ข้อใดไม่ใช่หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล dpo

จากตอนที่แล้ว 10 คำถามเกี่ยวกับ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA): เตรียมพร้อมก่อนอุ่นใจกว่า ตอนที่ 1 เราได้พูดถึงรายละเอียด เบื้องต้นของ พรบ. การขอยินยอมการใช้ข้อมูลส่วนบุคคล และบทกำหนดลงโทษ ในตอนที่ 2 นี้เราจะมาพูดถึง พรบ. คุ้มครองข้อมูลส่วนบุคคล ในแง่มุมที่ใกล้ตัวเรามากขึ้น ไม่ว่าจะเป็น สิทธิของเจ้าของข้อมูล ความจำเป็นในการตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมถึง ความสำคัญของ Cookies Policy ต่าง ๆ เพื่อ เป็นการซักซ้อมความพร้อมในเชิงปฏิบัติ ก่อนการรับมือกับพรบ. ที่จะมีผลบังคับใช้จริงเต็ม รูปแบบ

Q1: เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) คือใคร และในองค์กรจำเป็นต้องมีการตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเสมอไปหรือไม่

พรบ. ไม่ได้กำหนดให้ทุกองค์กรต้องมี DPO เว้นแต่เป็นองค์กรที่มีลักษณะตามที่ระบุไว้ซึ่งหากเข้าเกณฑ์ องค์กรมีหน้าที่ต้องตั้ง DPO หากไม่ตั้งอาจโดนโทษปกครองไม่เกิน 1,000,000 บาท ทั้งนี้ การไม่ตั้ง DPO ไม่มีผลลงโทษทางแพ่งหรืออาญา 

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนดเกณฑ์ขององค์กรที่ต้องตั้ง DPO เบื้องต้น ได้แก่

    - ผู้ควบคุมข้อมูล หรือประมวลผลข้อมูลที่จำเป็นต้องประมวลผลข้อมูลส่วนบุคคลจำนวนมาก 
    - ผู้ควบคุมข้อมูล หรือประมวลผข้อมูลที่มีกิจกรรมหลักประมวลผลข้อมูลส่วนบุคคลอ่อนไหว

หากเป็นองค์กรที่ไม่ได้ประมวลผลข้อมูลจำนวนมหาศาล โดยเฉพาะข้อมูลส่วนบุคคลอ่อนไหว อาจไม่มีหน้าที่ตาม พรบ. ที่ต้องแต่งตั้ง DPO เป็นการเฉพาะ 

อย่างไรก็ตาม ไม่ว่ากรณีใดในทุกองค์กรควรจัดให้มีหน่วยงานรับผิดชอบเพื่อให้คำแนะนำและ ตรวจสอบการดำเนินงานตาม พรบ. ไว้เสมอ โดยอาจไม่จำเป็นต้องปรับโครงสร้างตั้งตำแหน่งใหม่ ทั้งนี้ส่ิงที่องค์กรพึงตระหนักคือ หากพนักงาน 1 คนในองค์กรกระทำผิด บทลงโทษต่าง ๆ จะถูกบังคับกับองค์กรทั้งองค์กร 

สำหรับองค์กรที่จะแต่งตั้ง DPO กฎหมายยังไม่ได้กำหนดคุณสมบัติของ DPO ไว้ ดังนั้น DPO อาจเป็นบุคคลคนเดียวหรือเป็นทีมงานจากภายในหรือภายนอกองค์กรก็ได้ 

Q2: จำเป็นต้องบันทึกทุกรายการประมวลผลข้อมูลเลยหรือไม่

ผู้ควบคุมข้อมูลมีหน้าที่ตาม พรบ. ที่จะต้องบันทึกรายการ ที่แสดงรายละเอียดการประมวลผลข้อมูล เช่น รายละเอียดข้อมูลส่วนบุคคล วัตถุประสงค์การประมวลผลข้อมูล การใช้และประมวลผลข้อมูลที่เกิดขึ้น รวมถึงต้องบันทึกการปฏิเสธคำขอใช้สิทธิต่างๆของเจ้าของข้อมูล และต้องบันทึกคำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยที่ได้ดำเนินการทั้งหมดให้ครบถ้วน หากไม่ดำเนินการอาจ มีโทษปรับทางปกครองไม่เกิน 1,000,000 บาท

ทุกองค์กรมีหน้าที่ต้องบันทึกการปฏิเสธคำขอหรือการคัดค้านการขอใช้สิทธิของเจ้าของข้อมูล แต่คณะกรมการคุ้มครองข้อมูลส่วนบุคคล อาจกำหนดหลักเกณฑ์ในการยกเว้นการบันทึกรายละเอียดการประมวลผลข้อมูลให้แก่กิจการขนาดเล็กได้ 

