หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล
ความสัมพันธ์ระหว่างองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้รับจ้างในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลถูกกำหนดความสัมพันธ์ภายใต้บริบทของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ ทั่วโลก อาทิ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ประเทศบราซิล (LGPD) ประเทศสิงคโปร์ (PDPA) หรือแม้แต่กฎหมายของรัฐแคลิฟอร์เนีย (CCPA) ทั้งนี้เพื่อควบคุมและกำกับการดำเนินงานระหว่างผู้ว่าจ้างและผู้รับจ้างในส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับหน้าที่ต่าง ๆ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้น ๆ
เพื่อคุ้มครองสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลอย่างเป็นระบบ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ) จึงได้กำหนดหน้าที่และความรับผิดชอบในการปฏิบัติตามกฎหมายไว้กับ ผู้ควบคุมข้อมูลส่วนบุคคล และ ผู้ประมวลผลข้อมูลส่วนบุคคล ไว้เช่นเดียวกับระบบกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ ดังนี้
1. ใครคือ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
ผู้ประมวลผลข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 6)
อนึ่ง องค์กรที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลไม่จำเป็นที่ต้องแต่งตั้งผู้ประมวลผลข้อมูลส่วนบุคคล ในกรณีที่องค์กรเป็นนิติบุคคล ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในหน้าที่และอำนาจของตน องค์กรดังกล่าวจะถือเป็นผู้ควบคุมข้อมูลส่วนบุคคลแล้ว โดยไม่ต้องกำหนดบุคคลใดขององค์กรเป็นผู้ควบคุมข้อมูลส่วนบุคคลอีก และในกรณีที่บุคคลหรือนิติบุคคลภายนอกที่องค์กรได้กำหนดให้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามขององค์กร บุคคลหรือนิติบุคคลภายนอกนั้น ก็ถือว่าเป็น ผู้ประมวลผลข้อมูลส่วนบุคคล ให้แก่องค์กรโดยไม่จำเป็นต้องมีการแต่งตั้ง เนื่องจากหน้าที่และความรับผิดในฐานะ ผู้ประมวลผลข้อมูลส่วนบุคคล เป็นไปตามที่กฎหมายกำหนด ไม่สามารถมอบหมายไปยังบุคคลอื่นในองค์กรได้ และในการปฏิบัติงานตามสัญญาจ้างของพนักงาน พนักงานไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคลขององค์กร
2. หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้กำหนดหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลไว้ดังนี้
(มาตรา 40)
(1) หน้าที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับ
จากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูล
ส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งไม่ปฏิบัติ
ตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด
ให้ถือว่าผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้ควบคุมข้อมูลส่วนบุคคลสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น
(2) หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องระบุไว้ในข้อตกลงการประมวลผลข้อมูลส่วนบุคคลให้ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ผู้ประมวลผลข้อมูลส่วนบุคคลทราบเหตุเท่าที่จะสามารถกระทำได้
(3) มีหน้าที่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้
ตามหลักเกณฑ์และวิธีการที่ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการ
ในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565 กำหนด
ทั้งนี้ กฎหมายกำหนดให้การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคลตามข้างต้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA: Data Processing Agreement) ดังกล่าวจึงเป็นเครื่องมือสำคัญของคู่สัญญาในการบริหารจัดการหน้าที่และความรับผิดตามกฎหมายระหว่างกันและเป็นความรับผิดชอบ (accountability) ที่กฎหมายกำหนดไว้
จะเห็นได้ว่า ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องทำหน้าที่ในการประมวลผลข้อมูลส่วนบุคคลให้มีความปลอดภัยเช่นเดียวกับผู้ควบคุมข้อมูลส่วนบุคคล อีกทั้งผู้ประมวลผลข้อมูลส่วนบุคคลยังต้องมีหน้าที่ที่สำคัญอีกประการหนึ่ง คือ หน้าที่ในการแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคล การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลที่อยู่ในการควบคุมดูแลของผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลทำหน้าที่ในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลไปยังหน่วยงานกำกับดูแลและ/หรือเจ้าของข้อมูลส่วนบุคคลต่อไป หน้าที่ดังกล่าวส่งผลให้ผู้ประมวลผลข้อมูลส่วนบุคคลมีบทบาทสำคัญในการทำให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้อง
มีข้อสังเกตว่า ผู้ประมวลผลข้อมูลส่วนบุคคลอาจไม่จำเป็นต้องประเมินความเสี่ยงที่อาจเกิด
จากการละเมิดข้อมูลส่วนบุคคลก่อนที่จะแจ้งข้อมูลให้กับผู้ควบคุมข้อมูลส่วนบุคคลทราบ เนื่องจาก
ผู้ประมวลผลข้อมูลส่วนบุคคลอาจไม่ได้มีข้อมูลทั้งหมดที่เกี่ยวข้องในการที่จะพิจารณาข้อเท็จจริงเกี่ยวกับ
การละเมิดข้อมูลส่วนบุคคลได้ จึงเป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลที่จะต้องทำการประเมินความเสี่ยงของเหตุการละเมิดข้อมูลส่วนบุคคลเอง แต่ทั้งนี้ ข้อตกลงการประมวลผลข้อมูลส่วนบุคคลก็อาจกำหนดหน้าที่ในการประเมินความเสี่ยงหรือหน้าที่อื่น ๆ ให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้
ตัวอย่างเช่น เว็บไซต์ผู้ให้บริการ Web Hosting ที่รับจ้างประมวลผลข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลส่วนบุคคล เกิดปัญหาข้อผิดพลาดของโปรแกรมในการตรวจสอบสิทธิการเข้าถึง ทำให้ผู้ใช้บริการไม่สามารถเข้าใช้บริการได้ ผู้ให้บริการ Web Hosting ต้องแจ้งผู้ควบคุมข้อมูลส่วนบุคคล เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งสำนักงานฯ เนื่องจากมีผลกระทบต่อกลุ่มลูกค้าพอสมควร เพราะปัญหาดังกล่าวทำให้กลุ่มลูกค้าไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ กรณีนี้ หากพบว่าระบบถูกโจมตีจากภัยคุกคามทางไซเบอร์ เว็บไซต์ผู้ให้บริการ Web Hosting ต้องรีบแจ้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลต้องรีบแจ้งทั้งสำนักงานฯ และเจ้าของข้อมูลส่วนบุคคลต่อไป (คู่มือแนวทางการประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล)
โดย
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม