ข้อหารือที่ 5/2568 — บริษัท Y (การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล DPO)
สารบัญในมาตรานี้
ข้อกฎหมาย
(ไม่ปรากฏหัวข้อข้อกฎหมายในเอกสารต้นฉบับ — ฐานทางกฎหมายที่อ้างถึงใน "ความเห็น" ประกอบด้วย มาตรา 6, มาตรา 29 วรรคสอง, มาตรา 41 (2)/วรรคสอง/วรรคห้า/วรรคหก/วรรคเจ็ด และ มาตรา 42 วรรคสอง/วรรคสาม/วรรคสี่ แห่ง PDPA + ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่ง พ.ร.บ.ฯ พ.ศ. 2566 (ข้อ 3/4/5/6))
ข้อหารือ
(ไม่ปรากฏหัวข้อข้อหารือในเอกสารต้นฉบับ — ในความเห็นได้สรุปประเด็นข้อหารือ 10 ประเด็น: ประเด็นที่ 1–9 ว่าด้วยเงื่อนไขที่บริษัท Y/บริษัทในเครือต้องจัดให้มี DPO ตามมาตรา 41 (2) สำหรับการดำเนินกิจกรรมในแต่ละกรณี และประเด็นที่ 10 ว่าด้วยการแต่งตั้งบุคคลภายในหรือภายนอกเป็น DPO และเงื่อนไขความเป็นอิสระ)
ความเห็น
คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้พิจารณาเรื่องหารือดังกล่าวแล้ว มีความเห็น ดังนี้
ประเด็นข้อหารือที่ 1 ถึง 9 (เงื่อนไขการจัดให้มี DPO ตามมาตรา 41 (2))
ประเด็นข้อหารือที่ 1 ถึง 9 เห็นว่า มาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) โดยข้อ 4 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม มาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่การดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) ตามข้อ 5 และข้อ 6 ของประกาศดังกล่าว ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน โดยข้อ 5 กำหนดหลักเกณฑ์และเงื่อนไขในการพิจารณาว่าการดำเนินกิจกรรมใดที่ถือเป็นกรณีที่มีความจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ และข้อ 6 กำหนดหลักเกณฑ์และเงื่อนไขในการพิจารณาว่าการดำเนินกิจกรรมใดที่ถือว่ามีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale)
ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่จะต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตนตาม มาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบกับประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม มาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 ดังกล่าว จะต้องมีเงื่อนไขทั้ง 3 ประการ คือ
(1) มีการดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้น ที่จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ (regular and systematic monitoring of data subjects) ตามข้อ 5 ของประกาศฯ โดยข้อ 5 วรรคหนึ่ง กำหนดเป็นหลักการว่า การดำเนินกิจกรรมใดที่มีการติดตาม (track) เฝ้าสังเกต (monitor) วิเคราะห์ หรือทำนายพฤติกรรม ทัศนคติ หรือลักษณะเฉพาะของบุคคล (profile) ซึ่งโดยทั่วไปการดำเนินการดังกล่าวจะมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบ (systematic) และเกิดขึ้นเป็นประจำหรือเป็นปกติธุระ (regular) ให้ถือว่ามีความจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ นอกจากนี้ ข้อ 5 วรรคสอง ได้กำหนดให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีลักษณะหรือรูปแบบเฉพาะตามตัวอย่างที่กำหนด ถือเป็นกรณีที่มีความจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอด้วย
(2) การดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตาม (1) นั้น เป็นกรณีที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) ตามข้อ 6 ของประกาศฯ โดยข้อ 6 วรรคหนึ่ง กำหนดเป็นหลักการว่า การพิจารณาว่าการดำเนินกิจกรรมใด เป็นกรณีที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) ให้พิจารณาชั่งน้ำหนักจากปัจจัย 4 ข้อ ได้แก่ 1) จำนวนหรือสัดส่วนของเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้อง 2) ปริมาณ ประเภท หรือลักษณะของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย 3) ระยะเวลา (duration) หรือความคงอยู่ (permanence) ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และ 4) ขอบเขตการใช้ข้อมูลส่วนบุคคลขององค์กร หรือตามขนาดพื้นที่ หรือจำนวนประเทศ นอกจากนี้ ข้อ 6 วรรคสอง ได้กำหนดให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีลักษณะหรือรูปแบบเฉพาะตามตัวอย่างที่กำหนด ถือเป็นกรณีที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale)
(3) การดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตาม (1) และ (2) นั้น จะต้องเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) ตามบทนิยามคำว่า “กิจกรรมหลัก (core activities)” ในข้อ 3 ของประกาศฯ ซึ่งหมายถึงการดำเนินการที่จำเป็นและมีความสำคัญเพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดำเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า แต่ไม่รวมถึงกิจกรรมเสริมที่เป็นเพียงงานสนับสนุนในการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสำหรับงานสนับสนุนด้านบุคลากรและเทคโนโลยีสารสนเทศของหน่วยงาน
