การผนวกรวมตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ในหน่วยงานกำกับดูแลการปฏิบัติตามกฎระเบียบขององค์กรตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป
The Integration of Data Protection Officer into the Compliance Team under the European Union's General Data Protection Regulation
Keywords:
การคุ้มครองข้อมูลส่วนบุคคล , เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล, กฎหมายคุ้มครองข้อมูลส่วนบุคคล, การปฏิบัติตามAbstract
บทความวิจัยนี้มีวัตถุประสงค์เพื่อศึกษาวิเคราะห์ปัญหาทางกฎหมายตลอดจนความท้าทายอื่นเกี่ยวกับการผนวกรวมตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ไว้ในหน่วยงานกำกับดูแลการปฏิบัติตามกฎระเบียบขององค์กร (Compliance Department) โดยเฉพาะอย่างยิ่ง ความขัดแย้งทางผลประโยชน์ที่อาจเกิดขึ้นเมื่อมีการกำหนดตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ในหน่วยงานกำกับดูแลการปฏิบัติตามกฎระเบียบขององค์กร บทความวิจัยนี้เริ่มต้นด้วยการศึกษาข้อความคิดพื้นฐานและทฤษฎีเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (GDPR) ซึ่งมีจุดมุ่งหมายในการปกป้องและคุ้มครองสิทธิความเป็นส่วนตัวของปัจเจกบุคคล บทความวิจัยนี้ศึกษาเปรียบเทียบบทบาทหน้าที่และความรับผิดชอบของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและหน่วยงานกำกับดูแลการปฏิบัติตามกฎระเบียบขององค์กร ภายใต้หลักการแบ่งแยกหน้าที่ 3 ระดับ (3 Lines of Defense: 3 LoDs) ซึ่งกำหนดบทบาทและความรับผิดชอบของหน่วยงานให้เกิดการตรวจสอบและถ่วงดุลอำนาจ (Check & Balance) และบริหารความเสี่ยงที่อาจเกิดขึ้นภายในองค์กร บทความนี้วิเคราะห์ถึงประเด็นปัญหาเกี่ยวกับการขัดกันของผลประโยชน์ที่อาจเกิดขึ้นเมื่อมีการผนวกรวมตำแหน่งดังกล่าว บทกำหนดโทษตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ข้อห้ามตามกฎหมายที่ห้ามมิให้มีการเลิกจ้างหรือลงโทษเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตลอดจนการตรวจสอบถ่วงดุลระหว่างองคาพยพทั้งสอง ซึ่งต่างก็มีวัตถุประสงค์ภายในกรอบการกำกับดูแลที่แตกต่างกัน โดยเฉพาะหากมีการมอบหมายความรับผิดชอบเพิ่มเติมภายในหน่วยงานกำกับดูแล บทความวิจัยนี้เสนอแนวทางและมาตรการสำหรับองค์กรที่ต้องการผนวกรวมตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ในหน่วยงานกำกับดูแลการปฏิบัติตามกฎระเบียบอย่างมีประสิทธิภาพ (This article explores the challenges associated with integrating Data Protection Officers (DPOs) within organizational frameworks, specifically addressing potential conflicts of interest that may arise when DPOs are positioned within the Compliance team. The study begins by introducing the overarching impact of the General Data Protection Regulation (GDPR), a pivotal legislative framework designed to safeguard individuals' privacy rights on a global scale. The research compares and contrasts the roles and responsibilities of DPOs and the Compliance function within organizations, elucidating their respective positions within the Three Lines of Defense Theory. The article analyzes various facets, including the potential conflicts of interest arising from integrating DPOs into the Compliance team. Special attention is given to the far-reaching implications of GDPR penalties and the regulatory mandate prohibiting the dismissal or penalty of DPOs. The study further examines the delicate balance required to avoid conflicting objectives within the regulatory framework, particularly when additional responsibilities are assigned within the Compliance team. In light of these analyses, the research proposes guidelines and measures for organizations seeking to navigate the complexities of DPO integration effectively.)References
Article 29 Data Protection Working Party. (2022). 'Guidelines On Data Protection Officers (‘Dpos’). Ec.europa.eu. Retrieved 15 May 2022, from https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf.
Bank for International Settlements. (2022A). BIS Compliance Charter. Bis.org. Retrieved 18 May 2022, from https://www.bis.org/about/compliancecharter.pdf.
Bank for International Settlements. (2022B). Compliance And the Compliance Function in Banks. Bis.org. Retrieved 18 May 2022, from https://www.bis.org/publ/bcbs113.pdf.
CMS Cameron McKenna Nabarro Olswang LLP. (2022). A Guide to GDPR For Companies in Singapore. Retrieved 18 May 2022, from https://cms.law/en/media/affiliates/singapore/images/publications/gdpr-guide-for-singapore-companies.
Daisley, M., McGuire, S., Netherton, G., & Abrahamson, M. (2022). Whose Line Is It Anyway? Defending The Three Lines of Defence. Oliverwyman.com. Retrieved 18 May 2022, from https://www.oliverwyman.com/content/dam/oliver-wyman/global/en/2015/nov/LON-MKT10304-010-Three-lines-of-defence-PoV-FINAL.PDF.
Danagher, L. (2022). An Assessment of the Draft Data Protection Regulation: Does it Effectively Protect Data? Ejlt.org. Retrieved 18 May 2022, from https://ejlt.org/index.php/ejlt/article/view/171.
Davies, H., & Zhivitskaya, M. (2018). Three Lines of Defence: A Robust Organising Framework, or Just Lines in the Sand? Global Policy, 9: 34-42.
De Hert, P., & Papakonstantinou, V. (2012). The Proposed Data Protection Regulation Replacing Directive 95/46/EC: A Sound System for the Protection of Individuals. Computer Law & Security Review, 28(2): 130-142.
DPOcentre. (2024). GDPR, Data Protection for Medical & Healthcare. DPOcentre.com. Retrieved 19 September 2024, from https://www.dpocentre.com/sector/healthcare/.
Ernst and Young. (2022). Maximizing Value from Your Lines of Defense a Pragmatic Approach to Establishing and Optimizing Your LOD Model. Iia.nl. Retrieved 18 May 2022, from https://www.iia.nl/SiteFiles/EY-Maximizing-value-from-your-lines-of-defense.pdf.
European Banking Authority. (2022). 2018_3956 Compliance Function and Anti-Money Laundering tasks, Data Protection Officer or FATCA&CRS Responsible Officer, and Fraud Management - European Banking Authority. Retrieved 18 May 2022, from https://eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_3956.
European Securities and Markets Authority. (2022). 'Guidelines on Certain Aspects of the Mifid Compliance Function Requirements. Esma.europa.eu. Retrieved 23 May 2022, from https://www.esma.europa.eu/sites/default/files/library/2015/11/2012-388_en.pdf.
Fahrul, M., & Rusliati, E. (2016). Credit Risk, Market Risk, Operational Risk and Liquidity Risk on Profitability of Banks in Indonesia. TRIKONOMIKA, 15(2): 78-88.
Federation of European Risk Management Associations. (2022a). Audit and Risk Committees News from EU Legislation and Best Practices'. Ferma.eu. Retrieved 23 May 2022, from https://www.ferma.eu/app/uploads/2014/10/ECIIA_FERMA_Brochure_v8.pdf.
Federation of European Risk Management Associations. (2022b). FERMA’S Views on the Guidelines on Data Protection Officers Adopted on 13 December 2016 by the Article 29 Data Protection Working Party 15 February 2017. Ferma.eu. Retrieved 23 May 2022, from https://www.ferma.eu/app/uploads/2019/02/ferma-comments-dpo-guidelines-art-29-working-party.pdf.
Financial Conduct Authority. (2022a). 'New Conduct of Business Sourcebook Chapter 11 Dealing and Managing. Handbook.fca.org.uk. Retrieved 23 May 2022, from https://www.handbook.fca.org.uk/handbook/COBS/11/7.pdf.
Financial Conduct Authority. (2022b). SYSC 6.1 Compliance - FCA Handbook. Handbook.fca.org.uk. Retrieved 23 May 2022, from https://www.handbook.fca.org.uk/handbook/SYSC/6/1.html.
Floridi, L. (2016). On Human Dignity as a Foundation for the Right to Privacy. Philosophy & Technology, 29(4): 307-312.
Freiherr von dem Bussche, A., & Zeiter, A. (2016). Practitioner's Corner ∙ Implementing the EU General Data Protection Regulation: A Business Perspective. European Data Protection Law Review, 2(4): 576-581.
Hintze, M., & LaFever, G. (2017). Meeting Upcoming GDPR Requirements While Maximizing the Full Value of Data Analytics. SSRN Electronic Journal. https://doi.org/10.2139/ssrn.2927540
InCountry. (2024). Data Protection Principles in the Insurance Industry. InCountry.com. Retrieved 23 April 2024, from https://incountry.com/blog/data-protection-principles-in-the-insurance-industry/.
Information Commissioner's Office. (2022a). Data Protection Officers. Ico.org.uk. Retrieved 23 May 2022, from https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-officers/.
Information Commissioner's Office. (2022b). Guide to the General Data Protection Regulation (GDPR). Assets.publishing.service.gov.uk. Retrieved 23 May 2022, from https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/711097/guide-to-the-general-data-protection-regulation-gdpr-1-0.pdf.
Kaufmann, J., & Guenther, J. (2022a). Data Protection Officers Must Not Have a Conflict of Interest – Part 2. Global Compliance News. Retrieved 23 May 2022, from https://globalcompliancenews.com/data-protection-officers-conflict-interest-20180109.
Kaufmann, J., & Guenther, J. (2022b). Germany: Data Protection Officer must not have a conflict of interests. Global Compliance News. Retrieved 23 May 2022, from https://globalcompliancenews.com/germany-data-protection-officer-conflict-of-interest-20161121.
Metomic. (2024). How Does GDPR Apply to Healthcare Organisations? Metomic.io. Retrieved 19 September 2024, from https://www.metomic.io/resource-centre/how-does-gdpr-apply-to-healthcare-organisations
Misha, Av. Ergys. (2016). “The Compliance Function in Banks and the Need for Increasing and Strengthening its Role - Lessons Learned from Practice”. European Journal of Sustainable Development, 5(2): 171-180.
Mrsik, J., Nenovski, T., & Dimov, A. (2017). The Three Line of Defence Model for Effective Risk Management in Local Government. Economic Development/Ekonomiski Razvoj, 19(3): 153.
PDC Informatie Architectuur. (2022). Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). Eumonitor.eu. Retrieved 18 May 2022, from https://www.eumonitor.eu/9353000/1/j4nvgs5kjg27kof_j9vvik7m1c3gyxp/vjvh54kbamzv/f=/10391_15.pdf.
PWC. (2022). 'Know Your Customer: Quick Reference Guide Understanding Global KYC Differences. Retrieved 23 May 2022, from https://www.pwc.com/gx/en/financial-services/publications/assets/pwc-anti-money-laundering-2016.pdf.
Reding, V. (2012). The European data protection framework for the twenty-first century. International Data Privacy Law, 2(3): 119-129.
Suwanprateep, D., Paiboon, P., Buranatrevedhya, K., & Yanprasart, J. (2022). The First Thailand Personal Data Protection Act Has Been Passed. Global Compliance News. Retrieved 18 May 2022, from https://www.globalcompliancenews.com/2019/03/06/first-thailand-personal-data-protection-act-has-been-passed-20190401/.
The National Archives. (2022). Directive 95/46/EC of the European Parliament and of the Council. Legislation.gov.uk. Retrieved 18 May 2022, from https://www.legislation.gov.uk/eudr/1995/46/pdfs/eudr_19950046_adopted_en.pdf.
Voss, W. G. (2016). Internal compliance mechanisms for firms in the EU General Data Protection Regulation. Revue juridique Thémis de l'Université de Montréal, 50 (3): 783-820.
