
ชวนรู้จักอาชีพเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล DPO-Data Protection Officer ตามกฎหมาย PDPA บังคับองค์กร-ธุรกิจกว่า 20,000 แห่ง ไม่มีตำแหน่งนี้ปรับเป็นล้าน เช็ก องค์กร-หน่วยงาน-ธุรกิจใดบ้างที่ต้องมี DPO เงินเดือนเท่าไหร่ ทำงานอะไร ต้องมีทักษะอย่างไร
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 PDPA บังคับใช้แล้วเมื่อปีที่ผ่านมา ล่าสุดมีการออกประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566 ครอบคลุมหน่วยงานภาครัฐ ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) ตามมาตราที่ 41 เมื่อวันที่ 18 กันยายน 2566 ที่ผ่านมา
ประกาศดังกล่าวทำให้เกิดขยายการบังคับใช้ครอบคลุมองค์กรรัฐ จากเดิมที่มีการออกประกาศ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41(2) แห่ง พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เมื่อวันที่ 14 ก.ย.2566 ทำให้องค์กรรัฐ-เอกชน รวมแล้วกว่า 20,000 องค์กร ที่ต้องมี เจ้าหน้าที่ DPO ตามกฎหมายหลัก
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล DPO จะมีหน้าที่ตามกฎหมายตามมาตรา 42 ได้แก่ 1.ช่วยในการให้ความรู้และคำปรึกษากับองค์กรเกี่ยวกับ PDPA 2.ตรวจสอบการทำงาน PDPA ขององค์กร 3.ประสานงานเกี่ยวกับการดำเนินการคุ้มครองข้อมูลส่วนบุคคลกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และเจ้าของข้อมูลส่วนบุคคล 4.รักษาความลับของข้อมูลส่วนบุคคลที่เกิดจากการทำงานตามกฎหมายนี้
อาชีพ DPO มีมาก่อนที่จะมีการประกาศใช้กฎหมาย PDPA ในกลุ่มธุรกิจและองค์กรที่ต้องมีการแลกเปลี่ยนข้อมูลส่วนบุคคล เช่น บริษัท สายการบิน ที่ต้องเก็บรักษาข้อมูลส่วนตัวผู้เดินทางของผู้คนในยุโรป ที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GDPR) หรือประเทศอื่น ๆ ที่มีกฎหมายลักษณะเดียวกัน
เมื่อสำรวจในตลาดแรงงานพบว่า อาชีพ DPO มีรายได้เฉลี่ยเดือนละ 40,000-80,000 บาทต่อเดือน ตามความสามารถ เนื่องจากบางองค์กรไม่ได้มีแค่ DPO คนเดียวตามกฎหมาย แต่มีการตั้งแผนกขึ้นมาเพื่อทำงานด้านการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ
องค์กร-หน่วยงานใดบ้างที่ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล DPO
ดร.อุดมธิปก ไพรเกษตร ผู้ก่อตั้งสื่อ PDPA Thailand และประธานกรรมการบริหาร บริษัท ดีบีซี กรุ๊ป จำกัด (DBC Group) ผู้ให้บริการให้คำปรึกษา สอบทาน ฝึกอบรม ทดสอบ เพื่อบริหารความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า กฎหมายลำดับรองที่ประกาศล่าสุดครอบคลุมหน่วยงานภาครัฐส่วนกลาง และส่วนท้องถิ่น (อบต. เทศบาล) และองค์กรเอกชนมีการเก็บข้อมูลจำนวนมาก ซึ่งรวม ๆ จะมีมากกว่า 20,000 องค์กร
“มาตรา 41 ของ พ.ร.บ.PDPA องค์กรที่ต้องมี DPO จะมี 3 กลุ่ม โดยที่กลุ่มที่ 1 คือ หน่วยงานรัฐ กลุ่มที่ 2 คือ หน่วยงานที่จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ และมีข้อมูลส่วนบุคคลเป็นจำนวนมาก และกลุ่มที่ 3 คือ องค์กรที่มีการใช้ข้อมูลอ่อนไหวหรือข้อมูลลักษณะพิเศษตาม มาตรา 26 ของ พ.ร.บ.PDPA”
ขณะนี้มีการประกาศองค์กรที่ต้องมี DPO ครบถ้วนแล้ว ทั้งนี้ องค์กรที่ไม่มี DPO ตามประกาศ จะมีโทษทางปกครองตามมาตราที่ 52 และมาตราที่ 85 ของ พ.ร.บ.PDPA
“การลงโทษยังไม่มีความชัดเจน เนื่องจากเป็นโทษทางปกครองอาจจะต้องมีการตรวจสอบร้องเรียนก่อน แต่หากมีการพบว่าไม่มีเจ้าหน้าที่ DPO และมีผู้ร้องเรียนจะถูกสั่งปรับทางปกครองกรณีละ 1,000,000 บาท นี่จะเป็นตัวเร่งให้องค์กรต้องมีตำแหน่งนี้”
ดร.อุดมธิปกกล่าวด้วยว่า นอกจากหน่วยงานรัฐแล้ว หน่วยงานอื่นที่ต้องมี DPO เช่น สถานพยาบาล บริษัทประกันชีวิต ประกันภัย หน่วยงานที่ให้สินเชื่อบุคคลทุกประเภท บริษัทที่มีระบบสมาชิกในรูปแบบอิเล็กทรอนิกส์ บริษัทจัดหางาน ห้างสรรพสินค้า บริษัทที่ขายของออนไลน์ หรือให้บริการข้อมูลหรือสารสนเทศในระบบ
อย่างไรก็ตาม องค์กร สามารถแต่งตั้งพนักงานที่มีอยู่เพื่อเป็นเจ้าหน้าที่ DPO ได้ แต่คนนั้นต้องมีความรู้ความสามารถและทำงานคุ้มครองข้อมูลอย่างเป็นระบบ เพราะหากมีการตรวจสอบย้อนหลังแล้วพบว่าไม่มีการจัดการที่ดี คนที่เป็นจำเลยที่ 1 คือ บริษัท จำเลยที่ 2 คือ กรรมการ แล้วถึงเป็นพนักงาน
DPO ต้องมีทักษะอะไรบ้าง
ดร.อุดมธิปกกล่าวว่า ตามกฎหมายไม่ได้กำหนดคุณสมบัติของ DPO ว่าจะต้องจบอะไร มีความรู้แบบไหน อายุเท่าไร แต่เนื่องจาก DPO จะช่วยให้องค์กรปฏิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง จึงควรมีความรู้และความเข้าใจกฎหมาย PDPA
เข้าใจกระบวนการทางธุรกิจว่ามีการเก็บประมวลผล ใช้ข้อมูลส่วนบุคคล แบบไหนและอย่างไร และต้องมีความเข้าใจระบบเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับการทำงานและการรักษาความปลอดภัยข้อมูล ตลอดจนสามารถสื่อสารกับบุคคลภายในและภายนอกได้
“DPO จึงไม่จำเป็นต้องเป็นนักกฎหมายหรือไอที แต่ห้ามมีความขัดแย้งผลประโยชน์ในหน้าที่การงานที่รับผิดชอบ เช่น เป็นผู้ใช้ข้อมูลส่วนบุคคลในองค์กร หรือ HR แต่มาดูเรื่องการทำ DPO ขององค์กรไม่ได้
ขณะเดียวกัน บางองค์กร DPO ไม่สามารถทำงานคนเดียวได้ เพราะมีภารกิจมาก บางธุรกิจที่มีการใช้ข้อมูลส่วนบุคคลมาก เช่น การทำแคมเปญการตลาด การยิงโฆษณาที่ต้องเก็บข้อมูลผู้ใช้และยิงข้อเสนอให้ตรงจุด DPO อาจจะต้องเข้าร่วมประชุมทุกครั้งเพื่อช่วยคัดกรองแผนว่าข้อมูลอะไรเก็บได้ อะไรไม่ควรเก็บให้มากเกินไป”
ดังนั้น DPO จึงต้องมีความรู้และทักษะที่เป็นสหวิทยาการ 3 ด้าน +1 คือ เข้าใจกฎหมาย ไอที และธุรกิจ และสื่อสารได้ หลายองค์กรจึงอาจจะตั้ง DPO เป็นตำแหน่งใหม่ หรือใช้บุคคลที่มีหน้าที่รับผิดชอบช่วยทีมสนับสนุน หรืออาจจะมีหลายคนในรูปแบบคณะทำงาน หรือ Outsource ให้บุคคลหรือองค์กรอื่นดูแล
ปัจจุบันมีการจ้าง DPO เป็นฟรีแลนซ์เพื่อให้คำปรึกษา และสอบทานการเก็บ-ใช้ข้อมูลส่วนบุคคลเฉพาะกรณี อาจต้องเข้าไปนั่งที่ออฟฟิศ หรือทำในรูปแบบประชุมออนไลน์ก็ได้
SMEs ต้องมี DPO ไหม
ดร.อุดมธิปกกล่าวว่า การประกาศกฎหมายลักษณะนี้ผลกระทบจะเกิดกับธุรกิจที่ไม่ใหญ่ ไม่มีเงินจ้างพนักงานเพิ่ม หรือเพิ่มต้นทุน แต่เมื่อพิจารณาจากเงื่อนไขที่ว่า องค์กรที่ต้องมี DPO คือ
- หน่วยงานรัฐ
- หน่วยงานที่จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ และมีข้อมูลส่วนบุคคลเป็นจำนวนมาก
- องค์กรที่มีการใช้ข้อมูลอ่อนไหวหรือข้อมูลลักษณะพิเศษ (คลินิก สถานพยาบาล สถานบำบัดยาเสพติด)
โดยองค์กร SMEs ส่วนใหญ่อาจยังไม่เข้าข่าย แต่อย่างไรก็ตาม การที่เจ้าของธุรกิจจะจัดจ้างคนเข้ามาทำงาน SMEs จะหาคนยากกว่า ดังนั้นหากพนักงานรุ่นใหม่ ๆ ทุกคนมีองค์ความรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเข้ามาร่วมงาน จะเกิดข้อได้เปรียบเมื่อต้องทำธุรกิจกับต่างชาติที่มีเช็กลิสต์ตรวจสอบมาตรฐานของคู่ค้า
แม้จะไม่เกี่ยวข้องกับการการคุ้มครองข้อมูลส่วนบุคคล เช่น การเช่าโกดัง ที่ไม่เกี่ยวกับบุคคลเลย แต่หากมีคู่ค้าที่เป็นบริษัทยุโรป หรือญี่ปุ่น ที่เขามีมาตรฐานเรื่องนี้ เขาจะเพิ่มเข้าไปในเช็กลิสต์ ทำให้ธุรกิจ SMEs ที่มีคนที่มีความรู้ความเข้าใจเกี่ยวกับการจัดทำระบบเก็บ-ใช้-คุ้มครอง ข้อมูลส่วนบุคคล จะเป็นตัวเลือกที่ดีกว่า เพราะถือว่าอยู่ในมาตรฐานเดียวกัน