ทำความรู้จัก “ผู้ประมวลผลข้อมูล” ในกฎหมาย PDPA

ผู้ประมวลผลข้อมูล มีหน้าที่อะไร?

• ผู้ประมวลผลข้อมูลมีหน้าที่ทำตามคำสั่งของผู้ควบคุมข้อมูล และคำสั่งนั้นต้องไม่ขัดกับกฎหมาย

• ต้องจัดให้มีมาตรการรักษาความปลอดภัย เพื่อป้องกันข้อมูลสูญหาย หรือถูกเข้าถึงโดยไม่ได้รับอนุญาต

• เมื่อได้รับข้อมูลมาจากผู้ควบคุม ต้องทำการบันทึกรายการประมวลผลข้อมูล (ROP)

• กรณีที่พบการละเมิดข้อมูล ต้องแจ้งผู้ควบคุมให้ทราบทันทีพร้อมกับดำเนินการป้องกัน

• กรณีที่เจ้าของข้อมูลร้องขอให้สิทธิ ต้องแจ้งผู้ควบคุมให้ทราบทันที

การบันทึกรายการประมวลผลข้อมูล (ROP)

(บังคับใช้ วันที่ 17 ธ.ค. 65)

• ต้องทำเป็นลายลักษณ์อักษร (หนังสือหรือรูปแบบอิเล็กทรอนิกส์)

• สามารถแสดงให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือผู้ควบคุมข้อมูลตรวจสอบได้ หากมีการร้องขอ

• รายละเอียดอย่างน้อยที่ต้องมี ชื่อหรือข้อมูล ผู้ประมวลผล หรือตัวแทน (หากมี)

• ชื่อ/ข้อมูล ผู้ควบคุมข้อมูล หรือ ตัวแทน (หากมี)

• ชื่อสถานที่ติดต่อ/วิธีการติดต่อ/ข้อมูล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) (หากมี)

• รายการข้อมูลส่วนบุคคล/ประเภท/วัตถุประสงค์/ลักษณะการเก็บ ใช้ เปิดเผยข้อมูลตามที่ได้รับมอบหมาย

• ประเภทของบุคคล/หน่วยงานที่ได้รับข้อมูลส่วนบุคคล (กรณีที่มีการส่ง-โอนข้อมูลไปต่างประเทศ)

• คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย

ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565