สำหรับกฎหมาย PDPA (พรบ.คุ้มครองข้อมูลส่วนบุคคล) ที่จะมีการเริ่มบังคับใช้เต็มรูปแบบใน วันที่ 1 มิถุนายน 2565 ที่จะถึงนี้ ADD ยังเชื่อว่าคงมีหลายท่านที่ยังสับสนบทบาทหน้าที่ระหว่าง Data Controller และ Data Processor ว่าหน่วยงานของเราควรจัดอยู่ในบทบาทไหนกันแน่
สำหรับ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ไม่ได้มีเพียงแค่บทบาท Data Controller และ Data Processor เท่านั้น ยังมีอีก 2 บทบาทที่สำคัญไม่แพ้กันคือ Data Subject และ Data Protection officer (DPO)
ก่อนอื่นทุกหน่วยงานควรจะต้องรู้ก่อนว่า องค์กรของเราจัดอยู่ในบทบาทไหน เนื่องจากแต่ละบทบาทจะมีความแตกต่างกันในเรื่องของโทษ และการรับผิดตามกฎหมายแล้ว ยังมีความแตกต่างในแง่ของการบริหารองค์กรให้มีแนวทางที่สอดคล้องกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล โดยเมื่อทราบบทบาทแล้ว คุณจะสามารถบริหารจัดการมาตรการคุ้มครองข้อมูลส่วนบุคคลขององค์กรได้อย่างมีประสิทธิภาพมากขึ้น
4 บทบาทสำคัญ ภายใต้กฎหมาย PDPA ช่วยให้องค์กรเตรียมความพร้อมรับมือได้ถูกวิธี
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ประชาชนหรือบุคคลทั่วไป ที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น ข้อมูลสามารถระบุตัวตนถึงบุลคลเหล่านั้นได้ ไม่ว่าจะเป็นการให้ข้อมูลด้วยตัวเองสำหรับผู้ใช้งานบนเว็บไซต์ หรือแม้แต่พนักงาน เป็นต้น
โดยเจ้าของข้อมูลส่วนบุคคลนี้หมายถึงบุคคลธรรมด่าเท่านั้น ไม่รวมถึงผู้ถึงแก่กรรม และนิติบุคคล
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมข้อมูล กำหนดการใช้งานข้อมูล และเปิดเผยข้อมูลส่วนบุคคล เช่น บริษัทที่มีการครอบครองข้อมูลส่วนบุคคลนั้นๆ หรือแม้แต่พนักงานที่ดูแลเกี่ยวกับข้อมูลนั้นด้วย
โดยมีหน้าที่ รักษาความปลอดภัยของข้อมูลส่วนบุคคล จัดให้มีการลบและทำลายข้อมูลอย่างถูกต้อง
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น การนำข้อมูลส่วนบุคคลไปวิเคราะห์ต่อ นำไปทำการตลาด
โดยเป็นไปตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งส่วนใหญ่แล้วจะเป็นบริษัทวิเคราะห์ข้อมูล หรือบริษัทรับทำการตลาด
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) คือ บุคคลที่มีความรู้และความเข้าใจเกี่ยวกับกฎหมายข้อมูลส่วนบุคคลและประมวลผลข้อมูลองค์กร สามารถให้คำแนะนำ หรือตรวจสอบผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้
ในการเตรียมพร้อมเพื่อรับมือกับการบังคับใช้กฎหมาย PDPA ทุกหน่วยงานจำเป็นต้องรู้ก่อนว่าองค์กรของเราจัดอยู่ในบทบาทไหน เนื่องจากแต่ละบทบาทจะมีความแตกต่างกันในเรื่องของโทษและการรับผิดตามกฎหมายแล้ว ยังมีความแตกต่างในแง่ของการบริหารองค์กรให้มีแนวทางที่สอดคล้องกับกฎหมาย โดยเมื่อทราบบทบาท คุณจะสามารถบริหารจัดการมาตรการคุ้มครองข้อมูลส่วนบุคคลขององค์กรได้อย่างมีประสิทธิภาพมากขึ้น