4 บทบาท สำคัญ! ภายใต้พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)
สำหรับกฎหมาย PDPA (พรบ.คุ้มครองข้อมูลส่วนบุคคล) ที่จะมีการเริ่มบังคับใช้เต็มรูปแบบใน วันที่ 1 มิถุนายน 2565 ที่จะถึงนี้
ADD เชื่อว่ายังมีหลายท่านที่ยังสับสนบทบาทหน้าที่ระหว่าง Data Controller และ Data Processor ว่าหน่วยงานของเราควรจัดอยู่ในบทบาทไหนกันแน่
สำหรับ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ไม่ได้มีเพียงแค่ Data Controller และ Data Processor เท่านั้น แต่ยังมีอีก 2 บทบาทที่สำคัญไม่แพ้กัน คือ Data Subject และ Data Protection officer (DPO)
“ก่อนอื่นทุกหน่วยงานควรจะต้องรู้ก่อนว่า องค์กรของเราจัดอยู่ในบทบาทไหน เพราะแต่ละบทบาทนั้น มีข้อแตกต่างกันในเรื่องของบทลงโทษ การรับผิดตามกฎหมายและในแง่ของการบริหารองค์กรให้มีแนวทางที่สอดคล้องกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล”
โดยเมื่อทราบบทบาทแล้ว คุณจะสามารถบริหารจัดการมาตรการคุ้มครองข้อมูลส่วนบุคคลขององค์กรได้อย่างมีประสิทธิภาพมากขึ้น
รู้จัก 4 บทบาทสำคัญ ภายใต้กฎหมาย PDPA ช่วยให้องค์กรเตรียมความพร้อมรับมือได้ถูกวิธี
เจ้าของข้อมูลส่วนบุคคล (Data Subject)
คือ ประชาชนหรือบุคคลทั่วไป ที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น ข้อมูลสามารถระบุตัวตนถึงบุลคลเหล่านั้นได้ ไม่ว่าจะเป็นการให้ข้อมูลด้วยตัวเองสำหรับผู้ใช้งานบนเว็บไซต์ หรือแม้แต่พนักงาน เป็นต้น
โดยเจ้าของข้อมูลส่วนบุคคลนี้หมายถึงบุคคลธรรมด่าเท่านั้น ไม่รวมถึงผู้ถึงแก่กรรม และนิติบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
คือ บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมข้อมูล กำหนดการใช้งานข้อมูล และเปิดเผยข้อมูลส่วนบุคคล เช่น บริษัทที่มีการครอบครองข้อมูลส่วนบุคคลนั้นๆ หรือแม้แต่พนักงานที่ดูแลเกี่ยวกับข้อมูลนั้นด้วย
โดยมีหน้าที่ รักษาความปลอดภัยของข้อมูลส่วนบุคคล จัดให้มีการลบและทำลายข้อมูลอย่างถูกต้อง
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น การนำข้อมูลส่วนบุคคลไปวิเคราะห์ต่อ นำไปทำการตลาด
โดยเป็นไปตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งส่วนใหญ่แล้วจะเป็นบริษัทวิเคราะห์ข้อมูล หรือบริษัทรับทำการตลาด
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
คือ บุคคลที่มีความรู้และความเข้าใจเกี่ยวกับกฎหมายข้อมูลส่วนบุคคลและประมวลผลข้อมูลองค์กร สามารถให้คำแนะนำ หรือตรวจสอบผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้