ต้องมี DPO (Data Protection Officer) ไหม? [คำตอบชัด พร้อมเกณฑ์ตาม PDPA          ภายใต้กฎหมาย PDPA – พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางองค์กรมี “หน้าที่ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หรือที่เรียกว่า DPO (Data Protection Officer) เพื่อดูแลให้การจัดการข้อมูลเป็นไปตามกฎหมาย แต่ไม่ใช่ทุกองค์กรจำเป็นต้องมี DPO บทความนี้จะอธิบายว่า องค์กรแบบใดบ้างที่ “ต้องมี” DPO และองค์กรแบบใดบ้างที่ “ไม่จำเป็นต้องมี” DPO คือใคร?        DPO (Data Protection Officer) คือบุคคลหรือหน่วยงานที่องค์กรแต่งตั้งขึ้นเพื่อ: ให้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคล ตรวจสอบการปฏิบัติตาม PDPA ภายในองค์กร เป็นจุดติดต่อกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) เป็นตัวกลางประสานงานกับเจ้าของข้อมูลหากมีการร้องเรียน องค์กรแบบใดบ้างที่ “ต้องมี” DPO ตาม PDPA?        ตามกฎหมาย PDPA มาตรา 41 กำหนดให้องค์กรต้องแต่งตั้ง DPO หากเข้าเกณฑ์ใดเกณฑ์หนึ่ง ดังนี้: 1. องค์กรภาครัฐ หน่วยงานราชการ รัฐวิสาหกิจ องค์กรปกครองส่วนท้องถิ่น ฯลฯ ต้องมี DPO โดยอัตโนมัติ 2. องค์กรที่ประมวลผลข้อมูลส่วนบุคคลจำนวนมากเป็นประจำ (Mass Processing) เช่น: ธนาคาร / โรงพยาบาล / โรงแรมขนาดใหญ่ บริษัท E-commerce หรือ SaaS (Software as a Service) ที่มีลูกค้านับพัน

การขอความยินยอมอย่างถูกต้องเป็นอย่างไร? [PDPA Consent ฉบับเข้าใจง่าย]        การเก็บข้อมูลส่วนบุคคลภายใต้กฎหมาย PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) ต้องมี “ความยินยอมอย่างถูกต้อง” (Valid Consent) จากเจ้าของข้อมูลก่อน โดยเฉพาะเมื่อจะใช้ข้อมูลในเชิงการตลาด การส่งต่อให้บุคคลภายนอก หรือการวิเคราะห์พฤติกรรม บทความนี้จะพาคุณเข้าใจว่า การขอความยินยอมต้องทำอย่างไรจึงจะถูกต้องตามกฎหมาย PDPA ✅ ความยินยอม (Consent) คืออะไร? “ความยินยอม” หมายถึง การที่เจ้าของข้อมูลแสดงเจตนาอย่างเสรี โดยรู้เท่าทัน และชัดเจน ในการอนุญาตให้เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน” 📌 หลัก 5 ข้อของ “การขอความยินยอมที่ถูกต้อง” 1. ต้อง มีการแจ้งล่วงหน้า ก่อนเก็บข้อมูล ต้องแจ้งให้ชัดเจนว่า: จะเก็บข้อมูลอะไร? เพื่อวัตถุประสงค์อะไร? จะส่งต่อให้ใคร? เจ้าของข้อมูลมีสิทธิอะไร? 2. ต้อง ให้เลือกอย่างอิสระ เจ้าของข้อมูลต้องมีสิทธิตัดสินใจเอง โดยไม่มีการบังคับ เช่น: ไม่ควรกดยินยอมไว้ล่วงหน้า (pre-checked box) ไม่ควรผูกกับการใช้บริการโดยไม่จำเป็น เช่น “ไม่ยินยอม = สมัครไม่ได้” 3. ต้อง แยกจากเงื่อนไขอื่น ความยินยอมต้องไม่ถูกรวมไว้ในสัญญา หรือเงื่อนไขการใช้บริการทั่วไปควรแยกออกเป็นช่องเฉพาะ เช่น: ฉันยินยอมให้ใช้ข้อมูลในการส่งโปรโมชั่น 4. ต้อง ระบุวัตถุประสงค์ชัดเจน เช่น: “เพื่อวิเคราะห์พฤติกรรมการใช้งานเว็บไซต์” “เพื่อส่งข่าวสารผ่านอีเมล” “เพื่อแชร์ข้อมูลกับพาร์ทเนอร์โลจิสติกส์” 5. ต้อง สามารถถอนความยินยอมได้ ต้องแจ้งช่องทางให้เจ้าของข้อมูลสามารถ “ถอนความยินยอม” ได้ทุกเมื่อและธุรกิจต้องดำเนินการตามคำขออย่างรวดเร็ว 📝 ตัวอย่างข้อความขอความยินยอม (Consent Text) “เราจะใช้ข้อมูลชื่อและอีเมลของคุณเพื่อส่งข่าวสารและโปรโมชั่น หากคุณยินยอม กรุณาคลิกที่ช่องด้านล่าง” □ ฉันยินยอมให้บริษัทใช้ข้อมูลของฉันในการส่งข่าวสารและโปรโมชั่นทางอีเมล 🔒 ในบางกรณีไม่จำเป็นต้องขอความยินยอม PDPA อนุญาตให้เก็บข้อมูลโดยไม่ต้องขอความยินยอม

ธุรกิจขนาดเล็กต้องทำอะไรบ้างตาม PDPA? [คู่มือ PDPA ฉบับง่ายสำหรับ SMEs]        หลายคนคิดว่า PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) เป็นเรื่องสำหรับบริษัทใหญ่ แต่ในความเป็นจริงแล้ว ไม่ว่าจะเป็นร้านค้าออนไลน์ ร้านกาแฟ หรือฟรีแลนซ์ หากมีการเก็บข้อมูลลูกค้า เช่น ชื่อ เบอร์โทร หรืออีเมล ก็อยู่ภายใต้กฎหมาย PDPA เช่นกัน        บทความนี้จะช่วยให้คุณเข้าใจ สิ่งที่ธุรกิจขนาดเล็กต้องทำ เพื่อให้ปฏิบัติตาม PDPA อย่างง่ายที่สุด ✅ ธุรกิจแบบไหนต้องทำตาม PDPA?        หากคุณมีการ “เก็บข้อมูลส่วนบุคคล” ของลูกค้า พนักงาน หรือผู้ติดต่อ เช่น: ข้อมูลจากฟอร์มหน้าเว็บ (ชื่อ-เบอร์โทร) รายชื่อผู้ติดตาม Line OA / Facebook รายชื่อพนักงาน กล้องวงจรปิดที่จับภาพลูกค้าได้        ธุรกิจของคุณต้องปฏิบัติตาม PDPA ไม่ว่าจะเล็กแค่ไหน 🔍 ธุรกิจขนาดเล็กต้องทำอะไรบ้าง? 1. ตรวจสอบว่าภายในองค์กรเก็บข้อมูลอะไรบ้าง (Data Mapping)        เริ่มต้นโดยการทบทวนว่าเก็บข้อมูลอะไรไว้ เช่น: รายชื่อลูกค้า เบอร์โทร / อีเมล ที่อยู่สำหรับจัดส่งสินค้า ข้อมูลการชำระเงิน 📌 คำถามง่าย ๆ:“ข้อมูลนี้ระบุตัวบุคคลได้หรือไม่?” ถ้าใช่ = เป็นข้อมูลส่วนบุคคล 2. แจ้งวัตถุประสงค์ และขอความยินยอม (Consent)        ถ้าคุณเก็บข้อมูลเพื่อ: ส่งโปรโมชั่น ใช้ในการโฆษณาออนไลน์ แชร์ให้พาร์ทเนอร์ (เช่น

สิทธิในการถอนความยินยอม (Right to Withdraw Consent) – เจ้าของข้อมูลมีสิทธิเปลี่ยนใจได้เมื่อไหร่?        ในยุคที่ข้อมูลส่วนบุคคลมีมูลค่าสูงและถูกใช้งานอย่างแพร่หลาย การที่เจ้าของข้อมูล “ยินยอม” ให้เก็บ ใช้ หรือเปิดเผยข้อมูล ไม่ได้หมายความว่าจะ ยินยอมตลอดไป นี่จึงเป็นที่มาของ สิทธิในการถอนความยินยอม (Right to Withdraw Consent) ซึ่งได้รับการรับรองภายใต้กฎหมาย PDPA – พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ✅ สิทธิในการถอนความยินยอมคืออะไร? หมายถึง สิทธิของเจ้าของข้อมูล ในการถอนความยินยอมที่เคยให้ไว้กับองค์กร ไม่ว่าจะเป็นการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล        เจ้าของข้อมูลสามารถ เปลี่ยนใจ และ ขอให้หยุดการใช้ข้อมูล ได้ทุกเมื่อ โดยไม่ต้องแสดงเหตุผล 📜 PDPA ว่าไว้อย่างไร?        ตามมาตรา 19 ของ PDPA ระบุว่า: “เจ้าของข้อมูลส่วนบุคคลมีสิทธิ ถอนความยินยอม เสียเมื่อใดก็ได้  เว้นแต่มีข้อจำกัดสิทธิตามกฎหมาย หรือโดยสัญญาที่ให้ประโยชน์กับเจ้าของข้อมูลเอง”        กล่าวง่าย ๆ คือ ถ้าไม่มีข้อกฎหมายหรือสัญญากำหนดไว้ เจ้าของข้อมูลสามารถขอหยุดใช้งานข้อมูลของตนได้ทุกเมื่อ 🔍 ตัวอย่างข้อมูลที่มักขอความยินยอม การส่งอีเมลโปรโมชั่น การใช้ข้อมูลเพื่อวิเคราะห์พฤติกรรม (Tracking/Analytics) การแชร์ข้อมูลให้พันธมิตรทางธุรกิจ การเก็บข้อมูลชีวภาพ (ใบหน้า ลายนิ้วมือ) การใช้ข้อมูลเพื่อโฆษณาแบบเจาะจง (Personalized Ads) 📝 ตัวอย่างสถานการณ์ถอนความยินยอม สถานการณ์ ถอนความยินยอมได้ไหม? ผลกระทบ ลูกค้าขอเลิกรับอีเมลโปรโมชั่น ✅ ต้องหยุดส่งทันที ผู้ใช้งานไม่ยินยอมให้ติด Tracking ผ่าน Cookie ✅

       สิทธิในการลบข้อมูล (Right to Erasure) – เจ้าของข้อมูลมีสิทธิขอลบข้อมูลเมื่อใด?        ภายใต้กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เจ้าของข้อมูลมีสิทธิควบคุมข้อมูลของตนเองได้หลากหลายประการ หนึ่งในสิทธิที่สำคัญมากคือ สิทธิในการลบข้อมูล (Right to Erasure) หรือที่เรียกกันว่า “สิทธิให้ลืม” (Right to be Forgotten) ✅ สิทธิในการลบข้อมูลคืออะไร?        สิทธิในการลบข้อมูล หมายถึงสิทธิของเจ้าของข้อมูลที่สามารถ ร้องขอให้องค์กรลบหรือทำลายข้อมูลส่วนบุคคลของตน ในบางกรณีที่กฎหมาย PDPA กำหนดไว้ โดยไม่ต้องให้คงข้อมูลนั้นไว้อีกต่อไป 📌 ตัวอย่างสถานการณ์ที่สามารถใช้สิทธิขอลบข้อมูลได้        ตามหลักกฎหมาย PDPA มาตรา 33 เจ้าของข้อมูลสามารถขอลบข้อมูลในกรณีต่อไปนี้: ✅ ข้อมูล ไม่จำเป็นต่อวัตถุประสงค์ คือ ไม่มีเหตุผลหรือความจำเป็นในการเก็บ รวบรวม ใช้ หรือเปิดเผยอีกต่อไป เช่น ยกเลิกการเป็นสมาชิก หมดระยะเวลาตามวัตถุประสงค์ ✅ ถอนความยินยอม ที่เคยให้ไว้ (และไม่มีฐานอื่นรองรับการเก็บข้อมูลต่อ) เช่น ยกเลิกการรับข่าวสาร ขอให้ลบข้อมูลส่วนตัวออกจากระบบ ✅ คัดค้านการประมวลผล และไม่มีเหตุผลอันชอบให้ดำเนินต่อ เช่น ไม่ต้องการให้ข้อมูลถูกใช้ทำการตลาด ไม่อนุญาตให้ใช้ข้อมูลเพื่อวิเคราะห์พฤติกรรม ✅ ข้อมูล ถูกเก็บ ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย เช่น ถูกเก็บข้อมูลโดยไม่ขอความยินยอม ใช้ข้อมูลเกินกว่าขอบเขตที่แจ้งไว้ ✅ ต้องลบตาม หน้าที่ทางกฎหมายอื่น ๆ เช่น เมื่อข้อมูลพ้นระยะเวลาที่กำหนดตามกฎหมาย หรือลบข้อมูลตามคำสั่งศาล 🚫 ข้อยกเว้น: การลบข้อมูลไม่ได้มีกรณีใดบ้าง?    

