Chinese (Simplified)EnglishThai

Chinese (Simplified)EnglishThai

Chinese (Simplified)EnglishThai

เราทุกคนมีบทบาทต่อการ ประมวลผล ข้อมูลส่วนบุคคล อย่างไร?

ประมวลผล ข้อมูลส่วนบุคคล ตามที่ระบุใน มาตราที่ 6 ของ พ.ร.บ.คุ้มครองข้อมูล่สวนบุคคล ผู้ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลมีอยู่ด้วยกัน 2 บทบาท คือ

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
หากจะกล่าวถึงบทบาททั้งสองให้เข้าใจง่าย ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องรับผิดชอบในการปฏิบัติตามกฎหมายขั้นสูงสุด โดยทำหน้าที่เป็นผู้ตัดสินใจ วางนโยบายแผนงาน ควบคุม และแสดงให้เห็นว่าองค์กรหรือบุคลากรในความรับผิดชอบของคุณปฏิบัติตามหลักการคุ้มครองข้อมูลส่วนบุคคลและข้อกำหนดอื่น ๆ ตาม PDPA ส่วนผู้ประมวลผลข้อมูลส่วนบุคคล เป็นระดับผู้ปฏิบัติการ ที่ดำเนินกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการเก็บรวบรวม บันทึก จัดระเบียบ ปรับปรุง นำไปใช้ เปิดเผย ฯลฯ ภายใต้อำนาจหรือการสั่งการจากผู้ควบคุมข้อมูลส่วนบุคคล แต่ก็ต้องดำเนินการภายใต้ข้อกำหนดของ PDPA เช่นเดียวกัน
ฐานความยินยอมควรเป็นทางเลือกสุดท้าย!
จากข้างต้นจะเห็นได้ว่า ไม่ได้มีเพียงแค่การขอความยินยอมเท่านั้นที่จะช่วยให้คุณสามารถประมวลผลข้อมูลส่วนบุคคลได้อย่างถูกต้องตามกฎหมาย เพียงแค่ฐานความยินยอมเป็นฐานการประมวลผลข้อมูลที่ได้รับการพูดถึงมากที่สุดในวงการการตลาดแบบดั้งเดิมและการตลาดออนไลน์ซึ่งมีการใช้ประโยชน์จากข้อมูลของลูกค้าเป็นสำคัญ

การขอความยินยอมใช้เป็นฐานเพื่ออ้างอิงการประมวลผลข้อมูลที่ไม่มั่นคงที่สุดจากบรรดาฐานการประมวลผลทั้งหมด เนื่องจากหากเจ้าข้อมูลไม่ยินยอมคุณก็ไม่มีสิทธิ์ในการประมวลผลข้อมูล แถมเจ้าของข้อมูลยังสามารถขอถอนความยินยอมเมื่อไหร่ก็ได้เช่นกัน

ดังนั้น ลองสำรวจให้แน่ใจดูก่อนว่า ลักษณะของการประมวลผลข้อมูลของคุณ ไม่ว่าจะในฐานะผู้ควบคุมข้อมูลที่เป็นบุคคลธรรมดาหรือนิติบุคคล สามารถเข้าข่ายของการดำเนินการตามฐานทางกฎหมายอื่น ๆ ได้หรือไม่ ก่อนจะไล่สำรวจไปจนถึงฐานความยินยอม โดยการขอความยินยอมเพื่อประมวลผลข้อมูล (ส่วนบุคคล) ควรเป็นทางเลือกสุดท้ายที่คุณเลือก

เลือกและระบุฐานการ ประมวลผลข้อมูล ให้ชัดเจน
ผู้ควบคุมข้อมูลจะต้องระบุฐานในการประมวลผลข้อมูลก่อนการเก็บรวบรวมข้อมูลส่วนบุคคล (อ้างอิงจาก ICDL Workforce Data Protection Syllabus 1.0) และต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลนั้นให้เจ้าของข้อมูลทราบ เพื่อให้เจ้าของข้อมูลทราบถึงสิทธิของตนเอง เนื่องจากเจ้าของข้อมูลส่วนบุคคลจะมีสิทธิที่แตกต่างกันออกไปตามฐานการประมวลผลที่ระบุ เช่น กรณีข้อมูลส่วนบุคคลถูกประมวลผลบนฐานภารกิจสาธารณะ/อำนาจรัฐ เจ้าของข้อมูลส่วนบุคคลไม่อาจขอลบข้อมูลของตนเองได้ แต่ในทางกลับกัน เจ้าของข้อมูลเลือกที่จะขอลบข้อมูลของตนจากบริษัทที่เก็บข้อมูลบนฐานความยินยอมได้ เป็นต้น นอกจากนั้น การระบุฐานในการประมวลผลข้อมูลยังเป็นประโยชน์ในการอ้างอิง เมื่อถูกตรวจสอบจากสำนักงานคณะกรรมการคุ้มครองข้องมูลส่วนบุคคลหรือหน่วยงานที่เกี่ยวข้องอีกด้วยครับ ประมวลผลข้อมูลส่วนบุคคล

เพียงเลือกฐานการประมวลผลข้อมูลฐานใดฐานหนึ่ง และดำเนินการตามมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด ก็จะช่วยให้คุณสามารถประมวลผลข้อมูลได้อย่าง “ผ่านฉลุย” ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

กรณีที่มีการละเมิดกฎหมาย หน่วยงานที่จัดตั้งขึ้นเพื่อกำกับดูแลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และบุคคลทั่วไปต่างสามารถเรียกร้องค่าเสียหายได้จากทั้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล เพียงแต่ระดับความผิดจะแตกต่างกันออกไปตามบทบาท โดยผู้ควบคุมข้อมูลส่วนบุคคลมีแนวโน้มที่จะมีความผิดมากกว่าผู้ประมวลผลข้อมูลส่วนบุคคล เนื่องจากเป็นผู้มีอำนาจตัดสินใจควบคุม ผู้ประมวลผลข้อมูลเป็นเพียงผู้ที่ดำเนินการตามสั่ง อย่างไรก็ตามการตัดสินอย่างเป็นทางการว่าบุคคลใดมีบทบาทไหน จะขึ้นอยู่กับดุลพินิจของศาลเป็นสำคัญ

นอกเหนือจากเรื่องของโทษและการรับผิดตามกฎหมายแล้ว การจำแนกผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล (อย่างหยั่งรู้) ยังมีประโยชน์ด้านบวกในแง่ของการบริหารองค์กรให้มีแนวทางที่สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยเมื่อทราบบทบาท คุณจะสามารถบริหารจัดการมาตรการคุ้มครองข้อมูลส่วนบุคคลขององค์กรได้อย่างมีประสิทธิภาพมากขึ้น สามารถจัดทำ Data Flow รู้ว่าใครบ้างที่สามารถเก็บหรือบันทึกข้อมูล มีอำนาจสั่งการเกี่ยวกับการประมวลผล หรือมีสิทธิเข้าถึงข้อมูลได้ เป็นต้น

อย่าละเลย! ไม่ว่าองค์กรหรือธุรกิจไหนในยุค PDPA ก็ควรให้เวลาในการประเมินข้อมูลภายในองค์กรและตำแหน่งหน้าที่ของบุคลากรที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

ผู้บริหารองค์กร ไม่ว่าท่านจะเป็น CEO CIO ผู้อำนวยการหน่วยงาน/สถาบัน หรือตำแหน่งอื่น ๆ ที่เกี่ยวข้อง จะต้องไม่ละเลยการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล มาทดลองตอบคำถาม 9 ข้อนี้ เป็น Guideline เพื่อพิจารณาความพร้อมของตัวคุณเองและองค์กรในการคุ้มครองข้อมูลส่วนบุคคลตาม PDPA กันดีกว่าครับ

คุณเข้าใจภาระหน้าที่ต่อความเป็นส่วนตัวของบุคคล เข้าใจความเสี่ยงขององค์กร และมีแผนการจัดการที่สอดคล้องกับวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือไม่?
คุณวางแผนและตัดสินใจเกี่ยวกับการใช้งานเทคโนโลยีที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างเป็นเหตุเป็นผล โดยมีกระบวนการขอความยินยอมที่จำเป็นจากเจ้าของข้อมูลเพื่อการเก็บรักษาและประมวลผลข้อมูลแล้วเรียบร้อย?
คุณมองเห็นภาพได้อย่างชัดเจนว่า มีข้อมูลส่วนบุคคลอะไรบ้างที่องค์กรกำลังประมวลผล ใครเป็นผู้ประมวลผล ข้อมูลถูกเก็บไว้ที่ใด วัตถุประสงค์ของการประมวลผลของข้อมูลแต่ชุดคืออะไร? นอกจากนั้น เรามีประกาศนโยบายความเป็นส่วนตัวหรือสัญญาที่ชัดแจ้งโปร่งใสหรือไม่?
คุณมั่นใจแค่ไหน ว่าองค์กรของคุณมีกระบวนการ/มาตรการพร้อมรับมือหากเกิดการละเมิดข้อมูลส่วนบุคคลที่อ้างอิงตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR และ PDPA ขึ้น?
คุณได้กำกับดูแลแล้วหรือยังว่า ซัพพลายเออร์ของคุณซึ่งเป็น Third-Party มีมาตรการซึ่งปฎิบัติตามกฎหมาย ความเป็นส่วนตัว และความปลอดภัยทางข้อมูล เพื่อปกป้องผลประโยชน์ขององค์กร? ประมวลผล ข้อมูลส่วนบุคคล
องค์กรของคุณควรจะมี “เจ้าหน้าที่คุ้มครองข้อมูล” หรือ Data Protection Officer (DPO) ประจำหรือไม่?
คุณเล็งเห็นว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิต่อข้อมูลส่วนบุคคลของตนเองเพิ่มสูงขึ้น และสามารถขอให้ดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลของตนเองที่เราเก็บไว้ได้หรือไม่?
คุณเข้าใจผลกระทบของ PDPA และผลักดันให้ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ทั้งหมดเข้าใจหน้าที่ความรับผิดชอบของตนเองตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้วหรือยัง?
คุณดำเนินการให้มีกระบวนการแก้ไข ถอนความยินยอม โอนย้าย ประมวลผลข้อมูล ที่โปร่งใสและสามารถตรวจสอบได้ทั้งจากภายในและภายนอกองค์กร แล้วหรือยัง?
จากการตอบคำถามทั้ง 9 ข้อที่กล่าวมาข้างต้น ผู้บริหารอย่างคุณคงประเมินได้แล้วว่า ตัวคุณเองและองค์กรภายใต้การดูแลของคุณเตรียมพร้อมรับมือกับ PDPA อยู่ในระดับใด มีจุดอ่อนจุดแข็งอะไรบ้าง ตลอดจนมองเห็นว่ามีจุดใดบ้างที่ต้องปรับปรุง เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลสอดคล้องกับกฎหมายและมีประสิทธิภาพสูงสุด

สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems

ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้

สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์  EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9

Related Articles