PDPA Thailand ปั้นหลักสูตรสร้าง DPO ลดความเสี่ยงผิดกฎหมาย PDPA

นายอุดมธิปก ไพรเกษตร ผู้ก่อตั้งสื่อ PDPA Thailand และประธานกรรมการบริหาร บริษัท ดีบีซี กรุ๊ป จำกัด (DBC Group) กล่าวว่า กฎหมายลูกของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือกฎหมาย PDPA มาตรา 41 ระบุให้หน่วยงานต่างๆต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) ซึ่งองค์กรที่ต้องมี DPO ประกอบด้วย 3 กลุ่ม ได้แก่ หน่วยงานรัฐที่กฎหมายกำหนด จำนวน 65 หน่วยงาน ,หน่วยงานที่จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ และมีข้อมูลส่วนบุคคลเป็นจำนวนมาก ซึ่งกลุ่มนี้มีประมาณ 10,000 หน่วยงาน เช่น สถาบันการเงิน บริษัทประกัน อีคอมเมิร์ซ เป็นต้น และกลุ่มองค์กรที่มีการใช้ข้อมูลอ่อนไหวหรือข้อมูลลักษณะพิเศษตาม มาตรา 26 ได้แก่ คลินิก บริษัทรักษาความปลอดภัย เป็นต้น ซึ่งกลุ่มหลังนี้ไม่สามารถบอกจำนวนที่มีในประเทศไทยได้

ขณะนี้มีการประกาศองค์กรที่ต้องมี DPO ครบถ้วนแล้ว หากองค์กรไม่มี DPO ตามประกาศจะมีโทษทางปกครองตามมาตราที่ 52 และมาตราที่ 85 ของกฎหมายฉบับนี้ มีโทษปรับทางปกครองสูงสุด 1 ล้านบาท ซึ่งบริษัทใหญ่คงสามารถทำตามกฎหมายได้ แต่ SME ไม่มีทุนทรัพย์ในการหากำลังคนได้ PDPA Thailand จึงจับมือกับหน่วยงานต่างๆในการเสริมศักยภาพให้ SME 

อย่างไรก็ตาม แม้ว่ากฎหมายไม่มีการระบุชัดเจนถึงคุณสมบัติของ DPO แต่ในภาพรวมแล้ว DPO ต้องมีความรอบรู้ 3 ด้าน ได้แก่ ความรู้เรื่องกฎหมายเกี่ยวกับข้อมูลส่วนบุคคลของประเทศไทย และต่างประเทศ ที่เข้าไปทำธุรกิจด้วย ,ความรู้ด้านไอที และความปลอดภัยไซเบอร์ และความรู้ความเข้าใจในธุรกิจขององค์กรเพื่อวิเคราะห์ได้ถึงความจำเป็นในการเก็บข้อมูลส่วนบุคคลเพื่อไม่ให้ละเมิดหากต้องนำข้อมูลมาทำธุรกิจ เช่น การออกแคมเปญทางการตลาด 

ทั้งนี้ ตามกฎหมาย DPO จะมีบทบาทหน้าที่ช่วยองค์กรตามมาตรา 42 ได้แก่ 1. ช่วยในการให้ความรู้และคำปรึกษากับองค์กรเกี่ยวกับ PDPA 2.ตรวจสอบการทำงาน PDPA ขององค์กร 3. ประสานงานเกี่ยวกับการดำเนินการคุ้มครองข้อมูลส่วนบุคคลกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และเจ้าของข้อมูลส่วนบุคคล 4. รักษาความลับของข้อมูลส่วนบุคคลที่เกิดจากการทำงานตามกฎหมายนี้

นายอุดมธิปก กล่าวว่า DPO ไม่จำเป็นต้องเป็นนักกฎหมายหรือไอที แต่ห้ามมีความขัดแย้งผลประโยชน์ในหน้าที่การงานที่รับผิดชอบ เช่น เป็นผู้ใช้ข้อมูลส่วนบุคคลในองค์กร แต่มาดูเรื่องการทำ DPO ขององค์กรไม่ได้  ขณะเดียวกันบางองค์กร DPO ไม่สามารถทำงานคนเดียวได้ เพราะมีภารกิจมากมาย หลายองค์กรจึงอาจจะตั้ง DPO เป็นตำแหน่งใหม่ หรือใช้บุคคลที่มีหน้าที่รับผิดชอบช่วยทีมสนับสนุน หรืออาจจะมีหลายคนในรูปแบบคณะทำงาน หรือ Outsource ให้บุคคลหรือองค์กรอื่นดูแล

นายสุกฤษ โกยอัครเดช ประธานเจ้าหน้าที่ฝ่ายปรึกษาและสอบทาน บริษัท ดีบีซี กรุ๊ป จำกัด (DBC Group) กล่าวว่า เพื่อตอบโจทย์องค์กรที่มีความจำเป็นต้องมี DPO บริษัท ดีบีซี กรุ๊ป จำกัด จึงได้ร่วมกับ PDPA Thailand และสถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) จัดทำ หลักสูตร DPO in Action เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภาคปฏิบัติขึ้นมา โดยหลักสูตรนี้เหมาะกับองค์กรที่ต้องการมี DPO ในองค์กร เพราะจะช่วยเตรียมความพร้อมให้ DPO รู้ลึก รู้จริง ปฏิบัติตาม PDPA ได้อย่างถูกต้อง แม่นยำ ลดความเสี่ยง และความผิดพลาดที่จะเกิดขึ้น 

สำหรับหลักสูตรนี้ ออกแบบเฉพาะให้ผู้เข้าอบรม ได้มีความรู้ความเข้าใจในหลักการ ทฤษฎี กฎหมาย  แนวปฏิบัติ และกรณีศึกษา ผ่านการศึกษาทั้งในรูปแบบ e-Learning รวมทั้งการฟังบรรยายและแลกเปลี่ยนในห้องเรียน พร้อมทั้งการฝึกปฏิบัติเพื่อให้เกิดทักษะในการปฏิบัติหน้าที่ตามมาตรา 42 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อย่างแท้จริง โดยเนื้อหาหลักสูตรอ้างอิงประกาศหลักสูตรฝึกอบรมเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ด้านนายพงษ์ศักดิ์ ธัมประพาสอัศดร ประธานเจ้าหน้าที่ฝ่ายข้อมูลและนวัตกรรม บริษัท ดีบีซี กรุ๊ป จำกัด (DBC Group) กล่าวว่า นอกจากนี้ บริษัทฯ ได้จัดทำ บริการ DPO Online เพื่อตอบโจทย์องค์กรที่ไม่พร้อมมี DPO มาทำงานเป็นพนักงานประจำ หรือพนักงานประจำที่จะมาเป็น DPO ยังขาดความรู้หรือความชำนาญในระยะแรก และองค์กรไม่ต้องการเสี่ยงที่จะไม่มี DPO ในองค์กร แต่ให้ บริษัท ดีบีซี กรุ๊ป จำกัด เข้ามาช่วยดูแลในการเป็น DPO ให้