เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ถือเป็นบุคคลที่สำคัญ
ในการช่วยให้การดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นไปได้อย่างถูกต้องและครบถ้วน
ตามที่กฎหมายกำหนด

เนื่องจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นกลไกสำคัญ ที่จะช่วยให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ

ด้วยเหตุนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  มาตรา 41 จึงได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี DPO ในกรณีดังต่อไปนี้

(1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐ
ตามที่คณะกรรมการประกาศกำหนด

(2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนด

(3) กิจกรรมหลัก (core activities) ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26

โดยมีรายละเอียดของการแต่งตั้ง DPO ในแต่ละกรณีดังนี้

1. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคล
และผู้ประมวลผลข้อมูลส่วนบุคคล ที่เป็นหน่วยงานของรัฐซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566 มีผลใช้บังคับวันที่ 16 ตุลาคม 2566

กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ที่เป็นหน่วยงานของรัฐตามตามาตรา 41 (1) ที่ประกาศฯ กำหนด จำเป็นต้องจัดให้มี DPO ขึ้น ซึ่งประกาศฯ ฉบับดังกล่าวกำหนดหน่วยงานของรัฐไว้ในบัญชีท้ายประกาศจำนวน 66 ประเภทหน่วยงาน

โดยในระยะแรกเป็นการกำหนดให้หน่วยงานของรัฐที่มีความพร้อม และมีลักษณะที่จำเป็นต้องจัดให้มี DPO ก่อนและจะได้กำหนดหน่วยงานของรัฐแห่งอื่นเพิ่มเติม
ตามความเหมาะสมต่อไป

2. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566
มีผลใช้บังคับวันที่ 13 ธันวาคม 2566 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลตามาตรา 41 (2) ที่มีการดำเนินกิจกรรมหลัก (core activities) ในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ (regular and systematic monitoring)

โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) จำเป็นต้องจัดให้มี DPO ขึ้น เพื่อประโยชน์ในการคุ้มครองข้อมูลส่วนบุคคล โดยมีรายละเอียดที่สำคัญ ดังต่อไปนี้

2.1 กิจกรรมหลัก (core activities) คือ การดำเนินการที่จำเป็นและมีความสำคัญเพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดำเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล

แต่ไม่รวมถึงกิจกรรมเสริมที่เป็นเพียงงานสนับสนุนในการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งไม่ใช่การดำเนินการที่จำเป็น และมีความสำคัญเพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดำเนินงานในกิจการ

หรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เช่น งานสนับสนุนด้านบุคลากร (HR) ซึ่งเป็นเพียงงานสนับสนุนสำหรับการให้บริการรับจ้างขนส่งสินค้า เป็นต้น

2.2 ต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยพิจารณาได้จาก
การดำเนินกิจกรรมหลักที่มีการติดตาม (track) เฝ้าสังเกต (monitor) วิเคราะห์ หรือทำนายพฤติกรรม ทัศนคติ หรือลักษณะเฉพาะของบุคคล (profile)

ซึ่งโดยทั่วไปจะมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบ (systematic) และเกิดขึ้นเป็นประจำหรือเป็นปกติธุระ (regular) เช่น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับการใช้งานของผู้ถือบัตรสมาชิก
บัตรโดยสารสาธารณะ บัตรอิเล็กทรอนิกส์ หรือบัตรอื่นใดในลักษณะเดียวกันซึ่งผู้ให้บริการบัตรหรือบุคคลอื่นใดสามารถตรวจสอบรายละเอียดข้อมูลการใช้งานบัตรได้ เป็นต้น

2.3 มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) เช่น

1.มีจำนวนเจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตั้งแต่ 100,000 รายขึ้นไป หรือกรณีอื่นใดตามที่ประกาศกำหนด

2.การดำเนินการเพื่อวัตถุประสงค์ด้านการโฆษณาตามพฤติกรรม (behavioral advertising)ผ่านโปรแกรมค้นหา (search engine) หรือสื่อสังคมออนไลน์ (social media) ที่มีผู้ใช้งานอย่างกว้างขวาง

3.การดำเนินงานปกติโดยบริษัทตามกฎหมายว่าด้วยประกันชีวิต บริษัทตามกฎหมายว่าด้วยประกันวินาศภัย ผู้ประกอบธุรกิจสถาบันการเงินตามกฎหมายว่าด้วยธุรกิจสถาบันการเงิน

4.การดำเนินการของผู้รับบริการโดยผู้รับใบอนุญาตประกอบกิจการโทรคมนาคมแบบที่สามตามกฎหมายว่าด้วยการประกอบกิจการโทรคมนาคม ซึ่งได้แก่ผู้ประกอบกิจการโทรคมนาคมที่มีโครงข่ายเป็นของตนเอง ซึ่งเป็นการประกอบกิจการที่มีวัตถุประสงค์ในการให้บริการแก่บุคคลทั่วไปจำนวนมาก

หรืออาจมีผลกระทบโดยนัยสำคัญต่อการแข่งขันโดยเสรีอย่างเป็นธรรม หรืออาจกระทบต่อประโยชน์สาธารณะ หรือมีเหตุจำเป็นต้องคุ้มครองผู้บริโภคเป็นพิเศษ

3. กิจกรรมหลัก (core activities) ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26

ในกรณีนี้ไม่จำเป็นต้องมีประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอย่างเช่นในกรณีของ DPO ตามมาตรา 41 (1) หรือ (2) โดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดให้มี DPO

หากกิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ฯลฯ

ดังนั้น เมื่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเข้าหลักเกณฑ์ข้อหนึ่งข้อใดตามที่มาตรา 41 บัญญัติไว้ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวจะต้องจัดให้มี DPO ขึ้นมา ทำหน้าที่ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด  และการไม่แต่งตั้งอาจมีความรับผิดต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท

ที่มา:

1.ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566

2.ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566