ปัญหาการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในสถาบันการเงินภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

การดำเนินธุรกิจของสถาบันการเงินไทยนั้นอยู่ภายใต้การกำกับดูแลของหน่วยงานที่เกี่ยวข้องอย่างเข้มงวด โดยหลังจากมีการตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สถาบันการเงินซึ่งเป็นหน่วยงานที่จัดเก็บข้อมูลส่วนบุคคลไว้เป็นจำนวนมากและจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลนั้นเป็นระบบอย่างสม่ำเสมอ จะต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) โดย DPO มีหน้าที่ในการให้คำแนะนำ ตรวจสอบการประมวลผล พิจารณาคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ปัจจุบัน DPO ในสถาบันการเงินต่างๆ เป็นตำแหน่งที่ได้รับความสนใจและเป็นที่ต้องการเพิ่มขึ้นอย่างรวดเร็ว แต่เนื่องจากการนำกฎหมายมาปรับใช้กับการดำเนินธุรกิจเป็นเรื่องใหม่ ประกอบกับผู้ที่มีความรู้ความสามารถด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างลึกซึ้งในสถาบันการเงินไทยมีจำนวนไม่มากนัก ผู้เขียนจึงมุ่งหมายที่จะศึกษาปัญหาที่เกิดขึ้นเกี่ยวกับการทำหน้าที่ของ DPO ที่เกิดขึ้นจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ General Data Protection Regulation (GDPR) ประกอบกับการสัมภาษณ์ DPO คณะทำงานด้านข้อมูลส่วนบุคคลภายในสถาบันการเงิน และหน่วยงานกำกับดูแลที่เกี่ยวข้อง

ลักษณะเฉพาะที่ทำให้ DPO ของสถาบันการเงินมีความแตกต่างจาก DPO ในองค์กรอื่น คือ มีโครงสร้างการรายงานที่มีประสิทธิภาพ หากมีความจำเป็น DPO ของสถาบันการเงินส่วนใหญ่เป็นผู้บริหารระดับสูงภายในองค์กรจะสามารถรายงานโดยตรงต่อผู้บริหารสูงสุดขององค์กรได้ตามมาตรา 42 วรรคสาม นอกจากนี้ บุคคลที่จะดำรงตำแหน่ง DPO ของสถาบันการเงินจะต้องเป็นผู้ที่มีความรู้ความเข้าใจแนวปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคลของต่างประเทศ อีกทั้งมีความสามารถในการบริหารจัดการความเสี่ยงในระดับที่สูงกว่าองค์กรธุรกิจอื่นๆ

ผู้เขียนได้ศึกษาถึงปัญหาเกี่ยวกับตำแหน่งหน้าที่ DPO ในสถาบันการเงิน จากการสัมภาษณ์พบว่า มาตรฐานของสถาบันการเงินต่างๆ ยังขาดรายละเอียดในการกำหนดประเด็นสำคัญได้แก่ (1) ไม่มีกระบวนการปรึกษาหารือระหว่างฝ่ายงานผู้ใช้ข้อมูลกับ DPO ที่ครอบคลุมวงจรชีวิตของข้อมูล (2) ความไม่ชัดเจนของกฎหมายที่ส่งผลกระทบต่อการลงทุนทรัพยากรในด้านการคุ้มครองข้อมูลส่วนบุคคลของสถาบันการเงิน (3) โครงสร้างความเป็นอิสระของ DPO สถาบันการเงิน (4) การแบ่งแยกตัวตนของ DPO สถาบันการเงินระหว่างบทบาทหน้าที่พนักงานกับบทบาทหน้าที่ของ DPO ตามกฎหมาย (5) สถานะทางกฎหมายของผู้ช่วย (6) การกำหนดความรู้ความสามารถที่จำเป็นต่อ DPO สถาบันการเงิน (7) มาตรฐานการทบทวนงานประมวลผลข้อมูลส่วนบุคคลที่ชัดเจน โดยปัญหาที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ต้องให้ความสำคัญอย่างเร่งด่วน มีดังต่อไปนี้

1. ความเป็นอิสระและความขัดแย้งทางผลประโยชน์

หน่วยงานกำกับดูแลควรให้ความสำคัญกับการคุ้มครองตำแหน่ง DPO สถาบันการเงินให้เกิดความเป็นอิสระและปราศจากความขัดแย้งทางผลประโยชน์เช่นเดียวกับที่ ธปท. ดำเนินการกับผู้ปฏิบัติงานในฐานะ 2^nd Line of Defense ทั่วไป เพื่อให้เกิดความโปร่งใสของการตรวจสอบการประมวลผลข้อมูลส่วนบุคคล สถาบันการเงินแต่ละแห่งต้องมีการกำหนดโครงสร้างการทำงานของ DPO ให้มีความเป็นอิสระ จำเป็นต้องมีการออกนโยบายแนวปฏิบัติเกี่ยวกับโครงสร้างและมาตรฐานการรายงานของ DPO ที่ชัดเจนโดยเฉพาะอย่างยิ่งเรื่องความถี่ของการรายงาน บุคคลที่จำเป็นต้องรายงาน และประเด็นด้านข้อมูลส่วนบุคคลที่ต้องรายงาน โดยผลการสำรวจพบว่าในช่วงที่ผ่านมาประเด็นด้านการคุ้มครองข้อมูลส่วนบุคคลที่ DPO รายงานไปยังผู้บริหารระดับสูงของสถาบันการเงินปรากฏตามภาพที่ 2

2. ขาดแคลนทรัพยากรที่จำเป็นต่อการปฏิบัติหน้าที่ตามกฎหมาย

DPO จำเป็นต้องได้รับการสนับสนุนทรัพยากรในด้านต่างๆ เพื่อให้สามารถทำความเข้าใจและตรวจสอบกระบวนการประมวลผลขององค์กรเป็นไปตามกฎหมายได้อย่างครบถ้วน อีกทั้งการได้รับทรัพยากรที่เพียงพอยังส่งผลโดยตรงต่อความเป็นอิสระในการปฏิบัติหน้าที่ของ DPO จากการสัมภาษณ์พบว่าในทางปฏิบัติ DPO และคณะทำงานภายในสถาบันการเงินต่างๆ ประสบปัญหาด้านทรัพยากรโดยผู้เขียนได้จัดอันดับความสำคัญของปัญหาตามทรัพยากรแต่ละด้านที่ผู้ให้สัมภาษณ์ได้กล่าวถึงและประเมินความสำคัญ ดังภาพที่ 3

3. ไม่มีมาตรฐานการทบทวนการประมวลผลข้อมูลส่วนบุคคลของสถาบันการเงิน

ในเรื่องการระบุฐานการประมวลผลจะต้องพิจารณาวัตถุประสงค์ในแต่ละกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลของนักธุรกิจ ดังนี้เนื่องจากสถาบันการเงินมีข้อจำกัดของระบบบริหารจัดการข้อมูลส่วนบุคคล ประกอบกับร่างประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพียงแต่กำหนดรายการขั้นต่ำสำหรับการตรวจสอบการประมวลผลข้อมูลส่วนบุคคลไว้เท่านั้น อย่างไรก็ดี ยังไม่มีการกำหนดรายละเอียดที่เป็นมาตรฐานการทบทวนการประมวลผลข้อมูลส่วนบุคคลสำหรับสถาบันการเงินที่ชัดเจน ประเด็นดังกล่าวส่งผลกระทบต่อการตัดสินใจลงทุนพัฒนากระบวนการคุ้มครองข้อมูลส่วนบุคคลของแต่ละสถาบันการเงินประเทศเป็นอย่างมาก ผลการสำรวจพบว่า สถาบันการเงินขนาดใหญ่เริ่มมีการรับฟังความคิดเห็นของหน่วยธุรกิจและฝ่ายงานที่เกี่ยวข้องภายในองค์กรบ้างแล้ว แต่สำหรับสถาบันการเงินขนาดกลางและขนาดเล็กส่วนใหญ่ยังไม่มีความเคลื่อนไหวใดๆ มากไปกว่าการตรวจสอบความพร้อมของการปฏิบัติตามกฎหมายเบื้องต้น (PDPA Readiness) ซึ่ง DPO และคณะทำงานด้านข้อมูลส่วนบุคคลของสถาบันการเงิน 13 แห่งระบุถึงปัญหาเกี่ยวกับการทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล โดยผู้เขียนจัดอันดับของปัญหาดังกล่าวจากปัญหาแต่ละด้านที่ผู้ให้สัมภาษณ์ได้กล่าวถึงและประเมินความสำคัญตามตารางที่ 1

ตารางที่ 1 อันดับปัญหาเกี่ยวกับการทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล

ข้อค้นพบ

ปัจจุบันมีความไม่ชัดเจนในการกำหนดโครงสร้างการทำงานของ DPO และการกำหนดคุณสมบัติของ DPO ที่เป็นมาตรฐานของสถาบันการเงินส่งผลให้เกิดปัญหาหลายประการ กล่าวคือ DPO ขาดความเป็นอิสระในการปฏิบัติหน้าที่และเกิดความขัดแย้งทางผลประโยชน์ ไม่มีการกำหนดกระบวนการปรึกษาหารือระหว่างฝ่ายงานกับ DPO ที่ครอบคลุมทั้งกระบวนการใช้ข้อมูลส่วนบุคคล ขาดพนักงานที่มีความรู้ความเข้าใจและเครื่องมือที่ใช้ในการรักษาความปลอดภัยของข้อมูล นอกจากนี้ ยังพบว่าไม่มีการกำหนดระยะเวลาการทบทวนตำแหน่ง DPO สถานะทางกฎหมายของตำแหน่งผู้ช่วย DPO ตลอดจนวิธีการตรวจสอบการประมวลผลข้อมูลส่วนบุคคล