4008242665874176 4008242665874176 UA-154733050-1
top of page

สาระน่ารู้จากกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA -ข้อมูลจาก กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม EP1

อัปเดตเมื่อ 23 มิ.ย. 2565



ep. 1 “ใครเป็นใครใน PDPA”

.

4 บทบาทสำคัญที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act: PDPA) มาทำความรู้จักไปพร้อมกัน

.

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) ประชาชนทุกคน หากเป็นหน่วยงานทั่วไปก็หมายถึง

ลูกค้า พนักงาน รวมถึง Outsource ด้วย กล่าวอีกนัยคือเป็นบุคคลที่ข้อมูลชี้ไปถึง แต่ไม่รวมถึงคนตายและนิติบุคคล (เจ้าของข้อมูลส่วนบุคคลไม่ใช่เจ้าของกรรมสิทธิ์ในข้อมูลนั้น)

.

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หน่วยงาน / องค์กร / สถาบัน ที่กำหนดวัตถุประสงค์ วิธีการประมวลผลและใช้ประโยชน์จากข้อมูลส่วนบุคคล *ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน / องค์กร / สถาบัน ทั้งนี้บุคคลธรรมดาก็อาจเป็นผู้ควบคุมข้อมูลได้เช่นเดียวกัน

.

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ผู้ที่ทำตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล

โดยหลักคือ Outsource ที่รับจ้าง *ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน / องค์กร / สถาบัน

.

4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) คนที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนำ หรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน / องค์กร / สถาบัน

ให้เป็นไปตามกฎหมาย





ep 1.1 “พนักงาน ไม่ใช่ ผู้ควบคุมข้อมูล”

.

ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล #PDPA พนักงาน ในหน่วยงาน/องค์กร/สถาบัน "ไม่ใช่"ผู้ควบคุมข้อมูลส่วนบุคคล

.

ที่ผ่านมามักเกิดความเข้าใจว่า พนักงาน/ลูกจ้างขององค์กรเป็นผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่และความรับผิดตามกฎหมาย

.

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

คือ หน่วยงาน/องค์กร/สถาบัน รวมถึงบุคคลธรรมดาที่กำหนดวัตถุประสงค์ วิธีการประมวลผลข้อมูล

และใช้ประโยชน์จากข้อมูลส่วนบุคคล

.

กรณีเช่นนี้ “องค์กร” จึงเป็นผู้ควบคุมข้อมูลส่วนบุคคลการดำเนินการต่าง ๆ ของพนักงาน/ลูกจ้าง

เกี่ยวกับข้อมูลส่วนบุคคล ไม่ว่าในฝ่าย HR, Marketing, IT หรือฝ่ายอื่น ๆ จึงไม่ใช่การดำเนินการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลพนักงาน/ลูกจ้างทุกระดับ ไม่ว่าจะเป็นเจ้าหน้าที่ผู้จัดการหรือผู้บริหาร แม้จะมีอำนาจตัดสินใจก็เป็นเพียงตัวแทน หรือผู้แทนที่กระทำการในนามของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น

.

หากมีการฝ่าฝืนพระราชบัญญัตินี้องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจึงต้องรับผิด ทั้งนี้หากการฝ่าฝืนเกิดจากการกระทำของพนักงาน/ลูกจ้างดังกล่าว องค์กรอาจดำเนินการกับพนักงาน/ลูกจ้างผู้กระทำผิดได้ในภายหลัง

.

ดังนั้นจึงเป็นหน้าที่ของ "องค์กร" ในการดำเนินการมาตรการต่างๆให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล




ep. 1.2 “พนักงานไม่ใช่ผู้ประมวลผล”

.

หลังจากที่ได้รับรู้กันแล้วว่าในกฎหมายคุ้มครองข้อมูลส่วนบุคคล #PDPA พนักงานในองค์กร "ไม่ใช่" ผู้ควบคุมข้อมูลส่วนบุคคลก็มักเกิดคำถามต่อว่า "พนักงาน" นั้นจะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลหรือไม่

.

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ.2562 มาตรา 6 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ หน่วยงาน/องค์กร/สถาบัน รวมถึงบุคคลธรรมดาที่ทำตามคำสั่งหรือในนามผู้ควบคุมข้อมูลส่วนบุคคลส่วนใหญ่คือ Outsource ที่รับจ้างเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยกระทำไปตามวัตถุประสงค์หรือกิจกรรมที่ผู้ควบคุมข้อมูลส่วนบุคคลกำหนด

.

ซึ่ง พนักงาน/ลูกจ้างขององค์กร ”ไม่ใช่” ผู้ประมวลผลข้อมูลส่วนบุคคลแม้จะกระทำตามคำสั่งหรือในนามขององค์กรแต่เป็นเพียงตัวแทน หรือผู้แทนที่กระทำการในนามขององค์กรเท่านั้น กรณีจึงไม่ทำให้พนักงาน/ลูกจ้างขององค์กรกลายเป็นผู้ประมวลผลข้อมูลส่วนบุคคลแต่อย่างใด

.

ติดตามข้อมูลและความรู้และหลักสูตรฝึกอบรมได้ที่ :-

เว็บไซต์ : www.hrconsultant.training

Line@ : https://lin.ee/ZvXLMFE (@hr.training.online)

.

.

สนใจหลักสูตรอบรมเชิงปฏิบัติการ ทุกหน่วยงาน คลิก🔻

.

สนใจหลักสูตรทำระบบ คลิก🔻

.

สนใจหลักสูตร PDPA for HR คลิก🔻

.

สนใจหลักสูตร PDPA for IT คลิก🔻

.

ติดต่อเรา

Line@ : https://lin.ee/ZvXLMFE (@hr.training.online)

.

โพสต์ล่าสุด

ดูทั้งหมด
bottom of page