PDPA อะไร ยังไง ตอนที่2 ตัวละครที่เกี่ยวข้องและหน้าที่รับผิดชอบ
ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)
Email : mr.pryn@gmail.com
ในการปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA นั้นมีผู้เกี่ยวข้องหลักๆ อยู่ 3 ฝ่าย ซึ่งกฎหมายกำหนดให้มีสิทธิ และหน้าที่เพื่อเป็นแนวทางปฏิบัติอย่างชัดเจน ดังนี้
เจ้าของข้อมูลส่วนบุคคล (Data Subject)
เราๆท่านๆนี่แหละเป็นเจ้าของข้อมูลที่ต้องให้ข้อมูลส่วนบุคคลโดยการกรอกแบบฟอร์มต่างๆนาๆในการติดต่อหรือขอใช้บริการหน่วยราชการ รวมถึงการทำธุรกรรมกับห้างร้านหรือสถาบันการเงินต่างๆ ด้วย
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
- สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) เมื่อมีเรื่องสำคัญที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนเอง
- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) เมื่อมีเจ้าของข้อมูลต้องการข้อมูลของตนเอง
- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (right to be forgotten)
หน้าที่ผู้ควบคุมข้อมูล (Data Controller)
หน้าที่ภายในองค์กร
- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย
- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง
- มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น
- ตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO
- ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA)
- เลือกผู้ประมวลผลข้อมูลที่มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการที่เหมาะสมในการประมวลผลและการรักษาความมั่นคงปลอดภัย
- จัดให้มีข้อตกลงกับผู้ประมวลผลข้อมูล เพื่อควบคุมให้ผู้ประมวลผลข้อมูลดำเนินการให้เป็นไปตามกฎหมาย (ถ้ามี)
- ถ้ามีการโอนข้อมูลไปยังต่างประเทศต้องทาให้ถูกต้องตามกฎหมาย
- ป้องกันมิให้บุคคลที่ได้รับข้อมูลส่วนบุคคลที่มิใช่ผู้ควบคุมข้อมูลอื่นใช้หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ
หน้าที่ต่อบุคคลภายนอกองค์กร
- แจ้งเจ้าของข้อมูล
- แจ้งเหตุแก่ผู้กากับดูแลหรือเจ้าของข้อมูลเมื่อมีข้อมูลส่วนบุคคลรั่วไหล (Data Breach)
- ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ควบคุมข้อมูลที่อยู่นอกราชอาณาจักร)
- เก็บบันทึกรายการประมวลผลข้อมูล
หน้าที่ของผู้ประมวลผลข้อมูล (Data Processor)
หน้าที่ภายในองค์กร
- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง เพื่อป้องกันการสูญหาย การประมวลผลโดยปราศจากอานาจ หรือ โดยมิชอบ
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO
หน้าที่ต่อบุคคลภายนอก
- ประมวลผลข้อมูลตามข้อตกลงระหว่างผู้ควบคุมและผู้ประมวลผลข้อมูล
- แจ้งเหตุแก่ผู้ควบคุมข้อมูลกรณีข้อมูลส่วนบุคคลรั่วไหล (Data Breach)
- แจ้งผู้ควบคุมข้อมูลในกรณีที่เห็นว่ามีทางเลือกในการประมวลผลที่มีความมั่นคงปลอดภัยสูงกว่า
- ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ประมวลผลข้อมูลที่อยู่นอกราชอาณาจักร)
- เก็บบันทึกรายการประมวลผลข้อมูล
Reference : Thailand Data Protection Guidelines 2.0
ติดตามบทความ PDPA อะไร ยังไง ในตอนต่อไปได้เร็วๆนี้ครับ
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
0 ความคิดเห็น :