Data Subject, Data Controller และ Data Processor คืออะไร? เข้าใจ PDPA ในบทความเดียว

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นกฎหมายสำคัญที่ทุกองค์กรในประเทศไทยต้องเข้าใจ โดยเฉพาะบทบาทหลัก 3 ส่วน ได้แก่ Data Subject (เจ้าของข้อมูลส่วนบุคคล), Data Controller (ผู้ควบคุมข้อมูลส่วนบุคคล) และ Data Processor (ผู้ประมวลผลข้อมูลส่วนบุคคล) ซึ่งแต่ละบทบาทมีหน้าที่ ความรับผิดชอบ และข้อกฎหมายที่แตกต่างกันอย่างชัดเจน บทความนี้จะอธิบายความหมายของทั้ง 3 บทบาทอย่างละเอียด พร้อมตัวอย่างการใช้งานจริง ความแตกต่าง หน้าที่ตาม PDPA และแนวทางปฏิบัติสำหรับองค์กร เพื่อให้คุณสามารถเข้าใจ PDPA ได้ครบถ้วนในบทความเดียว และนำไปปรับใช้ได้อย่างถูกต้องตามกฎหมาย

PDPA คืออะไร และทำไมทุกองค์กรต้องเข้าใจ

PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ออกมาเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล ไม่ให้ข้อมูลถูกนำไปใช้ เปิดเผย หรือประมวลผลโดยไม่ได้รับความยินยอม หรือใช้อย่างไม่เหมาะสม

ในยุคดิจิทัล ข้อมูลส่วนบุคคลกลายเป็นทรัพยากรที่มีมูลค่าสูง ไม่ว่าจะเป็นชื่อ-นามสกุล เบอร์โทรศัพท์ อีเมล ที่อยู่ ไปจนถึงข้อมูลเชิงลึกอย่างพฤติกรรมการใช้งาน ความสนใจ หรือข้อมูลสุขภาพ กฎหมาย PDPA จึงถูกออกแบบมาเพื่อกำหนด “ใครทำอะไรกับข้อมูล” และ “ต้องรับผิดชอบอย่างไร”

หัวใจสำคัญของ PDPA คือการกำหนดบทบาทของผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลออกเป็น 3 กลุ่มหลัก ได้แก่ Data Subject, Data Controller และ Data Processor

Data Subject คืออะไร (เจ้าของข้อมูลส่วนบุคคล)

Data Subject คือ “บุคคลธรรมดา” ที่ข้อมูลส่วนบุคคลนั้นสามารถระบุตัวตนได้โดยตรงหรือโดยอ้อม

ตัวอย่าง Data Subject

• ลูกค้าที่สมัครสมาชิกเว็บไซต์
• พนักงานในองค์กร
• ผู้ใช้งานแอปพลิเคชัน
• ผู้ป่วยในโรงพยาบาล
• นักเรียน นักศึกษา

หากข้อมูลสามารถบอกได้ว่า “เป็นใคร” ข้อมูลนั้นย่อมเป็นข้อมูลส่วนบุคคล และบุคคลนั้นคือ Data Subject

สิทธิของ Data Subject ตาม PDPA

PDPA ให้สิทธิแก่เจ้าของข้อมูลอย่างชัดเจน เช่น

• สิทธิในการรับทราบ (Right to be Informed)
• สิทธิในการเข้าถึงข้อมูล (Right of Access)
• สิทธิในการแก้ไขข้อมูลให้ถูกต้อง
• สิทธิในการลบหรือทำลายข้อมูล (Right to Erasure)
• สิทธิในการถอนความยินยอม
• สิทธิในการคัดค้านการประมวลผลข้อมูล

สิทธิเหล่านี้ทำให้ Data Subject เป็นศูนย์กลางของกฎหมาย PDPA อย่างแท้จริง

Data Controller คืออะไร (ผู้ควบคุมข้อมูลส่วนบุคคล)

Data Controller คือ บุคคลหรือนิติบุคคลที่มีอำนาจ “ตัดสินใจ” เกี่ยวกับการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ลักษณะสำคัญของ Data Controller

• กำหนดวัตถุประสงค์ในการเก็บข้อมูล
• ตัดสินใจว่าจะใช้ข้อมูลอย่างไร
• รับผิดชอบหลักตามกฎหมาย PDPA

ตัวอย่าง Data Controller

• บริษัทที่เก็บข้อมูลลูกค้าเพื่อขายสินค้า
• โรงพยาบาลที่เก็บข้อมูลผู้ป่วย
• โรงเรียนที่เก็บข้อมูลนักเรียน
• เว็บไซต์ E-commerce ที่เก็บข้อมูลสมาชิก

