องค์กรของคุณจำเป็นจะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่?

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส) ได้ออกประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในราชกิจจานุเบกษาเมื่อวันที่ 14 กันยายน 2566 และมีผลบังคับใช้ตั้งแต่วันที่ 13 ธันวาคม 2566 เป็นต้นไป

เกณฑ์ในการกําหนดเจ้าหน้าที่คุ้มครองข้อมูล (DPO)

ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องแต่งตั้ง DPO หาก:

ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลเป็นหน่วยงานของรัฐตามที่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกําหนด
กิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับ การประมวลผลข้อมูลส่วนบุคคลจําเป็นต้องมี “การตรวจสอบข้อมูลส่วนบุคคลหรือระบบ
อย่างสม่ำเสมอ” เนื่องจาก “การมีข้อมูลส่วนบุคคลเป็นจำนวนมาก” ตามที่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกําหนด หรือ
กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหว (เช่นข้อมูลสุขภาพ ข้อมูลประวัติอาชญากรรม ฯลฯ )

เกณฑ์ของการพิจารณาว่ากิจกรรมการประมวลผล (1) ต้องมีการตรวจสอบข้อมูลส่วนบุคคลหรือ ระบบอย่างสม่ำเสมอหรือไม่ และ (2) เกี่ยวข้องกับข้อมูลส่วนบุคคลจำนวนมาก มีดังต่อไปนี้

หลักการทั่วไป

เมื่อพิจารณาว่าการประมวลผลข้อมูลส่วนบุคคลจําเป็นต้องมีการตรวจสอบอย่างสม่ำเสมอเนื่องจากมี ข้อมูลส่วนบุคคลจำนวนมากหรือไม่ จะต้องพิจารณา “กิจกรรมหลัก” ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเท่านั้น คําว่า “กิจกรรมหลัก” หมายถึงกิจกรรมที่จําเป็นและสําคัญ ที่เกี่ยวข้องโดยตรงกับการดําเนินงานหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดำเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล และไม่รวมถึงกิจกรรมทางธุรกิจเพิ่มเติมใด ๆ

การตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ

ตามประกาศกิจกรรมที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลจําเป็นต้องมีการตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอหาก:

ส่วนหลักของกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลประกอบด้วยการติดตาม (track) เฝ้าสังเกต (monitor) วิเคราะห์ หรือทำนายพฤติกรรม ทัศนคติ หรือลักษณะเฉพาะของบุคคล (profile) และ
กิจกรรมเหล่านี้โดยทั่วไปเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลอย่างเป็นระบบตามปกติหรือเป็นประจํา

ตัวอย่างของกิจกรรมการประมวลผลที่ต้องมีการตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ ได้แก่ :

การประมวลผลกิจกรรมที่เกี่ยวข้องกับการใช้งานของผู้ถือบัตรสมาชิก บัตรโดยสารสาธารณะ บัตรอิเล็กทรอนิกส์ หรือบัตรอื่นใดในลักษณะเดียวกันซึ่งผู้ให้บริการบัตรหรือบุคคลอื่นใดสามารถตรวจสอบรายละเอียดข้อมูลการใช้งานบัตรได้
การดําเนินการอย่างสม่ำเสมอหรือเป็นประจําเกี่ยวกับการตรวจสอบสถานะ ประวัติ หรือคุณสมบัติของลูกค้าหรือผู้รับบริการ เพื่อประเมินความเสี่ยงต่างๆ ที่เกี่ยวข้องก่อนเข้าทําสัญญาหรือให้บริการในลักษณะเดียวกัน เช่น การให้คะแนนเครดิต การประเมินเบี้ยประกันภัย และการป้องกันการทุจริต แต่ไม่รวมถึงการดําเนินงานกับข้อมูลจากบริษัทเครดิตบูโรและสมาชิกตามกฎหมายของประเทศไทยที่เกี่ยวข้องกับธุรกิจข้อมูลเครดิต
การประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการโฆษณาตามพฤติกรรม (behavioral advertising)
การประมวลผลข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการโดยผู้ให้บริการระบบเครือข่ายคอมพิวเตอร์หรือผู้ให้บริการโทรคมนาคม และ
การประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการเฝ้าระวังและความปลอดภัย

ข้อมูลส่วนบุคคลจำนวนมาก

เมื่อพิจารณาว่ากิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการประมวลผลข้อมูลส่วนบุคคลขนาดใหญ่หรือไม่ต้องพิจารณาปัจจัยต่อไปนี้:

จํานวนหรือสัดส่วนของเจ้าของข้อมูลที่มีการประมวลผลข้อมูลส่วนบุคคลเทียบกับจํานวนเจ้าของข้อมูลทั้งหมดที่อาจเป็นไปได้
ปริมาณ ประเภท หรือลักษณะของข้อมูลส่วนบุคคลที่ประมวลผล
ระยะเวลาหรือความคงอยู่ของการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการ ดําเนินกิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล และ
ขอบเขตอาณาเขตหรือพื้นที่ทางภูมิศาสตร์ที่เกี่ยวข้องกับกิจกรรมการประมวลผล

ตัวอย่างของการประมวลผลข้อมูลส่วนบุคคลจำนวนมาก ได้แก่

การประมวลผลข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก โดยมีจำนวนเจ้าของข้อมูลส่วนบุคคลที่มีการประมวลผลข้อมูลส่วนบุคคล ตั้งแต่ 100,000 รายขึ้นไป
กิจกรรมเพื่อวัตถุประสงค์ในการโฆษณาเชิงพฤติกรรมดําเนินการผ่านเครื่องมือค้นหา (search engine) หรือเกี่ยวข้องกับโซเชียลมีเดียที่มีผู้ใช้ที่หลากหลาย
การประมวลผลข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการโดยบริษัทประกันชีวิต บริษัทประกันวินาศภัย หรือสถาบันการเงินตามกฎหมายที่เกี่ยวข้อง แต่ไม่รวมถึงการจัดการข้อมูลโดยบริษัทเครดิตบูโรและสมาชิกของบริษัทเหล่านั้นตามกฎหมายที่เกี่ยวข้องกับการประกอบธุรกิจข้อมูลเครดิต หรือ
การประมวลผลข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการโดยผู้รับใบอนุญาตประเภทที่ 3 ตามพระราชบัญญัติประกอบกิจการโทรคมนาคม พ.ศ. 2544

นอกจากนี้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจปฏิบัติหน้าที่หรือภารกิจอื่นได้ แต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับรองกับ สคส. ว่าหน้าที่หรือภารกิจดังกล่าวต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.