มารู้จักกับตัวละครสำคัญใน PDPA อย่าง Data Controller, Data Processor และ Data Subject กัน ใครยังงงๆ ว่าใครคือใคร มีบทบาทหน้าที่อะไรบ้าง บทความนี้จะช่วยไขข้อข้องใจให้หมดเลยครับ
เริ่มจากพระเอกอย่าง Data Controller หรือผู้ควบคุมข้อมูลส่วนบุคคลกันก่อน เค้าคือใครน่ะเหรอ? Data Controller ก็คือบุคคลหรือองค์กรที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเรานั่นเอง เช่น เวลาเราสมัครสมาชิกเว็บไซต์ เราต้องกรอกชื่อ ที่อยู่ อีเมล เบอร์โทรศัพท์ ไอดีไลน์อะไรพวกนี้ใช่มั้ยครับ บริษัทเจ้าของเว็บไซต์ที่เก็บข้อมูลส่วนตัวของเราไปก็ถือเป็น Data Controller แล้วล่ะ
Data Controller มีหน้าที่หลายอย่างเลยนะครับ เช่น ต้องแจ้งให้เราทราบตอนเก็บข้อมูล ต้องบอกด้วยว่าเก็บไปทำไม เก็บไปนานแค่ไหน แล้วต้องดูแลรักษาข้อมูลของเราให้ปลอดภัย ไม่ให้รั่วไหล หรือตกไปอยู่ในมือคนที่ไม่พึงประสงค์ด้วย ถ้าเราอยากแก้ไข ลบ หรือคัดค้านการเก็บข้อมูล Data Controller ก็ต้องจัดการให้ตามที่เราขอ โดยไม่ละเมิดสิทธิ์ของเรา สรุปคือต้องเคารพความเป็นส่วนตัวของเราอย่างเคร่งครัด ไม่งั้นอาจโดนเจ้าหน้าที่มาเคาะประตูได้ครับ
ส่วนตัวที่สองที่ขาดไม่ได้เลยก็คือ Data Processor หรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งก็คือบุคคลหรือองค์กรที่ทำการประมวลผลข้อมูลให้กับ Data Controller นั่นเอง เช่นบริษัทเจ้าของเว็บไซต์อาจจ้างบริษัทภายนอกบริหารจัดการด้านทรัพยากรบุคคลให้ ซึ่งนำข้อมูลพนักงานจากบริษัทไปบริหารจัดการด้านทรัพยากรบุคคลให้ ซึ่งถือว่ามีการประมวลผลข้อมูลให้ บริษัทนี้ก็คือ Data Processor แล้วล่ะ
Data Processor ก็มีหน้าที่ไม่ยิ่งหย่อนไปกว่า Data Controller เลยนะครับ ต้องดูแลระวังข้อมูลที่ได้มาไม่ให้เสียหายหรือรั่วไหล ต้องใช้ข้อมูลตามคำสั่งของ Data Controller เท่านั้น ห้ามไปใช้เพื่อประโยชน์ส่วนตัว แถมพอหมดงานแล้วก็ต้องลบทิ้งข้อมูลให้เกลี้ยงอีกต่างหาก เดี๋ยวโดนลูกค้าฟ้องร้องทีหลังไม่รู้ด้วย
แต่ที่พลาดไม่ได้เลยก็คือนางเอกของเรื่อง นั่นก็คือ Data Subject หรือเจ้าของข้อมูลส่วนบุคคลอย่างเราๆ นี่แหละครับ ที่ PDPA ออกมาก็เพื่อปกป้องสิทธิ์ของพวกเรานี่แหละ Data Subject อย่างเราจะมีสิทธิ์ควบคุมข้อมูลของตัวเองได้ เช่น
- สิทธิ์ขอทราบว่าใครเก็บข้อมูลอะไรของเราไปบ้าง
- สิทธิ์ขอดูและขอสำเนาข้อมูลของตัวเอง
- สิทธิ์ขอให้แก้ไขข้อมูลให้ถูกต้อง
- สิทธิ์ขอให้ลบหรือทำลายข้อมูล
- สิทธิ์คัดค้านการเก็บและใช้ข้อมูล
- สิทธิ์ร้องเรียนเมื่อถูกละเมิดสิทธิ์
โดยสิทธิ์เหล่านี้ Data Controller และ Data Processor จะต้องเคารพและปฏิบัติตามอย่างเคร่งครัด ไม่งั้นมีหวังโดนปรับหนักไปเลยครับ เพราะ PDPA เอาจริงเรื่องนี้
เห็นไหมละครับว่า PDPA ไม่ได้มีดีแค่ชื่อเท่ๆ ที่มี P กับ A เยอะๆ แต่ข้างในมีตัวละครสำคัญมากมายที่เราต้องทำความรู้จัก ถ้าเข้าใจบทบาทของตัวเองดี เราก็ช่วยกันปกป้องข้อมูลส่วนบุคคลได้ไม่ยาก แต่ถ้ายังสับสนว่าตัวเองเป็น Data Controller, Data Processor หรือ Data Subject ก็ลองไปศึกษาเพิ่มเติมกับผู้เชี่ยวชาญด้าน PDPA ดูนะครับ อย่าปล่อยให้ข้อมูลของเราตกเป็นเหยื่อไปเสียก่อน
หวังว่าจะช่วยให้เข้าใจพระเอก นางเอก และตัวประกอบสำคัญใน PDPA ได้มากขึ้นนะครับ ขอให้ทุกท่านมีความสุขกับการดูแลข้อมูลส่วนตัวของตัวเองครับ
#DataController #DataProcessor #DataSubject #PDPA #INFINABLE
บทความที่เกี่ยวข้อง
บริการที่เกี่ยวข้อง