2. ผู้ควบคุมข้อมูล (Data Controller)
หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งหน้าที่โดยสรุปของผู้ควบคุมข้อมูลตามพระราชบัญญัติมีดังนี้
- จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
- ดำเนินการเพื่อป้องกันมิให้ผู้ใช้หรือผู้ประมวลผลข้อมูลส่วนบุคคลเปิดเผยข้อมูลโดยมิชอบ
- จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคล
- แจ้งเหตุการณ์ละเมิดให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) เพื่อตรวจสอบการทำงาน
- จัดทำและบันทึกรายการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล