กฎหมายคุ้มครองข้อมูลส่วนบุคคล: "ผู้ควบคุม- ผู้ประมวลผล"

กฎหมายคุ้มครองข้อมูลส่วนบุคคล: "ผู้ควบคุม- ผู้ประมวลผล"

พระราชบัญญัติ(พ.ร.บ.)คุ้มครองข้อมูลส่วนบุคคลฯ เรียกบุคคลที่มีอำนาจใจการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ

เปิดเผยข้อมูลส่วนบุคคลว่า ผู้ควบคุมข้อมูล บุคคลเหล่านี้มักจะเป็นคนที่ติดต่อกับเจ้าของข้อมูลโดยตรง อาจมีบ้างในบางกรณีที่การจัดเก็บข้อมูลไม่ได้มาจากเจ้าของข้อมูลโดยตรง แต่จัดเก็บผ่านช่องทางอื่นๆ เช่น โซเชียลมีเดีย เว็บไซต์ต่าง ๆ หรือแม้กระทั่งการซื้อข้อมูลจากบุคคลที่สาม แต่การจัดเก็บในลักษณะนี้ก็ยังถือว่า บุคคลดังกล่าวเป็นผู้ควบคุมข้อมูล

ในทางปฏิบัติ บริษัทที่เป็นผู้ควบคุมข้อมูลอาจจะไม่ได้จัดเก็บหรือประมวลผลข้อมูลด้วยตนเองเสมอไป แต่อาจมีการจ้างบุคคลอื่น เช่น การเช่าพื้นที่ใน Google Cloud เพื่อเก็บข้อมูลจำนวนมาก การจ้างที่ปรึกษาทางธุรกิจเพื่อให้ทำการวิเคราะห์ข้อมูลลูกค้าเพื่อปรับปรุงคุณภาพบริการของบริษัท หรือการจ้างบริษัทติดตามทวงถามหนี้เพื่อให้ตามลูกค้ามาชำระค่าบริการ เป็นต้น บุคคลเหล่านี้ไม่ได้เป็นผู้มีอำนาจในการกำหนดการใช้ หรือการจัดเก็บข้อมูล แต่เป็นเพียงผู้ที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลตามที่ผู้ควบคุมข้อมูลจ้างมาหรือมีคำสั่งให้ทำเท่านั้น กฎหมายเรียกบุคคลเหล่านี้ว่า ผู้ประมวลผลข้อมูล

จะเห็นได้ว่า ผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูล มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลแตกต่างกัน กฎหมายจึงกำหนดหน้าที่และความรับผิดของทั้ง 2 บุคคลนี้ไว้แตกต่างกันด้วย โดยจะกำหนดหน้าที่และความรับผิดสำหรับผู้ควบคุมข้อมูลไว้ค่อนข้างมาก เพราะถือว่าเป็นผู้ที่รับผิดชอบโดยตรง ตัวอย่างเช่น ผู้ควบคุมข้อมูลจะมีหน้าที่ในการจัดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่ตนจัดเก็บไว้ เพื่อป้องกันการสูญหาย เข้าถึง หรือแก้ไขโดยปราศจากอำนาจ รวมถึงจะต้องจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา แต่ผู้ประมวลผลข้อมูล มีเพียงหน้าที่ในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลเท่านั้น ไม่มีหน้าที่ในการจัดให้มีระบบตรวจสอบเพื่อดำเนินการลบข้อมูล

หน้าที่สำคัญอีกประการหนึ่งของผู้ควบคุมข้อมูลคือ หน้าที่ในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลให้แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า โดยจะต้องไม่เกิน 72 ชั่วโมง และหากการละเมิดดังกล่าวมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล ก็จะต้องแจ้งเหตุแห่งการละเมิดพร้อมแนวทางการเยียวยาดังกล่าวให้เจ้าของข้อมูลทราบโดยไม่ชักช้า แต่ผู้ประมวลผลข้อมูลมีเพียงหน้าที่ในการแจ้งให้ผู้ควบคุมข้อมูลทราบเมื่อเกิดเหตุละเมิดข้อมูลเท่านั้น

นอกจากนี้ผู้ควบคุมข้อมูลยังมีหน้าที่โดยตรงกับเจ้าของข้อมูลในการที่จะต้องปฏิบัติตามการใช้สิทธิของเจ้าของข้อมูลที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้รับรองไว้ เช่น สิทธิในการขอเข้าถึงและขอสำเนาข้อมูลหากเจ้าของข้อมูลร้องขอ ผู้ควบคุมข้อมูลจะต้องมีระบบที่สามารถปฏิบัติตามคำขอของเจ้าของข้อมูลได้ภายในระยะเวลาที่กฎหมายกำหนด แต่ผู้ประมวลผลข้อมูลไม่ได้มีหน้าที่โดยตรงต่อเจ้าของข้อมูลตามกฎหมาย

ทั้งนี้ ผู้ประมวลผลข้อมูลคือ จะต้องดำเนินการประมวลผลข้อมูลตามคำสั่งของผู้ควบคุมข้อมูลเท่านั้น และหากมีการทำนอกเหนือไปจากขอบเขตคำสั่งของผู้ควบคุมข้อมูล กฎหมายจะถือว่าผู้ประมวลผลข้อมูลเป็นผู้ควบคุมข้อมูลสำหรับการประมวลผลข้อมูลที่ดำเนินการนอกเหนือคำสั่งของผู้ควบคุมข้อมูล และจะต้องมีความรับผิดอย่างเดียวกันกับผู้ควบคุมข้อมูล

ทั้งนี้ ในการมอบหมายหน้าที่ให้กับผู้ประมวลข้อมูลนั้น ผู้ควบคุ้มข้อมูลจะต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานของผู้ประมวลผลข้อมูลให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ

สำหรับรายละเอียดในข้อตกลงระหว่างกัน รวมถึงโทษกรณีไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล จะขอยกไปพูดถึงในตอนหน้า สวัสดีค่ะ

[บทความนี้เป็นความเห็นส่วนตัวของผู้เขียนอันเป็นความเห็นในทางวิชาการ และไม่ใช่ความเห็นของบริษัท อัลเลน แอนด์ โอเวอรี่ (ประเทศไทย) จำกัด ที่ผู้เขียนทำงานอยู่]

โดย... 

ภูริตา ธนโชคโสภณ

บริษัท อัลเลน แอนด์ โอเวอรี่ (ประเทศไทย) จำกัด

[email protected]