Page 24 - คู่มือ PDPA4
P. 24
่
ตัวอยางที� 1
ฺ
้
ฺ
ั
ั
บริษท A มีแผนก Payroll เป็นของตวเอง แผนก Payroll อย่ภายใน HR และ HR อย่ภายใต CEO
ั
ี
ั
ท้งหมดอย่ในองคกรเดยวกน จะเรียกท้งหมดวา ผฺควบคุมข้อมฺลส่วนบคคล (Data Controller) แตถา
ั
ุ
ฺ
้
้
่
์
่
ั
ื
เราไม่ไดทา Payroll เอง เรามีการจางบริษทรับจางทาเงนเดอน บริษท outsource ทาตามคาสั่งของ
้
ิ
ํ
ํ
ํ
้
้
ํ
ั
ั
ั
ั
บริษท A บริษท outsource จะเป็น ผฺประมวลผลข้อมฺลส่วนบคคล (Data Processor) ทนท ี
ุ
้
่
ตัวอยางที� 2
ํ
่
่
ี
้
การทา Marketing เวลาทมีการเกบข้อมฺลการเข้าเวบไซตของลฺกคาแตละคน มีการส่งข้อมฺลของลฺกคา
้
็
็
์
ํ
ี
่
้
ิ
ั
ให้บริษททรับทา Analytics หรือทาแอพพลเคช่นบางอย่างวเคราะห์แลวส่งข้อมฺลกลบมา บริษท
ั
ั
ั
ํ
ิ
ั
้
้
ุ
็
ํ
ี
่
outsource ทรับทา Analytics พวกนีกจะเป็น ผฺประมวลผลข้อมฺลส่วนบคคล (Data Processor) ทนท ี
ุ
้
ุ
ั
ซ่งระหวาง ผฺควบคุมข้อมฺลส่วนบคคล (Data Controller) กบ ผฺ้ประมวลผลข้อมฺลส่วนบคคล (Data
ึ
่
Processor) กฎหมายมีเขียนเอาไววาเราควรจะทา DPA หรือ Data Processing Agreement ไว และ
้
้
ํ
่
้
้
็
้
ึ
ทาไมจงตองแยก 2 ตวนีให้ขาดและทาไมตองมี Data Processing Agreement กเพราะวาในกฎหมาย
ั
่
ํ
ํ
ี
่
่
ความรับผิดมันไม่เทากน มีอกกรณีนึงเวลาทเราส่งข้อมฺลออกไปและเราเข้าใจวาฝั ่ งปลายทางเป็น ผฺ้
ั
ี
่
ั
่
้
้
ประมวลผลข้อมฺลส่วนบคคล (Data Processor) ท้งหมดหรือไม่ ตองแจงวาบางคร้งมันเป็นการส่งข้อมฺล
ุ
ั
แบบ ผฺควบคุมข้อมฺลส่วนบคคล (Data Controller) ถง ผฺควบคุมข้อมฺลส่วนบคคล (Data Controller)
ึ
้
้
ุ
ุ
ั
ุ
เช่นการส่งข้อมฺลให้ประกนสังคม สรรพากร กรมสวสดการคมครองแรงงาน หรือวากรมพัฒนาฝีมือ
้
ิ
่
ั
ี
่
ั
่
ฺ
ํ
้
้
ี
่
แรงงาน ในกรณีนีเราส่งออกไปตามคาสั่งของกฎหมาย กลุมทอย่ปลายทางทยกตวอย่างข้างตน เขาไม่
้
่
ึ
ไดทาตามคาสั่งเรา จงไม่นับกลุมดงกลาววาเป็นผฺประมวลผลข้อมฺลส่วนบคคล (Data Processor)
ั
้
ํ
ํ
ุ
่
่
้
ํ
่
ุ
้
สาหรับ เจ้าหน้าที�คมครองขอมูลสวนบคคล Data Processor Officer (DPO )
ุ
ํ
่
่
ไม่จาเป็นวาทุกองคกรตองมี แตโดยหลก 3 องคกรทจาเป็นตองมีคอ
ื
้
้
์
ั
ํ
์
ี
่
1.
หน่วยงานของภาครัฐ
2.
ี
็
่
่
ุ
ั
หน่วยงานทมีการเกบข้อมฺลส่วนบคคลออนไหวเป็นกจกรรมหลก เช่นโรงพยาบาล
ิ
3.
่
องคกรทมีการเกบข้อมฺลส่วนบคคลไม่วาจะเป็นของลฺกคาหรือพนักงานในจานวนมาก
้
่
ํ
์
็
ุ
ี
เช่น มากกวา 50,000 รายขึ้นไป
่
้
ํ
่
ุ
สาหรับสานักงานคณะกรรมการคมครองขอมูลสวนบคค (สคส)
ํ
้
ุ
Office of the Personal Data Protection Commission
่
ี
ี
ิ
มีหน้าทตรวจสอบเวลาทมีเรองมีราวเกดขึ้น เช่น เจาของข้อมฺลส่วนบคคล Data Subject (DS) มาฟ้อง
่
ุ
ื
้
่
้
ร้อง สํานักงานคณะกรรมการคุมครองข้อมฺลส่วนบคค (สคส) กจะส่งคณะผฺเชี่ยวชาญมาตรวจสอบผฺ้
ุ
้
็
ํ
่
ํ
ึ
ั
้
ิ
ุ
ควบคุมข้อมฺลส่วนบคคล (Data Controller) วาทาไมจงมีการละเมิดหรือข้อมฺลร่วไหลเกดขึ้น ไดทา
ั
ุ
่
้
ุ
ตามกฎหมายหรือไม่ ท้งหมดกจะเป็นหน้าทของสํานักงานคณะกรรมการคมครองข้อมฺลส่วนบคค (สคส)
็
ี
้
ู
ื
ั
ื
ุ
ู
่
้
้
HR ควรร เพ�อรบมอ พ.ร.บ.คมครองขอมลสวนบุคคล (PDPA) 24