บทบาท
DPO (Data Protection Officer)
บทบาทในองค์กรที่รับผิดชอบดูแลกลยุทธ์การคุ้มครองข้อมูลและให้แน่ใจว่าปฏิบัติตามกฎหมาย privacy อย่าง PDPA และ GDPR จำเป็นเมื่อองค์กรประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหวในระดับใหญ่ หรือ monitor เจ้าของข้อมูลอย่างเป็นระบบ
Data Protection Officer (DPO) คือบุคคลที่กำหนดให้ดูแลการปฏิบัติตามกฎหมายคุ้มครองข้อมูลขององค์กร ทั้ง PDPA (ไทย) และ GDPR (EU) กำหนดเมื่อใดที่ DPO บังคับและบทบาทคืออะไร
DPO ต้องถูกแต่งตั้งเมื่อ:
- องค์กรเป็นหน่วยงานราชการ
- กิจกรรมหลักเกี่ยวข้องกับการ monitor เจ้าของข้อมูลอย่างปกติและเป็นระบบในระดับใหญ่
- กิจกรรมหลักเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลอ่อนไหวในระดับใหญ่ (สุขภาพ การเงิน biometric ฯลฯ)
ความรับผิดชอบของ DPO:
- แจ้งและให้คำแนะนำองค์กรและพนักงานเกี่ยวกับภาระหน้าที่ด้านการคุ้มครองข้อมูล
- monitor การปฏิบัติตามกฎหมายและนโยบายภายใน
- ให้คำแนะนำเกี่ยวกับ Data Protection Impact Assessments
- ร่วมมือกับหน่วยงานกำกับ (PDPC ในไทย) และเป็นจุดติดต่อสำหรับเจ้าของข้อมูล
DPO ต้องสามารถปฏิบัติหน้าที่ได้อย่างอิสระ — ไม่สามารถถูกสั่งให้ลด principles ด้านการคุ้มครองข้อมูล และไม่ควรมีความรับผิดชอบที่ขัดแย้ง (CISO บางครั้งทำหน้าที่เป็น DPO ได้ แต่ Head of Marketing ทำไม่ได้)
DPO ไม่จำเป็นต้องเป็นพนักงาน full-time SME ส่วนมากใช้ external DPO แบบ retainer
Sources
- [2]Royal Thai Government. Personal Data Protection Act B.E. 2562 (2019). Ministry of Digital Economy and Society, Thailand, 2019. https://www.pdpc.or.th
- [2]Royal Thai Government. Personal Data Protection Act B.E. 2562 (2019). Ministry of Digital Economy and Society, Thailand, 2019. https://www.pdpc.or.th