ผู้ควบคุมข้อมูลส่วนบุคคล

นิยาม

ตาม มาตรา 6:

"ผู้ควบคุมข้อมูลส่วนบุคคล" หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

หัวใจของนิยามอยู่ที่ "อำนาจหน้าที่ตัดสินใจ" — ผู้ที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูล ไม่ใช่ผู้ที่ดำเนินการตามคำสั่ง (ซึ่งเป็น "ผู้ประมวลผลข้อมูล" ตามนิยามเดียวกัน)

ผู้ควบคุมข้อมูลอาจเป็น บุคคลธรรมดา (เช่น เจ้าของร้านค้าออนไลน์รายเดียว) หรือ นิติบุคคล (บริษัท หน่วยงานราชการ มูลนิธิ สมาคม)

ตัวอย่าง

บริษัทเอกชน:

• ห้างสรรพสินค้าที่เก็บข้อมูลสมาชิกบัตรสะสมแต้ม
• ธนาคารที่เก็บข้อมูลลูกค้าผู้ฝากเงิน/ขอสินเชื่อ
• บริษัทประกันที่เก็บข้อมูลผู้เอาประกัน
• แพลตฟอร์มออนไลน์ที่เก็บข้อมูลผู้ใช้บริการ

หน่วยงานราชการ:

• โรงพยาบาลรัฐที่เก็บข้อมูลผู้ป่วย (ซึ่งรวมข้อมูลอ่อนไหวตาม มาตรา 26)
• กรมการปกครองที่ดูแลฐานข้อมูลทะเบียนราษฎร
• กระทรวงศึกษาธิการที่เก็บข้อมูลนักเรียน

องค์กรไม่แสวงหากำไร:

• มูลนิธิที่เก็บข้อมูลผู้รับบริการ/ผู้บริจาค
• สมาคมที่เก็บข้อมูลสมาชิก
• สหภาพแรงงานที่เก็บข้อมูลสมาชิก (ข้อมูลอ่อนไหวตาม มาตรา 26)

บุคคลธรรมดาที่เป็นผู้ควบคุม:

• เจ้าของร้านค้าออนไลน์รายเดียวที่เก็บข้อมูลลูกค้า
• แพทย์ที่เปิดคลินิกส่วนตัวเก็บข้อมูลผู้ป่วย

มาตราที่เกี่ยวข้อง

นิยาม:

• มาตรา 6 — ⭐ นิยามของ "ผู้ควบคุมข้อมูลส่วนบุคคล"

หน้าที่ในการขอความยินยอมและแจ้งเจ้าของข้อมูล:

• มาตรา 19 — ต้องได้รับความยินยอมก่อนเก็บ ใช้ เปิดเผย (หรือต้องเข้าข้อยกเว้น)
• มาตรา 22 — กรอบหลัก: เก็บข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์ที่ชัดแจ้งและชอบด้วยกฎหมาย
• มาตรา 23 — หน้าที่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บ (วัตถุประสงค์ ผู้รับ ระยะเวลา สิทธิ์ ฯลฯ)

ฐานในการเก็บ ใช้ เปิดเผย:

• มาตรา 24 — ฐานทั่วไปในการเก็บรวบรวมข้อมูลส่วนบุคคล
• มาตรา 26 — กฎเข้มกว่าเฉพาะข้อมูลอ่อนไหว (ต้องได้รับความยินยอมโดยชัดแจ้งหรือเข้าข้อยกเว้น 5 ข้อ)
• มาตรา 27 — การใช้และเปิดเผยข้อมูล ต้องเป็นไปตามวัตถุประสงค์ที่แจ้งไว้
• มาตรา 28 — การส่งหรือโอนข้อมูลไปต่างประเทศ ประเทศปลายทางต้องมีมาตรฐานการคุ้มครองที่เพียงพอ

หน้าที่ด้านความปลอดภัยและการรายงาน:

• มาตรา 37 — หน้าที่ผู้ควบคุม (5 ข้อ): มาตรการความปลอดภัย แจ้งเหตุละเมิด ปฏิเสธไม่ให้เปิดเผยโดยไม่ชอบ ฯลฯ

ตัวแทน DPO และความสัมพันธ์กับผู้ประมวลผล:

• มาตรา 38 — ผู้ควบคุมที่อยู่ต่างประเทศต้องแต่งตั้งตัวแทนในราชอาณาจักร
• มาตรา 39 — สัญญาระหว่างผู้ควบคุมกับผู้ประมวลผลต้องมีข้อกำหนดคุ้มครองข้อมูล
• มาตรา 40 — หน้าที่ของผู้ประมวลผล + ถ้าผู้ประมวลผลไม่ทำตามคำสั่งจะถือเป็นผู้ควบคุมเอง (โอนย้ายความรับผิดทางกฎหมาย)
• มาตรา 41 — ข้อบังคับให้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ใน 3 กรณี

ประกาศที่เกี่ยวข้อง

-

หมายเหตุ

• "อำนาจตัดสินใจ" คือเส้นแบ่ง: การเป็นผู้ควบคุมหรือผู้ประมวลผลขึ้นอยู่กับว่า "ใครตัดสินใจ" เรื่องวัตถุประสงค์และวิธีการประมวลผล ไม่ใช่ "ใครเก็บข้อมูล" — บริษัทอาจจ้างผู้ให้บริการภายนอกเก็บข้อมูล แต่ถ้ายังเป็นผู้กำหนดวัตถุประสงค์ บริษัทก็ยังเป็นผู้ควบคุม
• ความรับผิดเด่นชัด: ผู้ควบคุมเป็นจุดศูนย์กลางของความรับผิดตาม พ.ร.บ. — โทษอาญาตาม มาตรา 79 และโทษทางปกครองตาม มาตรา 83 มาตรา 84 บังคับกับผู้ควบคุมเป็นหลัก
• ผู้ควบคุมร่วม: กรณีที่ 2 องค์กรร่วมตัดสินใจเกี่ยวกับการประมวลผล (เช่น โปรแกรมความร่วมมือทางการตลาด) — แต่ละองค์กรเป็นผู้ควบคุมร่วม มีความรับผิดร่วมกัน (พ.ร.บ. ไม่ได้บัญญัติคำว่า "ผู้ควบคุมร่วม" โดยตรง แต่ตีความได้ตามนิยาม)
• ผู้ควบคุมต่างประเทศ: ผู้ควบคุมที่ไม่อยู่ในราชอาณาจักรแต่ประมวลผลข้อมูลของบุคคลในประเทศ (ตาม มาตรา 5) ต้องแต่งตั้งตัวแทนตาม มาตรา 38
• เทียบกับ GDPR: เทียบเคียงได้กับผู้ควบคุมตาม GDPR Art. 4(7) — ทั้งสองระบบเน้น "อำนาจตัดสินใจเกี่ยวกับวัตถุประสงค์และวิธีการ" เป็นเกณฑ์