ประกาศ เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) พ.ศ. 2566

3 แนวคิดที่เกี่ยวข้อง · 2 มาตราอ้างอิง

สารบัญในหน้านี้

ใจความสำคัญ
ตัวบท
เหตุผลและฐานอำนาจ
เอกสารต้นฉบับ
แนวคิดที่เกี่ยวข้อง

ใจความสำคัญ

ประกาศฉบับนี้วางหลักเกณฑ์ตีความเงื่อนไขของ มาตรา 41 (2) ว่าผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลรายใด (ภาคเอกชนรวมอยู่ด้วย — ไม่จำกัดเฉพาะหน่วยงานของรัฐ) มีหน้าที่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพราะการดำเนินกิจกรรมหลักของตน "จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก"

เกณฑ์ที่ 1 — ตรวจสอบอย่างสม่ำเสมอ (ข้อ 5): กิจกรรมหลักที่มีการติดตาม เฝ้าสังเกต วิเคราะห์ หรือทำนายพฤติกรรม ทัศนคติ หรือลักษณะเฉพาะของบุคคล อย่างเป็นระบบและเป็นประจำ · กรณีที่ถือว่าเข้าเกณฑ์โดยอัตโนมัติ เช่น บัตรสมาชิก/บัตรโดยสารที่ตรวจสอบการใช้งานได้ การตรวจสอบสถานะลูกค้าก่อนทำสัญญา (เช่น การให้คะแนนเครดิต การพิจารณาเบี้ยประกัน) การโฆษณาตามพฤติกรรม ผู้ให้บริการเครือข่ายคอมพิวเตอร์/โทรคมนาคม และกล้องวงจรปิดเพื่อรักษาความปลอดภัยสถานที่
เกณฑ์ที่ 2 — ข้อมูลจำนวนมาก (ข้อ 6): พิจารณาจากจำนวน/สัดส่วนเจ้าของข้อมูล ปริมาณและประเภทข้อมูล ระยะเวลาความคงอยู่ และขอบเขตพื้นที่ · กรณีที่ถือว่าเข้าเกณฑ์โดยอัตโนมัติ เช่น กิจกรรมหลักที่มีเจ้าของข้อมูลตั้งแต่ 100,000 รายขึ้นไป การโฆษณาตามพฤติกรรมผ่านโปรแกรมค้นหา/สื่อสังคมออนไลน์ที่มีผู้ใช้กว้างขวาง ธุรกิจประกันชีวิต/ประกันวินาศภัย/สถาบันการเงิน และผู้รับใบอนุญาตโทรคมนาคมแบบที่สาม
ผู้ที่เข้าทั้งสองเกณฑ์ (ข้อ 4) ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน โดยการพิจารณาให้คำนึงถึงมาตรฐานและแนวปฏิบัติของธุรกิจนั้น ๆ ตลอดจนความเสี่ยงและผลกระทบต่อเจ้าของข้อมูลด้วย (ข้อ 7)
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจปฏิบัติหน้าที่หรือภารกิจอื่นได้ แต่ต้องรับรองกับสำนักงานว่าไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามกฎหมาย (ข้อ 8)
ประกาศในราชกิจจานุเบกษา เล่ม 140 ตอนพิเศษ 226 ง วันที่ 14 กันยายน 2566 · ใช้บังคับเมื่อพ้นกำหนด 90 วัน = มีผลใช้บังคับ 13 ธันวาคม 2566

ตัวบท

ข้อ 1 ประกาศนี้เรียกว่า "ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม มาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566"

ข้อ 2 ประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนดเก้าสิบวันนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป

ข้อ 3 ในประกาศนี้

"การดำเนินกิจกรรม" หมายความว่า การดำเนินการใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะเกี่ยวกับกิจกรรมหลัก (core activities) หรือกิจกรรมเสริมก็ตาม

"กิจกรรมหลัก (core activities)" หมายความว่า การดำเนินการที่จำเป็นและมีความสำคัญเพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดำเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อการให้บริการแก่ลูกค้าและการบันทึกข้อมูลการรับบริการของลูกค้า ซึ่งเป็นการดำเนินการที่จำเป็นและมีความสำคัญสำหรับการให้บริการรับจ้างขนส่งสินค้า หรือการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากกล้องวงจรปิด ซึ่งเป็นการดำเนินการที่จำเป็นและมีความสำคัญสำหรับการรับจ้างรักษาความปลอดภัยให้กับสถานที่ต่าง ๆ แต่ไม่รวมถึงกิจกรรมเสริมที่เป็นเพียงงานสนับสนุนในการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งไม่ใช่การดำเนินการที่จำเป็นและมีความสำคัญเพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดำเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เช่น งานสนับสนุนด้านบุคลากรและเทคโนโลยีสารสนเทศ ซึ่งเป็นเพียงงานสนับสนุนสำหรับการให้บริการรับจ้างขนส่งสินค้าหรือการรับจ้างรักษาความปลอดภัยให้กับสถานที่ต่าง ๆ

"สื่อสังคมออนไลน์ (social media)" หมายความว่า สื่อหรือช่องทางในการติดต่อสื่อสารหรือแลกเปลี่ยนข้อมูลระหว่างบุคคลโดยใช้เทคโนโลยีสารสนเทศ หรือเครือข่ายอินเทอร์เน็ต (Internet intermediary) ที่เน้นการสร้างหรือเผยแพร่เนื้อหาระหว่างผู้ใช้งานด้วยกัน (creation and exchange of user-generated content) หรือสนับสนุนการสื่อสารสองทาง หรือการนำเสนอและเผยแพร่เนื้อหาในวงกว้างได้ด้วยตนเอง ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ โปรแกรมคอมพิวเตอร์ ซอฟต์แวร์ แอปพลิเคชัน กระดานข่าว เครือข่ายสังคมออนไลน์ สื่อสำหรับการเผยแพร่และแลกเปลี่ยนเนื้อหาที่เป็นข้อมูลคอมพิวเตอร์ ข้อมูลอิเล็กทรอนิกส์ ภาพนิ่ง เสียง วีดิทัศน์ หรือแฟ้มข้อมูล หรือให้บริการเนื้อที่เก็บข้อมูลบนอินเทอร์เน็ต บล็อก (blogs) เว็บไซต์สำหรับการสร้างและแก้ไขเนื้อหาร่วมกัน เกมออนไลน์หรือโลกเสมือนที่มีผู้ใช้งานหลายคน หรือสื่ออิเล็กทรอนิกส์หรือสื่อออนไลน์อื่นในลักษณะเดียวกันหรือคล้ายคลึงกันที่เปิดให้ใช้งาน เพื่อเป็นช่องทางสื่อสารระหว่างบุคคล ระหว่างกลุ่มบุคคล หรือกับสาธารณะ

"สำนักงาน" หมายความว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ข้อ 4 เพื่อประโยชน์ในการคุ้มครองข้อมูลส่วนบุคคล ให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่การดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) ตามข้อ 5 และข้อ 6 ของประกาศนี้ ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน

ข้อ 5 การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) ที่มีการติดตาม (track) เฝ้าสังเกต (monitor) วิเคราะห์ หรือทำนายพฤติกรรม ทัศนคติ หรือลักษณะเฉพาะของบุคคล (profile) ซึ่งโดยทั่วไปจะมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบ (systematic) และเกิดขึ้นเป็นประจำหรือเป็นปกติธุระ (regular) ให้ถือว่าการดำเนินกิจกรรมนั้นมีความจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ ให้ถือเป็นกรณีที่มีความจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอตามวรรคหนึ่งด้วย

(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับการใช้งานของผู้ถือบัตรสมาชิก บัตรโดยสารสาธารณะ บัตรอิเล็กทรอนิกส์ หรือบัตรอื่นใดในลักษณะเดียวกันซึ่งผู้ให้บริการบัตรหรือบุคคลอื่นใดสามารถตรวจสอบรายละเอียดข้อมูลการใช้งานบัตรได้

(2) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการซึ่งเกิดขึ้นเป็นประจำหรือเป็นปกติธุระ ที่มีการตรวจสอบสถานะ ประวัติ หรือคุณสมบัติของลูกค้าหรือผู้รับบริการก่อนเข้าทำสัญญาหรือให้บริการในลักษณะเดียวกันเพื่อประเมินความเสี่ยงด้านต่าง ๆ ที่เกี่ยวข้อง เช่น การให้คะแนนเครดิต (credit scoring) การพิจารณาเบี้ยประกัน การป้องกันการโกงหรือฉ้อฉล (fraud prevention) ทั้งนี้ ไม่รวมถึงการดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

(3) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณาตามพฤติกรรม (behavioral advertising)

(4) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการโดยผู้ให้บริการระบบเครือข่ายคอมพิวเตอร์หรือผู้ประกอบกิจการโทรคมนาคม

(5) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการเฝ้าระวังและรักษาความปลอดภัยตามสถานที่ต่าง ๆ

(6) กรณีอื่นตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

ข้อ 6 การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) ที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) ให้พิจารณาจากปัจจัย ดังต่อไปนี้

(1) จำนวนเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้อง หรือสัดส่วนของจำนวนเจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย เมื่อเทียบกับจำนวนเจ้าของข้อมูลส่วนบุคคลทั้งหมดที่อาจเป็นไปได้

(2) ปริมาณ ประเภท หรือลักษณะของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย

(3) ระยะเวลา (duration) หรือความคงอยู่ (permanence) ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์ในการดำเนินกิจกรรมหลัก (core activities) ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล

(4) ขอบเขตการใช้ข้อมูลส่วนบุคคลขององค์กร หรือตามขนาดพื้นที่หรือจำนวนประเทศที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ ให้ถือเป็นกรณีที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) ตามวรรคหนึ่งด้วย

(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) โดยมีจำนวนเจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตั้งแต่ 100,000 รายขึ้นไป

(2) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณาตามพฤติกรรม (behavioral advertising) ผ่านโปรแกรมค้นหา (search engine) หรือสื่อสังคมออนไลน์ (social media) ที่มีผู้ใช้งานอย่างกว้างขวาง

(3) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการตามการดำเนินงานปกติโดยบริษัทตามกฎหมายว่าด้วยประกันชีวิต บริษัทตามกฎหมายว่าด้วยประกันวินาศภัย ผู้ประกอบธุรกิจสถาบันการเงินตามกฎหมายว่าด้วยธุรกิจสถาบันการเงิน ทั้งนี้ ไม่รวมถึงการดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

(4) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการโดยผู้รับใบอนุญาตประกอบกิจการโทรคมนาคมแบบที่สามตามกฎหมายว่าด้วยการประกอบกิจการโทรคมนาคม

(5) กรณีอื่นตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

ข้อ 7 ในการพิจารณาหลักเกณฑ์ตามข้อ 5 และข้อ 6 ให้คำนึงถึงมาตรฐานและแนวปฏิบัติของธุรกิจหรือกิจการนั้น ๆ ตลอดจนความเสี่ยงและผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลด้วย

ข้อ 8 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลตามประกาศนี้อาจปฏิบัติหน้าที่หรือภารกิจอื่นได้ แต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลตามประกาศนี้ต้องรับรองกับสำนักงานว่าหน้าที่หรือภารกิจดังกล่าวต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ข้อ 9 ให้ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้รักษาการตามประกาศนี้

ประกาศ ณ วันที่ 31 สิงหาคม พ.ศ. 2566

เธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล

เหตุผลและฐานอำนาจ

โดยที่เป็นการสมควรกำหนดผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีที่การดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก

อาศัยอำนาจตามความใน มาตรา 16 (4) ประกอบ มาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงออกประกาศไว้