ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผล
ข้อมูลส่วนบุคคลจัดให้มี DPO
(1) หน่วยงานของรัฐ ตามที่ประกาศกำหนด
(2) การดำเนินกิจกรรมในการเก็บรวบรวม ใช้
หรือเปิดเผยจ าเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่ประกาศกำหนด
(3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บ รวบรวม ใช้ หรือเปิดเผย Sensitive Personal Data

หน้าที่ DPO
(1) ให้คำแนะนำ
(2) ตรวจสอบการดำเนินงานเกี่ยวกับ การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูล่วนบุคคล
(3) ประสานงานและให้ความร่วมมือกับสำนักงานฯ
(4) รักษาความลับของข้อมูลส่วนบุคคลที่ตน ล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตาม กฎหมายน