หน้าหลัก

ข้อหารือที่ 19/2567 — สำนักงานคณะกรรมการอ้อยและน้ำตาลทราย (DSA controller-controller)

8 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 มาตรา 22 มาตรา 24 (6) มาตรา 27 วรรคหนึ่งและวรรคสอง มาตรา 28 มาตรา 29 มาตรา 37 (1) และ (4) และ มาตรา 40 วรรคสาม
  2. พระราชบัญญัติอ้อยและน้ำตาลทราย พ.ศ. 2527 และที่แก้ไขเพิ่มเติม มาตรา 17 (10) และ (12) และมาตรา 61
  3. ระเบียบคณะกรรมการอ้อยและน้ำตาลทราย ว่าด้วยการตัดและส่งอ้อยให้แก่โรงงาน การตรวจสอบ คุณภาพอ้อย และการรับอ้อยจากชาวไร่อ้อยหรือหัวหน้ากลุ่มชาวไร่อ้อย พ.ศ. 2553 และที่แก้ไข เพิ่มเติม ข้อ 7 วรรคสอง
  4. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุม ข้อมูลส่วนบุคคล พ.ศ. 2565 ข้อ 4

ข้อหารือ

สำนักงานคณะกรรมการอ้อยและน้ำตาลทรายขอหารือกรณีที่ได้รับหนังสือจากกลุ่มบริษัท Z แจ้งว่า ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับและได้กำหนดสิทธิหน้าที่และ ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงผู้ที่มีส่วนเกี่ยวข้องต่อเจ้าของข้อมูลส่วนบุคคลในการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อป้องกันการล่วงละเมิดสิทธิความเป็นส่วนตัวหรือสร้างความ เดือดร้อนเสียหายแก่เจ้าของข้อมูลส่วนบุคคล กลุ่มบริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลซึ่งมีการส่งข้อมูลส่วน บุคคลที่เก็บรวบรวมให้แก่สำนักงานคณะกรรมการอ้อยและน้ำตาลทรายเพื่อให้เป็นไปตามพระราชบัญญัติอ้อย และน้ำตาลทราย พ.ศ. 2527 และระเบียบที่ออกตามพระราชบัญญัติดังกล่าวและข้อมูลส่วนบุคคลที่มีการส่ง ให้แก่สำนักงานคณะกรรมการอ้อยและน้ำตาลทราย มีความจำเป็นต้องได้รับความคุ้มครองตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กลุ่มบริษัท Z จึงขอนำส่งเอกสารข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล เพื่อ เป็นข้อตกลงในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่สำนักงานคณะกรรมการอ้อยและน้ำตาลทรายได้รับ จากกลุ่มบริษัท Z เพื่อให้เป็นไปตามกฎหมาย รวมถึงเพื่อให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและ เพียงพอตามที่กฎหมายกำหนดต่อไป จึงแจ้งมายังสำนักงานคณะกรรมการอ้อยและน้ำตาลทราย ขอให้โปรดทราบ และลงนามในใบตอบรับ ส่งกลับมาที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) บริษัท Z โดยสำนักงาน คณะกรรมการอ้อยและน้ำตาลทรายให้ข้อมูลเพิ่มเติมว่า

  1. กลุ่มบริษัท Z ถือเป็นบริษัทโรงงานน้ำตาลที่อยู่ในบังคับของพระราชบัญญัติอ้อยและน้ำตาล ทราย พ.ศ. 2527 ซึ่งมีหน้าที่ในการจัดส่งข้อมูลต่าง ๆ ในระบบอุตสาหกรรมอ้อยและน้ำตาลทรายตามระเบียบ ประกาศ ที่กำหนด โดยอาศัยอำนาจตามพระราชบัญญัติฉบับดังกล่าว เช่น หน้าที่ส่งมอบรายชื่อชาวไร่อ้อยและ หัวหน้ากลุ่มชาวไร่อ้อยคู่สัญญา รวมทั้งประมาณการผลผลิต และรายละเอียดที่เกี่ยวข้องตามแบบที่คณะกรรมการ อ้อยและน้ำตาลทรายกำหนดให้กับคณะทำงานควบคุมการผลิตประจำโรงงานและสำนักงาน ก่อนการเปิดหีบอ้อย ไม่น้อยกว่าสิบห้าวัน ตามข้อ 7 วรรคสอง ของระเบียบคณะกรรมการอ้อยและน้ำตาลทราย ว่าด้วยการตัดและส่งอ้อย ให้แก่โรงงาน การตรวจสอบคุณภาพอ้อยและการรับอ้อยจากชาวไร่อ้อยหรือหัวหน้ากลุ่มชาวไร่อ้อย พ.ศ. 2553 เป็นต้น จึงถือว่า กลุ่มบริษัท Z เป็นผู้ที่มีหน้าที่ในการจัดส่งข้อมูลให้กับสำนักงานคณะกรรมการอ้อยและน้ำตาล ทรายตามที่มีกฎหมายกำหนดไว้เป็นการเฉพาะอยู่แล้วตามระเบียบและประกาศที่ออกโดยอาศัยอำนาจตาม พระราชบัญญัติอ้อยและน้ำตาลทราย พ.ศ. 2527 ซึ่งเมื่อมีการส่งข้อมูลที่ถือว่าเป็นข้อมูลส่วนบุคคลเข้ามา สำนักงาน คณะกรรมการอ้อยและน้ำตาลทรายในฐานะหน่วยงานของรัฐที่ต้องปฏิบัติหน้าที่ตามกฎหมายว่าด้วยอ้อยและ น้ำตาลทรายดังกล่าว รวมทั้งมีฐานะเป็นผู้ครอบครองและควบคุมดูแลข้อมูลส่วนบุคคลนั้น ย่อมมีภาระหน้าที่ที่ต้อง ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อยู่แล้วเช่นเดียวกัน
  2. ด้วยเหตุนี้ สำนักงานคณะกรรมการอ้อยและน้ำตาลทรายจึงขอหารือว่า 2.1 สำนักงานคณะกรรมการอ้อยและน้ำตาลทรายจำเป็นที่จะต้องลงนามใน "ข้อตกลง การแบ่งปันข้อมูลส่วนบุคคล" ตามที่กลุ่มบริษัท Z แจ้งมาก่อนหรือไม่ จึงจะสามารถปฏิบัติหน้าที่ ให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 2.2 หากตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ได้บังคับให้สำนักงาน คณะกรรมการอ้อยและน้ำตาลทรายหรือหน่วยงานของรัฐจะต้องลงนามในข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล กับเอกชนที่ครอบครองข้อมูลอยู่ก่อนจึงจะสามารถแบ่งปันข้อมูลกันได้ แต่ให้หน่วยงานของรัฐเลือกที่จะลงนาม ในข้อตกลงหรือไม่ก็ได้นั้น สำนักงานคณะกรรมการอ้อยและน้ำตาลทรายขอความอนุเคราะห์โปรดช่วยพิจารณาว่า "ข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล" ดังกล่าวมีรายละเอียดเป็นการเพิ่มภาระความรับผิดชอบของสำนักงาน คณะกรรมการอ้อยและน้ำตาลทราย ซึ่งเป็นหน่วยงานของรัฐมากเกินกว่าที่กำหนดไว้ในพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 และมีความเหมาะสมแล้วหรือไม่

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พิจารณาแล้วมีความเห็น ดังนี้ ประเด็นข้อหารือที่ 1 เห็นว่า สำนักงานคณะกรรมการอ้อยและน้ำตาลทรายเป็นหน่วยงาน ของรัฐที่มีอำนาจและหน้าที่ตามมาตรา 61 แห่งพระราชบัญญัติอ้อยและน้ำตาลทราย พ.ศ. 2527 ซึ่งแก้ไข เพิ่มเติมโดยพระราชบัญญัติอ้อยและน้ำตาลทราย (ฉบับที่ 2) พ.ศ. 2565 มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการดำเนินงานตามกฎหมาย จึงถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล ตาม มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งกลุ่มบริษัท Z เป็นบริษัทโรงงาน น้ำตาลซึ่งมีหน้าที่ต้องส่งข้อมูลส่วนบุคคลให้แก่สำนักงานคณะกรรมการอ้อยและน้ำตาลทรายเพื่อให้เป็นไปตาม มาตรา 17 (10) และ (12) แห่งพระราชบัญญัติอ้อยและน้ำตาลทราย พ.ศ. 2527 ประกอบข้อ 7 วรรคสองของ ระเบียบคณะกรรมการอ้อยและน้ำตาลทราย ว่าด้วยการตัดและส่งอ้อยให้แก่โรงงาน การตรวจสอบคุณภาพอ้อย และการรับอ้อยจากชาวไร่อ้อยหรือหัวหน้ากลุ่มชาวไร่อ้อย พ.ศ. 2553 ที่ออกตามความในพระราชบัญญัติ ดังกล่าว กลุ่มบริษัท Z จึงอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตาม มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 เช่นกัน ดังนั้น กรณีที่กลุ่มบริษัท Z ต้องเปิดเผยข้อมูลส่วนบุคคลให้กับสำนักงาน คณะกรรมการอ้อยและน้ำตาลทรายตามพระราชบัญญัติอ้อยและน้ำตาลทราย พ.ศ. 2527 และระเบียบที่ เกี่ยวข้อง ถือเป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล ตามนัย มาตรา 24 (6) ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มิได้กำหนดหน้าที่ในเรื่องการจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูล ส่วนบุคคลหนึ่งกับผู้ควบคุมข้อมูลส่วนบุคคลอื่นไว้ (ซึ่งแตกต่างจากกรณีการดำเนินงานตามหน้าที่ของผู้ประมวลผล ข้อมูลส่วนบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล ที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงาน ตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้ ตาม มาตรา 40 วรรคสาม ซึ่งอาจ เรียกว่าข้อตกลงการประมวลผลข้อมูล หรือ data processing agreement) อย่างไรก็ตาม มาตรา 27 วรรคสอง แห่งพระราชบัญญัติดังกล่าว ได้กำหนดว่า บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยของ ผู้ควบคุมข้อมูลส่วนบุคคลอื่น จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น สำนักงานคณะกรรมการอ้อยและน้ำตาลทราย จึงมีหน้าที่ในการดำเนินการให้เป็นไปตามเงื่อนไขดังกล่าว สำหรับข้อมูลส่วนบุคคลที่ได้รับจากการเปิดเผยของโรงงาน น้ำตาล ซึ่งรวมถึงกลุ่มบริษัท Z ด้วย กลุ่มบริษัท Z ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคง ปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดย ปราศจากอำนาจหรือโดยมิชอบ ตาม มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งต้องเป็นไปตามมาตรฐานขั้นต่ำที่กำหนดในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 โดยข้อ 4 ของประกาศดังกล่าว กำหนดว่า มาตรการดังกล่าว จะต้องประกอบด้วยมาตรการเชิงองค์กร (organizational measures) และ มาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล ดังนั้น หากกลุ่มบริษัท Z เห็นว่า การจัดทำข้อตกลงการแบ่งปันข้อมูล (data sharing agreement) ระหว่างผู้ควบคุม ข้อมูลส่วนบุคคล จะเป็นมาตรการเชิงองค์กร (organizational measure) อย่างหนึ่งเพื่อกำหนดวัตถุประสงค์ วิธีการ เงื่อนไข และหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลแต่ละฝ่ายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการส่งและรับข้อมูลที่เป็นเอกสารหรือเป็นการแลกเปลี่ยนข้อมูลโดย วิธีการทางอิเล็กทรอนิกส์ก็ตาม อันจะเป็นการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่จะเปิดเผยให้กับ สำนักงานคณะกรรมการอ้อยและน้ำตาลทราย และควบคุมดูแลให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูล ส่วนบุคคลระหว่างกันสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก็ย่อมสามารถหารือ และตกลงร่วมกันได้ อย่างไรก็ดี ไม่ว่าจะมีการจัดทำข้อตกลงการแบ่งปันข้อมูลระหว่างกันหรือไม่ก็ตาม สำนักงาน คณะกรรมการอ้อยและน้ำตาลทรายในฐานะผู้ควบคุมข้อมูลส่วนบุคคลย่อมมีหน้าที่ตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งรวมถึงการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้ วัตถุประสงค์อันชอบด้วยกฎหมายตาม มาตรา 22 การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตาม มาตรา 37 (1) ประกอบประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคง ปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 และการดำเนินการที่เหมาะสมในกรณีที่เจ้าของข้อมูล ส่วนบุคคลขอใช้สิทธิตามหมวด 3 แห่งพระราชบัญญัตินี้ ตลอดจนความรับผิดตามกฎหมายที่เกี่ยวข้องอยู่แล้ว การที่สำนักงานคณะกรรมการอ้อยและน้ำตาลทรายจะพิจารณาว่าควรลงนามใน "ข้อตกลงการแบ่งปันข้อมูล ส่วนบุคคล" ของกลุ่มบริษัท Z ดังกล่าวหรือไม่นั้น จึงเป็นกรณีที่สำนักงานคณะกรรมการอ้อยและน้ำตาลทรายสามารถ พิจารณาดำเนินการได้ตามที่เห็นสมควร ประเด็นข้อหารือที่ 2 กรณีที่สำนักงานคณะกรรมการอ้อยและน้ำตาลทรายขอให้พิจารณาว่า ร่างข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล ที่จัดทำโดยกลุ่มบริษัท Z เป็นการเพิ่มภาระความรับผิดชอบของสำนักงาน คณะกรรมการอ้อยและน้ำตาลทรายมากเกินกว่าที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และมีความเหมาะสมแล้วหรือไม่ นั้น เห็นว่า กรณีนี้ไม่อยู่ในหน้าที่และอำนาจของคณะอนุกรรมการตอบข้อหารือฯ ที่จะพิจารณาให้ความเห็นได้ แต่คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตว่า สำนักงานคณะกรรมการอ้อยและ น้ำตาลทรายในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ย่อมมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ที่ได้รับจากกลุ่มบริษัท Z ให้เหมาะสมและเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วน บุคคล พ.ศ. 2562 ด้วยตัวเองอยู่แล้ว ซึ่งรวมถึงการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูล ส่วนบุคคล การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ การควบคุมการดำเนินงานของผู้ประมวลผลข้อมูล ส่วนบุคคล และการดำเนินการตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล หากสำนักงานคณะกรรมการอ้อยและ น้ำตาลทรายประสงค์จะจัดทำข้อตกลงการแบ่งปันข้อมูลร่วมกับบุคคลหรือนิติบุคคลใด สำนักงานฯ ควรพิจารณา รายละเอียดเงื่อนไขให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และมีความเหมาะสม ตามที่เห็นสมควร

เอกสารต้นฉบับ