เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

4 แนวคิดที่เกี่ยวข้อง · 5 มาตราอ้างอิง

สารบัญในมาตรานี้

นิยาม
ตัวอย่าง
มาตราที่เกี่ยวข้อง
ประกาศที่เกี่ยวข้อง
หมายเหตุ
แนวคิดที่เกี่ยวข้อง

นิยาม

DPO ย่อมาจาก Data Protection Officer ในภาษาอังกฤษ — เป็นศัพท์ที่ใช้แพร่หลายในมาตรฐานสากลและในตำราภาษาไทยเรียกทับศัพท์ว่า "DPO"

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) คือบุคคลที่ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลแต่งตั้งให้ทำหน้าที่กำกับดูแลการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล + ให้คำแนะนำเกี่ยวกับการคุ้มครองข้อมูล + เป็นจุดติดต่อสำหรับเจ้าของข้อมูลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนดข้อบังคับเกี่ยวกับ DPO ไว้ใน มาตรา 41 (เงื่อนไขการแต่งตั้ง) และ มาตรา 42 (หน้าที่ของ DPO)

ลักษณะของ DPO ตาม มาตรา 41 วรรคท้าย:

อาจเป็น พนักงานในองค์กร ของผู้ควบคุม/ผู้ประมวลผล หรือ
อาจเป็น ผู้รับจ้างให้บริการตามสัญญา กับองค์กร (จ้างจากภายนอก)
คณะกรรมการอาจประกาศกำหนดคุณสมบัติเพิ่มเติมโดยคำนึงถึงความรู้/ความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูล

ตัวอย่าง

3 กรณีที่ต้องแต่งตั้ง DPO ตาม มาตรา 41 วรรคหนึ่ง

หน่วยงานของรัฐ ตามที่คณะกรรมการประกาศกำหนด (มาตรา 41 (1))
- ตัวอย่าง: กระทรวง กรม รัฐวิสาหกิจ องค์กรปกครองส่วนท้องถิ่น มหาวิทยาลัยของรัฐ — ตามที่คณะกรรมการกำหนดประเภท
กิจกรรมที่ต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบสม่ำเสมอ + มีข้อมูลจำนวนมาก (มาตรา 41 (2))
- ตัวอย่าง: แพลตฟอร์มอีคอมเมิร์ซขนาดใหญ่ที่มีลูกค้าหลายล้านคน + แพลตฟอร์มสตรีมมิ่งที่ติดตามพฤติกรรมผู้ใช้ + ธนาคารหรือบริษัทประกันที่มีลูกค้ารายย่อยจำนวนมาก
- เงื่อนไข: "จำนวนมาก" ตามที่คณะกรรมการกำหนดเกณฑ์
กิจกรรมหลักเป็นการประมวลผลข้อมูลอ่อนไหว (มาตรา 41 (3))
- ตัวอย่าง: โรงพยาบาล คลินิกขนาดใหญ่ ห้องปฏิบัติการตรวจสารพันธุกรรม สหภาพแรงงาน องค์กรศาสนา องค์กรการเมือง — ที่ข้อมูลอ่อนไหวเป็น "กิจกรรมหลัก" ไม่ใช่กิจกรรมรอง

DPO ร่วมในเครือกิจการ (มาตรา 41 วรรคสอง)

ตัวอย่าง: เครือบริษัทแม่-ลูกที่มี 5 บริษัทย่อยภายใต้กลุ่มเดียวกัน — สามารถใช้ DPO ร่วมคนเดียวสำหรับทั้งกลุ่มได้ — แต่สถานที่ทำการแต่ละแห่งต้องติดต่อ DPO ได้โดยง่าย
ตัวอย่างหน่วยงานรัฐ: กระทรวงขนาดใหญ่ที่มีหลายกรม — กรณีที่เป็นองค์กรขนาดใหญ่หรือมีสถานที่ทำการหลายแห่ง (มาตรา 41 วรรคสาม)

หน้าที่ของ DPO ตาม มาตรา 42

DPO มีหน้าที่อย่างน้อย:

ให้คำแนะนำ แก่ผู้ควบคุม/ผู้ประมวลผล + พนักงาน เกี่ยวกับการปฏิบัติตาม พ.ร.บ.
ตรวจสอบ การดำเนินงานของผู้ควบคุม/ผู้ประมวลผลให้เป็นไปตาม พ.ร.บ.
ประสานงานและให้ความร่วมมือ กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
รักษาความลับ ของข้อมูลที่ล่วงรู้ในการปฏิบัติหน้าที่
เป็นจุดติดต่อ สำหรับเจ้าของข้อมูลในการใช้สิทธิ์ตามหมวด 3

มาตราที่เกี่ยวข้อง

เงื่อนไขและหน้าที่:

มาตรา 41 — ⭐ มาตราหลัก: 3 กรณีที่ต้องแต่งตั้ง DPO + DPO ร่วมในเครือกิจการ + คุณสมบัติ + ลักษณะการจ้าง (พนักงานหรือผู้รับจ้าง)
มาตรา 42 — หน้าที่ของ DPO 5 ข้อ + การห้ามให้ออกเพราะปฏิบัติหน้าที่

ความสัมพันธ์กับหน้าที่อื่นของผู้ควบคุม:

มาตรา 37 — หน้าที่ของผู้ควบคุมในการจัดมาตรการคุ้มครองและแจ้งเหตุละเมิด — DPO มีบทบาทประสานงานในการแจ้งเหตุละเมิด
มาตรา 38 — ตัวแทนของผู้ควบคุม/ผู้ประมวลผลที่อยู่ต่างประเทศ — ต่างจาก DPO (ตัวแทนตาม มาตรา 38 รับมอบอำนาจ ขณะที่ DPO เป็นจุดติดต่อและที่ปรึกษา)

การบังคับใช้:

มาตรา 71 — ในการร้องเรียน เจ้าของข้อมูลสามารถผ่าน DPO หรือร้องตรงต่อคณะกรรมการผู้เชี่ยวชาญ

ประกาศที่เกี่ยวข้อง

หมายเหตุ

DPO ≠ ตัวแทนของผู้ควบคุมต่างประเทศ: ตัวแทนตาม มาตรา 38 เป็นบุคคลที่ผู้ควบคุมต่างประเทศแต่งตั้งให้รับมอบอำนาจในราชอาณาจักร — DPO เป็นบทบาทกำกับดูแลและที่ปรึกษาที่ใช้กับทุกผู้ควบคุม/ผู้ประมวลผล (ไทยหรือต่างประเทศ) ที่เข้าเงื่อนไข มาตรา 41
DPO ภายในหรือภายนอก: มาตรา 41 วรรคท้ายให้ทางเลือกระหว่างพนักงานในองค์กรหรือผู้รับจ้างให้บริการจากภายนอก — ไม่บังคับเลือกรูปแบบใด แต่ต้องสามารถปฏิบัติหน้าที่ตาม มาตรา 42 ได้
การห้ามให้ออก: มาตรา 42 วรรคสองห้ามผู้ควบคุม/ผู้ประมวลผลให้ DPO ออกหรือเลิกสัญญาเพราะ DPO ปฏิบัติหน้าที่ตาม พ.ร.บ. — เพื่อรักษาความเป็นอิสระของ DPO ในการตรวจสอบและรายงาน
หน้าที่แจ้งให้ทราบ: มาตรา 41 วรรคห้าบังคับให้ผู้ควบคุม/ผู้ประมวลผลแจ้งข้อมูลของ DPO + สถานที่ติดต่อ + วิธีการติดต่อ ให้เจ้าของข้อมูลและสำนักงานทราบ
เทียบกับ GDPR: สอดคล้องกับ DPO ตาม GDPR Art. 37-39 — เกือบสมมาตร 1:1 ใน 3 เงื่อนไขที่ต้องแต่งตั้ง (หน่วยงานรัฐ / ตรวจสอบบุคคลขนาดใหญ่ / ประมวลผลข้อมูลอ่อนไหวขนาดใหญ่) + หน้าที่ของ DPO + การห้ามให้ออกเพราะปฏิบัติหน้าที่
DPO ของผู้ประมวลผล: มาตรา 41 บังคับ DPO ทั้งสำหรับผู้ควบคุมและผู้ประมวลผล — ผู้ประมวลผลขนาดใหญ่ที่ประมวลผลข้อมูลของลูกค้าหลายรายต้องแต่งตั้ง DPO เอง (ไม่พึ่ง DPO ของลูกค้าผู้ควบคุม)