มาตรา 40
สารบัญในมาตรานี้
ตัวบท
มาตรา 40 ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้
(1) ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้
(2) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
(3) จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด
ผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งไม่ปฏิบัติตาม (1) สำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ให้ถือว่าผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้ควบคุมข้อมูลส่วนบุคคลสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น
การดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้
ความใน (3) อาจยกเว้นมิให้นำมาใช้บังคับกับผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด เว้นแต่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือมิใช่กิจการที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นครั้งคราว หรือมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26
สรุป
มาตรานี้กำหนด 3 หน้าที่ของผู้ประมวลผลข้อมูล: (1) ดำเนินการตามคำสั่งของผู้ควบคุมเท่านั้น (เว้นแต่คำสั่งขัดกฎหมาย) (2) มาตรการความมั่นคงปลอดภัย + แจ้งผู้ควบคุมเหตุละเมิด (3) บันทึกรายการกิจกรรมประมวลผล (ROPA ของฝั่งผู้ประมวลผล) ผลของการไม่ปฏิบัติตาม (1) คือ ถูกถือเป็นผู้ควบคุม นอกจากนี้กำหนดให้ต้องมี ข้อตกลงระหว่างผู้ควบคุม-ผู้ประมวลผล
องค์ประกอบสำคัญ
- 3 หน้าที่ของผู้ประมวลผล (วรรค 1):
- (1) ดำเนินการตามคำสั่งของผู้ควบคุมเท่านั้น — เว้นแต่คำสั่งขัดกฎหมาย/บทบัญญัติคุ้มครองข้อมูล
- (2) มาตรการความมั่นคงปลอดภัย + แจ้งผู้ควบคุม เหตุการละเมิด
- (3) บันทึกรายการกิจกรรมประมวลผล (ROPA ของฝั่งผู้ประมวลผล) — ตามหลักเกณฑ์ของคณะกรรมการ
- ผลของการไม่ปฏิบัติตาม (1) — หลักยกระดับเป็นผู้ควบคุม (วรรค 2):
- ข้อตกลงระหว่างผู้ควบคุมและผู้ประมวลผล (วรรค 3):
- ผู้ควบคุมต้องจัดให้มีข้อตกลงเป็นหนังสือ
- วัตถุประสงค์: ควบคุมการดำเนินงานของผู้ประมวลผลให้เป็นไปตามพระราชบัญญัตินี้
- ข้อยกเว้นกิจการเล็ก (วรรค 4):
- ยกเว้น (3) เท่านั้น (หน้าที่ ROPA) — กิจการเล็กที่คณะกรรมการประกาศ
- เว้นแต่: มีความเสี่ยง หรือ ไม่ใช่ครั้งคราว หรือ เก็บข้อมูลอ่อนไหวตาม มาตรา 26
มาตราที่อ้างอิง
- มาตรา 26 — ฐานเก็บข้อมูลอ่อนไหว — ผู้ประมวลผลที่ประมวลข้อมูลตามนี้ไม่ได้รับยกเว้น (3)
หมายเหตุ
- เทียบ GDPR:
- (1) → Article 28(3)(a) "ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งเป็นลายลักษณ์อักษรของผู้ควบคุมเท่านั้น"
- (2) → Article 32 (มาตรการความมั่นคงปลอดภัย) + Article 33(2) (แจ้งผู้ควบคุม)
- (3) → Article 30(2) (บันทึกของผู้ประมวลผล)
- วรรค 2 → Article 28(10) "ให้ถือว่าเป็นผู้ควบคุม"
- วรรค 3 → Article 28(3) (สัญญา / ข้อตกลงประมวลผลข้อมูล)
- โครงสร้างความสัมพันธ์ผู้ควบคุม vs ผู้ประมวลผล:
- ผู้ควบคุม: ตัดสิน "วัตถุประสงค์" และ "วิธีการ" — รับผิดต่อเจ้าของข้อมูล
- ผู้ประมวลผล: ดำเนินการแทนตามคำสั่ง — รับผิดต่อผู้ควบคุม และมีความเสี่ยงตามพระราชบัญญัตินี้
- หลักยกระดับเป็นผู้ควบคุม (วรรค 2) สำคัญมาก:
- ป้องกันการ "ซ่อน" ความรับผิดของผู้ประมวลผลเมื่อใช้ข้อมูลเพื่อวัตถุประสงค์ของตน
- ตัวอย่าง: ผู้ให้บริการคลาวด์ที่ใช้ข้อมูลลูกค้าไปฝึกระบบปัญญาประดิษฐ์ของตนเอง → ถือเป็นผู้ควบคุมสำหรับการประมวลผลในการฝึกระบบนั้น
- เนื้อหาของข้อตกลงประมวลผลข้อมูลโดยทั่วไป:
- วัตถุประสงค์และระยะเวลาของการประมวลผล
- ประเภทของข้อมูลและเจ้าของข้อมูล
- หน้าที่ของผู้ประมวลผล (ตาม (1)-(3))
- กลไกการแจ้งเหตุละเมิด
- สิทธิของผู้ควบคุมในการตรวจสอบ
- การอนุมัติให้ใช้ผู้ประมวลผลย่อย
- ข้อกำหนดเมื่อสิ้นสุดสัญญา (ลบ/ส่งคืนข้อมูล)
- กรณีผู้ประมวลผลย่อย: ผู้ประมวลผลใช้ผู้ประมวลผลย่อย → ต้องได้รับอนุญาตจากผู้ควบคุม + ผูกพันด้วยข้อตกลงประมวลผลแบบเดียวกัน (โดยอนุโลม)
- ความเชื่อมโยงกับ มาตรา 37 (2): ผู้ควบคุมที่ส่งข้อมูลให้ผู้ประมวลผล มีหน้าที่ "ป้องกันมิให้ผู้นั้นใช้/เปิดเผยข้อมูลโดยมิชอบ" ซึ่งข้อตกลงประมวลผลตามมาตรานี้คือกลไกหลัก
- ความเชื่อมโยงกับ มาตรา 41: ผู้ประมวลผลก็มีหน้าที่แต่งตั้ง DPO ในกรณีตามเงื่อนไขของ มาตรา 41