Data Controller vs Data Processor : เข้าใจบทบาทตาม PDPA
แนะนำเบื้องต้นเกี่ยวกับบทบาทในกฎหมาย PDPA
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
Data Controller คือใคร?
ผู้ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย (มักเรียกรวมว่า ‘ประมวลผล’) ข้อมูลส่วนบุคคล
ดูอย่างไรว่าใครคือ Data Controller?
ดูจากการกระทำนั้น ๆ ว่า ใครเป็นผู้ตัดสินใจเกี่ยวกับ ‘วัตถุประสงค์ (purpose)’ และ ‘วิธีการ (means)’ ประมวลผลข้อมูลส่วนบุคคล
ตัวอย่างของ Data Controller
บริษัท DBC ประสงค์จะเพิ่มยอดขายสินค้าของตนเอง จึงเก็บรวบรวมข้อมูลอีเมลของลูกค้า เพื่อส่งโปรโมชันทางการตลาดให้ ในการกระทำนี้ บริษัท DBC เป็นผู้ตัดสินใจว่าจะเก็บข้อมูลส่วนบุคคลอะไรบ้าง เก็บไปเพื่ออะไร และจะนำไปใช้อย่างไร (เก็บข้อมูลอีเมลลูกค้าเพื่อส่งโปรโมชันให้ ซึ่งทำให้มีโอกาสที่ลูกค้าจะซื้อสินค้ามากขึ้น) จากตัวอย่างนี้ บริษัท DBC เป็นผู้ควบคุมข้อมูลส่วนบุคคลในการกระทำนี้หรือกิจกรรมนี้
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
Data Processor คือใคร?
ผู้ซึ่งประมวลผลข้อมูลส่วนบุคคล ‘ในนามหรือตามคำสั่ง’ ของผู้ควบคุมข้อมูลส่วนบุคคลดูอย่างไรว่าใครคือ Data Processor?
ดูจากการกระทำนั้น ๆ ว่า ใครเป็นผู้ปฏิบัติตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลตัวอย่างของ Data Processor
จากตัวอย่างก่อนหน้า หากบริษัท PD ว่าจ้างบริษัท PA โดยส่งข้อมูลอีเมลลูกค้าตนเองให้บริษัท PA ทำหน้าที่ส่งอีเมลโปรโมชันแก่ลูกค้าแทนตนเอง ในการกระทำนี้ บริษัท PD เป็นผู้ตัดสินใจว่าจะเก็บข้อมูลส่วนบุคคลอะไรบ้าง เก็บไปเพื่ออะไร และจะนำไปใช้อย่างไร (เก็บข้อมูลอีเมลลูกค้าเพื่อส่งโปรโมชันให้) แต่บริษัท PD ไม่ส่งให้ลูกค้าด้วยตัวเอง กลับว่าจ้างบริษัท PA ให้ทำแทน จากตัวอย่างนี้ บริษัท PD เป็นผู้ควบคุมข้อมูลส่วนบุคคลในการกระทำนี้หรือกิจกรรมนี้ (เก็บข้อมูลอีเมลลูกค้าเพื่อส่งโปรโมชันให้) ส่วนบริษัท PA เป็นผู้ประมวลผลข้อมูลส่วนบุคคล เพราะทำตามคำสั่งหรือในนามของบริษัท PDทำไมต้องแยกบทบาท Controller กับ Processor?
เพราะว่ากฎหมายกำหนดบทบาทหน้าที่ทั้งสองคนนี้ไว้ไม่เหมือนกัน คนหนึ่งอาจจะมีหน้าที่มากกว่าอีกคน หรือทั้งสองคนอาจมีหน้าที่บางอย่างเหมือนกัน
บทบาทหน้าที่ที่แตกต่างกันระหว่าง Controller และ Processor
PDPA กำหนดให้ใครที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลจะต้องประมวลผลข้อมูลส่วนบุคคลโดยมีฐานทางกฎหมาย (legal basis) รองรับ ในทางกลับกัน ผู้ประมวลผลซึ่งทำหน้าที่ในนามหรือตามคำสั่งของผู้ควบคุม จะไม่มีหน้าที่หาฐานทางกฎหมาย เพราะว่าได้รับให้ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลต้องหาฐานทางกฎหมายให้ได้ แล้วจึงมอบหมายให้ผู้ประมวลผลทำหน้าที่แทนตนในบางเรื่อง
ตัวอย่างหน้าที่ที่แตกต่างกัน
ตัวอย่างเช่น บริษัท DBC เก็บข้อมูลอีเมลลูกค้าเพื่อใช้ในการส่งโปรโมชัน (โดยขอความยินยอมลูกค้าแล้ว) แต่ไม่ส่งอีเมลให้ลูกค้าเอง กลับว่าจ้างบริษัท PDPA ให้ส่งอีเมลโปรโมชันให้ลูกค้าแทนตนเอง ในตัวอย่างนี้ บริษัท PDPA ไม่ต้องหาฐานทางกฎหมายเพิ่มเติม เพราะตนทำตามคำสั่งหรือในนามของบริษัท DBC เท่านั้น
บทบาทหน้าที่ที่แตกต่างกันระหว่าง Controller และ Processor
PDPA กำหนดให้ทั้งสองคน หากประมวลผลข้อมูลส่วนบุคคลครบตามเงื่อนไขที่กฎหมายกำหนดไว้ จะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
