เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

Cap & Corp Forum

บุคคลที่เข้ามาเกี่ยวข้องโดยตรงกับการคุ้มครองข้อมูลส่วนบุคคล นอกจากจะมี “เจ้าของข้อมูลส่วนบุคคล” “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” แล้ว พ.ร.บ.พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยังได้กำหนดตัวละครขึ้นมาอีกคนหนึ่งเพื่อทำหน้าที่เสมือนผู้คุ้มกฎขององค์กร (gatekeeper) ในการสอดส่องดูแลและให้คำแนะนำในการปฏิบัติตาม พ.ร.บ.พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯ อันได้แก่ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (data protection officer) หรือที่ในภาคธุรกิจมักเรียกกันว่า “DPO” นั่นเอง

โดยในพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ บัญญัติเกี่ยวกับอำนาจหน้าที่ของ DPO ไว้ในมาตรา 41 และ 42 ซึ่งเป็นการบัญญัติไปในทิศทางเดียวกับ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (มาตรา 37-39 GDPR) และโดยผลของกฎหมาย หากองค์กรใดมี DPO ก็จะต้องแจ้งข้อมูลสถานที่ติดต่อและวิธีการติดต่อ DPO ให้กับเจ้าของข้อมูลส่วนบุคคลทราบด้วย เพื่อให้สามารถร้องเรียนและใช้สิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ

ในทางกฎหมายและทางปฏิบัติมีประเด็นที่น่าสนใจเกี่ยวกับ DPO หลาย ๆ ประการ ดังนี้

1.DPO ภาคบังคับ องค์กรใดต้องมี DPO บ้าง

ทั้ง GDPR และพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดไปในทิศทางเดียวกันว่า DPO เป็นตำแหน่งบังคับที่ต้องมีสำหรับกิจการบางลักษณะเท่านั้น โดยในพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ บัญญัติไว้ในมาตรา 41 สำหรับกรณีที่ต้องจัดให้มีเจ้าหน้าที่ควบคุมข้อมูลส่วนบุคคลใน 3 กรณี ดังต่อไปนี้

(1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็น “หน่วยงานของรัฐ” ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

(2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ และเปิดเผย จำเป็นต้องมีการตรวจสอบข้อมูลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

(3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26

จะเห็นว่าตามมาตรา 41 นั้นจะต้องรอการกำหนดรายละเอียดโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเสียก่อน เว้นแต่ตามมาตรา 41(3) ที่โดยสภาพกฎหมายบังคับทันทีหากมีการประมวลผลข้อมูลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรมและข้อมูลชีวภาพตามมาตรา 26

2.DPO ภาคสมัครใจ อำนาจหน้าที่และความคุ้มครองตามกฎหมาย

ในกรณีที่กฎหมายมิได้บังคับแต่องค์กรใดกำหนดให้มี DPO ประเด็นที่ตามมาคือ อำนาจหน้าที่และความรับผิดชอบต่าง ๆ ของ DPO ตามที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดไว้จะใช้บังคับกับ DPO ภาคสมัครใจนั้นด้วยหรือไม่ ซึ่งในส่วนนี้หากยึดถือตามแนวปฏิบัติของ GDPR จะถือว่ากฎเกณฑ์ต่าง ๆ ของ GDPR จะใช้บังคับด้วยสำหรับ DPO ภาคสมัครใจ ซึ่งผู้เขียนเองก็เห็นด้วยและส่งเสริมให้บังคับไปในทิศทางดังกล่าว เนื่องจากการมี DPO จะช่วยสร้างกลไกการตรวจสอบและถ่วงดุลการใช้ประโยชน์ของข้อมูลส่วนบุคคลไปในทางคุ้มครองสิทธิของปัจเจกชนอย่างมีประสิทธิภาพมากขึ้น

3.คุณสมบัติของ DPO

โดยหลักการ DPO ต้องเป็นบุคคลธรรมดา โดยอาจจะเป็นบุคคลภายในหรือภายนอกองค์กรก็ได้ หรืออาจเป็นผู้รับจ้างให้บริการตามสัญญากับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้ (มาตรา 41) ส่วนรายละเอียดอื่น ๆ เกี่ยวกับคุณสมบัติของ DPO นั้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดไว้ว่า “คณะกรรมการอาจประกาศกำหนดคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้โดยคำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งส่วนนี้ก็ยังคงต้องรอความชัดเจนต่อไปในอนาคต

คุณสมบัติสำคัญที่สุดของ DPO คือ ต้องเป็นผู้มีความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และต้องไม่ปฏิบัติภารกิจใดที่ขัดหรือแย้งกับการปฏิบัติหน้าที่ตามกฎหมายด้วย (conflict of interest) (มาตรา 42) โดย Network of Data Protection Officers ให้ข้อแนะนำว่า DPO ควรมีประสบการณ์อย่างน้อย 3 ปี เกี่ยวกับการประมวลผลและการคุ้มครองข้อมูลส่วนบุคคล และ 7 ปี หากเป็น DPO สำหรับองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลจำนวนมาก และเพื่อป้องกันปัญหาการขัดกันแห่งผลประโยชน์ บุคคลในตำแหน่งต่อไปนี้ไม่ควรทำหน้าที่เป็น DPO ได้แก่ ผู้บริหารระดับสูงขององค์กร อาทิ ตำแหน่ง Chief ต่าง ๆ เป็นต้น หัวหน้าแผนกการตลาด HR และ IT เป็นต้น (ข้อแนะนำตาม WP29)

4.หน้าที่ของ ผู้ควบคุมข้อมูลส่วนบุคคลและ ผู้ประมวลผลข้อมูลส่วนบุคคลต่อ DPO

(1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ (มาตรา 42 วรรค 2)

(2) การให้หลักประกันการทำงาน (มาตรา 42 วรรค 3)

“ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจะให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ไม่ได้ ทั้งนี้ในกรณีที่มีปัญหาในการปฏิบัติหน้าที่ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องสามารถรายงานไปยังผู้บริหารสูงสุดของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลโดยตรงได้”

ข้อห้ามเรื่องการเลิกสัญญาการจ้างหรือให้ออกจากงานถือเป็นหลักประกันสำคัญอย่างยิ่งในการปฏิบัติหน้าที่ของ DPO ที่อาจมีการขัดกันระหว่างผลประโยชน์ทางธุรกิจของบริษัท และการคุ้มครองสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล

5.หน้าที่ของ DPO

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดหนดหน้าที่ของ DPO ไว้ในมาตรา 42 ดังต่อไปนี้

(1) ให้คำแนะนำเกี่ยวกับการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ แก่ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ลูกจ้าง และผู้รับจ้างของทั้งผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคล

(2) ตรวจสอบการดำเนินงานเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลของมูลส่วนบุคคล และบุคคลอื่นที่เกี่ยวข้อง

(3) ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่เกิดปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

(4) รักษาความลับของข้อมูลส่วนบุคคลที่ล่วงรู้จากการปฏิบัติหน้าที่ ซึ่งหน้าที่ในการรักษาความลับนี้หากฝ่าฝืนก็อาจมีความรับผิดทางอาญาตามมาได้อีกด้วย โดยอาจต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ (มาตรา 80)

ยังมีประเด็นน่าสนใจและกรณีศึกษาเกี่ยวกับ DPO อีกหลายประการ ไว้ผู้เขียนจะมานำเสนอในครั้งต่อ ๆ ไป

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)