องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เรื่อง “การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566” เมื่อวันที่ 14 กันยายน 2566 มีผลบังคับใช้วันที่ 13 ธันวาคม 2566 นั้น

องค์กรต้องพิจารณาว่ามีรายละเอียดและเงื่อนไขตามที่ประกาศฯ กำหนดใน “3 หัวข้อ” นี้หรือไม่?

1. มีการดำเนินการกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities)

กิจกรรมหลัก (core activities) คือ การดําเนินการที่จําเป็นและมีความสําคัญเพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดําเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล แต่ไม่รวมถึงกิจกรรมเสริม (ancillary activities) ที่เป็นเพียงงานสนับสนุนในการดําเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งไม่ใช่การดําเนินการที่จําเป็นและมีความสําคัญเพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดําเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล (อาทิ (1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อการให้บริการแก่ลูกค้าและการบันทึกข้อมูลการรับบริการของลูกค้า ซึ่งเป็นการดําเนินการที่จําเป็นและมีความสําคัญสําหรับการให้บริการรับจ้างขนส่งสินค้า หรือ (2) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากกล้องวงจรปิด ซึ่งเป็นการดําเนินการที่จําเป็นและมีความสําคัญสําหรับการรับจ้างรักษาความปลอดภัยให้กับสถานที่ต่าง ๆ เป็นต้น)

     2. มีการดําเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จําเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ําเสมอ (regular and systematic monitoring)

จําเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ําเสมอ (regular and systematic monitoring) คือ การดําเนินการกิจกรรมหลักที่มีการมีการติดตาม (track) เฝ้าสังเกต (monitor) วิเคราะห์ หรือทํานายพฤติกรรม ทัศนคติ หรือลักษณะเฉพาะของบุคคล (profile) ซึ่งโดยทั่วไปจะมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบ (systematic) และเกิดขึ้นเป็นประจําหรือเป็นปกติธุระ (regular) (การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล ดังต่อไปนี้ถือเป็นกรณีที่มีความจําเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ําเสมอ 

(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับการใช้งานของผู้ถือบัตรสมาชิกบัตรโดยสารสาธารณะ บัตรอิเล็กทรอนิกส์ หรือบัตรอื่นใดในลักษณะเดียวกันซึ่งผู้ให้บริการบัตรหรือบุคคลอื่นใดสามารถตรวจสอบรายละเอียดข้อมูลการใช้งานบัตรได้ 

(2) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการซึ่งเกิดขึ้นเป็นประจําหรือเป็นปกติธุระ ที่มีการตรวจสอบสถานะประวัติ หรือคุณสมบัติของลูกค้าหรือผู้รับบริการก่อนเข้าทําสัญญาหรือให้บริการในลักษณะเดียวกันเพื่อประเมินความเสี่ยงด้านต่าง ๆ ที่เกี่ยวข้อง เช่น การให้คะแนนเครดิต (credit scoring) การพิจารณาเบี้ยประกัน การป้องกันการโกงหรือฉ้อฉล (fraud prevention) ทั้งนี้ ไม่รวมถึงการดําเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

(3) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณาตามพฤติกรรม (behavioral advertising)

(4) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการโดยผู้ให้บริการระบบเครือข่ายคอมพิวเตอร์หรือผู้ประกอบกิจการ

โทรคมนาคม

(5) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการเฝ้าระวังและรักษาความปลอดภัยตามสถานที่ต่าง ๆ)