พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ) เป็นกฎหมายที่บัญญัติถึงหน้าที่และความรับผิดของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล
เพื่อให้การประมวลผลข้อมูลส่วนบุคคลเป็นไปโดยชอบด้วยกฎหมาย โดยบทความนี้จะอธิบายถึงหน้าที่ของผู้ควบคุมข้อมูลเท่านั้น
มาตรา 6 กำหนดนิยามของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ว่าคือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เห็นได้ว่าผู้ควบคุมข้อมูลเป็นได้ทั้งบุคคลธรรมดาและนิติบุคคล เช่น ผู้ประกอบธุรกิจรูปแบบเจ้าของคนเดียว ผู้ประกอบธุรกิจ SME บริษัทจำกัด หน่วยงานของรัฐ เป็นต้น โดยผู้ควบคุมข้อมูลมี “อำนาจในการตัดสินใจ” เกี่ยวกับวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลอาจมีความสัมพันธ์กับเจ้าของข้อมูลส่วนบุคคลตามสัญญาหรือไม่มีความผูกพันตามสัญญาก็ได้ โดยเจ้าของข้อมูลอาจมีสถานะเป็นลูกค้า คู่ค้า พนักงาน ผู้สมัครงาน หรือผู้มาติดต่อของผู้ควบคุมข้อมูล
(ภาพถ่ายโดย Kelly L)
ซึ่งหน้าที่ของผู้ควบคุมข้อมูลที่มีต่อเจ้าของข้อมูลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ มีดังต่อไปนี้
1. หน้าที่ในการแจ้งรายละเอียดเกี่ยวกับการประมวลผล
มาตรา 23 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่แจ้งรายละเอียดเกี่ยวกับการประมวลผลข้อมูลให้เจ้าของข้อมูลทราบ ไม่ว่าผู้ควบคุมข้อมูลจะได้รับข้อมูลจากเจ้าของข้อมูลโดยตรงหรือจากแหล่งอื่น
และไม่ว่าจะใช้ฐานทางกฎหมายใดในการประมวลผลก็ตาม โดยจะต้องแจ้งให้ทราบก่อนหรือขณะเก็บรวบรวมข้อมูล และผู้ควบคุมข้อมูลอาจแจ้งให้เจ้าของข้อมูลทราบโดยใช้วิธีการดังนี้ เช่น ประกาศในเว็บไซต์ของผู้ควบคุมข้อมูล หรือใช้ QR Code ในการเชื่อมโยงไปยังข้อมูลในเว็บไซต์
รายละเอียดเกี่ยวกับการประมวลผลที่ต้องแจ้งให้เจ้าของข้อมูลทราบ เช่น วัตถุประสงค์การประมวลผล ฐานทางกฎหมายที่ใช้ในการประมวลผล ประเภทของข้อมูลส่วนบุคคลที่ทำการประมวลผล รายละเอียดการโอนข้อมูลไปต่างประเทศ ระยะเวลาในการจัดเก็บข้อมูล สิทธิของเจ้าของข้อมูล รายละเอียดเกี่ยวกับการติดต่อผู้ควบคุมข้อมูลหรือเจ้าหน้าที่คุ้มครองข้อมูล เป็นต้น
(ภาพถ่ายโดย Karolina Grabowska)
2. หน้าที่รักษาความมั่นคงปลอดภัยของข้อมูล
มาตรา 37(1) กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่จัดให้มีมาตรการด้านบริหารจัดการและมาตรการป้องกันด้านเทคนิค เพื่อรักษาความมั่นคงปลอดภัยที่เหมาะสมกับข้อมูลส่วนบุคคล โดยการกำหนดมาตรการดังกล่าวจะต้องพิจารณาถึงความเสี่ยง ความเป็นไปได้และความร้ายแรงที่อาจส่งผลกระทบต่อเจ้าของข้อมูล
ตัวอย่างมาตรการรักษาความปลอดภัยของข้อมูล เช่น กำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล มีการเข้ารหัสข้อมูลส่วนบุคคล มีมาตรการในการรักษาความลับ ความถูกต้องแท้จริง มีกระบวนการในการทดสอบและประเมินประสิทธิภาพของมาตรการในการรักษาความปลอดภัย
3. หน้าที่แจ้งเหตุในกรณีข้อมูลส่วนบุคคลรั่วไหล
หากเกิดกรณีข้อมูลส่วนบุคคลรั่วไหลขึ้น ไม่ว่าเกิดจากการกระทำที่ไม่ชอบด้วยกฎหมายหรือจากอุบัติเหตุ ผู้ควบคุมข้อมูลมีหน้าที่ต้องแจ้งเหตุดังกล่าวแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคลทราบ ตามที่กำหนดในมาตรา 37(4)
ผู้ควบคุมข้อมูลมีหน้าที่แจ้งกรณีข้อมูลส่วนบุคคลรั่วไหลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ได้ทราบ เว้นแต่เหตุที่เกิดนั้นไม่น่าจะก่อให้เกิดความเสี่ยงใดๆ ต่อสิทธิและเสรีภาพของเจ้าของข้อมูล โดยข้อมูลที่ต้องแจ้ง ได้แก่ ลักษณะของการละเมิด ประเภทของข้อมูล จำนวนของเจ้าของข้อมูลที่ได้รับผลกระทบ ผลที่อาจเกิดขึ้นจากการละเมิด ขั้นตอนการรับมือ และมาตรการป้องกันผลกระทบที่อาจเกิดขึ้น
นอกจากนี้ หากการละเมิดมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลมีหน้าที่แจ้งกรณีข้อมูลส่วนบุคคลรั่วไหลแก่เจ้าของข้อมูลโดยไม่ชักช้า ต้องแจ้งด้วยถ้อยคำที่ชัดเจน เข้าใจง่าย และมีรายละเอียดต่อไปนี้ คือ ลักษณะการรั่วไหลของข้อมูล ผลที่อาจเกิดขึ้นจากการรั่วไหล มาตรการหรือแนวทางในการเยียวยา และข้อมูลในการติดต่อเจ้าหน้าที่ผู้รับผิดชอบ
4. หน้าที่เก็บบันทึกรายการประมวลผลข้อมูล
มาตรา 39 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่เก็บบันทึกรายการประมวลผลเป็นลายลักษณ์อักษร โดยบันทึกเป็นหนังสือหรือในรูปแบบอิเล็กทรอนิกส์ก็ได้ ทั้งนี้เพื่อให้เจ้าของข้อมูลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้
รายการประมวลผลประกอบด้วยรายการต่อไปนี้ คือ ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูล ระยะเวลาการเก็บรักษาข้อมูล สิทธิและวิธีการเข้าถึงข้อมูล การใช้หรือเปิดเผยข้อมูล การปฏิเสธคำขอหรือการคัดค้านของเจ้าของข้อมูล และคำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
อย่างไรก็ตาม ผู้ควบคุมข้อมูลในกิจการขนาดเล็กอาจได้รับยกเว้นไม่ต้องทำบันทึกรายการประมวลผลข้อมูลตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด แต่ถ้าเป็นกิจการขนาดเล็กที่ประมวลผลข้อมูลส่วนบุคคลที่มีความเสี่ยงกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลหรือประมวลผลข้อมูลส่วนบุคคลอ่อนไหว กรณีนี้ผู้ควบคุมข้อมูลยังคงมีหน้าที่ต้องจัดทำบันทึกรายการประมวลผลข้อมูล
5. หน้าที่ในการตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลมีหน้าที่ตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer (DPO)) ตามที่กำหนดในมาตรา 41 หน่วยงานที่ต้องทำการตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ได้แก่ หน่วยงานของรัฐ หน่วยงานที่มีกิจกรรมหลักเป็นการประมวลผลข้อมูลซึ่งมีการติดตามเจ้าของข้อมูลจำนวนมาก อย่างสม่ำเสมอ และเป็นระบบตามที่คณะกรรมการประกาศกำหนด หรือหน่วยงานที่มีกิจกรรมหลักเป็นการประมวลผลข้อมูลส่วนบุคคลอ่อนไหว
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ให้คำแนะนำบุคคลในองค์กรเกี่ยวกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ตรวจสอบการดำเนินงานขององค์กร เช่น ตรวจสอบว่ามีการบันทึกกิจกรรมการประมวลผลข้อมูลถูกต้องหรือไม่ และในกรณีข้อมูลส่วนบุคคลเกิดการรั่วไหล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลเป็นผู้ที่ได้รับประโยชน์จากการประมวลผลข้อมูลส่วนบุคคล ด้วยเหตุนี้กฎหมายจึงจำเป็นต้องกำหนดขอบเขตหน้าที่ของผู้ควบคุมข้อมูล เพื่อให้การประมวลผลข้อมูลเป็นไปตามวัตถุประสงค์ที่วางไว้เท่านั้น และทำให้ข้อมูลส่วนบุคคลที่ถูกประมวลผลได้รับการดูแลให้มีความมั่นคงปลอดภัยอีกด้วย
คอลัมน์ : กฎหมาย 4.0
ชญานี ศรีกระจ่าง
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
———————————————————————————————————————————————————————————–
ที่มา : กรุงเทพธุรกิจ / วันที่เผยแพร่ 26 มิ.ย.65
Link : https://www.bangkokbiznews.com/columnist/1011692