หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล

Loading

  ความสัมพันธ์ระหว่างองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้รับจ้างในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลถูกกำหนดความสัมพันธ์ภายใต้บริบทของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ ทั่วโลก อาทิ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ประเทศบราซิล (LGPD) ประเทศสิงคโปร์ (PDPA) หรือแม้แต่กฎหมายของรัฐแคลิฟอร์เนีย (CCPA) ทั้งนี้เพื่อควบคุมและกำกับการดำเนินงานระหว่างผู้ว่าจ้างและผู้รับจ้างในส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับหน้าที่ต่าง ๆ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้น ๆ เพื่อคุ้มครองสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลอย่างเป็นระบบ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ) จึงได้กำหนดหน้าที่และความรับผิดชอบในการปฏิบัติตามกฎหมายไว้กับ “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ไว้เช่นเดียวกับระบบกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ ดังนี้ ใครคือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 6) อนึ่ง องค์กรที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ไม่จำเป็นที่ต้องแต่งตั้งผู้ประมวลผลข้อมูลส่วนบุคคล ในกรณีที่องค์กรเป็นนิติบุคคล ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในหน้าที่และอำนาจของตน องค์กรดังกล่าวจะถือเป็นผู้ควบคุมข้อมูลส่วนบุคคลแล้ว โดยไม่ต้องกำหนดบุคคลใดขององค์กรเป็นผู้ควบคุมข้อมูลส่วนบุคคลอีก และในกรณีที่บุคคลหรือนิติบุคคลภายนอกที่องค์กรได้กำหนด ให้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้…