หลายองค์กรในประเทศไทยยังไม่ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ตามที่กฎหมายกำหนด จึงจำเป็นต้องหา DPO จากภายนอก หรือ Outsourced DPO มาช่วยทำหน้าที่แทน
แต่การเลือก DPO ที่เหมาะสมนั้นไม่ใช่เรื่องง่าย เนื่องจากเป็นตำแหน่งใหม่ที่ต้องอาศัยทักษะ ความรู้ ประสบการณ์ที่หลากหลาย ทั้งด้านกฎหมาย เทคโนโลยี และการจัดการความเสี่ยง
ALPHASEC ผู้ให้บริการที่ปรึกษาด้านการคุ้มครองข้อมูลและ DPO แนะนำให้ใช้ 21 คำถามต่อไปนี้ ซึ่งรวบรวมโดยสถาบัน IAPP (International Association of Privacy Professionals) เป็นแนวทางในการสัมภาษณ์และคัดเลือก DPO ที่เหมาะสมกับองค์กร
1. คุณมีประสบการณ์เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Privacy Law), การคุ้มครองข้อมูลส่วนบุคคล (Data Protection) และความมั่นคงปลอดภัยสารสนเทศ (Information Security) มากี่ปีแล้ว?
2. คุณมีประสบการณ์ด้านการตรวจสอบระบบสารสนเทศ (IS Auditing), โครงสร้างพื้นฐานระบบสารสนเทศ (IT Infrastructure), การจัดการข้อมูล (Data Management), การบริหารความเสี่ยง (Risk Management) และการพัฒนาระบบ (Software Programming) มากี่ปี?
3. คุณมีใบรับรองวิชาชีพ (Professional Certification) ที่เกี่ยวข้องกับความเป็นส่วนตัวหรือความปลอดภัยใดบ้าง และยังมีอายุหรือไม่? เช่น CIPP/E, CIPM, CIPT, CDPSE, CISSP, CISA เป็นต้น
4. คุณเป็นสมาชิกขององค์กรวิชาชีพ (Professional Association) ใดบ้างที่เกี่ยวข้องกับการคุ้มครองข้อมูล?
5. หากเป็น DPO คุณจะใช้วิธีการประเมินความเสี่ยง (Risk Assessment) ตามแนวทางใด และเพราะเหตุใด?
6. คุณมีประสบการณ์กับการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment: DPIA), การรับรองมาตรฐานความเป็นส่วนตัว และการรับรองระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System) ประเภทใดบ้าง?
7. คุณเคยทำงานโครงการหรือองค์กรประเภทใดบ้าง?
8. คุณเคยปฏิบัติงานในประเทศใดบ้าง?
9. คุณจะปฏิบัติงานในประเทศไทย ตลอดระยะเวลาของสัญญาได้หรือไม่?
10. คุณมีวิธีการอย่างไรในการติดตามแนวโน้มเทคโนโลยีและกฎหมายที่เกิดขึ้นใหม่?
11. คุณจะรักษาความเป็นอิสระ (Independence) ในขณะทำงานร่วมกับเราอย่างใกล้ชิดได้อย่างไร?
12. คุณหรือบริษัทของคุณมีความขัดแย้งทางผลประโยชน์ (Conflict of Interest) ที่มีอยู่หรืออาจเกิดขึ้นในการรับบทบาท DPO นี้หรือไม่?
13. คุณจะต้องพึ่งพาความรู้ ประสบการณ์ และความสามารถของบริษัทคุณมากน้อยแค่ไหนเพื่อเสริมความสามารถของคุณ?
14. คุณสามารถให้คำแนะนำทางกฎหมายเกี่ยวกับการคุ้มครองข้อมูลได้หรือไม่? ขอบเขตของคำแนะนำนั้นคืออะไร และคุณจะส่งต่อประเด็นที่นอกเหนือจากขอบเขตนั้นอย่างไร?
15. คุณมีประสบการณ์และภาระผูกพันทางจริยธรรมอย่างไรในการรักษาความลับ (Confidentiality)?
16. คุณเคยสอนหรือให้ความรู้ในหัวข้อใดบ้าง?
17. คุณมีความสัมพันธ์อย่างไรกับหน่วยงานกำกับดูแล?
18. คุณคุ้นเคยกับอุตสาหกรรม เทคโนโลยี และกระบวนการของเรามากน้อยเพียงใด?
19. คุณจะจัดการกับความเสี่ยงในการถูกฟ้องร้องทางกฎหมายที่อาจเกิดขึ้นจากบทบาท DPO นี้อย่างไร?
20. คุณจะแจ้งคณะกรรมการบริษัทเกี่ยวกับกิจกรรมของคุณบ่อยแค่ไหนและในรูปแบบใด?
21. หากเป็น DPO ให้เรา คุณจะเริ่มต้นทำอะไรเป็น 3 อย่างแรก?
คุณสามารถใช้คำถามข้างต้นเป็นแนวทางในการคัดเลือก DPO ภายนอกที่เหมาะสมกับองค์กรของคุณ และหากต้องการความช่วยเหลือเพิ่มเติม สามารถติดต่อ ALPHASEC เราพร้อมให้คำปรึกษาด้านการคุ้มครองข้อมูลและบริการ DPO ภายนอกที่ตอบโจทย์ทุกความต้องการ ด้วยทีมงานผู้เชี่ยวชาญ มั่นใจได้ในคุณภาพและประสิทธิภาพที่คุ้มค่าต่อการลงทุน