3 หน้าที่สำคัญของเจ้าหน้าที่ DPO (Data Protection Officer)
Data Protection Officer หรือ DPO (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ) คือ บุคคลที่มีบทบาทสำคัญในการดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดขององค์กรไม่ว่าจะเป็นทั้งข้อมูลส่วนบุคคลทั้งภายใน หรือภายนอก เช่น ข้อมูลพนักงาน หรือ ข้อมูลลูกค้า ตั้งแต่การเก็บจัดเก็บรวบรวม เปิดเผย และนำข้อมูลไปใช้ รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัย และสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
เจ้าหน้าที่ DPO นั้น จึงเรียกได้ว่ามีหน้าที่ครอบคลุมตั้งแต่การให้คำแนะนำ ตรวจสอบ รวมถึงช่วยจัดการการดำเนินงานด้านข้อมูลส่วนบุคคล ให้เป็นไปอย่างมีประสิทธิภาพ จึงถือว่าเป็นหน้าที่ที่สำคัญมาก และองค์กรจำเป็นต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพราะถ้าไม่ปฏิบัติตาม องค์กรนั้นอาจมีโทษทางปกครองตามกฎหมายได้ โทษทางปกครองโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สูงสุดถึง 1 ล้านบาท
โดย หน้าที่สำคัญของเจ้าหน้าที่ DPO มี 3 หัวข้อหลัก ดังนี้
1. การให้คำแนะนำรายบุคคล (Go-To Person)
เจ้าหน้าที่ DPO จะต้องมีความรู้ความเข้าใจเกี่ยวกับ PDPA และให้คำแนะนำ ชี้แนะ เป็นที่ปรึกษาให้แก่ องค์กร พนักงาน และบุคคลที่เกี่ยวข้องทั้งหมด ให้สามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกรอบของกฎหมาย PDPA
2. การควบคุมภายในองค์กร (Internal Control)
DPO จะต้องเป็นผู้ติดต่อประสานงานกับแผนกต่าง ๆ ภายในองค์กร เพื่อสร้างความรู้ความเข้าใจเกี่ยวกับ PDPA รวมถึงต้องมีการตรวจสอบการประมวลผลข้อมูลส่วนบุคคลของแต่ละแผนก ว่ามีการดำเนินการที่ถูกต้องตามหลักกฎหมาย PDPA หรือไม่?
3. การติดต่อประสานงานภายนอกองค์กร (External Communication)
DPO จะทำหน้าที่เป็นผู้ติดต่อประสานงานกับ เจ้าของข้อมูล ในกรณีมีการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) อีกทั้งเป็นผู้ติดต่อประสานงานกับ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อรายงานการเกิด Data Breach หรือคำร้องเรียนที่เกิดขึ้นในองค์กรด้วย
ดังนั้น เจ้าหน้าที่ DPO มีความสำคัญต่อองค์กรเป็นอย่างมาก โดยเฉพาะบางองค์กรที่กฎหมาย PDPA กำหนดให้มีหน้าที่ต้องแต่งตั้ง DPO ยิ่งต้องรีบแต่งตั้งเจ้าหน้าที่ DPO โดยทันที อีกทั้งต้องมั่นใจได้ว่าผู้ที่ทำหน้าที่นี้ มีความรู้ความเชี่ยวชาญเกี่ยวกฎหมาย PDPA อย่างแท้จริง เพราะถ้าเจ้าหน้าที่ DPO สามารถทำหน้าที่ได้อย่างมีประสิทธิภาพ ก็จะสามารถช่วยให้องค์กรสามารถใช้ข้อมูลส่วนบุคคล ได้อย่างถูกต้องตามกฎหมาย PDPA และป้องกันไม่ให้เกิดปัญหาต่าง ๆ ที่อาจจะเกิดขึ้นได้อีกด้วย