มาตรา 41

หมวด 3 · 5 แนวคิดที่เกี่ยวข้อง · 3 มาตราอ้างอิง

สารบัญในมาตรานี้

ตัวบท
สรุป
องค์ประกอบสำคัญ
มาตราที่อ้างอิง
หมายเหตุ
แนวคิดที่เกี่ยวข้อง

ตัวบท

มาตรา 41 ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้

(1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่คณะกรรมการประกาศกำหนด

(2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนด

(3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกันตามที่คณะกรรมการประกาศกำหนดตามมาตรา 29 วรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวอาจจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกันได้ ทั้งนี้ สถานที่ทำการแต่ละแห่งของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันดังกล่าวต้องสามารถติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้โดยง่าย

ความในวรรคสองให้นำมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานของรัฐตาม (1) ซึ่งมีขนาดใหญ่หรือมีสถานที่ทำการหลายแห่งโดยอนุโลม

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลตามวรรคหนึ่งต้องแต่งตั้งตัวแทนตามมาตรา 37 (5) ให้นำความในวรรคหนึ่งมาใช้บังคับแก่ตัวแทนโดยอนุโลม

ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานทราบ ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ได้

คณะกรรมการอาจประกาศกำหนดคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ โดยคำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับจ้างให้บริการตามสัญญากับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้

สรุป

มาตรานี้กำหนด 3 กรณีที่ผู้ควบคุม/ผู้ประมวลผลต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): (1) หน่วยงานของรัฐ (2) กิจกรรมต้องตรวจสอบข้อมูลจำนวนมากเป็นประจำ (3) กิจกรรมหลักคือการประมวลผลข้อมูลอ่อนไหวตาม มาตรา 26 เครือกิจการเดียวกันใช้ DPO ร่วมได้ ตัวแทนตาม มาตรา 37 (5) ก็ใช้บังคับ DPO มีสิทธิเป็นพนักงานในองค์กรหรือผู้รับจ้างภายนอกก็ได้

องค์ประกอบสำคัญ

3 กรณีที่ต้องมี DPO (วรรค 1):
- (1) หน่วยงานของรัฐ ตามที่คณะกรรมการประกาศ
- (2) การติดตามตรวจสอบข้อมูลขนาดใหญ่อย่างสม่ำเสมอ — กิจกรรมจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคล/ระบบอย่างสม่ำเสมอ โดยมีข้อมูลจำนวนมากตามที่คณะกรรมการประกาศ
- (3) ข้อมูลอ่อนไหวเป็นกิจกรรมหลัก — กิจกรรมหลักเป็นการเก็บ ใช้ เปิดเผยข้อมูลตาม มาตรา 26
DPO ร่วมในเครือกิจการ (วรรค 2):
- กรณี: เครือกิจการ/ธุรกิจเดียวกันตาม มาตรา 29 วรรคสอง
- แต่ละสาขาต้องสามารถติดต่อ DPO ได้โดยง่าย
DPO ร่วมในหน่วยงานของรัฐ (วรรค 3): หน่วยงานของรัฐขนาดใหญ่/หลายแห่งใช้ DPO ร่วมได้โดยอนุโลม
ตัวแทนตาม มาตรา 37 (5) (วรรค 4): ผู้ควบคุมต่างประเทศที่แต่งตั้งตัวแทน → ใช้บังคับ DPO กับตัวแทนโดยอนุโลม
หน้าที่แจ้งข้อมูลติดต่อ DPO (วรรค 5):
- แจ้งให้เจ้าของข้อมูลและสำนักงานทราบ
- เจ้าของข้อมูลสามารถติดต่อ DPO เกี่ยวกับการประมวลผล + การใช้สิทธิตาม PDPA
คุณสมบัติของ DPO (วรรค 6): คณะกรรมการอาจประกาศกำหนด — เน้นความรู้/ความเชี่ยวชาญด้านคุ้มครองข้อมูล
รูปแบบของ DPO (วรรค 7):
- พนักงานในองค์กร หรือ
- ผู้รับจ้างให้บริการตามสัญญา (DPO ภายนอก)

มาตราที่อ้างอิง

มาตรา 26 — ฐานเก็บข้อมูลอ่อนไหว — กิจกรรมหลักที่ประมวลผลข้อมูลตามนี้ต้องมี DPO ((3))
มาตรา 29 — การส่งข้อมูลภายในเครือกิจการ — วรรคสอง (เครือกิจการเดียวกัน) เป็นเกณฑ์ของ DPO ร่วมในเครือกิจการ
มาตรา 37 — หน้าที่ผู้ควบคุม — (5) (ตัวแทนของผู้ควบคุมต่างประเทศ) ก็ต้องบังคับ DPO โดยอนุโลม

หมายเหตุ

เทียบ GDPR: สอดคล้องกับ Article 37 (การแต่งตั้ง), Article 38 (สถานะ), Article 39 (หน้าที่) — โครงสร้างใกล้เคียง
คำว่า "เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" = DPO — กฎหมายไทยใช้คำเต็ม แต่อุตสาหกรรมเรียกย่อ DPO เป็นมาตรฐาน
3 ปัจจัยที่ใช้วิเคราะห์ว่าต้องมี DPO หรือไม่:
- ภาครัฐ — เปลี่ยนเป็นเรื่องอำนาจรัฐ
- การติดตามตรวจสอบข้อมูลจำนวนมากเป็นประจำ — เช่น ธนาคาร โทรคมนาคม การโฆษณาออนไลน์
- ข้อมูลอ่อนไหวเป็นกิจการหลัก — เช่น โรงพยาบาล องค์กรศาสนา บริการที่ใช้ข้อมูลชีวภาพ
(2) "ข้อมูลจำนวนมาก": ไม่มีตัวเลขในกฎหมาย — ขึ้นกับประกาศคณะกรรมการ; ในแนวปฏิบัติของ EU พิจารณา:
- จำนวนเจ้าของข้อมูลที่กระทบ
- ปริมาณข้อมูล / ความหลากหลาย
- ระยะเวลาที่ประมวลผล
- ขอบเขตทางภูมิศาสตร์
(3) "กิจกรรมหลัก": ไม่ใช่ "กิจกรรมรอง" — เช่น โรงพยาบาล (สุขภาพคือกิจกรรมหลัก), งานบุคคลของบริษัทผลิต (งานบุคคลไม่ใช่กิจกรรมหลักของบริษัทผลิต)
DPO พนักงานในองค์กร vs ผู้รับจ้างภายนอก:
- พนักงานในองค์กร: เข้าใจองค์กรลึก แต่ความเป็นอิสระอาจถูกท้าทาย (รายงานต่อใคร?)
- ผู้รับจ้างภายนอก: ความเป็นอิสระสูงกว่า แต่อาจไม่เข้าใจบริบทองค์กร — เหมาะกับกิจการขนาดกลางและขนาดย่อม
ความเป็นอิสระของ DPO: ดูใน มาตรา 42 วรรค 3 — ห้ามไล่ออกเพราะปฏิบัติหน้าที่ + รายงานต่อผู้บริหารสูงสุดได้
DPO ร่วมในเครือกิจการข้ามประเทศ: กรณีบริษัทแม่ที่ต่างประเทศ + บริษัทลูกในไทย → ต้องแน่ใจว่า DPO ติดต่อได้สะดวกกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และเจ้าของข้อมูลในไทย
เกณฑ์ "จำนวนมาก" เดียวกับ มาตรา 38 (2): ทั้ง มาตรา 38 (2) (ข้อยกเว้นตัวแทน) และ มาตรา 41 (2) (ต้องมี DPO) อ้างถึงเกณฑ์ "ข้อมูลจำนวนมาก" ของคณะกรรมการ — เป็นเกณฑ์เดียวกัน