บทบาทสำคัญเกี่ยวข้องกับข้อมูลส่วนบุคคล ตามสาระสำคัญของกฎหมายฉบับนี้ใน 4 บทบาทด้วยกัน ดังนี้
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง ประชาชนทุกคนที่ข้อมูลสามารถระบุไปถึงได้ หากเป็นหน่วยงานทั่วไปก็หมายถึง ลูกค้า พนักงาน รวมถึง Outsource ด้วย กล่าวคือ เป็นบุคคลที่ข้อมูลชี้ไปถึงแต่ไม่รวมถึงผู้ที่เสียชีวิตแล้ว และนิติบุคคล (เจ้าของข้อมูลส่วนบุคคลไม่ใช่เจ้าของกรรมสิทธิ์ในข้อมูลนั้น)
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลหรือ นิติบุคคล (หน่วยงาน/องค์กร/สถาบัน) ที่มีอำนาจหน้าที่ตัดสินใจ กำหนดวัตถุประสงค์ วิธีการประมวลผล เก็บรวบรวม ใช้ประโยชน์ หรือ เปิดเผยข้อมูลส่วนบุคคล *ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน/องค์กร/สถาบัน เมื่อหันกลับมามองหากเรามีการเก็บข้อมูลส่วนของบุคคลของผู้อื่นเอาไว้ ย่อมหมายความว่า เราก็สวมบทบาทเป็น "ผู้ควบคุมข้อมูลส่วนบุคคล" ที่จะต้องปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลด้วยเช่นกัน หน้าที่ของ "ผู้ควบคุมข้อมูลส่วนบุคคล" ตาม พ.ร.บ.คุ้มครอง 2562 มาตรา 37 มีดังนี้
- จัดให้มีมาตการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือ เปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
- กรณีต้องให้ข้อมูลส่วนบุคคแก่บุคคลหรือนิติบุคคลอื่นที่ "ไม่ใช่" ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจ หรือ โดยมิชอบ
- จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ หรือ ทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาเก็บรักษา หรือไม่เกี่ยวข้อง หรือ เกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม หรือเจ้าของข้อมูลร้องขอ หรือเจ้าของข้อมูลได้ถอนความยินยอม
- แจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล กรณีที่มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิเสรีภาพของบุคคลให้แจ้งเจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย
- กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร ต้องแต่งตั้งตัวแทนเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักร และต้องได้รับมอบอำนาจให้กระทำการโดยไม่มีข้อจำกัดความรับผิดใดๆ ที่เกี่ยวกับการเก็บรวบรวมหรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลที่ดำเนินการ เกี่ยวกับการเก็บรวบรวมข้อมูล ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ทำตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล โดยหลัก คือ Outsource ที่รับจ้าง *ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน/องค์กร/สถาบัน หน้าที่ "ผู้ประมวลผลข้อมูลส่วนบุคคล" ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 มาตรา 40
- ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติตาม พ.ร.บ.นี้
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูล ส่วนบุคคลที่เกิดขึ้น
- จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวบผลข้อมูลส่วนบุคคล ไว้ตามหลักเกณฑ์และวิธีการที่คุณะกรรมการประกาศกำหนด
- จัดให้มีเจ้าหน้าที่คุ้มครองข้อมุลส่วนบุคคลเฉพาะเมื่อเข้าเงื่อนไขกฎหมายกำหนด
ทั้งนี้หาก "ผู้ประมวลผลข้อมูลส่วนบุคคล" ไม่ปฏิบัติตามต้องระวางโทษปรับทางปกครองไม่เกิน 3 ล้านบาท
4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer (DPO)) คือ ผู้ที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนำ หรือ ตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน/องค์กร/สถาบัน ให้เป็นไปตามกฎหมาย
