ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา ๔๑ (๒) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ พ.ศ. ๒๕๖๖ โดยที่เป็นการสมควรกําหนดผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีที่การดําเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผย จําเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสมําเสมอ โดยเหตุที่มีข้อมูล ส่วนบุคคลเป็นจํานวนมาก อาศัยอํานาจตามความในมาตรา ๑๖ (๔) ประกอบมาตรา ๔๑ (๒) แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๖ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงออกประกาศไว้ ดังต่อไปนี้ ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา ๔๑ (๒) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ พ.ศ. ๒๕๖๖” ข้อ ๒ ประกาศนี้ให้ใช้บังคับเมื่อพันกําหนดเก้าสิบวันนับแต่วันประกาศในราชกิจจานุเบกษา เป็นต้นไป ข้อ ๓ ในประกาศนี้ “การดําเนินกิจกรรม” หมายความว่า การดําเนินการใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะเกี่ยวกับ กิจกรรมหลัก (core activities) หรือกิจกรรมเสริมก็ตาม “กิจกรรมหลัก(core activities)” หมายความว่า การดําเนินการที่จําเป็นและมีความสําคัญ เพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดําเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า เพื่อการให้บริการแก่ลูกค้าและการบันทึกข้อมูลการรับบริการของลูกค้า ซึ่งเป็นการดําเนินการที่จําเป็นและ มีความสําคัญสําหรับการให้บริการรับจ้างขนส่งสินค้า หรือการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จากกล้องวงจรปิด ซึ่งเป็นการดําเนินการที่จําเป็นและมีความสําคัญสําหรับการรับจ้างรักษาความปลอดภัย ให้กับสถานที่ต่าง ๆ แต่ไม่รวมถึงกิจกรรมเสริมที่เป็นเพียงงานสนับสนุนในการดําเนินงานของผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งไม่ใช่การดําเนินการที่จําเป็นและมีความสําคัญ เพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดําเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล เช่น งานสนับสนุนด้านบุคลากรและเทคโนโลยีสารสนเทศ ซึงเป็นเพียง งานสนับสนุนสําหรับการให้บริการรับจ้างขนส่งสินค้าหรือการรับจ้างรักษาความปลอดภัยให้กับสถานที่ต่าง ๆ “สื่อสังคมออนไลน์ (social media)” หมายความว่า สื่อหรือช่องทางในการติดต่อสือสาร หรือแลกเปลี่ยนข้อมูลระหว่างบุคคลโดยใช้เทคโนโลยีสารสนเทศ หรือเครือข่ายอินเทอร์เน็ต (Internet intermediary) ที่เน้นการสร้างหรือเผยแพร่เนื้อหาระหว่างผู้ใช้งานด้วยกัน(creation and exchange of user-generated content) หรือสนับสนุนการสื่อสารสองทาง หรือการนําเสนอและเผยแพร่เนื้อหา ในวงกว้างได้ด้วยตนเอง ซึ่งรวมถึงแต่ไม่จํากัดเฉพาะ โปรแกรมคอมพิวเตอร์ ซอฟต์แวร์ แอปพลิเคชัน กระดานข่าว เครือข่ายสังคมออนไลน์ สื่อสําหรับการเผยแพร่และแลกเปลี่ยนเนื้อหาที่เป็นข้อมูล คอมพิวเตอร์ ข้อมูลอิเล็กทรอนิกส์ ภาพนิ่ง เสียง วีดิทัศน์ หรือแฟ้มข้อมูล หรือให้บริการเนื้อที่ เก็บข้อมูล บนอินเทอร์เน็ต บล็อก (blogs) เว็บไซต์สําหรับการสร้างและแก้ไขเนื้อหาร่วมกัน เกมออนไลน์ หรือโลกเสมือนที่มีผู้ใช้งานหลายคน หรือสื่ออิเล็กทรอนิกส์หรือสือออนไลน์อื่นในลักษณะเดียวกันหรือ คล้ายคลึงกันที่เปิดให้ใช้งาน เพื่อเป็นช่องทางสื่อสารระหว่างบุคคล ระหว่างกลุ่มบุคคล หรือกับสาธารณะ “สํานักงาน” หมายความว่า สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ข้อ ๔ เพื่อประโยชน์ในการคุ้มครองข้อมูลส่วนบุคคล ให้ผู้ควบคุมข้อมูลส่วนบุคคลและ ผู้ประมวลผลข้อมูลส่วนบุคคลที่การดําเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) จําเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบ อย่างสมําเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจํานวนมาก (on a large scale) ตามข้อ ๕ และข้อ ๖ ของประกาศนี้ ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ข้อ ๕ การดําเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) ที่มีการติดตาม (track) เฝ้าสังเกต (monitor) วิเคราะห์ หรือทํานายพฤติกรรม ทัศนคติ หรือลักษณะเฉพาะของบุคคล (profile) ซึ่งโดยทั่วไปจะมี การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเป็นระบบ (รษ5(๑กาลย์๐ และเกิดขึ้นเป็นประจํา หรือเป็นปกติธุระ (regular) ให้ถือว่าการดําเนินกิจกรรมนั้นมีความจําเป็นต้องตรวจสอบข้อมูลส่วนบุคคล หรือระบบอย่างสมําเสมอ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ ให้ถือเป็นกรณี ที่มีความจําเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสมําเสมอตามวรรคหนึ่งด้วย (๑) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับการใช้งานของผู้ถือบัตรสมาชิก บัตรโดยสารสาธารณะ บัตรอิเล็กทรอนิกส์ หรือบัตรอื่นใดในลักษณะเดียวกันซึ่งผู้ให้บริการบัตรหรือบุคคลอื่นใด สามารถตรวจสอบรายละเอียดข้อมูลการใช้งานบัตรได้ (๒) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการซึ่งเกิดขึ้น เป็นประจําหรือเป็นปกติธุระ ที่มีการตรวจสอบสถานะ ประวัติ หรือคุณสมบัติของลูกค้าหรือผู้รับบริการ ก่อนเข้าทําสัญญาหรือให้บริการในลักษณะเดียวกันเพื่อประเมินความเสียงด้านต่าง ๆ ที่เกี่ยวข้อง เช่น การให้คะแนนเครดิต (credit scoring) การพิจารณาเบี้ยประกัน การป้องกันการโกงหรือฉ้อฉล (fraud prevention) ทั้งนี้ ไม่รวมถึงการดําเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิก ตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต (๓) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณา ตามพฤติกรรม (behavioral advertising) (๔) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการโดยผู้ให้บริการ ระบบเครือข่ายคอมพิวเตอร์หรือผู้ประกอบกิจการโทรคมนาคม (๕) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการเฝ้าระวังและรักษาความปลอดภัย ตามสถานที่ต่าง ๆ (๖) กรณีอื่นตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกําหนด ข้อ ๖ การดําเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) ที่มีข้อมูลส่วนบุคคลเป็นจํานวนมาก (on a large scale) ให้พิจารณาจากปัจจัย ดังต่อไปนี้ (๑) จํานวนเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้อง หรือสัดส่วนของจํานวนเจ้าของข้อมูลส่วนบุคคล ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย เมื่อเทียบกับจํานวนเจ้าของข้อมูลส่วนบุคคลทั้งหมดที่อาจเป็นไปได้ (๒) ปริมาณ ประเภท หรือลักษณะของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย (๓) ระยะเวลา (duration) หรือความคงอยู่ (permanence) ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์ในการดําเนินกิจกรรมหลัก (core activities) ของผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล (๔) ขอบเขตการใช้ข้อมูลส่วนบุคคลขององค์กร หรือตามขนาดพื้นที่หรือจํานวนประเทศ ที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีดังต่อไปนี้ ให้ถือเป็นกรณีที่มีข้อมูล ส่วนบุคคลเป็นจํานวนมาก (on a large scale) ตามวรรคหนึ่งด้วย (๑) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึงเป็นส่วนหนึ่งของกิจกรรมหลัก (core activities) โดยมีจํานวนเจ้าของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล ตั้งแต่ ๑๐๐,๐๐๐ รายขึ้นไป (๒) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ด้านการโฆษณา ตามพฤติกรรม (behavioral advertising) ผ่านโปรแกรมค้นหา (search engine) หรือสือสังคมออนไลน์ (social media) ที่มีผู้ใช้งานอย่างกว้างขวาง (๓) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการ ตามการดําเนินงานปกติโดยบริษัทตามกฎหมายว่าด้วยประกันชีวิต บริษัทตามกฎหมายว่าด้วยประกันวินาศภัย ผู้ประกอบธุรกิจสถาบันการเงินตามกฎหมายว่าด้วยธุรกิจสถาบันการเงิน ทั้งนี้ ไม่รวมถึงการดําเนินการกับข้อมูล ของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบรธุรกิจข้อมูลเครดิต (๔) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าหรือผู้รับบริการโดยผู้รับใบอนุญาต ประกอบกิจการโทรคมนาคมแบบที่สามตามกฎหมายว่าด้วยการประกอบกิจการโทรคมนาคม (๕) กรณีอื่นตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกําหนด ข้อ ๗ ในการพิจารณาหลักเกณฑ์ตามข้อ ๕ และข้อ ๖ ให้คํานึ่งถึงมาตรฐานและแนวปฏิบัติ ของธุรกิจหรือกิจการนั้น ๆ ตลอดจนความเสี่ยงและผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลด้วย ข้อ ๘ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผล ข้อมูลส่วนบุคคลตามประกาศนี้อาจปฏิบัติหน้าที่หรือภารกิจอื่นได้ แต่ผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลตามประกาศนี้ต้องรับรองกับสํานักงานว่าหน้าที่หรือภารกิจดังกล่าวต้องไม่ขัด หรือแย้งต่อการปฏิบัติหน้าที่ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ข้อ ๙ ให้ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้รักษาการตามประกาศนี้ ประกาศ ณ วันที่ ๓๑ สิงหาคม พ.ศ. ๒๕๖๖ เธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล
หากท่านต้องการเอกสาร พ.ร.บ. นี้อย่างเป็นทางการ กรุณาใช้ ไฟล์ pdf จาก website สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สำรอง)
Website นี้พัฒนาขึ้นแบบ open source ท่านสามารถร่วมแก้ไข ปรับปรุงได้ บน GitHub