ผู้แต่ง: อริยะ ตังสวานิช นิสิตหลักสูตรนิติศาสตรปริญญามหาบัณฑิตสาขาวิชากฎหมายเอกชนและธุรกิจ คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
บทความนี้เป็นส่วนหนึ่งของวิทยานิพนธ์เรื่อง “ปัญหาการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในสถาบันการเงินภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562”
การดำเนินธุรกิจของสถาบันการเงินไทยนั้นอยู่ภายใต้การกำกับดูแลของหน่วยงานที่เกี่ยวข้องอย่างเข้มงวด โดยหลังจากมีการตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สถาบันการเงินซึ่งเป็นหน่วยงานที่จัดเก็บข้อมูลส่วนบุคคลไว้เป็นจำนวนมากและจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลนั้นเป็นระบบอย่างสม่ำเสมอ จะต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) โดย DPO มีหน้าที่ในการให้คำแนะนำ ตรวจสอบการประมวลผล พิจารณาคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ปัจจุบัน DPO ในสถาบันการเงินต่างๆ เป็นตำแหน่งที่ได้รับความสนใจและเป็นที่ต้องการเพิ่มขึ้นอย่างรวดเร็ว แต่เนื่องจากการนำกฎหมายมาปรับใช้กับการดำเนินธุรกิจเป็นเรื่องใหม่ ประกอบกับผู้ที่มีความรู้ความสามารถด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างลึกซึ้งในสถาบันการเงินไทยมีจำนวนไม่มากนัก ผู้เขียนจึงมุ่งหมายที่จะศึกษาปัญหาที่เกิดขึ้นเกี่ยวกับการทำหน้าที่ของ DPO ที่เกิดขึ้นจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ General Data Protection Regulation (GDPR) ประกอบกับการสัมภาษณ์ DPO คณะทำงานด้านข้อมูลส่วนบุคคลภายในสถาบันการเงิน และหน่วยงานกำกับดูแลที่เกี่ยวข้อง
ลักษณะเฉพาะที่ทำให้ DPO ของสถาบันการเงินมีความแตกต่างจาก DPO ในองค์กรอื่น คือ มีโครงสร้างการรายงานที่มีประสิทธิภาพ หากมีความจำเป็น DPO ของสถาบันการเงินส่วนใหญ่เป็นผู้บริหารระดับสูงภายในองค์กรจะสามารถรายงานโดยตรงต่อผู้บริหารสูงสุดขององค์กรได้ตามมาตรา 42 วรรคสาม นอกจากนี้ บุคคลที่จะดำรงตำแหน่ง DPO ของสถาบันการเงินจะต้องเป็นผู้ที่มีความรู้ความเข้าใจแนวปฏิบัติเกี่ยวกับข้อมูลส่วนบุคคลของต่างประเทศ อีกทั้งมีความสามารถในการบริหารจัดการความเสี่ยงในระดับที่สูงกว่าองค์กรธุรกิจอื่นๆ
ผู้เขียนได้ศึกษาถึงปัญหาเกี่ยวกับตำแหน่งหน้าที่ DPO ในสถาบันการเงิน จากการสัมภาษณ์พบว่า มาตรฐานของสถาบันการเงินต่างๆ ยังขาดรายละเอียดในการกำหนดประเด็นสำคัญได้แก่ (1) ไม่มีกระบวนการปรึกษาหารือระหว่างฝ่ายงานผู้ใช้ข้อมูลกับ DPO ที่ครอบคลุมวงจรชีวิตของข้อมูล (2) ความไม่ชัดเจนของกฎหมายที่ส่งผลกระทบต่อการลงทุนทรัพยากรในด้านการคุ้มครองข้อมูลส่วนบุคคลของสถาบันการเงิน (3) โครงสร้างความเป็นอิสระของ DPO สถาบันการเงิน (4) การแบ่งแยกตัวตนของ DPO สถาบันการเงินระหว่างบทบาทหน้าที่พนักงานกับบทบาทหน้าที่ของ DPO ตามกฎหมาย (5) สถานะทางกฎหมายของผู้ช่วย (6) การกำหนดความรู้ความสามารถที่จำเป็นต่อ DPO สถาบันการเงิน (7) มาตรฐานการทบทวนงานประมวลผลข้อมูลส่วนบุคคลที่ชัดเจน โดยปัญหาที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ต้องให้ความสำคัญอย่างเร่งด่วน มีดังต่อไปนี้
1. ความเป็นอิสระและความขัดแย้งทางผลประโยชน์
หน่วยงานกำกับดูแลควรให้ความสำคัญกับการคุ้มครองตำแหน่ง DPO สถาบันการเงินให้เกิดความเป็นอิสระและปราศจากความขัดแย้งทางผลประโยชน์เช่นเดียวกับที่ ธปท. ดำเนินการกับผู้ปฏิบัติงานในฐานะ 2nd Line of Defense ทั่วไป เพื่อให้เกิดความโปร่งใสของการตรวจสอบการประมวลผลข้อมูลส่วนบุคคล สถาบันการเงินแต่ละแห่งต้องมีการกำหนดโครงสร้างการทำงานของ DPO ให้มีความเป็นอิสระ จำเป็นต้องมีการออกนโยบายแนวปฏิบัติเกี่ยวกับโครงสร้างและมาตรฐานการรายงานของ DPO ที่ชัดเจนโดยเฉพาะอย่างยิ่งเรื่องความถี่ของการรายงาน บุคคลที่จำเป็นต้องรายงาน และประเด็นด้านข้อมูลส่วนบุคคลที่ต้องรายงาน โดยผลการสำรวจพบว่าในช่วงที่ผ่านมาประเด็นด้านการคุ้มครองข้อมูลส่วนบุคคลที่ DPO รายงานไปยังผู้บริหารระดับสูงของสถาบันการเงินปรากฏตามภาพที่ 2
ภาพที่ 2 จำนวนครั้งโดยเฉลี่ยของประเด็นด้านการคุ้มครองข้อมูลส่วนบุคคลที่ DPO
รายงานไปยังผู้บริหารระดับสูง/คณะกรรมการของสถาบันการเงิน
2. ขาดแคลนทรัพยากรที่จำเป็นต่อการปฏิบัติหน้าที่ตามกฎหมาย
DPO จำเป็นต้องได้รับการสนับสนุนทรัพยากรในด้านต่างๆ เพื่อให้สามารถทำความเข้าใจและตรวจสอบกระบวนการประมวลผลขององค์กรเป็นไปตามกฎหมายได้อย่างครบถ้วน อีกทั้งการได้รับทรัพยากรที่เพียงพอยังส่งผลโดยตรงต่อความเป็นอิสระในการปฏิบัติหน้าที่ของ DPO จากการสัมภาษณ์พบว่าในทางปฏิบัติ DPO และคณะทำงานภายในสถาบันการเงินต่างๆ ประสบปัญหาด้านทรัพยากรโดยผู้เขียนได้จัดอันดับความสำคัญของปัญหาตามทรัพยากรแต่ละด้านที่ผู้ให้สัมภาษณ์ได้กล่าวถึงและประเมินความสำคัญ ดังภาพที่ 3
ภาพที่ 3 อันดับปัญหาด้านทรัพยากรที่จำเป็นต่อการทำงานของ DPO*
ผลการสำรวจพบว่าทั้ง DPO ของสถาบันการเงินขนาดใหญ่ ขนาดกลาง และขนาดเล็ก ล้วนมีความต้องการหลักในด้านบุคลากรและด้านเครื่องมือ/เทคโนโลยีที่ใช้ในการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐาน แต่ไม่สามารถทำได้เท่าที่ควรเนื่องจากกฎหมายยังไม่มีความชัดเจนมากนักประกอบกับการเงินต่างๆ ทุ่มทรัพยากรไปกับการให้ความช่วยเหลือผู้ประกอบการที่ได้รับผลกระทบจากสถานการณ์ Covid-19 ในปัจจุบัน โดยมีสิ่งที่แตกต่างกันคือ หากภายหลังกฎหมายมีผลใช้บังคับ สถาบันการเงินขนาดใหญ่และขนาดกลางอาจจะสามารถให้ทุ่มเททรัพยากรบุคคล และเครื่องมือสำหรับงานด้านข้อมูลส่วนบุคคลได้มากกว่าสถาบันการเงินขนาดเล็ก