แม้สุดท้ายผู้ควบคุมข้อมูลส่วนบุคคลขนาดเล็ก อาจได้รับยกเว้นจากการทำบันทึกฉบับเต็ม แต่การบัน ทึกรายการประมวลผลข้อมูล เป็นสิ่งที่ทุกองค์กรควรทำ เพราะบันทึกดังกล่าวอาจใช้เป็นเครื่องมือ หรือหลักฐานในการพิสูจน์เพื่อหลุดพ้นความรับผิดภายใต้ พรบ. ได้ทั้งในคดีแพ่ง อาญา หรือปกครอง

Q3: ถ้าเจ้าของข้อมูลขอใช้สิทธิลบหรือทำลายข้อมูล ต้องลบทุกกรณีหรือไม่

พรบ. กำหนดให้สิทธิแก่เจ้าของข้อมูลในการขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลนั้นเป็นข้อ มูลที่ไม่สามารถระบุตัวตนที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (De-Identification) แต่การจะใช้สิทธิดังกล่าว พรบ. กำหนดกรอบที่ชัดเจนว่าจะขอได้ด้วยเหตุผลเพียง 4 ข้อเท่านั้น คือ

    - เมื่อข้อมูลส่วนบุคคลนั้นหมดความจำเป็นในการเก็บรักษาไว้ ตามวัตถุประสงค์ที่แจ้งแล้ว
    - เมื่อเจ้าของข้อมูลถอนความยินยอมในการประมวลผลข้อมูลแล้ว
    - เมื่อเจ้าของข้อมูลคัดค้านการเก็บประมวลผลข้อมูล และผู้ควบคุมข้อมูลไม่มีเหตุจะปฏิเสธการคัดค้านดังกล่าว
    - เมื่อข้อมูลส่วนบุคคลนั้นถูกประมวลผล โดยไม่ชอบด้วยกฎหมาย

ดังนั้น จะเห็นได้ว่าไม่ใช่ทุกกรณีที่เจ้าของข้อมูลจะขอใช้สิทธิลบหรือทำลายข้อมูลได้เสมอไป และไม่สามารถอ้างขอใช้สิทธิได้ตามอำเภอใจ 

แต่หากเป็นการใช้สิทธิขอลบตามกรอบที่ พรบ. กำหนด ผู้ควบคุมข้อมูลมีหน้าที่ต้องดำเนินการตามคำขอ แต่เป็นกรณีที่ต้องลบหรือทำลายเฉพาะส่วนของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับคำขอใช้สิทธิแต่ละส่วนเป็นการเฉพาะเท่านั้น เช่น หากเป็นกรณีการขอลบหลังจากถอนความยินยอม ผู้ควบคุมข้อมูล มีหน้าที่ต้องลบเฉพาะข้อมูลส่วนบุคคลที่ถูกประมวลผลด้วยการให้ความยินยอมของเจ้าของข้อมูลเท่านั้น ส่วนการประมวลผลข้อมูลด้วยฐานกฎหมายอื่น ผู้ควบคุมข้อมูลไม่จำเป็นต้องลบหรือทำลาย 

Q4: NDA = DPA หรือไม่ หากมีสัญญารักษาความลับแล้วถือว่าเพียงพอแล้วหรือไม่

เมื่อมีการแลกเปลี่ยนข้อมูลระหว่างองค์กร โดยปกติในทางปฏิบัติองค์กรเหล่านั้นจะลงนามใน สัญญารักษาความลับ (Non Disclosure Agreement : NDA) ระหว่างกันซึ่งเนื้อหาหลักกำหนดให้องค์กรที่เป็นผู้ได้รับข้อมูลต่างๆไป มีหน้าที่ในการรักษาความลับของข้อมูลดังกล่าวไม่เปิดเผย เว้นแต่ได้รับอนุญาตจากองค์กรที่เป็นฝ่ายเปิดเผยข้อมูล 

ภายใต้ พรบ. ข้อมูลส่วนบุคคล มีการพูดถึงสัญญาการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA) กันมากขึ้นสำหรับเนื้อหาหลักของ DPA ประกอบด้วย การ อธิบายถึงการส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลระหว่างองค์กร โดยระบุชัดเจนถึงขอบเขตสิทธิและหน้าที่ของคู่สัญญาแต่ละฝ่าย พร้อมทั้งต้องระบุวัตถุประสงค์ในการส่งต่อเปิดเผยข้อมูลอย่างชัดเจน ซึ่งถือเป็นกรอบการปฏิบัติที่สำคัญ หากคู่สัญญาฝ่ายใดฝ่ายหนึ่งดำเนินการนอกกรอบดังกล่าว ฝ่ายนั้นย่อมต้องรับผิดและต้องชดเชยให้คู่สัญญาอีกฝ่ายหนึ่ง นอกจากนี้จะมีการกำหนดหน้าที่ของผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูลตามที่ พรบ. กำหนดให้คู่สัญญาทั้งสองฝ่ายต้องปฏิบัติตาม เช่น หน้าที่ในการบันทึกหน้าที่ในการรายงานการละเมิดข้อมูลต่างๆ อีกด้วย 

จะเห็นได้ว่า ขอบเขตหรือจุดประสงค์หลักของ DPA มีเนื้อหาที่ครอบคลุมและกว้างมากกว่า NDA ซึ่งจะมุ่งเน้นเพียงเงื่อนไขและหน้าที่การรักษาความลับของข้อมูล ดังนั้น การลงนามใน NDA เพียง อย่างเดียว โดยไม่มีการทำ DPA อาจไม่เพียงพอที่จะเป็นสัญญาหรือหลักฐานที่ปกป้องสิทธิขององค์กรที่มีการเปิดเผยและส่งต่อข้อมูลได้เต็มที่ครบถ้วนตาม พรบ.

