่งต้องมีการให้ความสำคัญมากขึ้นไปอีก จึงต้องมีการจัดตั้งทีมเข้ามาดูแลด้านนี้กันโดยเฉพาะ ซึ่งจะใช้ชื่อว่า DPO 

วันนี้ JOBCAN จะพาทุกคนมาทำความรู้จักกับ DPO คืออะไรกันแน่ มีหน้าที่ความรับผิดชอบอย่างไรบ้าง และทำไมทุกองค์กรควรมีการตั้งทีมนี้ขึ้น ไปดูกัน

ทำความรู้จักกับ DPO คืออะไร

DPO ย่อมาจาก Data Protection Office คือ คนที่เข้ามาดูแลปกป้องข้อมูลส่วนบุคคลทั้งหมดในองค์กร ไม่ว่าจะเป็นข้อมูลส่วนตัวที่บ่งชี้ตัวตนได้โดยตรงหรือข้อมูลที่บ่งชี้ตัวตนได้ในทางอ้อม ทั้งข้อมูลของพนักงานและข้อมูลของลูกค้า เรียกได้ว่าเป็นข้อมูลส่วนตัวทั้งหมดนั่นเอง โดยผู้ที่เข้ามารับผิดชอบหน้าที่นี้จะต้องมีความเชี่ยวชาญทางด้านกฎหมาย PDPA เป็นอย่างดีและยังมีความเข้าใจเกี่ยวกับโครงสร้างพื้นฐานของไอที ยิ่งไปกว่านั้นจะต้องมีความซื่อสัตย์และไม่มีผลประโยชน์ทับซ้อนในการดูแลข้อมูลที่มีมูลค่าเหล่านี้ด้วย

หน้าที่หลักของ DPO

แน่นอนว่าทีม DPO นี้จะต้องมีหน้าที่ที่รับผิดชอบที่ชัดเจน โดยในมาตรา 42 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้กำหนดให้ DPO มีหน้าที่ดังต่อไปนี้

ในคำแนะนำเรื่อง PDPA 

ผู้ที่จะเป็น DPO ได้นั้นจะต้องมีความรู้เกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA อย่างกระจ่างชัดเจนเพื่อสามารถให้คำแนะนำที่ถูกต้องเกี่ยวกับ PDPA ได้กับพนักงานภายในองค์กรถึงวิธีการจัดการข้อมูลส่วบุคคลต่างๆ หรืออาจต้องมีการจัดอบรมในเรื่อง PDPA ให้กับพนักงานเพื่อสร้างความตระหนักรู้ ซึ่งหน้าที่นี้ย่อมเป็น DPO เป็นผู้รับผิดชอบ

ตรวจสอบการทำงานที่เกี่ยวข้องกับ PDPA

เมื่อมีการดำเนินงานที่เกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคลเกิดขึ้น DPO จะต้องคอยตรวจสอบการปฏิบัติงานนั้นๆ เพื่อให้มั่นใจว่าไม่มีการละเมิด PDPA เกิดขึ้น เช่น มีการจัดเก็บข้อมูลที่ไม่ได้รับอนุญาตหรือคำยินยอมอาจหมดอายุไปแล้ว เป็นต้น การตรวจสอบนี้จะต้องเป็นไปอย่างรอบคอบและสม่ำเสมอเพื่อลดความผิดพลาดที่อาจสร้างความเสียหายให้กับองค์กรได้

ประสานงานกับผู้ดูแลที่เกี่ยวข้อง

หากในการตรวจสอบพบว่ามีจุดที่ผิดพลาดหรืออาจมีข้อมูลส่วนบุคคลรั่วไหลออกไป DPO จะต้องเป็นผู้ประสานงานในการออกจดหมายแจ้งเตือนข้อมูลรั่วไหลให้กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือ สคส. ภายใน 72 ชั่วโมง เพื่อให้มีการคิดวิธีรับมือและแก้ไขปัญหาได้ต่อไป

ดูแลรักษาความลับขององค์กร

เรียกว่าเป็น DPO หรือก็คือ เจ้าหน้าที่ปกป้องข้อมูลแล้ว การดูแลรักษาความลับและปลอดภัยของข้อมูลส่วนบุคคลนับเป็นหนึ่งในหน้าที่ที่สำคัญอย่างมาก โดยในการให้ความรู้ การตรวจสอบหรือการประสานงานทุกครั้งจะต้องปกป้องดูแลและรักษาความลับอยู่เสมอ

ทำไมทุกองค์กรควรมี DPO

เหตุผลที่ทุกองค์กรควรมีการจัดตั้งทีม DPO เข้ามาดูแลรักษาข้อมูลส่วนบุคคลนั้น นอกจากการปกป้องข้อมูลแล้ว ยังเป็นการป้องกันความผิดพลาดที่อาจเกิดขึ้นจากความไม่รู้ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลซึ่งสามารถส่งผกระทบต่อชื่อเสียงขององค์กรได้ ยิ่งเมื่อมีการประกาศใช้ PDPA เกิดขึ้นแล้ว การละเมิด PDPA ยังมีโทษตามกฎหมายทั้งทางแพ่ง ทางอาญาและทางปกครองอีกด้วย 

การดูแลข้อมูลส่วนบุคคลให้ดีนั้นเป็นเรื่องที่ต้องหันมาให้ความสำคัญกันมากขึ้น ยิ่งเมื่อมีกฎหมาย PDPA เข้ามาช่วยคุ้มครองยิ่งทำให้ทุกคนได้รับความปลอดภัยกันมากขึ้น ด้วยเหตุนี้องค์กรที่มีการใช้ข้อมูลส่วนบุคคลอยู่เสมอ ไม่ว่าจะเป็นข้อมูลภายในอย่างข้อมูลส่วนตัวของพนักงานหรือข้อมูลภายนอกอย่างข้อมูลส่วนตัวของลูกค้า ต่างก็ควรได้รับการดูแลอย่างเข้มงวดตามไปด้วย