1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data controller)
กฎหมายคุ้มครองข้อมูลส่วนบุคคลให้นิยาม “ผู้ควบคุมข้อมูลส่วนบุคคล” ว่าเป็น “บุคคลธรรมดา หน่วยงานราชการองค์การ หรือหน่วยงานซึ่งอาจจะโดยลำพังหน่วยงานนั้น ๆ หน่วยงานเดียวหรือร่วมกับผู้อื่น กำหนดวัตถุประสงค์และการดำเนินการประมวลผลข้อมูลส่วนบุคคล” ดังนั้นหน้าที่รับผิดชอบซึ่งได้อธิบายไว้ด้านล่างนี้จะเป็นบทบาทหน้าที่ที่การรถไฟฯ ต้องรับผิดชอบและจะต้องมอบหมายให้กับคณะทำงานหรือบุคลากรตำแหน่งต่าง ๆต่อไป

ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่รับผิดชอบดังต่อไปนี้
• ตรวจสอบว่าหลักการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลที่อธิบายไว้ในมาตรา 19 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้ถูกปฏิบัติตามและการดำเนินการก็เป็นไปตามที่กฎหมายกำหนด ซึ่งโดยสรุปแล้วหลักการดังกล่าวจะช่วยตรวจสอบว่าข้อมูลส่วนบุคคลมีลักษณะ
     o ถูกประมวลอย่างถูกต้องตามกฎหมาย เป็นธรรมและโปร่งใส
     o ถูกเก็บรวบรวมเพื่อวัตถุประสงค์ที่ระบุชัดเจนและถูกต้องตามกฎหมาย
     o เพียงพอ มีความเกี่ยวข้อง อย่างจำกัดกับสิ่งที่จำเป็น
     o ถูกต้อง จำเป็น และเป็นปัจจุบัน
     o เก็บในรูปแบบที่อนุญาตให้แสดงรายละเอียดของเจ้าของข้อมูลส่วนบุคคลโดยต้องไม่นานเกินความจำเป็น
     o ต้องประมวลผลโดยมีมาตรการความปลอดภัยที่เหมาะสม
• ตรวจสอบว่าได้รับความยินยอมจากเจ้าของข้อมูลในการประมวลผลข้อมูลส่วนบุคคลอย่างเหมาะสม รวมถึงความยินยอมจากผู้ใช้อำนาจปกครองสำหรับผู้เยาว์
• ให้ข้อมูลทั้งหมดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลโดยกระชับโปร่งใส เข้าใจง่าย และต้องเข้าถึงง่าย โดยการใช้ภาษาที่ชัดเจนและไม่ซับซ้อน
• อำนวยความสะดวกในการใช้สิทธิของเจ้าของข้อมูลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลภายใต้ พ.ร.บ.คุมครองข้อมูลส่วนบุคคล และแจ้งความคืบหน้าเกี่ยวกับคำขอให้เจ้าของข้อมูลทราบ
• ใช้เทคนิคและมาตรการที่เหมาะสมเพื่อให้การประมวลผลเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
• ตรวจสอบว่าผู้ประมวลผลจะใช้เทคนิคและมาตรการที่เหมาะสมเพื่อให้การประมวลผลเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและมีการคุ้มครองข้อมูลส่วนบุคคลนั้น
• บันทึกข้อมูลที่เกี่ยวกับการประมวลข้อมูลส่วนบุคคลซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล
• ให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อมีการร้องขอ
• ตรวจสอบว่าบุคคลที่ดำเนินการภายใต้การควบคุมของผู้ควบคุมข้อมูลส่วนบุคคล ที่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ ไม่ได้ดำเนินการนอกเหนือจากคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล
• แจ้งเตือนการละเมิดข้อมูลส่วนบุคคลไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เว้นแต่การละเมิดข้อมูลส่วนบุคคลนั้นไม่มีความเสี่ยงที่จะมี
• ผลกระทบต่อสิทธิและเสรีภาพของบุคคล ทั้งนี้เป็นไปตามระเบียบการปฏิบัติการของการรถไฟฯ
• จัดทำเอกสารการละเมิดข้อมูลส่วนบุคคล รวมถึงข้อเท็จจริงและผลกระทบที่เกี่ยวข้องกับการละเมิดนั้น ตลอดจนแนวทางการเยียวยา
• แจ้งการละเมิดข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบโดยไม่ชักช้า
• จัดให้มีการประเมินผลกระทบด้านคุ้มครองข้อมูลส่วนบุคคลเมื่อเหมาะสม
• แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด และแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ
• สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในการปฏิบัติงานโดยจัดหาเครื่องมือหรืออุปกรณ์ที่จำเป็น ให้เข้าถึงข้อมูลส่วนบุคคล ให้ดำเนินการประมวลผลและส่งเสริมความรู้ความชำนาญให้
• ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์การระหว่างประเทศเฉพาะในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้จัดให้มีมาตรการการคุ้มครองข้อมูลที่เหมาะสม และอยู่บนเงื่อนไขที่เจ้าของข้อมูลสามารถใช้สิทธิและต้องได้รับการเยียวยาได้

2. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor)
กฎหมายคุ้มครองข้อมูลส่วนบุคคลให้นิยาม “ผู้ประมวลผลข้อมูลส่วนบุคคล” ว่าเป็น บุคคลธรรมดา หน่วยงานราชการ องค์การ หรือหน่วยงานซึ่งประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูลส่วนบุคคล ดังนั้นหน้าที่รับผิดชอบซึ่งได้อธิบายไว้ด้านล่างจะถูกนำมาใช้ในกรณีที่การรถไฟฯ ทำการประมวลผลข้อมูลส่วนบุคคลในนามผู้ควบคุมข้อมูลสวนบุคคลอื่นที่ไม่ใช่การรถไฟฯ เท่านั้น

ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่รับผิดชอบดังต่อไปนี้
• ตรวจสอบว่าการประมวลผลข้อมูลส่วนบุคคลมีฐานการประมวลผลภายใต้สัญญาหรือฐานทางกฎหมายอื่น ๆ ระยะเวลาในการประมวลผล วัตถุประสงค์ของการประมวลผล ประเภทของข้อมูลส่วนบุคคล ประเภทของเจ้าของข้อมูลส่วนบุคคล หน้าที่และสิทธิของผู้ควบคุมข้อมูลส่วนบุคคล
• ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น รวมถึงกรณีส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์การระหว่างประเทศด้วย
• ตรวจสอบว่าบุคคลที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลได้ให้คำมั่นที่จะรักษาความลับหรือมีการทำสัญญารักษาความลับที่เหมาะสม
• ใช้เทคนิคและมาตรการที่เหมาะสมเพื่อให้มีการคุ้มครองความเสี่ยงที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
• ต้องได้รับอนุญาตที่ชัดแจ้งหรือที่เป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลก่อนที่จะให้มีผู้ประมวลผลคนอื่น
• ช่วยผู้ควบคุมข้อมูลปฏิบัติหน้าที่เมื่อเจ้าของข้อมูลส่วนบุคคลร้องขอใช้สิทธิ
• ลบหรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดให้แก่ผู้ควบคุมข้อมูล หลังจากสิ้นสุดสัญญาการให้บริการการประมวลผล
• แจ้งข้อมูลทั้งหมดที่จำเป็นแก่ผู้ควบคุมข้อมูลเพื่อปฏิบัติให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และอนุญาตให้มีการตรวจสอบโดยผู้ควบคุมข้อมูลหรือผู้ตรวจสอบอื่นภายใต้การควบคุมของผู้ควบคุมข้อมูล
• บันทึกข้อมูลการประมวลผลต่าง ๆ ในนามของผู้ควบคุมข้อมูล
• ร่วมมือตามคำร้องขอกับหน่วยงานที่กำกับดูแลในการปฏิบัติงาน
• ให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเมื่อมีการร้องขอ
• ตรวจสอบว่าบุคคลที่ดำเนินการภายใต้อำนาจของผู้ประมวลผลข้อมูล ที่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ ไม่ได้ดำเนินการอื่น เว้นแต่การตามคำสั่งของผู้ควบคุมข้อมูล
• แจ้งผู้ควบคุมข้อมูลโดยไม่ชักช้า เมื่อทราบว่ามีการละเมิดข้อมูลส่วนบุคคล
• แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด โดยแจ้งให้รายละเอียดเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลดังกล่าวให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ
• สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในการปฏิบัติงานโดยจัดหาเครื่องมือหรืออุปกรณ์ที่จำเป็น ให้เข้าถึงข้อมูลส่วนบุคคล ให้ดำเนินการประมวลผลและส่งเสริมความรู้ความชำนาญ

3. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลถูกกำหนดให้มีตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยมีหน้าที่รับผิดชอบเฉพาะในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูล

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่รับผิดชอบดังต่อไปนี้
• แจ้งและให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล และพนักงานที่ดำเนินการประมวลผลข้อมูลให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
• ตรวจสอบให้การดำเนินการเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
• สร้างความตระหนัก และฝึกอบรมพนักงานที่เกี่ยวข้อง เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการตรวจสอบที่เกี่ยวข้อง
• ให้คำแนะนำเมื่อมีการร้องขอเกี่ยวกับการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลและติดตามผลการดำเนินงาน
• ให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับการคุ้มครองข้อมูล
• เป็นผู้ติดต่อกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในประเด็นที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลและการปรึกษาหารือเมื่อเหมาะสม รวมถึงเรื่องอื่นๆ ที่เกี่ยวข้อง

โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของการรถไฟแห่งประเทศไทย คือ รองผู้ว่าการกลุ่มยุทธศาสตร์