ผู้ประมวลผลข้อมูลส่วนบุคคล

3 แนวคิดที่เกี่ยวข้อง · 6 มาตราอ้างอิง

สารบัญในมาตรานี้

นิยาม
ตัวอย่าง
มาตราที่เกี่ยวข้อง
ประกาศที่เกี่ยวข้อง
หมายเหตุ
แนวคิดที่เกี่ยวข้อง

นิยาม

"ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

หัวใจของนิยามอยู่ที่ "ตามคำสั่งหรือในนามของผู้ควบคุม" — ผู้ประมวลผลไม่มีอำนาจตัดสินใจเองว่าจะประมวลผลเพื่อวัตถุประสงค์ใด แต่ทำตามคำสั่งของผู้ควบคุมเท่านั้น

เงื่อนไขสำคัญ: นิยามวรรคท้ายระบุว่าผู้ประมวลผล "ไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล" — เน้นว่าทั้งสองสถานะเป็นคนละบทบาทกัน ไม่สามารถสวมหมวกซ้อนกันได้ (ในเรื่องเดียวกัน)

ตัวอย่าง

ผู้รับจ้างประมวลผลข้อมูลตามสัญญา:

บริษัทผู้ให้บริการจัดทำเงินเดือนพนักงานให้บริษัทอื่น
บริษัทผู้ให้บริการด้านการตลาดที่ส่งอีเมลโฆษณาให้ลูกค้าของบริษัทผู้ว่าจ้าง
บริษัทผู้ให้บริการศูนย์รับสายและบริการลูกค้าที่ตอบคำถามให้บริษัทอื่น
บริษัทผู้รับจ้างทำวิจัยตลาดที่วิเคราะห์ข้อมูลลูกค้าของผู้ว่าจ้าง

ผู้ให้บริการเทคโนโลยี:

ผู้ให้บริการจัดเก็บข้อมูลบนคลาวด์ (เช่น AWS, Google Cloud, Azure) ที่เก็บฐานข้อมูลของลูกค้าที่เป็นผู้ควบคุม
ผู้ให้บริการระบบส่งอีเมลและข้อความให้บริษัทอื่น
ผู้ให้บริการระบบบริหารความสัมพันธ์ลูกค้าแบบบริการเช่าใช้ ที่ลูกค้าใส่ข้อมูลลูกค้าตัวเองในระบบ

ผู้ให้บริการมืออาชีพภายนอก:

บริษัทตรวจสอบบัญชีที่ตรวจข้อมูลทางการเงินซึ่งรวมข้อมูลพนักงาน
บริษัทที่ปรึกษาด้านเทคโนโลยีสารสนเทศที่ดูแลระบบให้บริษัทอื่น

กรณีที่ "ดูเหมือนผู้ประมวลผลแต่จริงๆ เป็นผู้ควบคุม":

ทนายความที่รับว่าจ้างให้บริษัทดำเนินคดี — โดยทั่วไปทนายเป็นผู้ควบคุมเอง (มีอำนาจตัดสินใจในแผนการดำเนินคดี)
แพทย์ที่รับปรึกษาผู้ป่วยที่บริษัทส่งมา — แพทย์เป็นผู้ควบคุมเอง (มีอำนาจวิชาชีพในการวินิจฉัย)
ที่ปรึกษาภาษีอิสระ — เป็นผู้ควบคุมเอง

มาตราที่เกี่ยวข้อง

นิยาม:

มาตรา 6 — ⭐ นิยามของ "ผู้ประมวลผลข้อมูลส่วนบุคคล"

หน้าที่ของผู้ประมวลผล:

มาตรา 40 — ⭐ มาตราหลัก: หน้าที่ของผู้ประมวลผล 3 ข้อ
- (1) ดำเนินการตามคำสั่งของผู้ควบคุมเท่านั้น (เว้นแต่คำสั่งขัดต่อกฎหมาย)
- (2) จัดให้มีมาตรการรักษาความปลอดภัย + แจ้งเหตุละเมิดให้ผู้ควบคุมทราบ
- (3) จัดทำและเก็บรักษาบันทึกรายการกิจกรรมการประมวลผล (เทียบเคียง ROPA)
- วรรคสอง: หากไม่ปฏิบัติตาม (1) → ถือเป็นผู้ควบคุมในเรื่องนั้น (พลิกความรับผิด)

ความสัมพันธ์กับผู้ควบคุม:

มาตรา 39 — ผู้ควบคุมต้องทำสัญญาที่มีข้อกำหนดคุ้มครองข้อมูลกับผู้ประมวลผล (ระบุขอบเขตคำสั่ง วัตถุประสงค์ ฯลฯ)
มาตรา 37 — หน้าที่ผู้ควบคุมในการเลือกและกำกับผู้ประมวลผล (มาตรการความปลอดภัยที่ผู้ประมวลผลต้องมี)

ตัวแทนและ DPO:

มาตรา 38 — ผู้ประมวลผลที่อยู่ต่างประเทศต้องแต่งตั้งตัวแทนในราชอาณาจักร (เหมือนผู้ควบคุม)
มาตรา 41 — ผู้ประมวลผลก็ต้องแต่งตั้ง DPO ในกรณีตามที่กำหนด — เครือกิจการเดียวกันใช้ DPO ร่วมได้

ประกาศที่เกี่ยวข้อง

หมายเหตุ

"พลิกความรับผิด" ตาม มาตรา 40 วรรคสอง: หากผู้ประมวลผลไม่ทำตามคำสั่งของผู้ควบคุม — เช่น ใช้ข้อมูลเพื่อวัตถุประสงค์ของตัวเอง — กฎหมายให้ถือเป็น "ผู้ควบคุม" ในเรื่องนั้น ต้องรับผิดเสมือนผู้ควบคุม (โทษอาญา + โทษทางปกครอง)
บันทึกการประมวลผล (ROPA): มาตรา 40 (3) บังคับให้ผู้ประมวลผลทำบันทึกการประมวลผลด้วย (นอกเหนือจากที่ผู้ควบคุมต้องทำตาม มาตรา 39) — ทำให้ทั้งสองฝ่ายมีหน้าที่ทำเอกสารชนิดนี้
"คำสั่งขัดต่อกฎหมาย": มาตรา 40 (1) ให้สิทธิผู้ประมวลผลปฏิเสธคำสั่งของผู้ควบคุมที่ขัดต่อกฎหมายหรือบทบัญญัติคุ้มครองข้อมูล — เป็นกลไกตรวจสอบและถ่วงดุลในห่วงโซ่ความรับผิด
เทียบกับ GDPR: เทียบเคียงได้กับผู้ประมวลผลตาม GDPR Art. 4(8) — ทั้งสองระบบกำหนดบทบาทคล้ายกันคือ "ดำเนินการตามคำสั่งของผู้ควบคุม"
กรณีจำแนกยาก: การเป็นผู้ประมวลผลหรือผู้ควบคุมต้องดูเนื้อหาความสัมพันธ์จริง ไม่ใช่ดูจากตำแหน่งในสัญญาเพียงอย่างเดียว — หากฝ่ายที่ทำหน้าที่ประมวลผลมีอำนาจตัดสินใจเองในระดับสำคัญ ก็เป็นผู้ควบคุมเอง (เช่น แพทย์ที่ปรึกษา ทนายความ ที่ปรึกษาภาษี)
ห่วงโซ่ของผู้ประมวลผลย่อย: ผู้ประมวลผลอาจจ้างต่อบุคคลที่ 3 ให้ทำหน้าที่เป็นผู้ประมวลผลย่อย — ต้องได้รับอนุญาตจากผู้ควบคุมตามที่กำหนดในสัญญา มาตรา 39 และผู้ประมวลผลหลักต้องรับผิดในการกระทำของผู้ประมวลผลย่อย