กฎหมายคุ้มครองข้อมูลส่วนบุคคล
DPO (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล)
Data Protection Officer (DPO)
A DPO oversees PDPA compliance in your organization. Some business types must appoint one by law.
DPO ทำอะไร
DPO ช่วยให้องค์กรปฏิบัติตาม PDPA อย่างเป็นระบบ — ตั้งนโยบาย ประสานงานกับ สคส. (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) และเป็นจุดติดต่อเมื่อมีคำถามด้านข้อมูลส่วนบุคคล
สำหรับ SME ที่ยังไม่ถึงเกณฑ์บังคับแต่งตั้ง DPO การมีบุคลากรที่ผ่านการอบรม PDPA รับผิดชอบเรื่องนี้อย่างชัดเจนก็ช่วยลดความเสี่ยงได้
ใครต้องแต่งตั้ง DPO
ตาม PDPA มาตรา 41 องค์กรบางประเภทต้องแต่งตั้ง DPO เช่น หน่วยงานของรัฐ ธุรกิจที่เก็บข้อมูลส่วนบุคคลจำนวนมาก หรือธุรกิจที่ประมวลผลข้อมูลอ่อนไหวเป็นหลัก
ทำไมบริษัทประกันถึงถามเรื่องนี้
การไม่มีผู้รับผิดชอบด้าน PDPA อย่างชัดเจนสะท้อนความเสี่ยงด้านกฎหมายที่สูงขึ้น เพราะเมื่อเกิดเหตุละเมิดข้อมูลจะไม่มีเจ้าภาพจัดการตามกรอบเวลา บริษัทประกันนำมาพิจารณาเบี้ยและเงื่อนไขการรับประกัน โดยเฉพาะความคุ้มครองส่วนความรับผิดตามกฎหมาย (Liability)
เช็คตัวเอง
องค์กรของคุณมีผู้รับผิดชอบด้าน PDPA ที่ชัดเจน (ไม่ว่าจะเป็น DPO ตามกฎหมายหรือผู้ที่ผ่านการอบรม) แล้วหรือยัง?
ทำแบบประเมินความพร้อม 18 ข้อคำถามที่พบบ่อย
ธุรกิจของฉันต้องแต่งตั้ง DPO ตามกฎหมายไหม
ตาม PDPA มาตรา 41 องค์กรที่ต้องแต่งตั้ง DPO ได้แก่ หน่วยงานรัฐ ธุรกิจที่ประมวลผลข้อมูลส่วนบุคคลจำนวนมากเป็นกิจกรรมหลัก หรือประมวลผลข้อมูลอ่อนไหวเป็นหลัก หากไม่แน่ใจควรปรึกษาที่ปรึกษากฎหมาย
DPO ต้องเป็นพนักงานประจำเท่านั้นไหม
ไม่จำเป็น — สามารถใช้บริการ DPO จากภายนอก (Outsourced DPO) ได้ ซึ่งเหมาะกับ SME ที่ยังไม่มีบุคลากรเฉพาะทางด้านนี้
ถ้ายังไม่ถึงเกณฑ์บังคับ ควรมีผู้ดูแล PDPA ไหม
ควรมี แม้ไม่ถึงเกณฑ์บังคับ การมีผู้รับผิดชอบที่ผ่านการอบรม PDPA ช่วยลดความเสี่ยงถูกปรับ และเป็นสัญญาณที่ดีต่อทั้งลูกค้าและบริษัทประกัน