ในขณะที่สถาบันการเงินขนาดเล็กมีบุคลากรที่มีความรู้ความสามารถน้อยกว่าประกอบกับมีข้อจำกัดเรื่องระบบบริหารจัดการข้อมูลซึ่งมักถูกจัดทำขึ้นที่ต่างประเทศ ทำให้ยากต่อการเปลี่ยนแปลงแก้ไขให้เป็นไปตามกฎหมาย สำหรับในส่วนของการประสานงานกับหน่วยงานกำกับดูแล เจ้าหน้าที่ฝ่ายกฎหมายของธนาคารพาณิชย์ขนาดใหญ่แห่งหนึ่งชี้ว่า “เนื่องจากปัจจุบันการจัดตั้ง สคส. ยังไม่ได้มีลักษณะเป็นทางการ ทำให้ประเด็นข้อกฎหมายที่เคยส่งไปสอบถามนั้นขาดความชัดเจน ทั้งคำตอบก็ไม่ได้มีผลผูกพันทางกฎหมายเท่าใดนัก”
3. ไม่มีมาตรฐานการทบทวนการประมวลผลข้อมูลส่วนบุคคลของสถาบันการเงิน
ในเรื่องการระบุฐานการประมวลผลจะต้องพิจารณาวัตถุประสงค์ในแต่ละกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลของนักธุรกิจ ดังนี้เนื่องจากสถาบันการเงินมีข้อจำกัดของระบบบริหารจัดการข้อมูลส่วนบุคคล ประกอบกับร่างประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพียงแต่กำหนดรายการขั้นต่ำสำหรับการตรวจสอบการประมวลผลข้อมูลส่วนบุคคลไว้เท่านั้น อย่างไรก็ดี ยังไม่มีการกำหนดรายละเอียดที่เป็นมาตรฐานการทบทวนการประมวลผลข้อมูลส่วนบุคคลสำหรับสถาบันการเงินที่ชัดเจน ประเด็นดังกล่าวส่งผลกระทบต่อการตัดสินใจลงทุนพัฒนากระบวนการคุ้มครองข้อมูลส่วนบุคคลของแต่ละสถาบันการเงินประเทศเป็นอย่างมาก ผลการสำรวจพบว่า สถาบันการเงินขนาดใหญ่เริ่มมีการรับฟังความคิดเห็นของหน่วยธุรกิจและฝ่ายงานที่เกี่ยวข้องภายในองค์กรบ้างแล้ว แต่สำหรับสถาบันการเงินขนาดกลางและขนาดเล็กส่วนใหญ่ยังไม่มีความเคลื่อนไหวใดๆ มากไปกว่าการตรวจสอบความพร้อมของการปฏิบัติตามกฎหมายเบื้องต้น (PDPA Readiness) ซึ่ง DPO และคณะทำงานด้านข้อมูลส่วนบุคคลของสถาบันการเงิน 13 แห่งระบุถึงปัญหาเกี่ยวกับการทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล โดยผู้เขียนจัดอันดับของปัญหาดังกล่าวจากปัญหาแต่ละด้านที่ผู้ให้สัมภาษณ์ได้กล่าวถึงและประเมินความสำคัญตามตารางที่ 1
ตารางที่ 1 อันดับปัญหาเกี่ยวกับการทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล
ข้อค้นพบ
ปัจจุบันมีความไม่ชัดเจนในการกำหนดโครงสร้างการทำงานของ DPO และการกำหนดคุณสมบัติของ DPO ที่เป็นมาตรฐานของสถาบันการเงินส่งผลให้เกิดปัญหาหลายประการ กล่าวคือ DPO ขาดความเป็นอิสระในการปฏิบัติหน้าที่และเกิดความขัดแย้งทางผลประโยชน์ ไม่มีการกำหนดกระบวนการปรึกษาหารือระหว่างฝ่ายงานกับ DPO ที่ครอบคลุมทั้งกระบวนการใช้ข้อมูลส่วนบุคคล ขาดพนักงานที่มีความรู้ความเข้าใจและเครื่องมือที่ใช้ในการรักษาความปลอดภัยของข้อมูล นอกจากนี้ ยังพบว่าไม่มีการกำหนดระยะเวลาการทบทวนตำแหน่ง DPO สถานะทางกฎหมายของตำแหน่งผู้ช่วย DPO ตลอดจนวิธีการตรวจสอบการประมวลผลข้อมูลส่วนบุคคล