- ควบคุมข้อมูล : บุคคล/นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูล
- ผู้ประมวลผล : มีบทบาท บุคคล/นิติบุคลซึ่งดำเนินการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลตามคำสั่ง หรือ ในนามของผู้ควบคุม ( ต้องเป็นคนละคนกับผู้ควบคุม )
- หากมีการเก็บข้อมูลจำนวนมาก ต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ( DPO )คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ( legal, IT, Marketing, Sales, Data controller, Data processor, CRM )ยังไม่มีกำหนดว่าจะต้องมี Certificates เหมือนของ GDPR หรือไม่ แต่สามารถเป็นคนในบริษัทก็ได้ และเป็นตำแหน่งที่ทำพร้อมกับตำแหน่งอื่นได้ เห็นหลายที่ให้คนที่ทำ VP Compliance รับไปค่ะ หน้าที่หลักคือ ให้คำแนะนำ ตรวจสอบ ประสานงาน ให้บริษัททำหน้าที่ตามกฎหมายได้