You are using an outdated browser. For a faster, safer browsing experience, upgrade for free today.

Loading...

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ( Data Protection Officer : DPO )

มีหน้าที่อย่างไร
 
สืบเนื่องมาจากการเปลี่ยนแปลงข้อบังคับของ “General Data Protection Regulation (GDPR)” ที่เป็นกฎเกณฑ์ของสหภาพยุโรป ว่าด้วยมาตรการ การปกป้องความเป็นส่วนตัวของข้อมูล ที่มีการบังคับใช้ล่าสุด ซึ่งมีกฎบางประการเพิ่มเดิมจากกฎหมายเก่า GDPR เริ่มมีผลบังคับใช้วันที่ 25 พฤษภาคม 2561 ซึ่งมีความคล้ายคลึงกับกฎหมายเดิม คือ “1995 Data Protection Directive” ที่สหภาพยุโรปได้มีการประกาศใช้ตั้งแต่ปี 2538 เพื่อตอบรับกับความเปลี่ยนแปลงทางเทคโนโลยี ที่สามารถถ่ายโอน และส่งต่อข้อมูลจำนวนมากให้แก่กันได้โดยง่ายด้วยเครือข่ายไร้สาย

GDPR พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กับ GDPR GDPR แตกต่างจาก Data Protection Directive ทั้งในแง่ของ ผู้ให้ข้อมูล (Data Subject) ผู้เก็บข้อมูล (Data Controller) และผู้ประมวลข้อมูล (Data Processor) ได้แก่

มีผลบังคับใช้นอกอาณาเขต (Extra-territorial Applicability) แต่เดิม 1995 Data Protection Directive มีผลบังคับใช้เฉพาะในอาณาเขตสหภาพยุโรปเท่านั้น แต่ GDPR ได้เพิ่มให้มีผลบังคับใช้นอกอาณาเขต หากมีข้อมูลของพลเมืองของสหภาพยุโรป หรือมีข้อมูล ของผู้ที่พ านักในอาณาเขตสหภาพยุโรป เก็บหรือประมวลข้อมูลภายในอาณาเขตสหภาพยุโรป หรือแม้แต่ นำข้อมูลไปใช้เพื่อสินค้าหรือบริการภายในสหภาพยุโรป การป้องกันความเป็นส่วนตัวตั้งแต่ขั้นการออกแบบ (Privacy by Design) การวางแผนระบบให้เข้ากับกฎของ GDPR ต้องเป็นความสำคัญอันดับต้น คือ มีการคำนึงถึงตั้งแต่ ขั้นออกแบบ ไม่เพียงแค่แต่งเติมเสริมขึ้นมาในภายหลัง โดยหลักการนี้ยึดถือปฏิบัติกันในวงการมานานแล้ว แต่ GDPR เพิ่งมีการระบุไว้เป็นตัวบทกฎหมาย

การแจ้งเตือนเหตุรั่วไหลของข้อมูล (Data Breach Notification) เมื่อที่ทราบว่าข้อมูลของตน มีการรั่วไหล ต้องแจ้งต่อทางการและผู้ให้ข้อมูลภายใน 72 ชั่วโมง

เจ้าหน้าที่ดูแลความปลอดภัยของข้อมูล (Data Protection Officer: DPO) ในองค์กรที่มีบุคลากรมากกว่า 250 คน ต้องมีการมอบหมายเจ้าหน้าที่ให้ดูแลด้านความปลอดภัย ของข้อมูลโดยเฉพาะ

โทษ (Penalty) ในกรณีที่ไม่ได้ปฏิบัติตามเงื่อนไขของ GDPR นำไปสู่ความเสี่ยงต่อสิทธิและเสรีภาพของผู้ให้ข้อมูล ก็จะมีโทษตามกฎหมาย โดยโทษสูงสุดคือมีการฝ่าฝืนกฎพื้นฐาน เช่น ไม่ได้รับความยินยอม จากผู้ให้ข้อมูล ต้องโทษปรับถึงร้อยละ 4 ของรายได้ประจำปีทั่วโลก (Annual Global Turnover) แต่ไม่น้อยกว่า 20 ล้านยูโร

ความยินยอมของผู้ให้ข้อมูล (Consent) ข้อความขอเจตจำนงของผู้ให้ข้อมูลต้องเป็นภาษาที่เข้าใจง่ายและเขียนไว้ในบริเวณที่เห็นได้ชัดเจน และผู้ให้ข้อมูลสามารถขอเปลี่ยนความยินยอมที่ให้ไว้ได้ทุกเมื่อ

สิทธิการเข้าถึง (Right to Access) และการถ่ายโอนข้อมูล (Data Portability)

ผู้ให้ข้อมูลสามารถขอทราบว่าผู้เก็บข้อมูลบันทึกข้อมูลใดไว้บ้าง ผู้ประมวลข้อมูลนำข้อมูลส่วนใดไปใช้ เพื่ออะไร รวมถึงสามารถขอสำเนาข้อมูลของตนในรูปแบบดิจิทัลและโอนให้ผู้เก็บหรือผู้ประมวลรายอื่นได้ โดยไม่เสียค่าใช้จ่าย สิทธิการลบ (Right to Erasure) มักเรียกกันว่า สิทธิการถูกลืม (Right to be Forgotten) คือ ผู้ให้ข้อมูลสามารถขอให้ผู้เก็บข้อมูล ลบข้อมูลทุกรายการที่เกี่ยวข้องกับตนเอง และขอให้ผู้ประมวลข้อมูลยุติการใช้ข้อมูลของตนได้ โดยไม่เสียค่าใช้จ่าย

ความเปลี่ยนแปลงทั้งหมดนี้แสดงให้เห็นถึงการย้ายอำนาจและกรรมสิทธิ์ข้อมูลจากเดิมซึ่งเป็นของผู้เก็บข้อมูล และผู้ประมวลข้อมูลไปยังผู้ให้ข้อมูล

หน้าที่ของ DPO
• แจ้งและให้คำปรึกษาแก่องค์กรและพนักงาน เกี่ยวกับข้อปฏิบัติของการปกป้องข้อมูลภายใต้กฎหมาย
• ตรวจสอบความสอดคล้องของการปฏิบัติงานในองค์กรกับกฎหมาย และตรวจสอบนโยบายการปกป้องข้อมูลภายในองค์กรและกระบวนการต่าง ๆ ขององค์กร ฝึกอบรมเพื่อสร้างความตระหนัก และฝึกอบรมพนักงานที่เกี่ยวข้องในกระบวนการดำเนินงานและที่เกี่ยวข้องกับการตรวจสอบ
• ให้คำปรึกษาเกี่ยวกับความจำเป็นของ DPIAs (data protection impact assessments) และ วิธีการดำเนินงานพร้อมผลลัพธ์
• ทำหน้าที่เป็นผู้ประสานงาน รวมไปถึงเป็นผู้มีอำนาจในการปกป้องข้อมูล สำหรับประเด็นเรื่องการปกป้องข้อมูลทั้งหมด รวมทั้งรายงานการละเมิดข้อมูล และ
• ทำหน้าที่ประสานงานสำหรับข้อมูลส่วนบุคคล ในเรื่องความเป็นส่วนตัว รวมทั้งการขอเรียกดูข้อมูลส่วนบุคคล