รู้จัก...สัญญาประมวลผลข้อมูลส่วนบุคคลหรือยัง? (ตอนที่ 1)

โดย

 

ตามที่ทราบกันเป็นอย่างดีแล้วว่า พระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลใช้บังคับในวันที่ 28 พฤษภาคม
พ.ศ. 2563 นี้ ซึ่งจะก่อให้เกิดผลกระทบในวงการธุรกิจอย่างมาก

ในบทความนี้ผู้เขียนจะกล่าวถึง การจัดทำสัญญาประมวลผลข้อมูลส่วนบุคคล
ตามมาตรา 40 วรรค 3 ของพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 บัญญัติว่า “การดำเนินงานตามหน้าที่ของ
ผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคล
จะต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตาม
พระราชบัญญัตินี้

ใครคือผู้ประมวลผลข้อมูลส่วนบุคคลบ้าง จากคำนิยามตามกฎหมาย “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า
บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของ
ผู้ควบคุมส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

ผู้เขียนจึงเทียบเคียงความหมายของคำว่า “การประมวลผลข้อมูล” ตามกฎหมายของสหภาพยุโรป หรือที่เรียกว่า
“GDPR” ดังนี้

การประมวลผลข้อมูล หมายถึง การดำเนินการหรือชุดการดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูล
ส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลงหรือ
ปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยวิธีการส่งต่อ เผยแพร่ หรือกระทำการอื่นใดซึ่งทำให้เกิดความพร้อม
การใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย

ข้อมูลส่วนบุคคล ได้แก่ ชื่อ-นามสกุล เลขบัตรประจำตัวประชาชน เลขที่บัตรเครดิต เลขบัญชีธนาคาร อีเมล หมายเลข
โทรศัพท์ วันเกิดและสถานที่เกิด ข้อมูลพันธุกรรม รูปภาพใบหน้า ลายนิ้วมือ น้ำหนัก ส่วนสูง เป็นต้น

เมื่อพิจารณาจากความหมายข้างต้นแล้ว ดูเสมือนว่าการกระทำการใดๆ กับข้อมูลส่วนบุคคลของบุคคลอื่นจะเข้าข่าย
เป็นการประมวลผลข้อมูลเสียทั้งหมด ดังนั้น เมื่อบริษัทนายจ้างถือเป็นผู้ควบคุมข้อมูลส่วนบุคคลเสียแล้ว บรรดาบุคคล
หรือนิติบุคคลที่ได้รับมอบหมายจากนายจ้างให้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากนายจ้างก็ถือเป็น
ผู้ประมวลผลข้อมูลส่วนบุคคลทั้งสิ้น 

ผู้เขียนขอยกตัวอย่างบุคคลที่เกี่ยวข้องกับกิจการของนายจ้างดังต่อไปนี้ ก็จะถือว่าเป็นผู้ประมวลผลข้อมูลส่วนบุคคลทั้งสิ้น

กรณีลูกจ้าง
1.กรรมการบริษัทนายจ้าง
2.ผู้จัดการหรือเจ้าหน้าที่ฝ่ายบุคคลและหรือทรัพยากรบุคคล
3.ผู้จัดการหรือเจ้าหน้าที่ฝ่ายบัญชี
4.ผู้จัดการหรือเจ้าหน้าที่ฝ่ายคอมพิวเตอร์
5.ผู้จัดการหรือเจ้าหน้าที่ฝ่ายขายหรือการตลาด

กรณีบุคคลภายนอก
1.บริษัทรับจ้างทำเพย์โรล
2.บริษัทรับจ้างทำบัญชี
3.บริษัทรับจ้างตรวจสอบบัญชี
4.บริษัทรับจ้างทำการตลาด
5.บริษัทรับจ้างทำเว็บไซต์
6.สำนักงานทนายความและที่ปรึกษากฎหมาย

บุคคลดังที่ผู้เขียนได้ยกตัวอย่างมานี้ มีโอกาสตกเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น จึงมีหน้าที่ตามกฎหมายข้อมูล
ส่วนบุคคล ดังนี้

1. ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล
เท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้

2. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือ
เปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์
ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

3. จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะ
กรรมการประกาศกำหนด

บุคคลหรือนิติบุคคลใดที่มีส่วนเข้าไปเกี่ยวข้องกับข้อมูลส่วนบุคคลใด ไม่ว่าจะเป็นของลูกจ้าง คู่ค้า หรือลูกค้าซึ่งเป็น
บุคคลธรรมดาของนายจ้างแล้ว ย่อมถือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล จึงต้องมีหน้าที่ตามที่กฎหมายกำหนดไว้ข้างต้น
และผู้ควบคุมข้อมูลจะต้องทำข้อตกลงกับผู้ประมวลผลข้อมูล เพื่อควบคุมการทำหน้าที่ของผู้ประมวลผลข้อมูลให้
เป็นไปตามกฎหมายฯ ด้วย 

  บางส่วนจากบทความ  “รู้จัก...สัญญาประมวลผลข้อมูลส่วนบุคคลหรือยัง? (ตอนที่ 1)”
  อ่านบทความเต็มได้ใน... วารสาร HR Society magazine ปีที่ 17 ฉบับที่ 208 เดือนเมษายน 2563



กฎหมายแรงงาน : เรื่องข้น คน HR : วรเศรษฐ์  เผือกสกนธ์ 
วารสาร : HR Society Magazine เมษายน 2563


FaLang translation system by Faboba