“3 หัวข้อ” ประเมินให้ชัวร์ ! การจัดให้มี DPO ตามกฎหมาย PDPA มาตรา 41 (2)

แชร์

อ่าน

ครั้ง

โดย : PDPA Thailand

“3 หัวข้อ” ประเมินให้ชัวร์ ! การจัดให้มี DPO ตามกฎหมาย PDPA มาตรา 41 (2)

แชร์

อ่าน

ครั้ง

โดย : PDPA Thailand

        องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เรื่อง “การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566” เมื่อวันที่ 14 กันยายน 2566 มีผลบังคับใช้วันที่ 13 ธันวาคม 2566 นั้น

 

องค์กรต้องพิจารณาว่ามีรายละเอียดและเงื่อนไขตามที่ประกาศฯ กำหนดใน “3 หัวข้อ” นี้หรือไม่?

  1. มีการดำเนินการกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities)

กิจกรรมหลัก (core activities) คือ การดําเนินการที่จําเป็นและมีความสําคัญเพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดําเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล แต่ไม่รวมถึงกิจกรรมเสริม (ancillary activities) ที่เป็นเพียงงานสนับสนุนในการดําเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งไม่ใช่การดําเนินการที่จําเป็นและมีความสําคัญเพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดําเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล (อาทิ (1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อการให้บริการแก่ลูกค้าและการบันทึกข้อมูลการรับบริการของลูกค้า ซึ่งเป็นการดําเนินการที่จําเป็นและมีความสําคัญสําหรับการให้บริการรับจ้างขนส่งสินค้า หรือ (2) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากกล้องวงจรปิด ซึ่งเป็นการดําเนินการที่จําเป็นและมีความสําคัญสําหรับการรับจ้างรักษาความปลอดภัยให้กับสถานที่ต่าง ๆ เป็นต้น)

     2. มีการดําเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จําเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ําเสมอ (regular and systematic monitoring)

จําเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ําเสมอ (regular and systematic monitoring) คือ การดําเนินการกิจกรรมหลักที่มีการมีการติดตาม (track) เฝ้าสังเกต (monitor) วิเคราะห์ หรือทํานายพฤติกรรม ทัศนคติ หรือลักษณะเฉพาะของบุคคล (profile) ซึ่งโดยทั่วไปจะมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบ (systematic) และเกิดขึ้นเป็นประจําหรือเป็นปกติธุระ (regular) (การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล ดังต่อไปนี้ถือเป็นกรณีที่มีความจําเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ําเสมอ 

(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับการใช้งานของผู้ถือบัตรสมาชิกบัตรโดยสารสาธารณะ บัตรอิเล็กทรอนิกส์ หรือบัตรอื่นใดในลักษณะเดียวกันซึ่งผู้ให้บริการบัตรหรือบุคคลอื่นใดสามารถตรวจสอบรายละเอียดข้อมูลการใช้งานบัตรได้ 

(2) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการซึ่งเกิดขึ้นเป็นประจําหรือเป็นปกติธุระ ที่มีการตรวจสอบสถานะประวัติ หรือคุณสมบัติของลูกค้าหรือผู้รับบริการก่อนเข้าทําสัญญาหรือให้บริการในลักษณะเดียวกันเพื่อประเมินความเสี่ยงด้านต่าง ๆ ที่เกี่ยวข้อง เช่น การให้คะแนนเครดิต (credit scoring) การพิจารณาเบี้ยประกัน การป้องกันการโกงหรือฉ้อฉล (fraud prevention) ทั้งนี้ ไม่รวมถึงการดําเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

(3) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณาตามพฤติกรรม (behavioral advertising)

(4) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการโดยผู้ให้บริการระบบเครือข่ายคอมพิวเตอร์หรือผู้ประกอบกิจการ

โทรคมนาคม

(5) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการเฝ้าระวังและรักษาความปลอดภัยตามสถานที่ต่าง ๆ)

     3. มีการดําเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่มีข้อมูลส่วนบุคคลเป็นจํานวนมาก (on a large scale) (เข้าเงื่อนไขข้อใดข้อหนึ่ง)

(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) โดยมีจํานวนเจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตั้งแต่ 100,000 รายขึ้นไป

(2) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณาตามพฤติกรรม (behavioral advertising) ผ่านโปรแกรมค้นหา (search engine) หรือสื่อสังคมออนไลน์ (social media) ที่มีผู้ใช้งานอย่างกว้างขวาง

(3) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการตามการดําเนินงานปกติ โดยบริษัทตามกฎหมายว่าด้วยประกันชีวิต บริษัทตามกฎหมายว่าด้วยประกันวินาศภัย ผู้ประกอบธุรกิจสถาบันการเงินตามกฎหมายว่าด้วยธุรกิจสถาบันการเงิน ทั้งนี้ ไม่รวมถึงการดําเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

(4) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการโดยผู้รับใบอนุญาตประกอบกิจการโทรคมนาคมแบบที่สามตามกฎหมายว่าด้วยการประกอบกิจการโทรคมนาคม

เพื่อคำนึงถึงมาตรฐานและแนวปฏิบัติขององค์กร ธุรกิจ หรือกิจการนั้นๆ ตลอดจนความเสี่ยงและผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลด้วยการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ ให้ถือเป็นกรณีที่มีข้อมูลส่วนบุคคลเป็นจํานวนมาก (on a large scale) 

องค์กรยังไม่แน่ใจ เช็คให้ชัวร์ ! ว่าเข้าข่ายที่จะต้องจัดให้มี DPO หรือไม่? ดาวน์โหลดเอกสารแบบประเมินการจัดให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) 

ประเมินเลย https://pdpathailand.info/41tyOxU

 

#PDPAThailand #DBCGroup

#PDPA #พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

#DPO #เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

#ประกาศ #กฎหมายรอง #แบบประเมิน #ผู้ช่วยองค์กร