ep. 1 “ใครเป็นใครใน PDPA”
.
4 บทบาทสำคัญที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act: PDPA) มาทำความรู้จักไปพร้อมกัน
.
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) ประชาชนทุกคน หากเป็นหน่วยงานทั่วไปก็หมายถึง
ลูกค้า พนักงาน รวมถึง Outsource ด้วย กล่าวอีกนัยคือเป็นบุคคลที่ข้อมูลชี้ไปถึง แต่ไม่รวมถึงคนตายและนิติบุคคล (เจ้าของข้อมูลส่วนบุคคลไม่ใช่เจ้าของกรรมสิทธิ์ในข้อมูลนั้น)
.
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หน่วยงาน / องค์กร / สถาบัน ที่กำหนดวัตถุประสงค์ วิธีการประมวลผลและใช้ประโยชน์จากข้อมูลส่วนบุคคล *ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน / องค์กร / สถาบัน ทั้งนี้บุคคลธรรมดาก็อาจเป็นผู้ควบคุมข้อมูลได้เช่นเดียวกัน
.
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ผู้ที่ทำตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล
โดยหลักคือ Outsource ที่รับจ้าง *ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน / องค์กร / สถาบัน
.
4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) คนที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนำ หรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน / องค์กร / สถาบัน
ให้เป็นไปตามกฎหมาย
ep 1.1 “พนักงาน ไม่ใช่ ผู้ควบคุมข้อมูล”
.
ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล #PDPA พนักงาน ในหน่วยงาน/องค์กร/สถาบัน "ไม่ใช่"ผู้ควบคุมข้อมูลส่วนบุคคล
.
ที่ผ่านมามักเกิดความเข้าใจว่า พนักงาน/ลูกจ้างขององค์กรเป็นผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่และความรับผิดตามกฎหมาย
.
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
คือ หน่วยงาน/องค์กร/สถาบัน รวมถึงบุคคลธรรมดาที่กำหนดวัตถุประสงค์ วิธีการประมวลผลข้อมูล
และใช้ประโยชน์จากข้อมูลส่วนบุคคล
.
กรณีเช่นนี้ “องค์กร” จึงเป็นผู้ควบคุมข้อมูลส่วนบุคคลการดำเนินการต่าง ๆ ของพนักงาน/ลูกจ้าง
เกี่ยวกับข้อมูลส่วนบุคคล ไม่ว่าในฝ่าย HR, Marketing, IT หรือฝ่ายอื่น ๆ จึงไม่ใช่การดำเนินการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลพนักงาน/ลูกจ้างทุกระดับ ไม่ว่าจะเป็นเจ้าหน้าที่ผู้จัดการหรือผู้บริหาร แม้จะมีอำนาจตัดสินใจก็เป็นเพียงตัวแทน หรือผู้แทนที่กระทำการในนามของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น
.
หากมีการฝ่าฝืนพระราชบัญญัตินี้องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจึงต้องรับผิด ทั้งนี้หากการฝ่าฝืนเกิดจากการกระทำของพนักงาน/ลูกจ้างดังกล่าว องค์กรอาจดำเนินการกับพนักงาน/ลูกจ้างผู้กระทำผิดได้ในภายหลัง
.
ดังนั้นจึงเป็นหน้าที่ของ "องค์กร" ในการดำเนินการมาตรการต่างๆให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
ep. 1.2 “พนักงานไม่ใช่ผู้ประมวลผล”
.
หลังจากที่ได้รับรู้กันแล้วว่าในกฎหมายคุ้มครองข้อมูลส่วนบุคคล #PDPA พนักงานในองค์กร "ไม่ใช่" ผู้ควบคุมข้อมูลส่วนบุคคลก็มักเกิดคำถามต่อว่า "พนักงาน" นั้นจะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลหรือไม่
.
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ.2562 มาตรา 6 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ หน่วยงาน/องค์กร/สถาบัน รวมถึงบุคคลธรรมดาที่ทำตามคำสั่งหรือในนามผู้ควบคุมข้อมูลส่วนบุคคลส่วนใหญ่คือ Outsource ที่รับจ้างเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยกระทำไปตามวัตถุประสงค์หรือกิจกรรมที่ผู้ควบคุมข้อมูลส่วนบุคคลกำหนด
.
ซึ่ง พนักงาน/ลูกจ้างขององค์กร ”ไม่ใช่” ผู้ประมวลผลข้อมูลส่วนบุคคลแม้จะกระทำตามคำสั่งหรือในนามขององค์กรแต่เป็นเพียงตัวแทน หรือผู้แทนที่กระทำการในนามขององค์กรเท่านั้น กรณีจึงไม่ทำให้พนักงาน/ลูกจ้างขององค์กรกลายเป็นผู้ประมวลผลข้อมูลส่วนบุคคลแต่อย่างใด
.
ติดตามข้อมูลและความรู้และหลักสูตรฝึกอบรมได้ที่ :-
เว็บไซต์ : www.hrconsultant.training
Line@ : https://lin.ee/ZvXLMFE (@hr.training.online)
.
.
สนใจหลักสูตรอบรมเชิงปฏิบัติการ ทุกหน่วยงาน คลิก🔻
.
สนใจหลักสูตรทำระบบ คลิก🔻
.
สนใจหลักสูตร PDPA for HR คลิก🔻
.
สนใจหลักสูตร PDPA for IT คลิก🔻
.
ติดต่อเรา
Line@ : https://lin.ee/ZvXLMFE (@hr.training.online)
.
#พรบคุ้มครองข้อมูลส่วนบุคคล #PDPA #PDPAforHR #Training #ฝึกอบรม #TrainingOnline #PDPATraining #ConsentForm #PDPAคืออะไร #PDPAสรุป #PDPAพรบ #PDPAย่อมาจาก #กฎหมายPDPA #PDPAบังคับใช้ #Consentคือ #พรบคุ้มครองข้อมูลส่วนบุคคล2565 #กฎหมาย #ROPA
コメント