เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา ๔๑ (๒) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ พ.ศ. ๒๕๖๖

ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา ๔๑ (๒)
แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ พ.ศ. ๒๕๖๖

โดยที่เป็นการสมควรกำหนดผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน

ในกรณีที่การดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสมํ่าเสมอ
โดยเหตุที่มีข้อมูล ส่วนบุคคลเป็นจำนวนมาก อาศัยอำนาจตามความในมาตรา ๑๖ (๔) ประกอบมาตรา ๔๑ (๒) แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
จึงออกประกาศไว้ ดังต่อไปนี้

ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา ๔๑ (๒)
แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ พ.ศ. ๒๕๖๖”

ข้อ ๒ ประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนดเก้าสิบวันนับแต่วันประกาศในราชกิจจานุเบกษา เป็นต้นไป

ข้อ ๓ ในประกาศนี้

“การดำเนินกิจกรรม” หมายความว่า การดำเนินการใดๆ ของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะเกี่ยวกับ กิจกรรมหลัก (core activities) หรือกิจกรรมเสริมก็ตาม

“กิจกรรมหลัก (core activities)” หมายความว่า การดำเนินการที่จำเป็นและมีความสำคัญ เพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดำเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า เพื่อการให้บริการแก่ลูกค้าและการบันทึกข้อมูลการรับบริการของลูกค้า
ซึ่งเป็นการดำเนินการที่จำเป็นและ มีความสำคัญสำหรับการให้บริการรับจ้างขนส่งสินค้า หรือการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จากกล้องวงจรปิด
ซึ่งเป็นการดำเนินการที่จำเป็นและมีความสำคัญสำหรับการรับจ้างรักษาความปลอดภัย ให้กับสถานที่ต่าง ๆ แต่ไม่รวมถึงกิจกรรมเสริมที่เป็นเพียงงานสนับสนุนในการดำเนินงานของผู้ควบคุม
ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งไม่ใช่การดำเนินการที่จำเป็นและมีความสำคัญ
เพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดำเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคล
หรือผู้ประมวลผลข้อมูลส่วนบุคคล เช่น งานสนับสนุนด้านบุคลากรและเทคโนโลยีสารสนเทศ
ซึ่งเป็นเพียง งานสนับสนุนสำหรับการให้บริการรับจ้างขนส่งสินค้าหรือการรับจ้างรักษาความปลอดภัยให้กับสถานที่ต่าง ๆ

“สื่อสังคมออนไลน์ (social media)” หมายความว่า สื่อหรือช่องทางในการติดต่อสื่อสาร หรือแลกเปลี่ยนข้อมูลระหว่างบุคคลโดยใช้เทคโนโลยีสารสนเทศ
หรือเครือข่ายอินเทอร์เน็ต (Internet intermediary) ที่เน้นการสร้างหรือเผยแพร่เนื้อหาระหว่างผูใช้งานด้วยกัน (creation and exchange of user-generated content)
หรือสนับสนุนการสื่อสารสองทาง หรือการนำเสนอและเผยแพร่เนื้อหา ในวงกว้างได้ด้วยตนเอง ซึ่งรวมถึงแต่ไม่จำกัดเฉพาะ
โปรแกรมคอมพิวเตอร์ ซอฟต์แวร์ แอปพลิเคชัน กระดานข่าว เครือข่ายสังคมออนไลน์ สื่อสำหรับการเผยแพร่และแลกเปลี่ยนเนื้อหาที่เป็นข้อมูล
คอมพิวเตอร์ ข้อมูลอิเล็กทรอนิกส์ ภาพนิ่ง เสียง วีดิทัศน์ หรือแฟ้มข้อมูล หรือให้บริการเนื้อที่ เก็บข้อมูล บนอินเทอร้เน็ต บล็อก (blogs)
เว็บไชต์สำหรับการสร้างและแกไขเนื้อหาร่วมกัน เกมออนไลน์ หรือโลกเสมือนที่มีผูใช้งานหลายคน หรือสื่ออิเล็กทรอนิกส์หรือสื่อออนไลน์อื่นในลักษณะเดียวกันหรือ
คล้ายคลึงกันที่เปิดให้[ช้งาน เพื่อเป็นช่องทางสื่อสารระหว่างบุคคล ระหว่างกลุ่มบุคคล หรือกับสาธารณะ

“สำนักงาน” หมายความว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ข้อ ๔ เพื่อประโยชน์ในการคุ้มครองข้อมูลส่วนบุคคล ให้ผู้ควบคุมข้อมูลส่วนบุคคลและ ผู้ประมวลผลข้อมูลส่วนบุคคลที่การดำเนินกิจกรรมในการเก็บรวบรวม ใช้

หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบ อย่างสมํ่าเสมอ
โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) ตามข้อ ๕ และข้อ ๖ ของประกาศนี้ ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน

ข้อ ๕ การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities)

ที่มีการติดตาม (track) เฝ็าสังเกต (monitor) วิเคราะห์ หรือทำนายพฤติกรรม ทัศนคติ หรือลักษณะเฉพาะของบุคคล (profile) ซึ่งโดยทั่วไปจะมี
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบ (systematic) และเกิดขึ้นเป็นประจำ หรือเป็นปกติธุระ (regular)
ให้ถือว่าการดำเนินกิจกรรมนั้นมีความจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคล หรือระบบอย่างสมํ่าเสมอ

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ ให้ถือเป็นกรณี ที่มีความจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสมํ่าเสมอตามวรรคหนึ่งด้วย

(๑)การเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับการใช้งานของผู้ถือบัตรสมาชิก บัตรโดยสารสาธารณะ บัตรอิเล็กทรอนิกส์

หรือบัตรอื่นใดในลักษณะเดียวกันซึ่งผู้1ห้บริการบัตรหรือบุคคลอื่นใด สามารถตรวจสอบรายละเอียดข้อมูลการใช้งานบัตรได้

(๒) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการซึ่งเกิดขึ้น เป็นประจำหรือเป็นปกติธุระ ที่มีการตรวจสอบสถานะ

ประวัติ หรือคุณสมบัติของลูกค้าหรือผู้รับบริการ ก่อนเข้าทำสัญญาหรือให้บริการในลักษณะเดียวกันเพื่อประเมินความเสี่ยงด้านต่าง ๆ ที่เกี่ยวข้อง
เช่น การให้คะแนนเครดิต (credit scoring) การพิจารณาเบี้ยประกัน การป้องกันการโกงหรือฉ้อฉล (fraud prevention)
ทั้งบี้ ไม่รวมถึงการดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิก ตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

(๓) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณา ตามพฤติกรรม (behavioral advertising)

(๔) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการโดยผู้ให้บริการ ระบบเครือข่ายคอมพิวเตอร์หรือผู้ประกอบกิจการโทรคมนาคม

(๕) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการเฝ็าระวังและรักษาความปลอดภัย ตามสถานที่ต่าง ๆ

(๖) กรณีอื่นตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

ข้อ ๖ การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities)

ที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก (on a large scale) ให้พิจารณาจากปัจจัย ดังต่อไปนี้

(๑) จำนวนเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้อง หรือสัดส่วนของจำนวนเจ้าของข้อมูลส่วนบุคคล ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย

เมื่อเทียบกับจำนวนเจ้าของข้อมูลส่วนบุคคลทั้งหมดที่อาจเป็นไบได้

(๒) ปริมาณ ประเภท หรือลักษณะของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย

(๓) ระยะเวลา (duration) หรือความคงอยู่ (permanence) ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์ในการดำเนินกิจกรรมหลัก (core activities)

ของผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล

(๔) ขอบเขตการใช้ข้อมูลส่วนบุคคลขององค์กร หรือตามขนาดพื้นที่หรือจำนวนประเทศ ที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ ให้ถือเป็นกรณีที่มีข้อมูล ส่วนบุคคลเป็นจำนวนมาก (on a large scale) ตามวรรคหนึ่งด้วย

(๑) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) โดยมีจำนวนเจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้

หรือเปิดเผยข้อมูล ส่วนบุคคล ตั้งแต่ ๑๐๐,๐๐๐ รายขึ้นไป

(๒) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณา ตามพฤติกรรม (behavioral advertising)

ผ่านโปรแกรมค้นหา (search engine) หรือสื่อสังคมออนไลน์ (social media) ที่มีผู้[ซ้งานอย่างกว้างขวาง

(๓) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการ ตามการดำเนินงานปกติโดยบริษัทตามกฎหมายว่าด้วยประกันชีวิต

บริษัทตามกฎหมายว่าด้วยประกันวินาศภัย ผู้ประกอบธุรกิจสถาบันการเงินตามกฎหมายว่าด้วยธุรกิจสถาบันการเงิน ทั้งนี้ ไม่รวมถึงการดำเนินการกับข้อมูล
ของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

(๔) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการโดยผู้รับใบอนุญาต ประกอบกิจการโทรคมนาคมแบบที่สามตามกฎหมายว่าด้วยการประกอบกิจการโทรคมนาคม

(๕) กรณีอื่นตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด

ข้อ ๗ ในการพิจารณาหลักเกณฑ์ตามข้อ ๕ และข้อ ๖ ให้คำนึงถึงมาตรฐานและแนวปฏิบต ของธุรกิจหรือกิจการนั้นๆ ตลอดจนความเสี่ยงและผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลด้วย

ข้อ ๘ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผล ข้อมูลส่วนบุคคลตามประกาศนี้อาจปฏิบัติหน้าที่หรือภารกิจอื่นได้ แต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือ

ผู้ประมวลผลข้อมูลส่วนบุคคลตามประกาศนี้ต้องรับรองกับสำนักงานว่าหน้าที่หรือภารกิจดังกล่าวต้องไม่ขัด หรือแย้งต่อการปฏิบัติหน้าที่ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ข้อ ๙ ให้ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้รักษาการตามประกาศนี้

ประกาศ ณ วันที่ ๓๑ สิงหาคม พ.ศ. ๒๕๖๖

เธียรชัย ณ นคร

ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล