ตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล
สารบัญในหน้านี้
นิยาม
ตัวแทนของผู้ควบคุม คือบุคคลหรือนิติบุคคลที่ ผู้ควบคุมข้อมูลที่อยู่นอกราชอาณาจักร (ตาม มาตรา 5 วรรคสอง) ต้องแต่งตั้งให้เป็นจุดติดต่อในประเทศไทย ตาม มาตรา 37 (5):
ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 5 วรรคสอง ต้องแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจให้กระทำการแทน ... โดยไม่มีข้อจำกัดความรับผิดใด ๆ ...
ลักษณะสำคัญ: แต่งตั้งเป็นหนังสือ + อยู่ในราชอาณาจักร + ได้รับมอบอำนาจโดยไม่มีข้อจำกัดความรับผิด — ทำให้เจ้าของข้อมูลและสำนักงานในไทยมีจุดติดต่อและผู้รับผิดที่เข้าถึงได้ แม้ผู้ควบคุมตัวจริงจะอยู่ต่างประเทศ
ตัวอย่าง
- แพลตฟอร์มต่างประเทศที่เสนอสินค้า/บริการแก่ผู้ใช้ในไทย หรือเฝ้าติดตามพฤติกรรมของบุคคลในไทย (มาตรา 5 วรรคสอง) → ต้องตั้งตัวแทนในไทย
- ผู้ประมวลผลข้อมูลของผู้ควบคุมต่างประเทศ ก็ต้องตั้งตัวแทนเช่นกันโดยอนุโลม (มาตรา 38 วรรคสอง)
ข้อยกเว้น (ไม่ต้องตั้งตัวแทน ตาม มาตรา 38):
- หน่วยงานของรัฐตามที่คณะกรรมการประกาศ
- กิจการขนาดเล็กที่ไม่เก็บข้อมูลอ่อนไหวตาม มาตรา 26 และไม่เก็บข้อมูลจำนวนมาก
มาตราที่เกี่ยวข้อง
- มาตรา 37 — ⭐ (5) หน้าที่แต่งตั้งตัวแทนของผู้ควบคุมต่างประเทศ
- มาตรา 5 — ขอบเขตการบังคับใช้ — วรรคสองคือกรณีผู้ควบคุมต่างประเทศที่กฎหมายไทยบังคับถึง
- มาตรา 38 — ข้อยกเว้นการแต่งตั้งตัวแทน + ใช้บังคับกับผู้ประมวลผลโดยอนุโลม
- มาตรา 39 — ตัวแทนต้องบันทึกรายการ (ROPA) โดยอนุโลม
- มาตรา 88 — โทษปรับทางปกครองกรณีตัวแทนฝ่าฝืนหน้าที่
ประกาศที่เกี่ยวข้อง
-
หมายเหตุ
- ตัวแทน ≠ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): ตัวแทนเป็นนิติฐานะ + ผู้รับผิดแทนผู้ควบคุมต่างประเทศ; ส่วน DPO (มาตรา 41) มีหน้าที่ให้คำแนะนำและตรวจสอบการปฏิบัติตามกฎหมาย — คนละบทบาทกัน
- เทียบ GDPR: สอดคล้องกับ Article 27 (ตัวแทนของผู้ควบคุม/ผู้ประมวลผลที่ไม่อยู่ใน EU)
- ไม่มีข้อจำกัดความรับผิด: การมอบอำนาจต้องครอบคลุมความรับผิดเต็มที่ — เป็นหลักประกันให้เจ้าของข้อมูลในไทยฟ้องร้องได้สะดวก
- ได้รับยกเว้นตัวแทนแต่หน้าที่อื่นยังอยู่: กิจการที่ได้ยกเว้นตาม มาตรา 38 ยังต้องทำหน้าที่อื่นของผู้ควบคุมตาม มาตรา 37 (1)–(4) ครบถ้วน