Q5: Cookies Policy สำคัญยังไง จำเป็นต้องมีหรือไม่

หลังจากที่ GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปมีผลบังคับใช้ จะเห็นได้ว่าหน้าเว็บไซต์หรือ Application ต่าง ๆ จะมีการขึ้น Cookies Policy มาแสดงผลอยู่หน้าเว็บไซต์หรือ Application จำนวนมาก การดำเนินการดังกล่าวเป็นไปตามข้อกำหนดของ GDPR ที่ถือว่าเทคโนโลยีการใช้ Cookies เป็นข้อมูลส่วนบุคคลรูปแบบหนึ่ง ซึ่งผู้ใช้เทคโนโลยีดังกล่าวมีหน้าที่ต้องแแจ้ง และอาจต้องขอความยินยอมในการใช้ Cookies ดังกล่าว

สำหรับกรณีประเทศไทย จากการตีความนิยามภายใต้ พรบ. Cookies ถือว่าเข้านิยามการเป็น “ข้อมูลส่วนบุคคล” ดังนั้นการใช้ Cookies ที่หน้าเว็บไซต์ หรือ Application ก็ต้องมีการแจ้ง Cookies Policy เช่นเดียวกัน แต่อย่างไรก็ตามหากเว็บไซต์หรือ Application ดังกล่าวดำเนินการประมวลผลข้อมูลส่วนบุคคลในลักษณะอื่นนอกเหนือจากการใช้เทคโนโลยี Cookies เช่น มีการสร้าง Username / Password มีการกรอกข้อมูลเพื่อลงทะเบียน ซึ่งการประมวลผลข้อมูลส่วนบุคคลดังกล่าว ผู้ควบคุม ข้อมูลต้องจัดทำ Privacy Notice หรือการขอความยินยอมรวมทุกการประมวลผลข้อมูลส่วนบุคคลอยู่แล้ว ผู้ควบคุมข้อมูลนั้นสามารถนำ Cookies Policy เข้าไปรวมเป็นเนื้อหาใน Privacy Notice หรือการขอความยินยอมรวม โดยไม่ต้องทำ Cookies Policy ขึ้นมาเป็นหน้าต่างแยกก็ได้ 

จะเห็นได้ว่าพรบ. คุ้มครองข้อมูลส่วนบุคคล นั้นมีผลครอบคลุมถึงการควบคุมการเข้าถึงข้อมูลส่วนบุคคลทั้งออฟไลน์และออนไลน์ แน่นอนว่าอาจจะเป็นทั้งผลดีและผลเสียของทั้งผู้ที่ต้องการใช้ข้อมูลและเจ้าของข้อมูล อย่างไรก็ตามการมีผลบังคับใช้ของพรบ. จะช่วยให้เรามองเห็นขอบเขตและข้อกำหนดต่าง ๆ ชัดเจนขึ้นและเป็นข้อกำหนดที่เข้าใจร่วมกันในประเทศไทย 

ทาง HUBBA และ The Founders Square ขอขอบคุณ คุณรับขวัญ ชลดำรงค์กุล, CIPM จาก LawXTech ที่มาร่วมให้ข้อมูลและตอบคำถามข้อสงสัยเกี่ยวกับ พรบ. คุ้มครองข้อมูลส่วนบุคคล ให้กับเราค่ะ 

HUBBA และ The Founders Square ยินดีแบ่งปันความรู้และสาระต่าง ๆ ให้กับทุกท่าน ไม่ว่าจะเป็นด้านธุรกิจ เศรฐกิจ สังคม ที่เกี่ยวข้องกับการพัฒนาและเติบโตของผู้ประกอบการไทย 

หากมีข้อสงสัย แนะนำ ติชม สามารถติดต่อได้ที่ ค่ะ

กดเพิ่ม HUBBA เป็นเพื่อน เพื่อติดตามข่าวสารและร่วมสนุกกิจกรรมอื่นๆ ได้แล้วที่ไลน์แอด @hubbathailand

‍

หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) คืออะไร

ข้อใด ? เป็นหน้าที่ของ Dpo (Data Protection Officer) พนักงานควบคุมข้อมูล

ใครมีหน้าที่แต่งตั้ง Dpo

หน้าที่ในการปกป้องข้อมูลเป็นหน้าที่ของใคร