ตามประเด็นข้อหารือที่ 1 ถึง 7 บริษัทฯ Y หรือบริษัทในเครือของบริษัท Y แล้วแต่กรณี มีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (data processor) ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ส่วนประเด็นข้อหารือที่ 8 และ 9 บริษัท Y หรือบริษัทในเครือของบริษัท Y แล้วแต่กรณี มีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (data controller) ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ ตามบทนิยามใน มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยในที่นี้ ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ข้อมูลส่วนบุคคลจึงอาจเป็นข้อมูลที่มีตัวระบุทางตรง (direct identifier) ของเจ้าของข้อมูลส่วนบุคคล เช่น ชื่อ เลขประจำตัวประชาชน หมายเลขลูกค้า ชื่อบัญชีผู้ใช้งาน (username) ในระบบสารสนเทศ หมายเลขโทรศัพท์ และที่อยู่ไปรษณีย์อิเล็กทรอนิกส์ (e-mail address) เฉพาะตัวของบุคคล เป็นต้น หรือข้อมูลที่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้จากข้อมูลที่เป็นตัวระบุทางอ้อม (indirect identifiers) เช่น วันเดือนปีเกิด อายุ ตำแหน่งงาน สังกัด วันเดือนปีที่เข้ารับบริการ ที่อยู่ และ IP address เป็นต้น ก็ได้ ดังนั้น แม้ข้อมูลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย จะเป็นข้อมูลที่มีการเข้ารหัส (encryption) หรือข้อมูลการทำรายการ (log) ก็อาจถือเป็นข้อมูลส่วนบุคคลที่สามารถระบุตัวบุคคลได้ทางตรงหรือทางอ้อม ซึ่งบริษัท Y หรือบริษัทในเครือของบริษัท Y ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล แล้วแต่กรณี มีหน้าที่ต้องปฏิบัติให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลด้วย
เมื่อพิจารณาจากข้อเท็จจริงตามประเด็นข้อหารือที่ 1, 2, 4, 8 และ 9 แล้ว จะเห็นว่า การดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัท Y หรือบริษัทในเครือของบริษัท Y แล้วแต่กรณี ตามประเด็นที่หารือดังกล่าว เป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) และมีลักษณะที่มีความจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ ตามข้อ 5 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม มาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 ตามข้อ 5 วรรคหนึ่ง และ/หรือข้อ 5 วรรคสอง (1) หรือ (2) เช่น การให้บริการระบบ ATM และระบบ Prompt Pay ให้กับธนาคาร โดยธรรมชาติจะต้องมีการติดตาม (tracking) หรือเฝ้าสังเกต (monitoring) การใช้บริการของลูกค้าที่เป็นเจ้าของข้อมูลส่วนบุคคลอย่างเป็นระบบ (systematic) และเกิดขึ้นเป็นประจำหรือเป็นปกติธุระ (regular) และอาจมีการวิเคราะห์ หรือทำนายพฤติกรรม ทัศนคติ หรือลักษณะเฉพาะของบุคคล (profiling) อย่างเป็นระบบ (systematic) และเกิดขึ้นเป็นประจำหรือเป็นปกติธุระ (regular) ด้วย จึงถือว่ามีความจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ ตามข้อ 5 ของประกาศดังกล่าว จึงมีประเด็นที่บริษัท Y หรือบริษัทในเครือของบริษัท Y แล้วแต่กรณี จะต้องพิจารณาเพียงว่า การดำเนินกิจกรรมในแต่ละกรณีดังกล่าวนั้น เป็นกรณีที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) เมื่อพิจารณาชั่งน้ำหนักจากปัจจัย 4 ข้อตามข้อ 6 วรรคหนึ่งของประกาศฯ หรือมีลักษณะตามข้อใดข้อหนึ่งในข้อ 6 วรรคสอง เช่น มีจำนวนเจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตั้งแต่ 100,000 รายขึ้นไป ตามข้อ 6 วรรคสอง (1) หรือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการตามการดำเนินงานปกติโดยผู้ประกอบธุรกิจสถาบันการเงินตามกฎหมายว่าด้วยธุรกิจสถาบันการเงิน ตามข้อ 6 วรรคสอง (2) ของประกาศฯ หรือไม่ หากพิจารณาแล้วเห็นว่า เป็นกรณีที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) ก็จะถือว่าเข้าเงื่อนไขครบ 3 ประการ ในการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ส่วนประเด็นข้อหารือที่ 3, 5, 6 และ 7 ยังไม่ปรากฏข้อเท็จจริงที่ชัดเจนจากหนังสือที่หารือว่ามีลักษณะที่มีความจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ ตามข้อ 5 ของประกาศฯ หรือไม่ และเป็นกรณีที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) ตามข้อ 6 ของประกาศฯ หรือไม่ บริษัท Y หรือบริษัทในเครือของบริษัท Y แล้วแต่กรณี จึงควรพิจารณาตามข้อเท็จจริงให้เป็นไปตามหลักเกณฑ์และเงื่อนไขของประกาศฯ และเจตนารมณ์ของกฎหมายต่อไป
หากบริษัท Y หรือบริษัทในเครือของบริษัท Y แล้วแต่กรณี พิจารณาแล้วเห็นว่า มีการดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่เข้าเงื่อนไขที่จะต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่บริษัท Y หรือบริษัทในเครือของบริษัท Y แล้วแต่กรณี จัดให้มีขึ้นจะถือเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท Y หรือบริษัทในเครือของบริษัท Y แล้วแต่กรณี โดยไม่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลแยกเป็นรายกิจกรรมแต่อย่างใด โดยการที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน เนื่องจากการดำเนินกิจกรรมใดกิจกรรมหนึ่งของตนเข้าเงื่อนไขครบถ้วนตามที่ประกาศฯ กำหนด ย่อมทำให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลดังกล่าวมีหน้าที่ตามที่กำหนดไว้ใน มาตรา 42 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สำหรับการดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทุกกิจกรรมของบุคคลหรือนิติบุคคลที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว
สำหรับประเด็นข้อหารือที่ 7 และ 8 ซึ่งเป็นการดำเนินกิจกรรมของบริษัทในเครือของบริษัท Y แต่ไม่ใช่การดำเนินกิจกรรมของบริษัท Y เองนั้น คณะอนุกรรมการตอบข้อหารือฯ มีความเห็นเพิ่มเติมว่า การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีที่บริษัทในเครือของบริษัท Y พิจารณาแล้วเห็นว่า เข้าเงื่อนไขตาม มาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบข้อ 4 ข้อ 5 และข้อ 6 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม มาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 ซึ่งจำเป็นต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน (ตามความหมายที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตาม มาตรา 29 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 ซึ่งออกตามความใน มาตรา 29 วรรคสอง) อาจจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกันได้ ทั้งนี้ สถานที่ทำการแต่ละแห่งของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันดังกล่าว ต้องสามารถติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้โดยง่าย ตาม มาตรา 41 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บริษัท Y และบริษัทในเครือของบริษัท Y จึงอาจพิจารณาจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกัน เพื่อทำหน้าที่ตาม มาตรา 42 สำหรับการดำเนินกิจกรรมต่าง ๆ ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทั้งของบริษัท Y และบริษัทในเครือของบริษัท Y ได้หากเห็นสมควร
ประเด็นข้อหารือที่ 10 (การแต่งตั้งบุคคลภายใน/ภายนอกเป็น DPO + เงื่อนไขความเป็นอิสระ)
ในประเด็นข้อหารือที่ 10 เห็นว่า บริษัท Y ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล สามารถแต่งตั้งบุคคลภายในที่เป็นพนักงานขององค์กร หรือบุคคลภายนอกที่เป็นผู้รับจ้างให้บริการตามสัญญา เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลก็ได้ ตาม มาตรา 41 วรรคเจ็ด แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจปฏิบัติหน้าที่หรือภารกิจอื่นได้ แต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับรองกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าหน้าที่หรือภารกิจดังกล่าวต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามพระราชบัญญัติดังกล่าว ตาม มาตรา 42 วรรคสี่ นอกจากนี้ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ ตาม มาตรา 42 วรรคสอง และจะให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ไม่ได้ ทั้งนี้ ในกรณีที่มีปัญหาในการปฏิบัติหน้าที่ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องสามารถรายงานไปยังผู้บริหารสูงสุดของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลโดยตรงได้ ตาม มาตรา 42 วรรคสาม
ดังนั้น หากบริษัท Y เห็นว่า เพื่อประโยชน์ในการดำเนินงานของบริษัท Y ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เห็นควรแต่งตั้งหรือมอบหมายพนักงานของฝ่ายกฎหมาย หรือฝ่ายอื่นใด เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัท Y ก็ย่อมสามารถทำได้ โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่ได้รับแต่งตั้งหรือมอบหมาย จะต้องไม่มีหน้าที่หรือภารกิจอื่นที่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยอาจพิจารณาว่าผู้นั้นมีหน้าที่หรือภารกิจอื่นที่ต้องตัดสินใจหรือรับผิดชอบเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยตรง อันจะขัดหรือแย้งกับการปฏิบัติหน้าที่ในฐานะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในการตรวจสอบการดำเนินงานและให้คำแนะนำเกี่ยวกับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของตนเอง หรือมีเหตุผลที่อาจทำให้หน้าที่หรือภารกิจอื่นส่งผลให้การปฏิบัติหน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลดังกล่าวเสื่อมประสิทธิภาพไปอย่างมีนัยสำคัญหรือไม่ นอกจากนี้ ผู้นั้นจะต้องมีคุณสมบัติตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด โดยคำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ตาม มาตรา 41 วรรคหก แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (ปัจจุบันยังไม่ได้ประกาศกำหนด) และบริษัท Y จะต้องดำเนินการให้เป็นไปตาม มาตรา 41 วรรคห้า และ มาตรา 42 วรรคสอง วรรคสาม และวรรคสี่ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย