Data Controller vs Data Processor คือ

PDPA ต่อหน่วยงาน พรบ.คุ้มครอง นี้ พรบ.คุ้มครอง กำหนดผู้ที่เกี่ยวข้อง 3 บทบาท ได้แก่ เจ้าของข้อมูล (Data Subject) ผู้ควบคุมหรือเก็บข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) โดยขออธิบายเพิ่มเติมดังต่อไปนี้

Data Controller คือหน่วยงานที่เอาข้อมูลจาก Data Subject มาจัดเก็บ ด้วยวิธีการต่างๆ เช่น โทรศัพท์สอบถาม, กรอกเอกสารลงทะเบียน, ฟอร์มรับสมัครบนเว็บไซต์ และอื่นๆ ซึ่งอาจจะกล่าวได้ว่า เป็นส่วนงานที่รู้จักและรับผิดชอบ

โดยตรงกับเจ้าของข้อมูล ซึ่งตาม พ.ร.บ. คุ้มครอง ข้อมูลส่วนบุคคล จะกำหนดให้ Data Controller ทำการขอยินยอมอนุญาต (Consent) จากเจ้าของข้อมูลก่อนถึงจะกระทำได้ ซึ่งรายละเอียดการขอความยินยอมสามารถอ่านได้ที่มาตรา ๑๙

ใน พ.ร.บ. คุ้มครอง ข้อมูลส่วนบุคคลตามลิ้งค์ด้านล่างนี้

Data Processor คือเมื่อได้ข้อมูลส่วนบุคคลมาแล้วและต้องการดำเนินการอย่างใดอย่างหนึ่งกับข้อมูลนั้นการดำเนินการดังกล่าวจะเป็นหน้าที่ของ Data Processor ยกตัวอย่างกิจกรรมที่อาจเกิดขึ้น เช่น การจัดเก็บ การวิเคราะห์

การเผยแพร่

การส่งต่อ ซึ่งตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะกำหนดให้ Data Processor มีสิทธิทำได้เพียงเฉพาะตามที่ขอยินยอมอนุญาต (Consent) จากเจ้าของข้อมูลเท่านั้น ซึ่งการกระทำที่นอกเหนือจากนั้นถือเป็นการละเมิดสิทธิ

เจ้าของข้อมูลทั้งสิ้น

ซึ่งมีบทลงโทษทั้งทางแพ่งและอาญา ซึ่งสามารถอ่านเพิ่มเติมได้ที่ หมวด ๖ ความผิดทางแพ่ง และหมวด ๗ บทกำหนดโทษ

องค์กรเราทำหน้าที่อะไร

เมื่อเราทราบบทบาทหน้าที่ตาม พ.ร.บ. กำหนดแล้ว สิ่งที่เราต้องทราบถัดไปคือ องค์กรของเราคือ Data Controller หรือ Data Processor เพราะถ้าเข้าใจผิด เราอาจจะปฎิบัติผิดได้ ในบทความนี้ขอยกตัวอย่าง เช่น หากเรามีเว็บไซต์ที่

เปิดรับลงทะเบียนให้คนกรอกข้อมูลส่วนบุคคล เพื่อสมัครรับบริการใดๆจากเรา ในกรณีเช่นนี้ องค์กรเราคือ Data Controller เมื่อเราได้ข้อมูลนั้นแล้ว เรานำไปดำเนินการทางธุรกิจต่อ เช่น โทรศัพท์ไปเสนอขายสินค้า นำข้อมูลไปวิเคราะห์สร้างรายงาน นำข้อมูลไปทำการตลาดผ่าน Social Media เราจะถือว่าเป็น Data Processor อีกบทบาทเช่นกัน แต่ถ้าหากเราเพียงนำข้อมูลนั้นส่งต่อไปยังบริษัทภายนอกเพื่อดำเนินการแทนเรา เช่น บริษัทรับวิเคราะห์ข้อมูล บริษัทรับทำการตลาด บริษัทที่เราจ้างเหล่านั้นจะทำหน้าที่

เป็น Data Processor ทันที โดยเราจะเป็นเพียง Data Controller ดังนั้นท่านที่อ่านมาถึงจุดนี้ ท่านจะทราบว่า บริษัทท่านอาจจะเป็น Data Processor ให้กับบริษัทลูกค้าของท่านก็เป็นไปได้ โดยเฉพาะบริษัท IT ส่วนใหญ่ที่มีบริการด้าน IT ต่างๆให้กับลูกค้า และข่าวร้ายคือบทบาทที่มีความเสี่ยงในการละเมิดกฏหมายส่วนบุคคลมากที่สุดคือ Data Processor นั้นเอง

สิ่งที่ควรทราบสำหรับ Data Controller

จาก พ.ร.บ. กำหนดในมาตรา ๑๙ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องขอความยินยอมจากเจ้าของข้อมูลเสียก่อน โดยระบุถึงวัตถุประสงค์ ข้อมูลที่ต้องการ ระยะเวลาที่จัดเก็บ มีความชัดเจน ไม่หลอกลวง ถึงจะดำเนินการได้ พร้อมกับอนุญาต

เจ้าของข้อมูลตามสิทธิต่างๆด้วย ดังนั้นการดำเนินการเก็บข้อมูลส่วนบุคคลที่เกิดขึ้นในองค์กร ในทุกแผนก จะต้องมั่นใจว่า ข้อมูลเหล่านั้นมีการขอยินยอมที่ถูกต้องเท่านั้น พร้อมกับหลักฐานการขอยินยอม และในส่วนการดำเนินการใดๆตาม

การร้องขอจากเจ้าของข้อมูลจะต้องมีระบบติดตามและหลักฐานการดำเนินการที่เรียบร้อยเป็นหลักฐานเช่นกัน ดังนั้นจะเห็นว่า หลักฐานกิจกรรมที่เกิดขึ้นในกระบวนการเป็นสิ่งที่จำเป็นอย่างมาก

สิ่งที่ควรทราบสำหรับ Data Processor

หน้าที่ของผู้ที่ประมวลผลข้อมูลจะต้องเข้าใจข้อกำหนดในมาตรา ๔๐ หน้าที่ของผู้ประมวลผลข้อมูล อทิเช่น การดำเนินการใดๆจะต้องทำเฉพาะที่ได้รับการยินยอมจาก Data Controller ที่ขอยินยอม (Consent) จากเจ้าของข้อมูลเท่านั้น

และจัดให้มีมาตรการรักษาความมั่งคงปลอดภัยที่เหมาะสมกับระบบจัดเก็บข้อมูลส่วนบุคคล กล่าวคือไม่ถูก Hack ขโมยข้อมูล หรือการรั่วไหลจากการกระทำของคนภายในได้ ซึ่งจากที่กล่าวไว้แล้วว่า หากองค์กรของท่านรับหน้าที่เป็นเพียง

Data Processor

ที่บริษัทลูกค้าของท่าน Data Controller จ้างดำเนินการ หรือแม้กระทั่งบริษัทที่เป็นทั้ง 2 บทบาท ท่านจะต้องทราบรายละเอียดในการขอยินยอม (consent) เพื่อมิให้กระทำเกินขอบเขตหน้าที่ แต่ถ้าหากท่านไม่ทราบหรือ Data Controller

ไม่ได้ขอยินยอมมาครบถ้วนถูกต้อง ท่านจะต้องมีมาตรการป้องกันตัวเองเพื่อมิให้ละเมิดขอบเขต นั้นก็คือ Data Processor จะต้องทำสัญญาที่กำหนดขอบเขต (Scope of Work) อย่างชัดเจนกับลูกค้าที่เป็น Data Controller ของท่าน

และไม่กระทำใดๆที่นอกเหนือจากนั้น โดยการกระทำใดๆจะต้องมีหลักฐานที่ชัดเจน ป้องกันปัญหาที่อาจเกิดขึ้นในอนาคต PDPA ต่อหน่วยงาน

THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร

เพื่อให้องค์กรและบริษัท ทั้งภาครัฐและเอกชน จัดเตรียมบุคลากร กระบวนการ และเครื่องมือในการดำเนินการสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

แม้ว่ากฎหมายอาจจะยังไม่ได้ประกาศใช้ในขณะนี้ แต่เราเปิดให้คำปรึกษาและบริการปกป้องข้อมูลตาม พ.ร.บ.ฯ แบบครบวงจร เพราะควรเตรียมพร้อมในกระบวนการ การเก็บข้อมูลส่วนบุคคลให้เป็นไปอย่างถูกต้องและสอดคล้องกับ กฎหมายใหม่อีกจะประกาศใช้อย่างเป็นทางการในเดือน พฤษภาคม พ.ศ. 2564 เพื่อสิทธิในการเข้าถึงข้อมูลของสมาชิกในองค์กรและการจัดการข้อมูลของฝ่ายบริหารในองค์กรของคุณ

สำหรับบริษัทและองค์กรที่กำลังเป็นกังวลว่าจะเตรียมบุคลากร กระบวนการ และเทคโนโลยีอย่างไรให้พร้อมรองรับการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในเดือนพฤษภาคมนี้ THAI-PDPA เปิดให้คำปรึกษาโดยผู้เชี่ยวชาญแบบครบวงจร ด้วยเทคโนโลยี Data Protection Services ที่แนะนำให้ไปประยุกต์ใช้เพื่อปกป้องข้อมูลพนักงานและลูกค้า

ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล [email protected]

Data Controller คืออะไร

Data Controller และ Data Processor ต่างกันอย่างไร

ข้อใดหมายถึงผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่อะไรบ้าง