แม้ Data Controller จะไม่ได้ลงมือประมวลผลข้อมูลเอง แต่หากเป็นผู้ “สั่ง” หรือ “กำหนดเป้าหมาย” ก็ถือว่าเป็น Data Controller

หน้าที่ของ Data Controller ตาม PDPA

• จัดให้มี Privacy Notice
• ขอความยินยอมอย่างถูกต้อง
• ดูแลความปลอดภัยของข้อมูล
• แต่งตั้ง Data Protection Officer (DPO) หากเข้าเกณฑ์
• แจ้งเหตุข้อมูลรั่วไหลภายในเวลาที่กำหนด

Data Processor คืออะไร (ผู้ประมวลผลข้อมูลส่วนบุคคล)

Data Processor คือ บุคคลหรือนิติบุคคลที่ประมวลผลข้อมูลส่วนบุคคล “ตามคำสั่ง” ของ Data Controller

จุดสังเกตสำคัญ

• ไม่มีอำนาจตัดสินใจเอง
• ทำงานตามข้อตกลงหรือสัญญา
• ต้องรักษาความปลอดภัยของข้อมูล

ตัวอย่าง Data Processor

• บริษัท Cloud ที่เก็บข้อมูลให้ลูกค้า
• บริษัท Call Center
• บริษัทรับทำระบบ CRM
• บริษัทรับทำ Payroll

แม้ Data Processor จะไม่ใช่เจ้าของข้อมูล แต่ PDPA ก็ยังคงกำหนดหน้าที่และความรับผิดไว้ชัดเจน

ความแตกต่างระหว่าง Data Controller และ Data Processor

ตัวอย่างการทำงานร่วมกันในสถานการณ์จริง

สมมติว่า:

• บริษัท A เป็นเว็บไซต์ขายสินค้าออนไลน์
• บริษัท B เป็นผู้ให้บริการ Cloud

ในกรณีนี้:

• ลูกค้า = Data Subject
• บริษัท A = Data Controller
• บริษัท B = Data Processor

หากข้อมูลลูกค้ารั่วไหล บริษัท A จะเป็นผู้รับผิดหลักตาม PDPA แม้ว่าข้อมูลจะถูกเก็บอยู่กับบริษัท B ก็ตาม

ความสำคัญของสัญญา Data Processing Agreement (DPA)

PDPA กำหนดให้ Data Controller ต้องทำสัญญากับ Data Processor เพื่อกำหนด:

• ขอบเขตการประมวลผล
• มาตรการรักษาความปลอดภัย
• ความรับผิดเมื่อเกิดเหตุข้อมูลรั่วไหล

สัญญานี้เป็นหัวใจสำคัญในการบริหารความเสี่ยงด้าน PDPA

โทษและความเสี่ยงหากไม่ปฏิบัติตาม PDPA

การไม่ปฏิบัติตาม PDPA อาจนำไปสู่:

• โทษทางปกครอง (ปรับสูงสุดหลายล้านบาท)
• โทษทางแพ่ง (ชดใช้ค่าเสียหาย)
• โทษทางอาญาในบางกรณี
• ความเสียหายต่อชื่อเสียงองค์กร

แนวทางปฏิบัติสำหรับองค์กรให้สอดคล้องกับ PDPA

1. ตรวจสอบบทบาทของตนเองให้ชัดเจน
2. ทำ Data Mapping
3. จัดทำ Privacy Notice
4. ขอความยินยอมอย่างถูกต้อง
5. คัดเลือก Data Processor ที่ได้มาตรฐาน
6. ฝึกอบรมพนักงานอย่างสม่ำเสมอ

สรุป: เข้าใจ Data Subject, Data Controller และ Data Processor เพื่อ PDPA ที่ยั่งยืน

การเข้าใจบทบาทของ Data Subject, Data Controller และ Data Processor เป็นรากฐานสำคัญของการปฏิบัติตาม PDPA อย่างถูกต้อง ไม่เพียงช่วยลดความเสี่ยงทางกฎหมาย แต่ยังสร้างความเชื่อมั่นให้กับลูกค้าและผู้มีส่วนได้ส่วนเสียในระยะยาว

หากองค์กรสามารถจัดการข้อมูลส่วนบุคคลได้อย่างโปร่งใส ปลอดภัย และเคารพสิทธิของเจ้าของข้อมูล นั่นคือกุญแจสำคัญของความยั่งยืนในยุคดิจิทัล

ลดความเสี่ยง PDPA ก่อนเกิดปัญหา

อย่ารอจนข้อมูลรั่วไหลหรือถูกตรวจสอบ เริ่มวางระบบคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับ PDPA ตั้งแต่วันนี้

ติดต่อขอคำปรึกษาด้าน PDPA สำหรับองค์กรของคุณ

โทร 02-096-3585

รับชมบริการของเราได้ที่ t-reg.co