วันพุธที่ 26 กรกฎาคม 2566 ที่ผ่านมา “คณะกรรมการสภาดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งประเทศไทย” จัดประชุมผ่านระบบอิเล็กทรอนิกส์เพื่อรับฟังความคิดเห็น (ร่าง) ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่การดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....โดยมีประเด็นรับฟังความคิดเห็นประกอบด้วย 1) หลักเกณฑ์ในการพิจารณาผู้ที่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตาม ม.41 (2) 2) การกำหนดระยะเวลาที่ให้ผู้ต้องจัดให้มีเจ้าหน้าที่ DPO แจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่ DPO ให้ สคส. ทราบ และ 3) ประเด็นอื่น ๆ หรือข้อเสนอแนะ โดยสภาดิจิทัลฯ จะรวบรวมความคิดเห็นและข้อเสนอแนะเสนอต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เพื่อพิจารณาต่อไป
ร่างประกาศฯ ผู้ที่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา (DPO) ตาม ม.41 (2) เป็นกฎหมายลำดับรองภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (พ.ร.บ. PDPA) มีวัตถุประสงค์เพื่อกำหนดหลักเกณฑ์และคุ้มครองข้อมูลส่วนบุคคล (DPO) ตาม ม.41 (2) วิธีการให้สอดคล้องกับ มาตรา 41 (2) แห่ง พ.ร.บ. PDPA ซึ่งกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลที่กำหนดจัดให้มีเจ้าหน้าที่คุ้มครองส่วนบุคคล (DATA PROTECTIONOFFICER: DPO)
ทั้งนี้ คณะกรรมการสภาดิจิทัลฯ ได้แสดงความคิดเห็นและข้อเสนอแนะต่อร่างประกาศฯ ผู้ที่ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา (DPO) ตาม ม.41 (2) ในประเด็นต่างๆ เช่น การตีความในเรื่องบริษัทที่เข้าข่ายที่จะจัดให้ต้องมี DPO อย่างชัดเจน เช่น ประชาชนทั่วไป กิจการทั่วไป และกิจการดิจิทัล เป็นต้น นำไปสู่ประเด็นความชัดเจนของ DPO ว่ามีความผิดทางกฎหมายหรือไม่ พันธะของกฎหมายแพ่งและอาญาตาม พ.ร.บ PDPA ในการเอาผิดต่อผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลเมื่อ DPO มีการกระทำความผิด ความร่วมมือระหว่างสภาดิจิทัลฯ และ สคส. ในประเด็น DPO รวมไปถึง การปรับตัวของธุรกิจเพิ่มเติมจากพ.ร.บ. ฉบับนี้ต่อไป เป็นต้น