ทำไม Data Processor ถึงสำคัญ?

ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ไม่ได้มีเพียง ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller – DC) เท่านั้นที่ถูกกำหนดหน้าที่ แต่ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor – DP) ก็มีความรับผิดชอบโดยตรงตามกฎหมายเช่นกัน โดยเฉพาะเมื่อองค์กรต่าง ๆ มักจ้างภายนอกให้มาดูแลข้อมูล ไม่ว่าจะเป็น Cloud, Call Center หรือ Digital Agency

บทบาทและหน้าที่ของ Data Processor

กฎหมายกำหนดชัดใน มาตรา 40 ว่า DP ต้อง:

• ทำงานตามคำสั่งของ DC เท่านั้น
  

• จัดให้มีมาตรการรักษาความปลอดภัย (เช่น Encryption, Access Control)
  

• จัดทำ RoPA ของกิจกรรมที่ทำแทน DC
  

• ห้ามนำข้อมูลไปใช้เพื่อประโยชน์ตนเอง
  

• แจ้ง Data Breach ให้ DC โดยไม่ชักช้า
  

• จัดการ Sub-Processor อย่างโปร่งใสและได้รับอนุมัติจาก DC

นอกจากนี้ หากเข้าเงื่อนไขตามกฎหมาย DP ต้องแต่งตั้ง DPO เช่นเดียวกับ DC โดยทำหน้าที่เป็นที่ปรึกษา ผู้ตรวจสอบ และเป็นจุดติดต่อกับหน่วยงานกำกับ

RoPA: จุดที่หลายองค์กรพลาด

แม้หลายบริษัทจะรู้ว่าต้องมี RoPA แต่ DP มักเข้าใจผิดว่า RoPA ต้องครอบคลุมทุกกิจกรรมในองค์กร ทั้งที่จริงแล้ว PDPA กำหนดให้ RoPA ของ DP ครอบคลุมเฉพาะ กิจกรรมที่ทำแทน DC เท่านั้น เช่น กิจกรรมที่รับข้อมูล, ประมวลผล และทำลายข้อมูลตามสัญญา

กรณีศึกษาและบทเรียนสำคัญ

1. หน่วยงานรัฐ + บริษัทผู้พัฒนาระบบ (DP) → ข้อมูลรั่ว 200,000 ราย | DC และ DP ถูกปรับ 153,120 บาท เท่ากัน
   👉 บทเรียน: แม้ไม่มี DPA แต่ DP ไม่พ้นความรับผิดชอบ
   

2. โรงพยาบาลเอกชน + ธุรกิจครอบครัว (DP) → เวชระเบียนถูกใช้ห่อขนมโตเกียว | DC ถูกปรับ 1.2 ล้านบาท, DP ถูกปรับ 16,940 บาท
   👉 บทเรียน: DC ต้องเลือกคู่ค้าอย่างรอบคอบ และ DP ต้องแจ้ง Data Breach
   

3. บริษัท Art Toy + ผู้ให้บริการระบบจอง (DP) → ระบบถูกแฮก | DC ถูกปรับ 500,000 บาท แต่ DP ถูกปรับถึง 3 ล้านบาท
   👉 บทเรียน: DP อาจถูกปรับหนักกว่า DC หากละเลยมาตรการและไม่เยียวยาผู้เสียหาย

DPA vs DSA

• DPA (Data Processing Agreement): ใช้เมื่อ DC มอบหมายให้ DP ประมวลผลข้อมูลแทน
  

• DSA (Data Sharing Agreement): ใช้เมื่อสององค์กร (ที่ต่างเป็น DC) แบ่งปันข้อมูลเพื่อประโยชน์ของตนเอง

สรุป: Accountability คือหัวใจ

กรณีศึกษาทั้งหมดสะท้อนชัดเจนว่า ไม่ว่าจะเป็น DC หรือ DP ต่างก็มี Accountability – ความรับผิดชอบ ที่ต้องแสดงให้เห็นอย่างเป็นรูปธรรม การอ้างว่าไม่รู้หรือไม่มีสัญญาไม่ช่วยให้องค์กรพ้นผิด

องค์กรที่มีการจ้าง Vendor หรือทำงานกับคู่ค้าภายนอก ควร:

• ตรวจสอบมาตรการของคู่ค้าอย่างละเอียด
  

• ทำ RoPA อย่างถูกต้อง
  

• แต่งตั้ง DPO เมื่อเข้าเงื่อนไข
  

• สร้าง “Privacy Program” ที่ไม่ใช่แค่เอกสาร แต่สามารถปฏิบัติได้จริง