ผู้ควบคุมข้อมูลส่วนบุคคล : บทบาทและหน้าที่ตามกฎหมาย

“ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” เป็นคำใหม่ในระบบกฎหมายไทยและมีความหมายเฉพาะตามที่กำหนดไว้ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

บทความโดย  สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ทำหน้าที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

HIGHLIGHTS     

• ในแต่ละองค์กร ผู้ควบคุมข้อมูลส่วนบุคคล คือองค์กรที่เป็นนิติบุคคล ไม่ใช่พนักงานหรือส่วนงานใดส่วนงานหนึ่งภายในองค์กร
• สถานะ หน้าที่และความรับผิดในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเป็นไปตามที่กฎหมายกำหนด ไม่สามารถมอบหมายไปยังบุคคลอื่นได้
• พนักงานภายในองค์กรในบริบทของสัญญาจ้างพนักงานไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคล
• ในบริบทของกิจกรรมการประมวลผลหนึ่ง ๆ บุคคลธรรมดาที่จะเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามนิยามในกฎหมายนี้ต้องไม่ใช่ผู้ที่ทำการประมวลผลในนามหรือตามคำสั่งขององค์กรที่ตนสังกัด เนื่องจากเจตนารมณ์ของกฎหมายไม่ต้องการให้แยกการดำเนินการของบุคคลต่าง ๆ ในองค์กรออกจากองค์กรที่ตนเองสังกัด  
• บุคคลธรรมดาซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล อาทิ ในกรณีที่ประกอบกิจการเจ้าของคนเดียวโดยที่ไม่ได้จดทะเบียนจัดตั้งนิติบุคคลแยกต่างหากจากบุคคลที่เป็นเจ้าของ  

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดหน้าที่และความรับผิดชอบในการปฏิบัติตามกฎหมายไว้กับบุคคลสองกลุ่ม ได้แก่ “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล”  ทั้งนี้เพื่อคุ้มครองสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลอย่างเป็นระบบ

    พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (“การประมวลผลข้อมูลส่วนบุคคล”) และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล  ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
    จากบทนิยามดังกล่าว อาจจำแนกลักษณะและองค์ประกอบของความเป็นผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ได้ดังนี้
(1) ทั้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล อาจจะเป็นบุคคลธรรมดาหรือนิติบุคคลก็ได้ 
(2) ผู้ควบคุมข้อมูลส่วนบุคคลมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
(3) ผู้ประมวลผลข้อมูลส่วนบุคคลต้องประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น
(4) ผู้ประมวลผลข้อมูลส่วนบุคคลต้องไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลในกิจกรรมการประมวลผลเดียวกัน

องค์ประกอบข้อที่ 1 เป็นบุคคลธรรมดาหรือนิติบุคคล
    องค์ประกอบข้อนี้เป็นคุณสมบัติเบื้องต้นในการพิจารณาหน้าที่และความรับผิดตามกฎหมาย ซึ่งเมื่อพิจารณาประกอบกับขอบเขตการบังคับใช้ของกฎหมายในมาตราอื่น ๆ ประกอบกัน ทุกองค์กรที่มีสถานะเป็นนิติบุคคลและมีการประมวลผลข้อมูลส่วนบุคคล จึงอาจมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในแต่ละกิจกรรมการประมวลผลขององค์กรได้ 

       ไม่ว่าจะเป็นองค์กรที่จัดตั้งขึ้นตามกฎหมายเอกชนหรือองค์กรที่จัดตั้งขึ้นตามกฎหมายมหาชน อาทิ กระทรวง กรม องค์กรปกครองส่วนท้องถิ่น องค์การมหาชน องค์กรอิสระ มหาวิทยาลัย หรือองค์กรซึ่งทำหน้าที่กำกับดูแลตามกฎหมายต่าง ๆ   หากไม่ใช่องค์กรหรือกิจกรรมการประมวลผลที่ได้รับยกเว้นการใช้บังคับของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ องค์กรดังกล่าวในบริบทของการประมวลผลข้อมูลส่วนบุคคลในแต่ละกิจกรรมนั้น ๆ ย่อมต้องมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลแล้วแต่กรณี

องค์ประกอบข้อที่ 2 “มีอำนาจหน้าที่ตัดสินใจ” หรือ “ตามคำสั่งหรือในนาม”
    องค์ประกอบข้อนี้เป็นการแยกบทบาทระหว่างความเป็นผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลออกจากกัน โดย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดหน้าที่และความรับผิดตามกฎหมายหลัก ๆ ไว้ที่ “ผู้ควบคุมข้อมูลส่วนบุคคล” ซึ่งหลักการดังกล่าวได้รับแนวคิดมาจาก General Data Protection Regulation หรือ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป

โดยตาม GDPR กำหนดหลักเกณฑ์ในการพิจารณาว่าผู้ควบคุมข้อมูลส่วนบุคคล คือ องค์กรที่กำหนดวัตถุประสงค์ (purposes) และวิธีการ (means) ในการประมวลผล ซึ่งองค์กรใดเป็นองค์กรที่กำหนดวัตถุประสงค์และวิธีการให้พิจารณาจากความเป็นจริง (EDPB Guidelines 07/2020) ไม่ใช่ตามที่คู่สัญญากำหนดหรือที่ตกลงกันเอง ส่วนความชอบด้วยกฎหมายในการประมวลผลของผู้ประมวลผลข้อมูลส่วนบุคคลย่อมมีอยู่ตราบเท่าที่ปฏิบัติตามหน้าที่ สัญญาและวิธีการที่ได้รับมอบหมายหรือสั่งการมาจากผู้ควบคุมข้อมูลส่วนบุคคล    

    ข้อสังเกตจากแนวทางการปฏิบัติงานของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
    กรณีปัญหาที่ทางสำนักงานฯ ได้รับการสอบถามอยู่เสมอคือ พนักงานหรือส่วนงานต่าง ๆ ในองค์กรจะเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลแยกต่างหากจากองค์กรหรือนิติบุคคลนั้น ๆ ได้หรือไม่ 
    ประเด็นที่ 1 พนักงานหรือส่วนใดส่วนหนึ่งในองค์กรเป็น “ผู้ประมวลผลข้อมูลส่วนบุคคล” แยกต่างหากจากองค์กรในบริบทของการปฏิบัติงานตามปกติได้หรือไม่
   คำตอบ ไม่สามารถกระทำได้ เพราะหากพนักงานหรือส่วนงานในองค์กรเป็นผู้ประมวลผลข้อมูลส่วนบุคคลแยกต่างหากจากองค์กรที่เป็นนิติบุคคล หมายความว่า พนักงานหรือส่วนใดส่วนหนึ่งในองค์กรนั้น
    (1) ต้องจัดให้มีข้อตกลงระหว่างกันเพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย (Data Processing Agreement) ด้วย 
    (2) ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศด้วย
    (3) ต้องมีกระบวนการแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคล (องค์กรนั้น ๆ) ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
    (4) ต้องจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
    (5) อาจต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตามที่กฎหมายกำหนด
    การดำเนินการดังกล่าวข้างต้นโดยพนักงานหรือส่วนงานในองค์กรโดยลำพังไม่สามารถกระทำได้และจะไม่ตรงตามวัตถุประสงค์และเจตนารมณ์ของกฎหมายอย่างชัดแจ้ง

