ดร.อุดมธิปก ไพรเกษตร ผู้ก่อตั้ง PDPA Thailand และประธานกรรมการบริหาร บริษัท ดีบีซี กรุ๊ป จำกัด (DBC Group) เปิดเผยว่า จากกรณีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ออกกฎหมายลำดับรองที่เกี่ยวกับองค์กร ที่ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) ตามมาตราที่ 41 ครบถ้วนเมื่อวันที่ 14 ก.ย. 66 ที่ผ่านมา หลังจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือกฎหมาย PDPA มีผลบังคับใช้โดยสมบูรณ์ เมื่อวันที่ 1 มิ.ย. 65 ซึ่งมาตรา 41 ของกฎหมายฉบับนี้ องค์กรที่ต้องมี DPO จะมี 3 กลุ่ม ประกอบด้วย
กลุ่มที่ 1 คือ หน่วยงานรัฐ, กลุ่มที่ 2 คือ หน่วยงานที่จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ และมีข้อมูลส่วนบุคคลเป็นจำนวนมาก และกลุ่มที่ 3 คือ องค์กรที่มีการใช้ข้อมูลอ่อนไหวหรือข้อมูลลักษณะพิเศษตามมาตรา 26 ซึ่งขณะนี้มีการประกาศองค์กรที่ต้องมี DPO ครบถ้วนแล้ว หากองค์กรไม่มี DPO ตามประกาศจะมีโทษทางปกครองตามมาตราที่ 52 และมาตราที่ 85 ของกฎหมายฉบับนี้ มีโทษปรับทางปกครองสูงสุด 1 ล้านบาท
“นอกจากหน่วยงานรัฐแล้ว หน่วยงานอื่นที่ต้องมี DPO เช่น สถานพยาบาล บริษัทประกันชีวิต ประกันภัย หน่วยงานที่ให้สินเชื่อบุคคลทุกประเภท บริษัทที่มีระบบสมาชิกในรูปแบบอิเล็กทรอนิกส์ บริษัทจัดหางาน ห้างสรรพสินค้า บริษัทที่ขายของออนไลน์ หรือให้บริการข้อมูลหรือสารสนเทศในระบบอิเล็กทรอนิกส์ เป็นต้น ซึ่งกฎหมายกำหนดให้องค์กรเหล่านี้ ต้องมี DPO ไว้คอยให้คำแนะนำแก่เจ้าของธุรกิจและเจ้าหน้าที่ภายในบริษัท ให้สามารถดำเนินการตามที่กฎหมายกำหนดได้” ดร.อุดมธิปก กล่าว
ทั้งนี้ ตามกฎหมาย DPO จะมีบทบาทหน้าที่ช่วยองค์กรตามมาตรา 42 ได้แก่ 1. ช่วยในการให้ความรู้และคำปรึกษากับองค์กรเกี่ยวกับ PDPA 2.ตรวจสอบการทำงาน PDPA ขององค์กร 3. ประสานงานเกี่ยวกับการดำเนินการคุ้มครองข้อมูลส่วนบุคคลกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และเจ้าของข้อมูลส่วนบุคคล และ 4. รักษาความลับของข้อมูลส่วนบุคคลที่เกิดจากการทำงานตามกฎหมายนี้
ดร.อุดมธิปก กล่าวต่อว่า กฎหมายไม่ได้กำหนดคุณสมบัติของ DPO ว่าจะต้องจบอะไร มีความรู้แบบไหน อายุเท่าไร แต่เนื่องจาก DPO จะช่วยให้องค์กรปฏิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง จึงควรมีความรู้และความเข้าใจกฎหมาย PDPA เข้าใจกระบวนการทางธุรกิจว่ามีการเก็บประมวลผล ใช้ข้อมูลส่วนบุคคล แบบไหนและอย่างไร และต้องมีความเข้าใจระบบเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับการทำงานและการรักษาความปลอดภัยข้อมูล ตลอดจนสามารถสื่อสารกับบุคคลภายในและภายนอกได้
“DPO จึงไม่จำเป็นต้องเป็นนักกฎหมายหรือไอที แต่ห้ามมีความขัดแย้งผลประโยชน์ในหน้าที่การงานที่รับผิดชอบ เช่น เป็นผู้ใช้ข้อมูลส่วนบุคคลในองค์กร แต่มาดูเรื่องการทำ DPO ขององค์กรไม่ได้ ขณะเดียวกันบางองค์กร DPO ไม่สามารถทำงานคนเดียวได้ เพราะมีภารกิจมากมาย ดังนั้น DPO ที่ดี จึงต้องมีความรู้และทักษะที่เป็นสหวิทยาการ 3 ด้าน +1 คือ เข้าใจกฎหมาย ไอที และธุรกิจ และสื่อสารได้ หลายองค์กรจึงอาจจะตั้ง DPO เป็นตำแหน่งใหม่ หรือใช้บุคคลที่มีหน้าที่รับผิดชอบช่วยทีมสนับสนุน หรืออาจจะมีหลายคนในรูปแบบคณะทำงาน หรือ Outsource ให้บุคคลหรือองค์กรอื่นดูแล
ด้านนายสุกฤษ โกยอัครเดช ประธานเจ้าหน้าที่ฝ่ายปรึกษาและสอบทาน บริษัท ดีบีซี กรุ๊ป จำกัด (DBC Group) กล่าวว่า เพื่อตอบโจทย์องค์กรที่มีความจำเป็นต้องมี DPO บริษัท ดีบีซี กรุ๊ป จำกัด จึงได้ร่วมกับ PDPA Thailand และสถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) จัดทำหลักสูตร DPO in Action เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภาคปฏิบัติขึ้นมา โดยหลักสูตรนี้เหมาะกับองค์กรที่ต้องการมี DPO ในองค์กร เพราะจะช่วยเตรียมความพร้อมให้ DPO ปฏิบัติตาม PDPA ได้อย่างถูกต้อง แม่นยำ ลดความเสี่ยงและความผิดพลาดที่จะเกิดขึ้น
“สำหรับหลักสูตรนี้ ออกแบบเฉพาะให้ผู้เข้าอบรม ได้มีความรู้ความเข้าใจในหลักการ ทฤษฎี กฎหมาย แนวปฏิบัติ และกรณีศึกษา ผ่านการศึกษาทั้งในรูปแบบ e-Learning รวมทั้งการฟังบรรยายและแลกเปลี่ยนในห้องเรียน พร้อมทั้งการฝึกปฏิบัติเพื่อให้เกิดทักษะในการปฏิบัติหน้าที่ตามมาตรา 42 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อย่างแท้จริง”
