DC/DP/DPO’s Obligation
ผู้เก็บรวบรวมข้อมูล (Data Controller), ผู้ประมวลผลข้อมูล (Data Processor) และ เจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) คือ ผู้เล่นหลักตามที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ซึ่งแต่ละบทบาทมีหน้าที่ความรับผิดชอบที่ชัดเจน เช่น มาตรา 40(2) ผู้ประมวลผลข้อมูลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม, มาตรา 41 ผู้เก็บรวบรวมข้อมูล (DC) และผู้ประมวลผลข้อมูล (DP) ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พร้อมแจ้งสถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานทราบ, มาตรา 42 เจ้าหน้าที่คุ้มครองข้อมูล (DPO) ตรวจสอบการดำเนินงานของ DC/DPO เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เป็นต้น ซึ่งถ้าไม่ปฏิบัติตามให้ถูกต้อง มีโทษทั้งอาญาและทางปกครอง
กฎหมายที่ครอบคลุม (PDPA)
มาตรา 40(2) ผู้ประมวลผลข้อมูลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
มาตรา 40(3) จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
มาตรา 41 DC/DP ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พร้อมแจ้งสถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานทราบ
มาตรา 41(2) การดำเนินการกิจกรรมของ DC/DP ในเการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบอย่างสม่ำเสมอ
มาตรา 41(3) กิจกรรมหลักของ DC/DP เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26
มาตรา 42 DPO ตรวจสอบการดำเนินงานของ DC/DPO เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
บทลงโทษ (Penalties)
โทษทางอาญา : จำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษทางอาญา : ปรับไม่เกิน 5 ล้านบาท
ประโยชน์ที่ได้รับ (NDPP)
มีเครื่องมือช่วยกำหนดมาตรการรักษาความปลอดภัย และการตรวจสอบ
สามารถบันทึกรายการกิจกรรมที่เกี่ยวข้องกับ PDPA เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้
สามารถกำหนดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ วิธีการติดต่อ สำหรับแต่ละบริการ
