DPO (Data Protection Officer) คือใคร?

ผู้ควบคุมข้อมูลจะต้องมีบุคลากรที่ทําหน้าที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

1. ใครต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล?

1.1) หน่วยงานของรัฐที่คณะกรรมการประกาศกําหนด

1.2) ผู้ที่มีกิจกรรมหลัก เป็นการประมวลผลข้อมูลซึ่งมีการติดตามเจ้าของข้อมูล จํานวนมาก อย่างสม่ำเสมอและเป็นระบบ ตามที่คณะกรรมการประกาศกําหนด

1.3) ผู้ท่ีมีกิจกรรมหลักเป็นการประมวลผลข้อมูลอ่อนไหว

2. การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกัน

2.1) หน่วยงานของรัฐซึ่งมีขนาดใหญ่หรือที่ทําการหลายแห่ง โดยที่ทําการแต่ละแหล่ง จะต้องติด ต่อเจ้าหน้าท่ีคุ้มครองข้อมูลส่วนบุคคลได้ง่าย

2.2) กิจการหรือธุรกิจที่อยู่ในเครือเดียวกัน โดยกิจการหรือธุรกิจในเครือจะต้องติดต่อ เจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคลได้ง่าย

3. สถานะและคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

3.1) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะเป็นพนักงานหรือลูกจ้างก็ได้ หรือจะเป็นผู้รับจ้างตามสัญญาให้บริการก็ได้

3.2) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลควรจะมีคุณสมบัติเป็นผู้มีความรู้ด้านกฎหมาย คุ้มครองข้อมูลส่วนบุคคล เข้าใจกิจกรรมการประมวลผลข้อมูลขององค์กร เข้าใจงาน ด้านเทคโนโลยีสารสนเทศและการรักษาความมั่นคงปลอดภัย มีความรู้เกี่ยวกับภาคธุรกิจและองค์กร และมีความสามารถที่จะสร้างวัฒนธรรมคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร

4. การปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

4.1) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องได้รับการสนับสนุนการทํางานและได้รับการอํานวยความสะดวกอย่างเพียงพอ ทั้งนี้ ขึ้นอยู่กับการดําเนินกิจการและขนาด ขององค์กรด้วย เช่น การสนับสนุนจากฝ่ายบริการงานทั่วไป การให้เวลาเพียงพอ ในการทํางานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การจัดหาทรัพยากรในการ ทํางานให้เพียงพอแก่การทํางาน ไม่ว่าจะในลักษณะของเงิน โครงสร้างพื้นฐาน และพนักงานสนับสนุน การสื่อสารองค์กร การเข้าถึงบริการอื่นๆ ของกิจการเพื่อสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคล การฝากอบรม อย่างต่อเนื่อง เป็นต้น

4.2) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้รับความคุ้มครองและควรมีมาตรการเพื่อให้ การปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นไปโดยอิสระ การให้ออกหรือเลิก จ้างเพราะเหตุที่เจ้าหน้าที่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะทํามิได้

4.3) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องสามารถรายงานไปยังผู้บริหารสูงสุดขององค์กรได้

4.4) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจได้รับมอบหมายให้ปฏิบัติภารกิจอื่น แต่ต้อง ไม่ขัดหรือแย้งกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (conflict of interest) เช่น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะเป็นบุคคลคนเดียวกับ ผู้บริหารองค์กรในระดับสูง อย่างประธานเจ้าหน้าที่บริหาร (CEO) ผู้จัดการฝ่ายการตลาด หรือหัวหน้าฝ่ายบุคคลไม่ได้ เป็นต้น

5. ภารกิจของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

5.1) ให้คําแนะนําและตรวจสอบการดําเนินงานให้การประมวลผลข้อมูลส่วนบุคคล เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

5.2) เป็นบุคคลที่ประสานงานและให้ความร่วมมือกับสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

5.3) รักษาความลับที่ได้มาเนื่องจากการปฏิบัติหน้าที่

6. ความรับผิดของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

6.1) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไม่มีความรับผิดเป็นส่วนตัวต่อการฝ่าฝืน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพราะผู้ที่ต้องรับผิดชอบ ได้แก่ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลแล้วแต่กรณี

6.2) อย่างไรก็ดีถ้าเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้รู้ข้อมูลส่วนบุคคลของผู้อื่น เนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ แล้วไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษอาญาตามกฎหมาย 140 เว้นแต่จะเป็นการเปิดเผยที่ชอบด้วยกฎหมาย

หมายเหตุ

1. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นตําแหน่งอื่นๆ ได้หากปรากฏว่าไม่ได้มีอํานาจตัดสินใจแต่บทบาทอยู่ในเชิง ให้ความคิดเห็นหรือให้ข้อเสนอแนะ เช่น Chief Information Officer หรือ Chief Legal Officer ได้ เป็นต้น อย่างไรก็ดี จะต้องพิจารณาบทบาทหรือลักษณะงานของตําแหน่ง ดังกล่าวด้วยว่าจะถือว่ามีกรณีการขัดกันซึ่งผลประโยชน์หรือไม่ (Conflict of Interest) ดังนั้นการเรียกชื่อตําแหน่งบางตําแหน่งจึงไม่อาจสรุปได้ อย่างแน่นอนว่าบุคคลที่ได้รับตําแหน่งนั้น จะสามารถเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไปด้วยในขณะเดียวกันได้หรือไม่

2. การตรวจสอบและให้คําแนะนํานั้น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยปกติจะต้องทราบถึงกระบวนการและ กิจกรรมทั้งหมดที่มีการประมวลผลข้อมูลขององค์กร เมื่อนํามาวิเคราะห์และตรวจสอบว่ากิจกรรมต่างๆ เหล่านั้นเป็นไป ตามกฎหมายหรือไม่ หลังจากนั้นจึงแจ้งและให้คําแนะนําแก่องค์กรเพื่อปฏิบัติให้เป็นไปตามกฎหมายต่อไป

.

กรณีผู้ควบคุมข้อมูลที่อยู่นอกราชอาณาจักรแต่อยู่ภายในบังคับของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ.2562 จะต้องตั้งตัวแทนในราชอาณาจักร

1. ผู้ควบคุมข้อมูลที่จะต้องตั้งตัวแทนในราชอาณาจักร ผู้ควบคุมข้อมูลที่อยู่นอก ราชอาณาจักรแต่มีการเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ใน ราชอาณาจักร ไม่ว่าจะมีการชําระเงินแล้วหรือไม่ก็ตาม หรือมีการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักรมีหน้าที่ที่จะต้องตั้งตัวแทนในราชอาณาจักร โดยได้รับมอบอํานาจให้กระทําการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจํากัดความรับผิดใดๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล

2. ข้อยกเว้นไม่ต้องต้ังตัวแทนผู้ควบคุมส่วนบุคคลท่ีอยู่นอกราชอาณาจักรท่ีได้รับยกเว้นไม่ต้องตั้งตัวแทนในราชอาณาจักรได้แก่

2.1 หน่วยงานของรัฐตามที่คณะกรรมการประกาศกําหนด

2.2 ผู้ควบคุมข้อมูลที่คณะกรรมการประกาศกําหนด ที่ไม่ได้ดําเนินการเกี่ยวข้องกับข้อมูลอ่อนไหว และไม่ได้ดําเนินการกับข้อมูลส่วนบุคคลเป็นจํานวนมาก

ติดตามข้อมูลและความรู้ได้ที่คลิก▶️เพจ :- พรบ คุ้มครองข้อมูลส่วนบุคคล

สนใจข้อมูล PDPA สำหรับ DPO โดยตรงสามารถติดตามได้ที่▶️เพจ :- DPO Thailand

เว็บไซต์ : www.hrconsultant.training

Line@ : https://lin.ee/O6uWWXq (@pdpa.training)

.

สนใจหลักสูตรอบรมเชิงปฏิบัติการ ทุกหน่วยงาน คลิก🔻

https://www.hrconsultant.training/post/pdpa-for-smes-public-training-2-days

.

สนใจหลักสูตรทำระบบ คลิก🔻

https://www.hrconsultant.training/post/pdpa-inhouse-1-day-online-training-zoom

.

สนใจหลักสูตร PDPA for HR คลิก🔻

https://www.hrconsultant.training/post/pdpa-for-hr-public-online-zoom-google-classroom

.

สนใจหลักสูตร PDPA for IT คลิก🔻

https://www.hrconsultant.training/post/pdpa-for-it

.

ติดต่อเรา

Line@ : https://lin.ee/ZvXLMFE (@hr.training.online)

.

#พรบคุ้มครองข้อมูลส่วนบุคคล #PDPA #PDPAforHR #Training #ฝึกอบรม #TrainingOnline #PDPATraining #ConsentForm #PDPAคืออะไร #PDPAสรุป #PDPAพรบ #PDPAย่อมาจาก #กฎหมายPDPA #PDPAบังคับใช้ #Consentคือ #พรบคุ้มครองข้อมูลส่วนบุคคล2565 #กฎหมาย #ROPA