สิทธิในการเข้าถึงข้อมูล (Right of Access) – เจ้าของข้อมูลมีสิทธิรู้อะไรบ้างภายใต้ PDPA?        หนึ่งในหัวใจสำคัญของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) คือการให้สิทธิแก่ เจ้าของข้อมูล ในการควบคุมและตรวจสอบการใช้งานข้อมูลของตนเอง ซึ่งหนึ่งในสิทธิที่สำคัญมากคือ “สิทธิในการเข้าถึงข้อมูล” หรือ Right of Access ✅ สิทธิในการเข้าถึงข้อมูลคืออะไร?        ตาม มาตรา 30 ของกฎหมาย PDPA เจ้าของข้อมูลมีสิทธิ “ขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตนที่อยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล”        นอกจากนี้ยังสามารถ: ขอให้เปิดเผยถึงการได้มาของข้อมูล ขอดูรายละเอียดว่าข้อมูลถูกใช้เพื่อวัตถุประสงค์ใด ตรวจสอบว่าข้อมูลถูกส่งต่อให้ใครบ้าง 🔍 เจ้าของข้อมูลสามารถขออะไรได้บ้าง? ✅ สำเนาข้อมูลส่วนบุคคลเช่น ไฟล์ประวัติลูกค้า, ประวัติการรักษา, ข้อมูลการใช้งานในระบบ ฯลฯ ✅ รายละเอียดวัตถุประสงค์ในการนำไปใช้ว่าองค์กรใช้ข้อมูลเพื่ออะไรบ้าง เช่น การตลาด, บริการลูกค้า, วิเคราะห์พฤติกรรม ✅ ผู้รับข้อมูล (Third Party)ข้อมูลถูกส่งต่อให้บริษัทไหน หรือองค์กรภายนอกใดบ้าง ✅ แหล่งที่มาของข้อมูลถ้าองค์กรได้ข้อมูลมาจากแหล่งอื่น (ไม่ใช่โดยตรงจากเจ้าของข้อมูล) 📝 ขั้นตอนการใช้สิทธิในการเข้าถึงข้อมูล ยื่นคำร้องผ่านช่องทางที่องค์กรกำหนดเช่น แบบฟอร์มออนไลน์, อีเมล หรือหนังสือยื่นคำขอ รอการตรวจสอบคำขอและตอบกลับผู้ควบคุมข้อมูลจะตรวจสอบความถูกต้องของคำขอ และองค์กรมีเวลาไม่เกิน 30 วันนับจากวันที่ได้รับคำขอ เพื่อดำเนินการและตอบกลับ แจ้งผลและส่งข้อมูลให้เจ้าของข้อมูลหากคำขอถูกปฏิเสธต้องมีเหตุผลชัดเจน เพราะอาจถูกร้องเรียนไปยังสำนักงาน PDPC ได้ ⚠️ ข้อยกเว้น (ที่องค์กรสามารถปฏิเสธคำขอได้) ข้อมูลอาจกระทบสิทธิของผู้อื่น (เช่น เป็นข้อมูลร่วม) ข้อมูลถูกใช้เพื่อประโยชน์ของรัฐด้านความมั่นคง หรือกระบวนการยุติธรรม มีข้อกฎหมายอื่นที่กำหนดให้เก็บข้อมูลไว้เป็นความลับ องค์กรไม่สามารถยืนยันตัวตนของผู้ยื่นคำขอได้ 🧠 ตัวอย่างสถานการณ์การใช้สิทธิ สถานการณ์ การใช้สิทธิในการเข้าถึง ลูกค้าขอประวัติการสั่งซื้อย้อนหลัง ✔️ องค์กรต้องให้ข้อมูลภายใน