มาตรา 42

หมวด 3 · 4 แนวคิดที่เกี่ยวข้อง · 1 มาตราอ้างอิง

สารบัญในมาตรานี้

ตัวบท
สรุป
องค์ประกอบสำคัญ
มาตราที่อ้างอิง
หมายเหตุ
แนวคิดที่เกี่ยวข้อง

ตัวบท

มาตรา 42 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้

(1) ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามพระราชบัญญัตินี้

(2) ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัตินี้

(3) ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติตามพระราชบัญญัตินี้

(4) รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้

ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่

ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจะให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ไม่ได้ ทั้งนี้ ในกรณีที่มีปัญหาในการปฏิบัติหน้าที่ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องสามารถรายงานไปยังผู้บริหารสูงสุดของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลโดยตรงได้

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจปฏิบัติหน้าที่หรือภารกิจอื่นได้ แต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับรองกับสำนักงานว่าหน้าที่หรือภารกิจดังกล่าวต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้

สรุป

มาตรานี้กำหนด 4 หน้าที่หลักของ DPO: (1) ให้คำแนะนำแก่ผู้ควบคุม/ผู้ประมวลผล + ลูกจ้าง/ผู้รับจ้าง (2) ตรวจสอบการปฏิบัติตามกฎหมาย (3) ประสานงาน/ให้ความร่วมมือกับสำนักงาน (4) รักษาความลับ พร้อมหลักประกัน 3 ด้านของความเป็นอิสระ: สนับสนุนทรัพยากร, ห้ามไล่ออกเพราะปฏิบัติหน้าที่, รายงานต่อผู้บริหารสูงสุดได้ DPO ปฏิบัติหน้าที่อื่นได้ แต่ห้ามขัดแย้งกับหน้าที่ตามกฎหมายนี้ (มาตรา 41)

องค์ประกอบสำคัญ

4 หน้าที่หลักของ DPO (วรรค 1):
- (1) ให้คำแนะนำ — แก่ผู้ควบคุม/ผู้ประมวลผล + ลูกจ้าง/ผู้รับจ้าง เกี่ยวกับการปฏิบัติตามกฎหมาย
- (2) ตรวจสอบ — การดำเนินงานเกี่ยวกับการเก็บ ใช้ เปิดเผย ให้เป็นไปตามกฎหมาย
- (3) ประสานงาน — กับสำนักงานในกรณีมีปัญหาเกี่ยวกับการประมวลผล
- (4) รักษาความลับ — ของข้อมูลส่วนบุคคลที่ล่วงรู้จากการปฏิบัติหน้าที่
หน้าที่สนับสนุนของผู้ควบคุม/ผู้ประมวลผล (วรรค 2):
- เครื่องมือ/อุปกรณ์ อย่างเพียงพอ
- อำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคล
หลักประกันความเป็นอิสระ (วรรค 3):
- ห้ามไล่ออก/เลิกสัญญา ด้วยเหตุที่ DPO ปฏิบัติหน้าที่ตามกฎหมาย
- DPO ต้องสามารถรายงานตรงต่อผู้บริหารสูงสุดในกรณีมีปัญหา
DPO ปฏิบัติหน้าที่อื่นได้ (วรรค 4):
- DPO อาจมีบทบาทอื่น (เช่น ทำคู่กับงานที่ปรึกษากฎหมาย / กำกับการปฏิบัติตามกฎเกณฑ์ / ความปลอดภัยทางสารสนเทศ)
- เงื่อนไข: ผู้ควบคุม/ผู้ประมวลผลต้องรับรองต่อสำนักงานว่าไม่ขัด/แย้งกับหน้าที่ DPO

มาตราที่อ้างอิง

มาตรา 41 — เงื่อนไขการแต่งตั้ง DPO — มาตรานี้กำหนดหน้าที่ของ DPO ที่ต้องแต่งตั้งตาม มาตรา 41

หมายเหตุ

เทียบ GDPR: สอดคล้องกับ Article 38 (สถานะ) + Article 39 (หน้าที่) — Article 39 ครอบคลุมหน้าที่ของ DPO
3 หลักประกันความเป็นอิสระสำคัญมาก:
- ทรัพยากร: ทรัพยากรเพียงพอ (เครื่องมือ + เข้าถึงข้อมูล)
- ความมั่นคงในตำแหน่ง: ห้ามไล่ออกเพราะ "ตักเตือน" หรือ "รายงาน" ที่ฝ่ายบริหารไม่ชอบ
- ช่องทางรายงานตรง: รายงานตรงผู้บริหารสูงสุด — ข้ามผู้บังคับบัญชาระดับกลางได้หากเกิดความขัดแย้ง
(1) "ลูกจ้าง/ผู้รับจ้าง" รวมในหน้าที่ DPO: สำคัญ — DPO ต้องมีอำนาจให้คำแนะนำพนักงานทั่วทั้งองค์กร ไม่ใช่เฉพาะผู้บริหาร
(4) การรักษาความลับ: DPO เห็นข้อมูลส่วนบุคคลทั่วทั้งองค์กร — มีหน้าที่รักษาความลับโดยปริยาย
ผลประโยชน์ทับซ้อน (วรรค 4): DPO ไม่ควรมีบทบาทที่ตัดสินใจวิธีการประมวลผลเอง (เช่น ผู้บริหารสูงสุด หรือหัวหน้าฝ่ายการตลาด) — เพราะจะต้อง "ตรวจสอบตัวเอง"
- บทบาทที่ปกติเข้ากันได้: เจ้าหน้าที่กำกับดูแลการปฏิบัติตามกฎหมาย, ผู้ตรวจสอบภายใน, ที่ปรึกษากฎหมาย, เจ้าหน้าที่ความปลอดภัยทางไอที (ไม่ใช่ผู้กำหนดวิธีการประมวลผล)
- บทบาทที่ขัดแย้ง: ผู้บริหารสูงสุด, ผู้บริหารฝ่ายปฏิบัติการ, ผู้บริหารฝ่ายการเงิน, ผู้บริหารฝ่ายการตลาด, ผู้บริหารฝ่ายเทคโนโลยี, หัวหน้าฝ่ายบุคคล
DPO ผู้รับจ้างภายนอก + การรับรองต่อสำนักงาน: กรณีจ้างภายนอก — บริษัทรับจ้างอาจมีลูกค้าหลายราย → ต้องรับรองว่าไม่ขัดแย้งกัน
DPO กับการคุ้มครองผู้แจ้งเบาะแส: การห้ามไล่ออกเป็นการคุ้มครองในลักษณะเดียวกับผู้แจ้งเบาะแส — แต่ครอบคลุมเฉพาะการ "ปฏิบัติหน้าที่ตาม PDPA" (ไม่ใช่การประพฤติผิดอื่น)
ความเชื่อมโยงกับ มาตรา 41:
- มาตรา 41: ใครต้องมี DPO + การแต่งตั้ง + คุณสมบัติ
- มาตรานี้ (มาตรา 42): หน้าที่ + ความเป็นอิสระ + การคุ้มครอง
บทบาท DPO ในการดำเนินคดี: เป็นจุดติดต่อหลักของสำนักงานในฐานะหน่วยงานกำกับดูแล — กรณีมีการตรวจสอบ/สอบสวน/เหตุละเมิด — ตามวรรค 1 (3)