CYBERSKTHAILAND
Secure Session
พจนานุกรม

กฎหมายคุ้มครองข้อมูลส่วนบุคคล

DPO (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล)

Data Protection Officer (DPO)

สรุปสั้นๆ
DPO คือผู้รับผิดชอบดูแลการปฏิบัติตาม PDPA ในองค์กร บางประเภทธุรกิจต้องแต่งตั้งตามกฎหมาย

A DPO oversees PDPA compliance in your organization. Some business types must appoint one by law.

DPO ทำอะไร

DPO ช่วยให้องค์กรปฏิบัติตาม PDPA อย่างเป็นระบบ — ตั้งนโยบาย ประสานงานกับ สคส. (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) และเป็นจุดติดต่อเมื่อมีคำถามด้านข้อมูลส่วนบุคคล

สำหรับ SME ที่ยังไม่ถึงเกณฑ์บังคับแต่งตั้ง DPO การมีบุคลากรที่ผ่านการอบรม PDPA รับผิดชอบเรื่องนี้อย่างชัดเจนก็ช่วยลดความเสี่ยงได้

ใครต้องแต่งตั้ง DPO

ตาม PDPA มาตรา 41 องค์กรบางประเภทต้องแต่งตั้ง DPO เช่น หน่วยงานของรัฐ ธุรกิจที่เก็บข้อมูลส่วนบุคคลจำนวนมาก หรือธุรกิจที่ประมวลผลข้อมูลอ่อนไหวเป็นหลัก

ทำไมบริษัทประกันถึงถามเรื่องนี้

การไม่มีผู้รับผิดชอบด้าน PDPA อย่างชัดเจนสะท้อนความเสี่ยงด้านกฎหมายที่สูงขึ้น เพราะเมื่อเกิดเหตุละเมิดข้อมูลจะไม่มีเจ้าภาพจัดการตามกรอบเวลา บริษัทประกันนำมาพิจารณาเบี้ยและเงื่อนไขการรับประกัน โดยเฉพาะความคุ้มครองส่วนความรับผิดตามกฎหมาย (Liability)

เช็คตัวเอง

องค์กรของคุณมีผู้รับผิดชอบด้าน PDPA ที่ชัดเจน (ไม่ว่าจะเป็น DPO ตามกฎหมายหรือผู้ที่ผ่านการอบรม) แล้วหรือยัง?

ทำแบบประเมินความพร้อม 18 ข้อ

คำถามที่พบบ่อย

  • ธุรกิจของฉันต้องแต่งตั้ง DPO ตามกฎหมายไหม

    ตาม PDPA มาตรา 41 องค์กรที่ต้องแต่งตั้ง DPO ได้แก่ หน่วยงานรัฐ ธุรกิจที่ประมวลผลข้อมูลส่วนบุคคลจำนวนมากเป็นกิจกรรมหลัก หรือประมวลผลข้อมูลอ่อนไหวเป็นหลัก หากไม่แน่ใจควรปรึกษาที่ปรึกษากฎหมาย

  • DPO ต้องเป็นพนักงานประจำเท่านั้นไหม

    ไม่จำเป็น — สามารถใช้บริการ DPO จากภายนอก (Outsourced DPO) ได้ ซึ่งเหมาะกับ SME ที่ยังไม่มีบุคลากรเฉพาะทางด้านนี้

  • ถ้ายังไม่ถึงเกณฑ์บังคับ ควรมีผู้ดูแล PDPA ไหม

    ควรมี แม้ไม่ถึงเกณฑ์บังคับ การมีผู้รับผิดชอบที่ผ่านการอบรม PDPA ช่วยลดความเสี่ยงถูกปรับ และเป็นสัญญาณที่ดีต่อทั้งลูกค้าและบริษัทประกัน

CYBERSK
PDPA-Aligned · Secure by Design © 2026 CyberSK · All rights reserved.