ไขรหัส ใครเป็นใครใน PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ก่อนหน้านี้ ฐานเศรษฐกิจ ชวนไปทำความรู้จักกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act : PDPA ไปแล้วก่อนหน้านี้เพื่อเตรียมความพร้อมก่อนที่จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้

วันนี้จะพาไปดู 4 ตัวละครสำคัญที่ปรากฎอยู่ในกฎหมายฉบับนี้กันบ้าง ทราบกันไปแล้วว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ครอบคลุมข้อมูลส่วนตัวของเราทุกแง่ทุกมุมและมีความหลากหลายในมิติต่าง ๆ

หากไปดูไส้ในของกฎหมายฉบับนี้ คุณ หรือ คนใกล้ตัวเรา อาจทำหน้าที่ หรือ มีบทบาทสำคัญเกี่ยวข้องกับข้อมูลส่วนบุคคล ตามสาระสำคัญของกฎหมายฉบับนี้ใน 4 บทบาทด้วยกัน ดังนี้  

1.เจ้าของข้อมูลส่วนบุคคล หรือ Data Subject หมายถึง ประชาชนทุกคนที่ข้อมูลสามารถระบุไปถึงได้ หากเป็นหน่วยงานทั่วไปก็หมายถึง ลูกค้า พนักงาน รวมถึง Outsource ด้วย กล่าวคือ เป็นบุคคลที่ข้อมูลชี้ไปถึงแต่ไม่รวมถึงผู้ที่เสียชีวิตแล้ว และนิติบุคคล (เจ้าของข้อมูลส่วนบุคคลไม่ใช่เจ้าของกรรมสิทธิ์ในข้อมูลนั้น)

2.ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller หมายถึง บุคคลหรือ นิติบุคคล (หน่วยงาน/องค์กร/สถาบัน) ที่มีอำนาจหน้าที่ตัดสินใจ กำหนดวัตถุประสงค์ วิธีการประมวลผล เก็บรวบรวม ใช้ประโยชน์ หรือ เปิดเผยข้อมูลส่วนบุคคล *ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน/องค์กร/สถาบัน

เมื่อหันกลับมามองหากเรามีการเก็บข้อมูลส่วนของบุคคลของผู้อื่นเอาไว้ ย่อมหมายความว่า เราก็สวมบทบาทเป็น "ผู้ควบคุมข้อมูลส่วนบุคคล" ที่จะต้องปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลด้วยเช่นกัน

หน้าที่ของ "ผู้ควบคุมข้อมูลส่วนบุคคล" ตาม พ.ร.บ.คุ้มครอง 2562 มาตรา 37 มีดังนี้

• จัดให้มีมาตการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือ เปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
• กรณีต้องให้ข้อมูลส่วนบุคคแก่บุคคลหรือนิติบุคคลอื่นที่ "ไม่ใช่" ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจ หรือ โดยมิชอบ
• จัดให้มีระบบตรวจสอบเพื่อดำเนินการลบ หรือ ทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาเก็บรักษา หรือไม่เกี่ยวข้อง หรือ เกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวม หรือเจ้าของข้อมูลร้องขอ หรือเจ้าของข้อมูลได้ถอนความยินยอม
• แจ้งเหตุละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล กรณีที่มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิเสรีภาพของบุคคลให้แจ้งเจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย
• กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร ต้องแต่งตั้งตัวแทนเป็นหนังสือซึ่งตัวแทนต้องอยู่ในราชอาณาจักร และต้องได้รับมอบอำนาจให้กระทำการโดยไม่มีข้อจำกัดความรับผิดใดๆ ที่เกี่ยวกับการเก็บ รวบรวมหรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล

3.ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor คือ บุคคลหรือนิติบุคคลที่ดำเนินการ เกี่ยวกับการเก็บรวบรวมข้อมูล ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ทำตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล โดยหลัก คือ Outsource ที่รับจ้าง *ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน/องค์กร/สถาบัน

หน้าที่ "ผู้ประมวลผลข้อมูลส่วนบุคคล" ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 มาตรา 40

• ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติตาม พ.ร.บ.นี้
• จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูล ส่วนบุคคลที่เกิดขึ้น
• จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวบผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คุณะกรรมการประกาศกำหนด
• จัดให้มีเจ้าหน้าที่คุ้มครองข้อมุลส่วนบุคคลเฉพาะเมื่อเข้าเงื่อนไขกฎหมายกำหนด

ทั้งนี้ หาก "ผู้ประมวลผลข้อมูลส่วนบุคคล" ไม่ปฏิบัติตามต้องระวางโทษปรับทางปกครองไม่เกิน 3 ล้านบาท  

4.เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) คือ ผู้ที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนำ หรือ ตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน/องค์กร/สถาบัน ให้เป็นไปตามกฎหมาย   

จากข้อมูลข้างต้นจะเห็นได้ว่า เราทุกคนอาจเกี่ยวข้อง ทำหน้าที่หรือสวมบทบาทตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้มากกว่า 1 บทบาทด้วยกันได้