หน้าหลัก

ข้อหารือที่ 26/2566 — สสว. (DPO + GDPR Joint Controller)

6 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 5, มาตรา 6, มาตรา 28, มาตรา 29, มาตรา 41 และ มาตรา 42
  2. พระราชบัญญัติส่งเสริมวิสาหกิจขนาดกลางและขนาดย่อม พ.ศ. 2543 ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติส่งเสริมวิสาหกิจขนาดกลางและขนาดย่อม (ฉบับที่ 2) พ.ศ. 2561 — มาตรา 16

ข้อหารือ

สำนักงานส่งเสริมวิสาหกิจขนาดกลางและขนาดย่อม (สสว.) ขอหารือเกี่ยวกับข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล และการร่วมลงนามในข้อตกลงการเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมของเว็บไซต์ ASEAN Access เพื่อปฏิบัติตามกฎหมาย GDPR ของสหภาพยุโรป ดังนี้:

  1. ข้อมูลผู้ประกอบการที่เป็นบุคคลธรรมดา ถือเป็นข้อมูลส่วนบุคคลภายใต้ PDPA หรือไม่
  2. DPO ต้องมีคุณสมบัติอย่างไร · บุคคลภายนอกหรือภายในองค์กร ข้อดี/ข้อเสียอย่างไร · จำเป็นต้องตั้งส่วนงานเฉพาะหรือไม่
  3. ผู้ควบคุมข้อมูล หมายถึงตัวนิติบุคคล/องค์กรใช่หรือไม่ · จำเป็นต้องแต่งตั้งบุคคลธรรมดาเพื่อกระทำการแทนหรือไม่ คุณสมบัติอย่างไร
  4. คำแนะนำในการลงนามในข้อตกลง GDPR Joint Controller Agreement of ASEAN Access

ความเห็น

ประเด็นหารือที่ 1 มาตรา 6 กำหนดว่า "ข้อมูลส่วนบุคคล" = ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ และ "บุคคล" = บุคคลธรรมดา · ดังนั้น ข้อมูลผู้ประกอบการบุคคลธรรมดา (ไม่ใช่นิติบุคคล) ที่ทำให้ระบุตัวบุคคลได้ ถือเป็นข้อมูลส่วนบุคคลภายใต้ PDPA

ประเด็นหารือที่ 2 มาตรา 41 กำหนดกรณีที่ต้องจัดให้มี DPO: (1) เป็นหน่วยงานของรัฐตามที่ คคส. ประกาศ (2) กิจกรรมที่ต้องตรวจสอบข้อมูลส่วนบุคคลสม่ำเสมอเพราะมีข้อมูลจำนวนมาก (3) กิจกรรมหลักเป็นการเก็บรวบรวมข้อมูลตาม มาตรา 26 · DPO ควรมีความรู้ความเชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล มาตรการความมั่นคงปลอดภัย และเข้าใจบริบทการเก็บ/ใช้/เปิดเผยขององค์กร · มาตรา 41 วรรคเจ็ดอนุญาตให้ DPO เป็นพนักงานภายในหรือผู้รับจ้าง (Outsourced DPO) ก็ได้

มาตรา 42 วรรคสองกำหนดให้ผู้ควบคุมข้อมูล/ผู้ประมวลผลต้องสนับสนุนการปฏิบัติหน้าที่ของ DPO โดยจัดเครื่องมือ อำนวยความสะดวกในการเข้าถึงข้อมูล และจะให้ DPO ออกจากงาน/เลิกสัญญาด้วยเหตุที่ DPO ปฏิบัติหน้าที่ตาม PDPA ไม่ได้ · ในกรณีมีปัญหา DPO ต้องสามารถรายงานต่อผู้บริหารสูงสุดได้โดยตรง · การจัดตั้งส่วนงานเฉพาะ DPO หรือมอบหมายให้ส่วนงานที่มีอยู่ — เป็นเรื่องภายในองค์กร

ประเด็นหารือที่ 3 ตาม มาตรา 6 หากองค์กรนิติบุคคลมีอำนาจตัดสินใจเกี่ยวกับการเก็บ/ใช้/เปิดเผยข้อมูล องค์กรดังกล่าวจะถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล โดยไม่ต้องมีการแต่งตั้งบุคคลใดเพื่อปฏิบัติหน้าที่เป็นผู้ควบคุมข้อมูลอีก · ส่วนงาน/พนักงาน/บุคลากรจะไม่มีสถานะเป็นผู้ควบคุม/ผู้ประมวลผลแยกต่างหากจากองค์กร · ดังนั้น สสว. (นิติบุคคลตาม พ.ร.บ. ส่งเสริมวิสาหกิจฯ) จึงเป็นผู้ควบคุมข้อมูลส่วนบุคคลตาม PDPA

ประเด็นหารือที่ 4 มาตรา 5 ใช้บังคับกับผู้ควบคุม/ผู้ประมวลผลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บ/ใช้/เปิดเผยจะกระทำในหรือนอกราชอาณาจักร · สสว. ในฐานะนิติบุคคลในราชอาณาจักร ดำเนินการเก็บข้อมูลผู้ประกอบการจากประเทศสมาชิกอาเซียน จึงเป็นผู้ควบคุมข้อมูลที่อยู่ในประเทศไทย ต้องปฏิบัติตาม PDPA

PDPA นำหลักเกณฑ์จาก GDPR มาใช้แต่มิได้บัญญัติทั้งหมด เช่น กรณี Joint Controller ไม่มีบัญญัติใน PDPA · การที่ สสว. ลงนามใน GDPR Joint Controller Agreement of ASEAN Access จำเป็นต้องศึกษาบริบทกฎหมาย EU หรือกฎหมายของประเทศที่ต้องการให้ข้อตกลงมีผล · ในกรณีที่เข้า มาตรา 5 ต้องเก็บ/ใช้/เปิดเผยตาม PDPA โดยเฉพาะกรณีส่ง/โอนข้อมูลไปต่างประเทศต้องตาม มาตรา 28 หรือ มาตรา 29

ภายใต้บริบท PDPA Joint Controller Agreement อาจมีสภาพบังคับระหว่างคู่สัญญาในฐานะตัวการร่วมตามประมวลกฎหมายแพ่งและพาณิชย์ · สสว. อาจพิจารณานำแนวทาง ICO Data Sharing: a Code of Practice ของ UK ICO (https://ico.org.uk/) มาเป็นแนวทาง

เอกสารต้นฉบับ