- สิทธิของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
DPO ต้องได้รับความคุ้มครอง และควรมีมาตรการเพื่อให้ การปฏิบัติหน้าที่ของ DPO เป็นไปโดยอิสระ การให้ออกหรือเลิกจ้างเพราะเหตุที่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะทำมิได้ เป็นการฝ่าฝืน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท (มาตรา 82)
DPO จะต้องได้รับการสนับสนุนการทำงาน และได้รับการอำนวยความสะดวกอย่างเพียงพอต่อการทำงาน เช่น
- การสนับสนุนจากฝ่ายอื่นๆ
- การให้เวลาเพียงพอในการทำงานของ DPO
- การจัดหาทรัพยากรในการทำงานให้เพียงพอแก่การทำงาน ไม่ว่าจะในลักษณะของเงิน โครงสร้างพื้นฐาน และพนักงานสนับสนุน
- การสื่อสารองค์กร การเข้าถึงบริการอื่นๆ ของกิจการเพื่อ สนับสนุนการปฏิบัติหน้าที่ของ DPO
- การฝึกอบรมอย่างต่อเนื่อง
- หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- ต้องจัดการ นโยบายภายใน และต้องประเมินว่ากิจกรรมนั้นขององค์กรมีความเหมาะสมปลอดภัยหรือไม่ ถ้ามีความเสี่ยงแล้วจะต้องเพิ่มมาตรการใดให้สอดคล้องกับกฎหมาย การติดตามอย่างสม่ำเสมอ
- ต้องจัดการ ข้อร้องเรียน หรือการร้องขอ และต้องรายงาน ความล้มเหลว ตรวจสอบการ ปฏิบัติตามกฎหมายคุ้มครองข้อมูล และให้ความร่วมมือ กับหน่วยงานกำกับดูแลต้องแจ้ง และให้คำแนะนำบริษัท ตามมาตรฐาน และวิธีการเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูล
- ต้องประสาน และตรวจสอบ User ให้จัดทำแบบฟอร์มประเมินสิทธิและประโยชน์โดยชอบด้วยกฎหมายของเจ้าของข้อมูล โดยจะต้องชั่งน้ำหนักว่า จำเป็นหรือไม่ และ การชั่งน้ำหนักระหว่างผลประ โยชน์โดยชอบด้วยกฎหมายและสิทธิ/ประโยชน์ของเจ้าของข้อมูล
- ต้องระบุ และ ประเมิน กิจกรรมการประมวลผลข้อมูลของ บริษัท และบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
- ต้องประสาน และตรวจสอบ User ให้จัดทำคำชี้แจงการใช้แบบประเมินด้านการคุ้มครองข้อมูลส่วนบุคคล กรณีกิจกรรมที่ดำเนินการไม่ก่อให้เกิดความเสี่ยงสูง และไม่มีผลกระทบต่อสิทธิเสรีภาพของบุคคล โดย DPO ต้องบันทึกเหตุผลของการพิจารณาเอาไว้ใน เอกสารบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
- ต้องทำหน้าที่ประเมินระดับความเสี่ยงของกิจกรรม และกำกับดูแลให้มีมาตรการป้องกัน โดยต้องประสานและแนะนำต้นสังกัด เมื่อมีความเสี่ยงต้องแก้ไข
- เมื่อพบการรั่วไหลของข้อมูลส่วนบุคคล DPO ต้องประเมิณว่าจะแจ้งไปยัง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือไม่ และมีผลกระทบกับเจ้าของข้อมูลหรือไม่ ซึ่งเมื่อมีการรั่วไหลของข้อมูล บริษัทต้องแจ้งผู้ได้รับผลกระทบและหน่วยงานที่กำกับดูแล ภายใน 72 ชั่วโมง
- ต้องให้คำแนะนำเกี่ยวกับการประเมินผลกระทบการปกป้องข้อมูลและติดตามผลการดำเนินงาน และให้ข้อเสนอแนะแก่ บริษัท เกี่ยวกับการตีความหรือการประยุกต์ใช้กฎการปกป้องข้อมูล
- ต้องจัดการ ข้อร้องเรียน หรือการร้องขอ และต้องรายงาน ความล้มเหลว ตรวจสอบการ ปฏิบัติตามกฎหมายคุ้มครองข้อมูล และให้ความร่วมมือ กับหน่วยงานกำกับดูแล
