ข้อใดเป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA นับได้ว่าเป็นกฎหมายที่สร้างความตื่นตัวไปทั่ว เพราะหากล้มเหลวที่จะปฏิบัติตามกฎหมายฉบับนี้ ผู้มีความผิดอาจถูกปรับสูงถึง 5 ล้านบาท ซึ่งนี่เป็นเฉพาะโทษทางปกครอง ยังไม่นับรวมโทษทางอาญาที่อาจทำให้คุณติดคุกหัวโต และโทษทางแพ่งที่บีบให้คุณต้องจ่ายค่าสินไหมทดแทนให้กับเจ้าของข้อมูลผู้ได้รับความเสียหายอีก โดยจะเป็นจำนวนมากเท่าใดนั้นก็ขึ้นอยู่กับแต่ละเคส ยากจะคาดเดา /// จะเห็นได้ว่าบทลงโทษของกฎหมาย “แรงส์” ไม่ใช่เล่น

เพราะกฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่เกิดมาเพื่อคุ้มครองประชาชนไม่ให้ถูกละเมิด ฝั่งที่จะเจ็บเพราะถูกกฎหมายเล่นงานก็คือ ผู้ประกอบการ ธุรกิจ หรือองค์กรต่าง ๆ โดยเฉพาะภาคเอกชน

“เรา” จึงต้องตระหนักถึงความสำคัญของการเรียนรู้เนื้อหาที่ถูกระบุไว้ใน พ.ร.บ. ว่ามีส่วนไหนที่เกี่ยวข้องและต้องปฎิบัติตาม พร้อมทั้งทำความเข้าใจในบทบาทที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของคุณเอง ไม่ว่าจะในฐานะบุคคลธรรมดาหรือนิติบุคคล) เนื่องจากบทบาทหน้าที่ที่แตกต่างกันจะสัมพันธ์กับความรับผิดชอบต่อการประมวลผลข้อมูลส่วนบุคคลและความผิดทางกฎหมายที่แตกต่างกัน หากเกิดการละเมิดหรือเมื่อเกิดความเสียหายจากการประมวลผลข้อมูลนั้น ๆ ขึ้นด้วย

*การประมวลผลข้อมูลส่วนบุคคล หมายถึง กิจกรรม/การดำเนินการใด ๆ ที่กระทำต่อข้อมูลส่วนบุคคล ด้วยระบบอัตโนมัติหรือไม่ก็ได้ – ทบทวนศัพท์ที่เกี่ยวข้องกับ PDPA ได้ที่ อภิธานศัพท์ – พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

แยก! คุณมีบทบาทต่อการประมวลผลข้อมูลส่วนบุคคลอย่างไร?

ตามที่ระบุใน มาตราที่ 6 ของ พ.ร.บ.คุ้มครองข้อมูล่สวนบุคคล ผู้ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลมีอยู่ด้วยกัน 2 บทบาท คือ

• “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

หากจะกล่าวถึงบทบาททั้งสองให้เข้าใจง่าย ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องรับผิดชอบในการปฏิบัติตามกฎหมายขั้นสูงสุด โดยทำหน้าที่เป็นผู้ตัดสินใจ วางนโยบายแผนงาน ควบคุม และแสดงให้เห็นว่าองค์กรหรือบุคลากรในความรับผิดชอบของคุณปฏิบัติตามหลักการคุ้มครองข้อมูลส่วนบุคคลและข้อกำหนดอื่น ๆ ตาม PDPA ส่วนผู้ประมวลผลข้อมูลส่วนบุคคล เป็นระดับผู้ปฏิบัติการ ที่ดำเนินกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการเก็บรวบรวม บันทึก จัดระเบียบ ปรับปรุง นำไปใช้ เปิดเผย ฯลฯ ภายใต้อำนาจหรือการสั่งการจากผู้ควบคุมข้อมูลส่วนบุคคล แต่ก็ต้องดำเนินการภายใต้ข้อกำหนดของ PDPA เช่นเดียวกัน

หากคุณเป็นผู้ควบคุมวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลทั้งหมด – คุณเป็นผู้ควบคุมข้อมูลส่วนบุคคล / หากคุณแค่ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งเท่านั้น ไม่ได้กำหนดวัตถุประสงค์หรือวิธีการประมวลผลด้วยตนเอง – คุณเป็นผู้ประมวลผลข้อมูลส่วนบุคคล

เช็คลิสต์ คุณเป็นใครในวงการประมวลผลข้อมูลส่วนบุคคล?

เมื่ออ่านมาถึงจุดนี้ หลาย ๆ คนอาจยังไม่ชัดเจนว่าตนเองหรือคนรอบข้างในองค์กรมีบทบาทใดในการประมวลผลข้อมูลส่วนบุคคล จะเป็น ผู้ควบคุม ข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลกันแน่? ทาง ICDL PDPC มีเช็คลิสต์เป็น Quick Guide เพื่อให้ทุกคนได้ทดลองหาตัวตนมาฝากครับ ยิ่งคุณตรงกับลิสต์รายการใดมากเท่าไหร่ คุณยิ่งมีแนวโน้มที่จะมีบทบาทเป็นบุคคลประเภทนั้น

ผู้ควบคุม VS ผู้ประมวลผล … ทำไมต้องอยากรู้?

กรณีที่มีการละเมิดกฎหมาย หน่วยงานที่จัดตั้งขึ้นเพื่อกำกับดูแลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และบุคคลทั่วไปต่างสามารถเรียกร้องค่าเสียหายได้จากทั้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล เพียงแต่ระดับความผิดจะแตกต่างกันออกไปตามบทบาท โดยผู้ควบคุมข้อมูลส่วนบุคคลมีแนวโน้มที่จะมีความผิดมากกว่าผู้ประมวลผลข้อมูลส่วนบุคคล เนื่องจากเป็นผู้มีอำนาจตัดสินใจควบคุม ผู้ประมวลผลข้อมูลเป็นเพียงผู้ที่ดำเนินการตามสั่ง อย่างไรก็ตามการตัดสินอย่างเป็นทางการว่าบุคคลใดมีบทบาทไหน จะขึ้นอยู่กับดุลพินิจของศาลเป็นสำคัญ

นอกเหนือจากเรื่องของโทษและการรับผิดตามกฎหมายแล้ว การจำแนกผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล (อย่างหยั่งรู้) ยังมีประโยชน์ด้านบวกในแง่ของการบริหารองค์กรให้มีแนวทางที่สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยเมื่อทราบบทบาท คุณจะสามารถบริหารจัดการมาตรการคุ้มครองข้อมูลส่วนบุคคลขององค์กรได้อย่างมีประสิทธิภาพมากขึ้น สามารถจัดทำ Data Flow รู้ว่าใครบ้างที่สามารถเก็บหรือบันทึกข้อมูล มีอำนาจสั่งการเกี่ยวกับการประมวลผล หรือมีสิทธิเข้าถึงข้อมูลได้ เป็นต้น

อย่าละเลย! ไม่ว่าองค์กรหรือธุรกิจไหนในยุค PDPA ก็ควรให้เวลาในการประเมินข้อมูลภายในองค์กรและตำแหน่งหน้าที่ของบุคลากรที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

หลักสูตร Personal Data Protection Certificate (PDPC) ออกแบบมาเพื่อสร้างความรู้ความเข้าใจด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างลึกซึ้งและครอบคลุม โดยปูพื้นฐานเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของไทย ตลอดจนแนวปฏิบัติตามกฎหมาย

สนใจรายละเอียดหลักสูตรสอบถามเพิ่มเติมได้ที่ Facebook: PDPA ICDLTHAILAND