หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล

หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล

ความสัมพันธ์ระหว่างองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้รับจ้างในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลถูกกำหนดความสัมพันธ์ภายใต้บริบทของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ ทั่วโลก

อาทิ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ประเทศบราซิล (LGPD) ประเทศสิงคโปร์ (PDPA) หรือแม้แต่กฎหมายของรัฐแคลิฟอร์เนีย (CCPA) ทั้งนี้เพื่อควบคุมและกำกับการดำเนินงานระหว่างผู้ว่าจ้างและผู้รับจ้างในส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับหน้าที่ต่าง ๆ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้น ๆ

เพื่อคุ้มครองสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลอย่างเป็นระบบ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ) จึงได้กำหนดหน้าที่และความรับผิดชอบในการปฏิบัติตามกฎหมายไว้กับ “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล”ไว้เช่นเดียวกับระบบกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ ดังนี้

ใครคือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor)

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 6)

อนึ่ง องค์กรที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ไม่จำเป็นที่ต้องแต่งตั้งผู้ประมวลผลข้อมูลส่วนบุคคล ในกรณีที่องค์กรเป็นนิติบุคคล ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในหน้าที่และอำนาจของตน

องค์กรดังกล่าวจะถือเป็นผู้ควบคุมข้อมูลส่วนบุคคลแล้ว โดยไม่ต้องกำหนดบุคคลใดขององค์กรเป็นผู้ควบคุมข้อมูลส่วนบุคคลอีก

หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล

และในกรณีที่บุคคลหรือนิติบุคคลภายนอกที่องค์กรได้กำหนด ให้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามขององค์กร บุคคลหรือนิติบุคคลภายนอกนั้น ก็ถือว่าเป็น “ผู้ประมวลผลข้อมูลส่วนบุคคล” ให้แก่องค์กรโดยไม่จำเป็นต้องมีการแต่งตั้ง

เนื่องจากหน้าที่และความรับผิดในฐานะ “ผู้ประมวลผลข้อมูลส่วนบุคคล” เป็นไปตามที่กฎหมายกำหนด ไม่สามารถมอบหมายไปยังบุคคลอื่นในองค์กรได้ และในการปฏิบัติงานตามสัญญาจ้างของพนักงาน พนักงานไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคลขององค์กร

หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้กำหนดหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลไว้ดังนี้ (มาตรา 40)

1.หน้าที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ

ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งไม่ปฏิบัติตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใดให้ถือว่าผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้ควบคุมข้อมูลส่วนบุคคลสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น

2.หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องระบุไว้ในข้อตกลงการประมวลผลข้อมูลส่วนบุคคลให้ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่
ผู้ประมวลผลข้อมูลส่วนบุคคลทราบเหตุเท่าที่จะสามารถกระทำได้

หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล

3.มีหน้าที่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ ตามหลักเกณฑ์และวิธีการที่ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565 กำหนด

ทั้งนี้ กฎหมายกำหนดให้การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคลตามข้างต้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน

เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ “ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล” (DPA: Data Processing Agreement) ดังกล่าว

จึงเป็นเครื่องมือสำคัญของคู่สัญญาในการบริหารจัดการหน้าที่และความรับผิดตามกฎหมายระหว่างกันและเป็นความรับผิดชอบ (accountability) ที่กฎหมายกำหนดไว้

จะเห็นได้ว่า ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องทำหน้าที่ในการประมวลผลข้อมูลส่วนบุคคลให้มีความปลอดภัยเช่นเดียวกับผู้ควบคุมข้อมูลส่วนบุคคล อีกทั้งผู้ประมวลผลข้อมูลส่วนบุคคลยังต้องมีหน้าที่ที่สำคัญอีกประการหนึ่ง คือ

หน้าที่ในการแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ที่อยู่ในการควบคุมดูแลของผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลทำหน้าที่ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไปยังหน่วยงานกำกับดูแลและ/หรือเจ้าของข้อมูลส่วนบุคคลต่อไป

หน้าที่ดังกล่าวส่งผลให้ผู้ประมวลผลข้อมูลส่วนบุคคลมีบทบาทสำคัญในการทำให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้อง

มีข้อสังเกตว่า ผู้ประมวลผลข้อมูลส่วนบุคคลอาจไม่จำเป็นต้องประเมินความเสี่ยงที่อาจเกิดจากการละเมิดข้อมูลส่วนบุคคลก่อนที่จะแจ้งข้อมูลให้กับผู้ควบคุมข้อมูลส่วนบุคคลทราบ

เนื่องจากผู้ประมวลผลข้อมูลส่วนบุคคลอาจไม่ได้มีข้อมูลทั้งหมดที่เกี่ยวข้องในการที่จะพิจารณาข้อเท็จจริงเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลได้ จึงเป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลที่จะต้องทำการประเมินความเสี่ยงของเหตุการละเมิดข้อมูลส่วนบุคคลเอง

แต่ทั้งนี้ ข้อตกลงการประมวลผลข้อมูลส่วนบุคคลก็อาจกำหนดหน้าที่ในการประเมินความเสี่ยงหรือหน้าที่อื่น ๆ ให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้

ตัวอย่างเช่น เว็บไซต์ผู้ให้บริการ Web Hosting ที่รับจ้างประมวลผลข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลส่วนบุคคล เกิดปัญหาข้อผิดพลาดของโปรแกรมในการตรวจสอบสิทธิการเข้าถึง ทำให้ผู้ใช้บริการไม่สามารถเข้าใช้บริการได้

ผู้ให้บริการ Web Hosting ต้องแจ้งผู้ควบคุมข้อมูลส่วนบุคคล เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งสำนักงานฯ เนื่องจากมีผลกระทบต่อกลุ่มลูกค้าพอสมควร เพราะปัญหาดังกล่าวทำให้กลุ่มลูกค้าไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้

กรณีนี้ หากพบว่าระบบถูกโจมตีจากภัยคุกคามทางไซเบอร์ เว็บไซต์ผู้ให้บริการ Web Hosting ต้องรีบแจ้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลต้องรีบแจ้งทั้งสำนักงานฯ และเจ้าของข้อมูลส่วนบุคคลต่อไป (คู่มือแนวทางการประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล)