Affiliate Program

โครงสร้างกฎหมาย PDPA – ใครมีหน้าที่อะไร? [เจาะลึกฉบับเข้าใจง่าย]

       เมื่อพูดถึง PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หลายคนอาจสงสัยว่า แล้วในกฎหมายนี้ ใครมีบทบาทหน้าที่อะไรบ้าง? และ องค์กรหรือบุคคลใดต้องรับผิดชอบในด้านไหน?

       บทความนี้จะพาคุณไปรู้จักกับ โครงสร้างของ PDPA และ หน้าที่ของแต่ละฝ่าย อย่างชัดเจน และเข้าใจง่าย

🧭 โครงสร้างหลักของกฎหมาย PDPA

       กฎหมาย PDPA แบ่งผู้มีบทบาทออกเป็น 2 กลุ่มหลัก ได้แก่

      1. หน่วยงานกำกับดูแล (Regulators)

      2. ผู้ที่เกี่ยวข้องกับการจัดการข้อมูล (Data Stakeholders)

🏛️ หน่วยงานกำกับดูแล PDPA

1. คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

       เป็นคณะกรรมการระดับชาติที่มีอำนาจในการ:

      • กำหนดนโยบายและแนวทางการคุ้มครองข้อมูลส่วนบุคคล

      • ออกประกาศ / คำสั่งที่ใช้บังคับกับภาครัฐและเอกชน

      • พิจารณาเรื่องร้องเรียน และกำหนดบทลงโทษ

2. สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

       ทำหน้าที่เป็นฝ่ายเลขานุการให้กับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและรับผิดชอบ:

      • ประชาสัมพันธ์ความรู้เกี่ยวกับ PDPA

      • ดำเนินการตามนโยบายของคณะกรรมการ

      • ให้คำปรึกษาแก่ประชาชนและองค์กร

      • รับเรื่องร้องเรียนจากเจ้าของข้อมูล

📌 เป็น “ศูนย์กลาง” ของการดำเนินงานด้าน PDPA

👤 ผู้ที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล

       1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

       คือบุคคลธรรมดา ที่เป็นเจ้าของข้อมูล เช่น ลูกค้า, พนักงาน, ผู้ใช้งานเว็บไซต์

       สิทธิของเจ้าของข้อมูล ได้แก่:

      • ขอเข้าถึง / ลบ / แก้ไข / ระงับการใช้ข้อมูล

      • ถอนความยินยอม

      • ร้องเรียนเมื่อข้อมูลถูกใช้งานโดยมิชอบ

       2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

        คือบุคคลหรือนิติบุคคลที่เป็น “เจ้าของวัตถุประสงค์และวิธีการ” ในการเก็บ ใช้ หรือเปิดเผยข้อมูล เช่น:

      • บริษัท

      • เจ้าของเว็บไซต์

      • ร้านค้าออนไลน์

        หน้าที่ของ Data Controller:

      • แจ้งวัตถุประสงค์การเก็บข้อมูล

      • ขอความยินยอมอย่างถูกต้อง

      • จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy)

      • จัดให้มีมาตรการป้องกันข้อมูล

      • แต่งตั้ง DPO (ถ้าจำเป็น)

       3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

        คือบุคคลหรือนิติบุคคลที่ ดำเนินการประมวลผลข้อมูลแทนผู้ควบคุมข้อมูล เช่น:

      • บริษัทที่รับทำระบบ CRM

      • ผู้ให้บริการคลาวด์ (Cloud Service)

      • บริษัทจัดเก็บข้อมูล Backup

หน้าที่ของ Data Processor:

      • ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูลเท่านั้น

      • ต้องไม่เปิดเผย/ใช้ข้อมูลเพื่อประโยชน์ตนเอง

      • ต้องมีมาตรการป้องกันข้อมูล

       4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO – Data Protection Officer)

        DPO คือ ผู้ที่ถูกแต่งตั้งขึ้นภายในองค์กร เพื่อดูแลให้ระบบขององค์กรมีความสอดคล้องกับกฎหมาย PDPA

องค์กรที่มีเงื่อนไขต่อไปนี้ จำเป็นต้องมี DPO :

      • มีการประมวลผลข้อมูลส่วนบุคคลขนาดใหญ่

      • เป็นหน่วยงานของรัฐ

      • เก็บหรือใช้ข้อมูลอ่อนไหวอย่างต่อเนื่อง

หน้าที่ของ DPO:

      • ให้คำแนะนำแก่บริษัทเกี่ยวกับ PDPA

      • ตรวจสอบการปฏิบัติงาน

      • เป็นผู้ประสานงานกับสำนักงาน PDPC

📊 ตารางสรุปหน้าที่แต่ละฝ่ายใน PDPA

บทบาท/ตำแหน่งหน้าที่หลัก
คณะกรรมการคุ้มครองฯ-> กำหนดนโยบาย ออกข้อบังคับ และตัดสินคดี
สำนักงาน PDPC-> สนับสนุนการดำเนินงาน, รับเรื่องร้องเรียน
เจ้าของข้อมูล (Data Subject)-> ใช้สิทธิเข้าถึง ลบ แก้ไข คัดค้าน และร้องเรียน
Data Controller-> ขอความยินยอม, แจ้งนโยบาย, ป้องกันข้อมูล
Data Processor-> ประมวลผลข้อมูลตามคำสั่ง, ห้ามใช้เอง, ต้องป้องกันข้อมูล
DPO-> ให้คำปรึกษา ตรวจสอบ และประสานงานด้าน PDPA

✨ สรุป: ใครมีหน้าที่อะไรในโครงสร้าง PDPA?

      • เจ้าของข้อมูล = มีสิทธิเต็มที่ในข้อมูลของตน

      • องค์กร (Controller & Processor) = มีหน้าที่ทำให้ถูกต้องตามกฎหมาย

      • หน่วยงานรัฐ (สคส. / PDPC) = ควบคุม ดูแล และสร้างมาตรฐาน

      • DPO = เป็นผู้ควบคุมภายในที่ดูแลให้การดำเนินงานปลอดภัยและโปร่งใส

การรู้ว่า “ใครมีหน้าที่อะไร” จะช่วยให้คุณจัดการข้อมูลได้อย่างถูกต้อง ปลอดภัย และสอดคล้องกับ PDPA