    ประเด็นที่ 2 ในองค์กรเดียวกันสามารถกำหนดให้มีการแบ่งส่วนงานย่อย ๆ เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” แยกต่างหากจากองค์กรหลัก อาทิ กำหนดให้แผนก สำนัก คณะหรือภาควิชา เป็นผู้ควบคุมข้อมูลส่วนบุคคลแยกต่างหากจากองค์กรหลักได้หรือไม่
    คำตอบ ไม่สามารถกระทำได้เช่นกันเพราะจะไม่สอดคล้องกับการปฎิบัติตามกฎหมาย อาทิ
    (1) ตามกฎหมายแล้วผู้มีอำนาจหน้าที่ในการกำหนดวัตถุประสงค์และวิธีการในการประมวลผลนั้นคือ “องค์กร” ที่เป็นนิติบุคคลแม้ว่ารายละเอียดกระบวนการอาจจะมีการมอบหมายตามสายการบังคับบัญชาหรือกำกับดูแลก็ตาม แต่ในทางกฎหมายแล้ว “อำนาจหน้าที่ในการตัดสินใจ” และความรับผิดตามกฎหมายยังคงเป็นขององค์กรที่เป็นนิติบุคคล
    (2) หากหน่วยย่อยมีสถานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ได้ หมายความว่าทุกหน่วยย่อยต้องปฏิบัติหน้าที่ต่าง ๆ  ตามที่กฎหมายกำหนดด้วย อาทิ ต้องจัดให้มีหนังสือแจ้งการประมวลผล (มาตรา 23) ต้องมีกระบวนการตอบสนองต่อคำขอใช้สิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล ต้องจัดทำบันทึกรายการกิจกรรมการประมวลผล  (มาตรา 39) ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย เป็นต้น และมีความรับผิดตามกฎหมายในฐานะผู้ควบคุมข้อมูลส่วนบุคคลด้วย 

    จากกรณีปัญหาทั้งสองประการ ทางสำนักงานฯ จึงเห็นว่าสถานะความเป็นผู้ควบคุมข้อมูลส่วนบุคคลต้องพิจารณาจากบริบทขององค์กร โดยพิจารณาที่ความเป็นนิติบุคคลที่มีอำนาจในการตัดสินใจเป็นหลัก พนักงานหรือหน่วยงานย่อยในองค์กรถือเป็นส่วนหนึ่งขององค์กรที่ต้องปฏิบัติตามนโยบายและข้อกำหนดขององค์กรในส่วนของการประมวลผลข้อมูลส่วนบุคคลเท่านั้น

    ซึ่งสอดคล้องกับเจตนารมณ์ของกฎหมายที่ต้องการกำหนดหน้าที่ความรับผิดไว้ที่องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และสอดคล้องกับแนวทางปฏิบัติสากลในส่วน Accountability Principle ตาม OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data และ APEC Privacy Framework โดยในส่วนนี้ EDPB Guidelines 07/2020 ได้ให้ข้อแนะนำแก่หน่วยงานบังคับใช้ GDPR ในสหภาพยุโรปว่า 

    ในสถานการณ์ปกติ ผู้ควบคุมข้อมูลส่วนบุคคลย่อมหมายถึงองค์กรนั้น ๆ ที่มีสถานะความเป็นนิติบุคคล ไม่ใช่ผู้บริหาร พนักงาน หรือคณะกรรมการของบริษัทและหากในองค์กรหนึ่ง ๆ มีการแต่งตั้งหรือมอบหมายให้บุคคลใดให้ควบคุมหรือดำเนินกิจกรรมการประมวลผลใด ๆ บุคคลดังกล่าวก็ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลแต่ถือว่าเป็นบุคคลที่ทำในนามขององค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลนั้น

  ในทำนองเดียวกัน การมอบหมายให้ส่วนงานในนิติบุคคลมีหน้าที่และความรับผิดชอบต่อกิจกรรมการประมวลผลก็ไม่ทำให้ส่วนงานในนิติบุคคลนั้นมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล.  

อ้างอิง
European Data Protection Board (EDPB), Guidelines 07/2020 on the concepts of controller and processor in the GDPR  (version 2.0d, adopted on 07 July 2021),  available at  https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en
OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
APEC Privacy Framework 2015