PDPA Thailand

2,040

PDPA Thailand
PDPA Thailand

ลงบทความเมื่อวันที่ 19 เมษายน 2565 (ปรับปรุงเมื่อวันศุกร์ที่ 10 พ.ย. 2566)

      เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกสั้น ๆ กันว่า DPO  (Data Protection Officer)  ตำแหน่งงานใหม่ที่ได้รับความสนใจมาอย่างยาวนาน นับตั้งแต่การประกาศ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยังคงเป็นที่ถกเถียงกันว่าองค์กรไหนต้องมี DPO ประจำบ้าง และคุณจำเป็นต้องมีบุคคลนี้อยู่ในองค์กรหรือไม่

      จากเดิมที่ ฝ่าย ICDL-PDPA สถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) ได้เคยรีวิวสรุปเรื่องราวเกี่ยวกับ DPO เอาไว้ในบทความ PDPA Focus ตอน DPO : Data Protection Officer (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) คลิกอ่านเพิ่มเติม ได้มีการจัดเสวนา การรับฟังความเห็นเกี่ยวกับร่างกฎหมายลำดับรองกลุ่มที่ 1 ภายใต้โครงการศึกษาและเตรียมการเพื่อจัดทำร่างกฎหมายลำดับรองภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งนำเสนอร่างประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” ที่ส่วนหนึ่งกล่าวถึงลักษณะขององค์กรที่ต้องมี DPO อย่างละเอียดและชัดเจนมากขึ้น โดยขยายความเพิ่มเติมจาก PDPA มาตรา 41

dpo in action อบรม pdpa dpo

ลักษณะขององค์กรที่ต้องมี DPO

ลองเช็กดูว่าองค์กรของคุณเข้าข่ายตามนี้หรือไม่? ถ้าใช่ตั้งแต่ข้อ 1-2 ก็ชัวร์แล้ว องค์กรของคุณจะต้องมี DPO

  1. องค์กรสาธารณะหรือหน่วยงานรัฐ (Public Authorities) ประกอบด้วย ส่วนราชการ รัฐวิสาหกิจ องค์กรปกครองส่วนท้องถิ่น และหน่วยงานอื่นของรัฐ (ยกเว้นศาลที่ประมวลผลข้อมูลเพื่อดำเนินการตามขอบเขตของอำนาจศาล)
  2. องค์กรที่ประมวลผลข้อมูลส่วนบุคคลจำนวนมาก หรือประมวลผลข้อมูลส่วนบุคคลอันมีลักษณะพิเศษจำนวนมาก โดยนิยาม “จำนวนมาก” อันเป็นเหตุที่องค์กรจำเป็นต้องมีเ DPO
  • มีข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลมากกว่า 50,000 ราย อยู่ภายใต้ความดูแล ในระยะเวลา 12 เดือน
  • มีข้อมูลส่วนบุคคลอันมีลักษณะพิเศษ (PDPA มาตรา 26) ของเจ้าของข้อมูลส่วนบุคคลมากกว่า 5,000 ราย อยู่ภายใต้ความดูแล ในระยะเวลา 12 เดือน
  • มีพนักงานที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นประจำมากกว่า 20 คน
  • มีสาขาหรือสถานที่ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมากกว่า 20 แห่ง

 

3. ผู้ให้บริการบัตรโดยสารสาธารณะ หรือบัตรอื่นๆ ที่ผู้ให้บริการบัตรหรือบุคคลอื่นนอกเหนือเจ้าของข้อมูลส่วนบุคคลสามารถตรวจสอบรายละเอียดข้อมูลการใช้งานบัตรได้

4. บริษัทประกันภัย ธนาคารพาณิชย์ หรือธุรกิจที่มีการตรวจสอบสถานะ ประวัติ หรือคุณสมบัติของลูกค้าก่อนทำสัญญาหรือให้บริการ

5. แพลตฟอร์ม Search Engine หรือ Social Media ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณาตามพฤติกรรม (Behavioral Advertising)

6. ผู้ให้บริการเฝ้าระวังพฤติกรรมของบุคคลเพื่อวัตถุประสงค์ด้านการรักษาความปลอดภัยของสถานที่

*โดยทั้งนี้ข้อ 3 – 6 จะต้องเป็นองค์กรที่เข้าข่ายประมวลผลข้อมูลส่วนบุคคลจำนวนมาก หรือข้อมูลส่วนบุคคลอันมีลักษณะพิเศษจำนวนมากตามที่กล่าวในข้อ 2



ข้อมูลส่วนบุคคลอันมีลักษณะพิเศษ (Special Categories of Personal Data) และ ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data)  คือ ข้อมูลประเภทเดียวกัน มีการใช้คำปรับเปลี่ยนตามกฎหมาย GDPR ของยุโรป เนื่องจากแต่ละบุคคลตีความ “ความอ่อนไหว” ของข้อมูลไม่เท่ากัน บางคนอาจคิดว่าข้อมูลบางชุดไม่อ่อนไหว และไม่ได้ปรับใช้มาตรฐานการคุ้มครองข้อมูลอย่างเหมาะสมตามที่กฎหมายกำหนด ข้อมูลส่วนบุคคลอันมีลักษณะพิเศษมีความหมายที่ครอบคลุมข้อมูลส่วนบุคคลกลุ่มนี้ได้กว้างและเหมาะสมกว่าคำเดิม


     ข้อมูลส่วนบุคคลอันมีลักษณะพิเศษ (Special Categories of Personal Data) และข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data)  คือ ข้อมูลประเภทเดียวกัน มีการใช้คำปรับเปลี่ยนตามกฎหมาย GDPR ของยุโรป เนื่องจากแต่ละบุคคลตีความ “ความอ่อนไหว” ของข้อมูลไม่เท่ากัน บางคนอาจคิดว่าข้อมูลบางชุดไม่อ่อนไหว และไม่ได้ปรับใช้มาตรฐานการคุ้มครองข้อมูลอย่างเหมาะสมตามที่กฎหมายกำหนด ข้อมูลส่วนบุคคลอันมีลักษณะพิเศษมีความหมายที่ครอบคลุมข้อมูลส่วนบุคคลกลุ่มนี้ได้กว้างและเหมาะสมกว่าคำเดิม

     แม้ลักษณะขององค์กรที่ต้องมี DPO ตามที่กล่าวมาข้างต้น จะยังไม่ได้รับการบัญญัติเป็นกฎหมายรอง (ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) ออกมาอย่างเป็นทางการ แต่ก็ทำให้เราสามารถมองเห็นแนวโน้มได้ว่าองค์กรของคุณเข้าข่ายหรือไม่ เพื่อเตรียมการสำหรับการแต่งตั้ง DPO ตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล/ผู้ประมวลผลข้อมูลส่วนบุคคลภายใต้ PDPA

     การคุ้มครองข้อมูลส่วนบุคคลเป็น “วัฒนธรรมใหม่” ที่ทุกคนในองค์กรโดยเฉพาะผู้บริหารควรรู้ และเริ่มต้นปรับการดำเนินงานภายในองค์กรให้สอดคล้องกับกฎหมาย การมี DPO ช่วยส่งเสริมให้การคุ้มครองข้อมูลส่วนบุคคลขององค์กรมีประสิทธิภาพสูงขึ้นอย่างเป็นระบบ และเหมาะกับองค์กรที่มีข้อมูลส่วนบุคคลภายใต้ความดูแลเป็นจำนวนมาก หรือมีผลกระทบสูงหากเกิดการละเมิด

     หากคุณเป็นอีกคนที่ยังไม่แน่ใจเกี่ยวกับประเด็นด้านการคุ้มครองข้อมูลส่วนบุคคล องค์กรต้องมี DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่ หรือดำเนินการคุ้มครองข้อมูลส่วนบุคคลในมิติอื่นๆ อย่างไร สามารถขอรับคำปรึกษาและบริการ PDPA และ DPO ครบวงจร โดยทีมผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลจากเราได้ สอบถามบริการ >> Line OA: @pdpathailand

pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม