คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ออก ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ฉบับที่ 2) พ.ศ. 2568 โดยมีเจตนารมณ์เพื่อให้หน่วยงานของรัฐ โดยเฉพาะในระดับภูมิภาคและท้องถิ่น ซึ่งมีการประมวลผลข้อมูลส่วนบุคคลของประชาชนในวงกว้าง ได้ดำเนินการคุ้มครองข้อมูลอย่างมีประสิทธิภาพและครอบคลุมยิ่งขึ้น
สรุปสาระสำคัญประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ฉบับที่ 2)
ประกาศฉบับนี้มีผลบังคับใช้ในวันที่ 9 ธันวาคม 2568 (นับจากวันประกาศในราชกิจจานุเบกษา วันที่ 9 ตุลาคม 2568 เป็นระยะเวลา 60 วัน) โดยเป็นการเพิ่มเติมรายชื่อหน่วยงานของรัฐที่ต้องจัดให้มีเจ้า หน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) นอกเหนือจาก 85 หน่วยงานที่กำหนดไว้ในประกาศฉบับแรก
เพื่อให้หน่วยงานของรัฐดำเนินการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ โดยกำหนดให้หน่วยงานระดับ ภูมิภาคและท้องถิ่น ต้องมี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพิ่มเติม ได้แก่ องค์กรปกครองส่วนท้องถิ่นและส่วนภูมิภาคจำนวน 188 หน่วยงาน
หน่วยงานรัฐที่ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หน่วยงานเหล่านี้ต้องจัดให้มี DPO ของตนเองเพิ่มเติม ได้แก่
☐ จังหวัด (หมายถึง ส่วนราชการในส่วนภูมิภาค ที่ทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลในระดับจังหวัด) จำนวน 76 หน่วยงาน
☐ องค์การบริหารส่วนจังหวัด (อบจ.) จำนวน 76 หน่วยงาน
☐ เทศบาลนคร จำนวน 35 หน่วยงาน
☐ เมืองพัทยา จำนวน 1 หน่วยงาน
ประเด็นที่สำคัญที่สุด ของประกาศฉบับนี้คือ การกำหนดให้หน่วยงานทั้ง 4 ประเภทนี้ ต้องจัดให้มี DPO เป็นการเฉพาะสำหรับแต่ละหน่วยงาน หรือกล่าวได้ว่า เป็นการยกเว้นการอนุญาตให้รวม DPO เข้ากับหน่วยงานอื่น ตามที่เคยมีข้อกำหนดในกฎหมายหลัก ซึ่งเป็นการเน้นย้ำถึงความจำเป็นที่แต่ละหน่วยงานต้องรับผิดชอบดูแลการคุ้มครองข้อมูลส่วนบุคคลของตนเองอย่างเคร่งครัด
ประกาศนี้ฯ เป็นประกาศเพิ่มเติม (ฉบับที่ 2) จากฉบับก่อนหน้านี้ ที่มีการประกาศรายชื่อ “หน่วยงานของรัฐ” ที่ต้องจัดให้มี DPO ไปแล้ว 85 หน่วยงาน เพื่อให้การบังคับใช้กฎหมาย PDPA มีประสิทธิภาพและครอบคลุมมากยิ่งขึ้น
ดังนั้น หน่วยงานของรัฐที่ถูกกำหนดชื่อเพิ่มเติมรวม 188 แห่งนี้ จึงมีเวลาเตรียมความพร้อมในการสรรหา จัดตั้ง และแต่งตั้ง DPO ให้มีคุณสมบัติและปฏิบัติหน้าที่ตามที่กฎหมายกำหนด ภายในวันที่ 9 ธันวาคม 2568 ซึ่งประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลจะเป็นผู้รักษาการตามประกาศฉบับนี้
*อ้างอิง: ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ฉบับที่ 2) พ.ศ. 2568