บทวิเคราะห์เจาะลึก ระหว่าง ❛ผู้ควบคุมข้อมูลส่วนบุคคล❜ กับ ❛ผู้ประมวลผลข้อมูลส่วนบุคคล❜ และ ❝ฅนเป็นลูกจ้าง❞

► | ได้อ่านและดูจากสื่อต่างๆ ที่กล่าวถึงเรื่อง ❝ผู้ควบคุมข้อมูลส่วนบุคคล❞ ❝ผู้ประมวลผลข้อมูลส่วนบุคคล❞ และเชื่อมโยงไปถึง ❝ฅนเป็นลูกจ้าง❞ ว่าเขาเหล่านั้น มีสถานะเป็นอะไรกันแน่ ในกฎหมาย PDPA หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคล 2562 ซึ่งบอกต่อๆ กันว่าเป็นข้อยุติแล้ว เฮ้ย❗️อย่ามามั่ว ยัดเยียด การที่หน่วยงานกำกับดูแลหรือเป็นส่วนหนึ่งของรัฐว่าไง ผมจำเป็นต้องว่าตามเสมอไม่ต้องยั้งคิดเหรอ แต่นั่นไม่ใช่ผม ผมยังเห็นแย้ง ยังไม่ยุติง่ายๆ หรอกครับ มันเป็นการสร้างความสับสนอลหม่านกันทั้งโซเชียลและให้แซ่ดในแวดวงสัมมนาอบรมต่างๆ จึงต้องออกมาเบรคแรงๆ ให้ได้ฉุกคิด ค้นหาเหตุกับผล และผลกระทบที่จะเกิดตามมา อย่าอ่านกฎหมายโดยนำอารมณ์และธงที่ตั้งไว้ล่วงหน้ามาบิด หากจะบิดให้คล้อยตามอารมณ์คุณ ก็ต้องเขียนกฎหมายให้ล้อกันไปด้วย ประเด็นนี้เห็นมาระยะหนึ่งแล้วในความเป็นจริง ก็มีความตั้งใจจะเขียนลงโซเชี่ยลนานแล้ว [แต่ถ้าอยากรู้ลึกๆ...ไปอ่านในหนังสือ ❝บทสรุป PDPA กฎหมายคุ้มครองข้อมูลส่วนบุคคล❞ | PDPA Law Compendium ซึ่งอาจารย์ได้เขียนไว้หมดแล้ว] รอจังหวะว่างจริงๆ ก่อนนั้นอารมณ์มายังไม่ถึง วันนี้วันหยุด ได้โอกาสบรรเลงซะเลย การตีความกฎหมายต้องตีอย่างแคบหรืออย่างกว้างต้องพิเคราะห์ตามผลร้ายหรือผลดีที่อาจหรือมีแนวโน้มส่งผลกระทบตามมาด้วย ไม่ตีความให้ติดกับดักมรณะฆ่าฅนตีความเสียเอง ต้องตีความให้มีทางออกที่เป็นธรรม ไม่ให้ขัดหรือย้อนแย้งกับมาตราอื่นๆ ในแบบทำให้เกิดการพัวพันยุ่งเหยิง จนต้องแถเอาชนะตามอารมณ์ความอยากของตนและหมู่คณะด้วยนะครับ

❃ เนื่องจากมีสื่อที่ใช้ประชาสัมพันธ์ ถูกปล่อยออกมาและมีโลโก้ของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลออกมาซะด้วย ซึ่งแน่นอนว่าย่อมมีการแปะโลโก้ของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมออกมาการันตีเคียงข้างกันอีกซะด้วย ก็ย่อมแสดงว่า ทางกระทรวงและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลรับรู้ รับทราบ ถ้าหากเป็นสื่อประชาสัมพันธ์ของท่านจริง โปรดฟังอาจารย์กฤษฎ์ อุทัยรัตน์ กับตรรกะที่คิดว่าไม่ป่วยและเหตุผลประกอบดังจะอธิบายการดังต่อไปนี้

► คำเตือน | อย่าเชื่อเพียงเพราะเขามีอำนาจ หรือกำกับดูแลกฎหมายหรือเพราะเป็นผม|เป็นใครบอก จนกว่าจะรู้จริงๆ อย่าตรึกตามอาการนะครับ ใช้หลักกาลามสูตร 10 ประการให้หนักแน่นเข้าไว้

❂ เพื่อไม่ให้เกิดความสับสนในวงกว้างและขยายความสับสนให้เกิดความอลหม่านกันทั่วแผ่นดินสยาม ก่อนกฎหมายจะใช้จริงๆ จังๆ ในวันที่ 1 มิถุนายน 2564 กลางปีหน้าฟ้าใหม่ของเราโปรดสดับด้วยสติขอรับ

✿ ด้วยความไม่สบายจิตของอาจารย์กฤษฎ์เอง ที่ได้เห็น แล้วอดรนทนไม่ไหว ขอให้ลองดูภาพประกอบจากที่ได้แนบมาใน f จะเห็นได้เลนครับว่าในการสื่อสารประชาสัมพันธ์ทำความ (ไม่) เข้าใจของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่พูดว่าพนักงานในหน่วยงาน องค์กรสถาบัน ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลโดยกล่าวไว้ว่าพนักงาน ลูกจ้างทุกระดับไม่ว่าจะเป็นเจ้าหน้าที่ ผู้จัดการหรือผู้บริหาร แม้จะมีอำนาจตัดสินใจก็เป็นเพียงตัวแทนหรือผู้แทนที่กระทำการในนามของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ประเด็นนี้น่าฉงนสงสัยอยู่ไม่น้อย ถ้าหากอ่านเลยไป ไม่ฉุกคิด ก็จะลุ่มหลงถูกทำให้เชื่อได้โดยไม่ใช้หลักกาลามสูตรมากลั่นมากรอง จนกลายเป็นดาบในคมที่อันตรายได้

✾ คำว่า ❝เป็นเพียงตัวแทนหรือผู้แทน กระทำการในนามของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น❞ คำพูดนี้ ถ้าหากว่าอ้างอิงความเป็นไปตามบทบัญญัติกฎหมาย PDPA มาตรา 81 ก็ถือว่าเป็นความเข้าใจที่ไม่ผิดนะครับ (อาจารย์มีแนบมาตรานี้มาในรูปที่ลงอีกรูปหนึ่งด้วย ไปอ่านดู) พอจะเข้าใจได้ แต่จะออกสื่อว่าไม่ใช่ Data Controller คุณใช้มาตราอะไรมาอ้างครับ ทั้งๆ ที่เมื่อไปส่องดูมาตรา 6 ให้ตาแหกกฎหมายได้ระบุอย่างชัดเจนเอาไว้เลยทีเดียวว่า ❝บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล❞ ยิ่งย้อนแย้งหนักข้อเข้าไปอีกเมื่อคุณอธิบายว่า ❝เป็นเพียงตัวแทนหรือผู้แทน กระทำการในนามของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น❞ มันจะไม่ไปพันยุ่งเหยิงกับนิยาม มาตรา 6 ของ ❝ผู้ประมวลผลข้อมูลส่วนบุคคล❞ หรึ ❓ก็อธิบายว่ากระทำการในนาม...ไว้ซะอย่างนั้น เฮ้อ❗️ยิ่งอธิบายนี่ ดิ้นไม่หลุดเลยนะครับ ทั้งๆ ที่คำอธิบายกลับไปเข้าทางให้มันคือ Data Processor ชัดๆ เหมือนขว้างงูไม่พ้นคอ เมื่อคิดจะให้เป็นดั่งใจตอนร่างกฎหมายทำไมไม่ร่างให้ตีความดั่งใจตั้งแต่แรกซะเลยเล่า รู้สึกเหนื่อยแทนนะจริงๆ

✽ กรุณาเบิ่งดูกฎหมายให้ดีๆ ใช้คำว่า ❝มีอำนาจหน้าที่ตัดสินใจ❞ นะครับ โฟกัสตรงนี้ให้ดีๆ ก็ในเมื่อมีอำนาจตัดสินใจ คุณจะสื่อ จะบอกว่าแม้จะมีอำนาจตัดสินใจ อ้าว! อะไรของคุณว่ะ คุณเล่นเขียนเองในแบบยอมรับซะแล้วนี่ครับ ว่ามีอำนาจตัดสินใจ แล้วจะ ❛แม้ว่า❜ ทำไม เพื่อจะบิดนิยามกฎหมาย ทำเพื่ออะไร ต้องแถออกไปแบบนั้น อยากให้เป็นดั่งใจมากนัก ไปแก้กฎหมายเลย ที่สำคัญสื่อแบบลอยๆ ล่องลอยมาตามลม จู่ๆ ก็โผล่ด้วยข้อความดังกล่าวไม่อ้างอิงข้อกฎหมายใดๆ ไม่มีตรรกะและเหตุผลใดๆ มาอธิบาย เล่นจับยัดให้ต้องเข้าใจ ก็จะเอาแบบนี้ มันไม่ได้ ดูทรงแล้วจะเพี้ยนนะครับ เหมือนตีหัวเข้าบ้าน ไม่อธิบาย ที่อธิบายมาก็ลอยๆ นี่ขนาดกฎหมายยังไม่ใช้เต็มรูปแบบ คุณก็ล่อซะมึนทั่วไทย ทั้งอลวนแถมอลเวงเข้าให้อีก ซึ่งถ้ามันมีปัญหามากนัก ทำไมไม่แก้นิยามไปเลยล่ะครับ งอกข้อความต่อท้ายนิยามของคำว่า ❛ผู้ควบคุมข้อมูลส่วนบุคคล❜ กับ ❛ผู้ประมวลผลข้อมูลส่วนบุคคล❜ ไปเลยสิครับว่า... ❝…ทั้งนี้ไม่รวมถึงบุคลากร พนักงาน ลูกจ้างหรือบุคคลที่ปฏิบัติงานให้นายจ้างหรือนิติบุคคล❞ เอาเลยครับ แต่ต้องหาที่ลงดีๆ ด้วยนะว่าจะเอาไอ้ที่ไม่รวมอ่ะ ไปไว้ที่ไหน มาตราอะไรดี แต่จะมาแถว่า มันคือเจตนารมณ์ในการร่าง เป็นแบบนี้มาตั้งแต่ก่อนคลอดและคลอดออกมา คุณพูดไม่ได้ เพราะในเมื่อคุณปล่อยมันจนบัญญัติออกมาเป็นกฎหมายแล้ว ใช้ทั้งแผ่นดินแล้ว ต้องหยุดความคิดดั้งเดิมขณะร่างไว้ในลิ้นชักปิดตายไปเลย อย่าได้สร้างความสับสนเพียง เพราะฅนเชื่อท่านและยอมเชื่อโดยไม่ค้นหาตรรกะ เหตุผลภายใต้ความเชื่อที่ท่านสื่อสารออกมา เพียงเพราะท่านเป็นสถาบัน เป็นองค์การที่กฎหมายรองรับและช่วยในการกำกับดูแลตามกฎหมาย PDPA กรุณาอย่านำข้อได้เปรียบนี้ มาทำให้เป็นต่อ อย่าทำแบบนั้นเลย อาจารย์กฤษฎ์เคยตีความกฎหมายแรงงานที่กระทรวงแรงงานตีความออกมาหลายเรื่อง ที่อาจารย์เห็นแย้งก็ได้รับการคลี่คลายในเวลาต่อมา เมื่อเรื่องเดินทางไปถึงศาล ท่านเองต้องตระหนัก รับผิดชอบในการตีความเพื่อการสื่อสารนะครับ จึงต้องตีความเคร่งครัดให้เป็นไปตามตัวบท ไม่ใช่ตามอำเภอใจหรือเจตนารมณ์ แบบลอยละล่องปลิวมาตามลม ถ้าอยากให้ได้ดั่งใจก็กรุณาแก้กฎหมายให้เป็นไปดั่งใจ ไม่ก็ให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสร้างกฎหมายลูกออกมาก่อน อาจารย์จะได้เงียบและยอมจำนน แก้กฎหมายด้วยซิครับแล้วค่อยมาว่ากันดีมั๊ย❔

✺ สื่อประชาสัมพันธ์อีกชุดนึงที่ถูกปล่อยออกมาว่อนโซเชียล เรื่อง ❛ใครเป็นใครใน PDPA❜ เมื่อไปดูในข้อ 3 ก็เป็นงง ไก่ตาแตกอีกแล้วครับท่าน ท่านเขียนเอาไว้ตอนแรกก็ถูกดีแล้ว แต่ตอนหลังมาแปลกเหมือนขึ้นต้นเป็นมะลิซ้อนพอแตกใบอ่อนดันกลายเป็นมะลิลาไปซะงั้น เอาหลักคิดก่อนนะครับ หลักกฎหมายมาตราใดเหรอครับที่ทำให้คิดได้ ในแบบที่สื่อออกมา คุณถึงได้สื่อแบบนั้นออกมาในข้อ 3 คุณสื่อให้เข้าใจไปในทำนองที่ว่า ❛ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor ห้ามไม่ให้เป็นพนักงาน หรือส่วนหนึ่งของหน่วยงาน องค์กร สถาบัน❜ อันนี้แปลกประหลาดมากครับ กรุณาไปเลย กลับไปลอง ไปอ่านมาตรา 6 ให้ดีๆ อ่านทุกตัวอักษร เบิ่งเนตรให้กว้างไว้ ท่านร่างเองนะ แล้วท่านก็งงซะเอง

✹ คำว่า ❝ผู้ประมวลผลข้อมูลส่วนบุคคล❞ หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

◉⃝ จะเห็นได้ชัดว่า ❝บุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ❛ตามคำสั่ง❜ ❞ (ประเด็นแรก) จะหมายความแถไปทางอื่นไม่ได้ ต้องเป็นลูกจ้างเท่านั้น เพราะต้องฟังคำสั่ง ไปศึกษาสัญญาจ้างแรงงานดีๆ เป็นสัญญาที่ถือการบังคับบัญชาสั่งการเป็นหัวใจสำคัญในการวินิจฉัยชี้ขาดความเป็นนายจ้างลูกจ้างกันตามกฎหมายว่าด้วยการคุ้มครองแรงงาน ท่านจะสั่งบุคคลหรือนิติบุคคลที่เป็น Second Party หรือ Third Party จากการ Outsourcing ให้มาเป็น Data Processor ไม่ได้ ฅนพวกนั้นไม่ได้เป็นลูกจ้างท่าน ห้ามไปซี้ซั้วสั่งให้เขาทำตาม แต่ต้องมอบหมายให้ทำ ❛ในนาม❜ (ประเด็นที่สอง) ตามสัญญาจ้างบริการประมวลผลข้อมูลส่วนบุคคล ขืนไปสั่งถ้าเป็นบุคคลธรรมดาได้ถูกตีความเป็นลูกจ้างตามกฎหมายว่าด้วยการคุ้มครองแรงงานจะพลอยซวยไม่รู้เรื่องตามมาได้ และ ❛คำสั่ง❜ นั้น โปรดจำไว้เลยว่าจะใช้กับนิติบุคคลที่จะจ้างมาเป็น Data Processor ไม่ได้นะจ๊ะ นี่ถือเป็นศาสตร์และศิลป์อันเป็นกลยุทธ์ในการตีความที่แยบคาย ไม่ใช่ถูกต้องตามกฎหมายหนึ่ง แต่ดันไปผิดอีกกฎหมายหนึ่ง ทั้งๆ ที่ในบริบทที่สอดคล้องต้องกัน อย่างนี้เหมือนไม่มืออาชีพและเป็นการรังแกกัน เอ๊ะ หรือว่า นิยามเขียนไม่ดี ไม่โดน และไม่ได้ดั่งใจ ขอตีความไปก่อน ค่อยไปตามแก้นิยาม หรือออกกฎหมายลูกมาเลยไวๆ จะได้จบๆ ลำพังสื่อประชาสัมพันธ์ไม่ใช่กฎหมายนะครับ ไม่ทำตามก็ได้ ถ้าไม่เคลียร์

❆ นี่ถ้าลูกจ้างฟ้องคดี PDPA พ่วงไปกับคดีแรงงานในศาลแรงงานขึ้นมาเมื่อไหร่ ศาลก็ต้องวินิจฉัยออกมาทำนองที่อาจารย์ว่าไว้นี้แหละ เพราะมีคำพิพากษาศาลฎีกาออกมามากมาย คุณอธิบายข้อ 3 มาดีๆ แต่มาตายตอนจบว่า ❝ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน/องค์กร/สถาบัน❞ แต่ดันไม่บอกว่าเพราะอะไร ทำไม มาตราใด และถ้าบุคลากร พนักงาน ลูกจ้างหรือบุคคลที่ปฏิบัติงานให้นายจ้าง หรือนิติบุคคล ไม่ใช่ Data Controller และ ไม่ใช่ Data Processor แล้วจะเป็นอะไรได้ กรุณาหยุดความสับสนได้แล้ว please และจะให้ดีอย่ากำปั้นทุบดิน ให้เสนอเหตุผล ตรรกะ ที่ซ่อนเร้นออกมาแถลงไขกันครับ ด้วยเหตุด้วยผล ไม่ยัดเยียดความเชื่อที่ปล่อยสื่อออกมา เจอฅนไม่อ่านกฎหมาย เข้าไม่ถึงแก่นนี่ จะเชื่อตามได้เลยนะครับ บางทีการฟังตามๆ กันมันเป็นจิตวิทยาหมู่ที่น่ากลัวไม่ต่างจาก Propaganda นะ สงสารองค์การเค้า ไหนจะหนักในการลงทุนด้าน IS (Information Technology) อยู่แล้วจะให้มาปวดหัวจากความสับสนอีก มันไม่ควร จึงอยากได้ฅนรู้จริงมาทำงานกำกับดูแลกฎหมาย และถ้าจะมีจระเข้ขวางคลองหรือก้างขวางคอแบบอาจารย์กฤษฎ์ ก็ขอให้มองบวกได้เลยว่าติเพื่อก่อ ถ้าฅนดูแลข้อมูลส่วนบุคคล ไม่ว่าจะเป็น Data Controller หรือ Data Processor ยังไม่ลงตัว อยู่อย่างนี้ประชาชน ลูกค้า ลูกจ้าง ฯลฯ ที่เป็นเจ้าของข้อมูลส่วนบุคคล (PII Principal/Data Subject) เห็นการเกี่ยงกันทำหน้าที่ ไม่รับผิดชอบ|ละทิ้งหน้าที่ แทนที่จะแย่งกันทำหน้าที่ตามนิยามกฎหมายที่เขียนมาชัดๆ อยู่แล้วและเดินหน้าต่อไป ถึงตอนนั้น เจ้าของข้อมูลส่วนบุคคล (PII Principal/Data Subject) อาจลุกขึ้นมาฟ้องท่านในวันที่ 1 มิถุนายน 2564 ซึ่งเป็นวันเดียวกันกับวันที่ Data Controller หรือ Data Processor หรือ ลูกจ้างและบุคคลตาม มาตรา 81 ต้องทำตามกฎหมาย PDPA วันแรกก็อาจเป็นไปได้ อย่าคิดแบบโลกสวยว่าวันที่กฎหมายใช้บังคับจริงจังวันแรกเป็นต้นไปทุกอย่างจะราบรื่นราบเรียบนะครับ กันไว้ก่อนเป็นดี

◈ และผมฝากให้คิดนะครับว่า ถ้าท่านตีความว่า บรรดาพนักงาน ลูกจ้างทุกระดับไม่ว่าจะเป็นเจ้าหน้าที่ ผู้จัดการหรือผู้บริหาร ส่วนหนึ่งของฅนที่อยู่ในหน่วยงาน องค์กร สถาบัน บุคลากร หรือบุคคลที่ปฏิบัติงานให้นายจ้างหรือนิติบุคคล อะไรเทือกนั้น ไม่เป็นทั้ง Data Controller และ Data Processor ท่านกำลังจะผลักให้บรรดาฅนเหล่านั้นไปอยู่ในมาตรา 81 นะครับ ซึ่งถ้าเป็นมาตรา 81 นี่คือหนักมาก เพราะจะต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้นๆ ด้วย แล้วถ้าตีความอย่างนั้น มันก็เข้าทางอาจารย์กฤษฎ์ซิครับ เพราะคำว่า ❝ต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้นด้วย❞ นี่สาหัสมาก นั่นคือ พนักงาน ลูกจ้างทุกระดับไม่ว่าจะเป็นเจ้าหน้าที่ ผู้จัดการหรือผู้บริหาร บุคลากร หรือบุคคลที่ปฏิบัติงานให้นายจ้างหรือนิติบุคคล ก็จะซวยซ้ำซวยซ้อน เพราะมาตราที่พูดถึงบทลงโทษที่ตีความไปถึงนิติบุคคลนั้นเยอะทีเดียวนะครับที่จะเอาผิดนิติบุคคลที่เป็นตัวการ แล้วมองฅนเหล่านั้นว่าเป็นตัวแทนเนี่ยอ่ะนะ แล้วท่านอยากให้พวกเขาเหล่านั้นรับโทษรับกรรมหนักๆ จริงๆ เหรอครับ หรือไม่ได้คิดเผื่อประเด็นนี้ไว้เลย จะอยากสมปรารถนาสนองความคิดและเชื่อโดยหาทางลง (ทางออก) สวยๆ ไม่ได้ มันเกินไป แทนที่จะตีความตามนิยามให้ชัดแจ้ง แบ่งแยกไปเลยว่า ข้อมูลที่พวกเขาดูแลอยู่นั้น เขาเหล่านั้นเป็น Data Controller และ Data Processor ในบริบทใด (ยอมรับให้แสดงเป็นไปตามบทบาทไปเลย มันจะตายและเสียหายตรงไหนมิทราบ แทนที่จะให้ขยัน ดันตีความให้ขี้เกียจบริหารข้อมูลส่วนบุคคล เออ แปลก) สำหรับข้อมูลชุดนั้นๆ ถ้าทำผิดขึ้นมาก็ไปรับโทษตามสถานะนั้นๆ ซิ ไม่ง่ายกว่าหรือ ตรงไปตรงมากว่า ดังนั้นในการตีความกฎหมายจะตีความให้เป็นโทษแก่พนักงาน ลูกจ้างทุกระดับไม่ว่าจะเป็นเจ้าหน้าที่ ผู้จัดการหรือผู้บริหาร บุคลากร หรือบุคคลที่ปฏิบัติงานให้นายจ้างหรือนิติบุคคล มันไม่มีใครเขาทำกันนะครับ และการคิดว่าเอาพวกเขาออกไป พวกเขาจะยินดีว่าไม่ต้องรับผิด (ชอบ) ในฐานะ Data Controller / Data Processor แล้วโว้ย ปลอดภัย ลอยตัว แต่ถ้าศาลคิดต่างขึ้นมานี่ บรรลัยเลยนะ มันไม่แฟร์ คิดใหม่เถอะครับ

♦ อาจารย์กฤษฎ์ฟันธงอีกครั้ง ธงเก่าขาดไปล่ะ ว่า... พนักงาน ลูกจ้างทุกระดับไม่ว่าจะเป็นเจ้าหน้าที่ ผู้จัดการหรือผู้บริหาร บุคลากร หรือบุคคลที่ปฏิบัติงานให้นายจ้างหรือนิติบุคคล เป็นได้ทั้ง Data Controller และหรือ Data Processor ถ้าเข้านิยามกฎหมายและฟ้องด้วยพฤติการณ์สำหรับข้อมูลส่วนบุคคลชุดนั้นๆ ที่เขาเหล่านั้นเก็บรวบรวม ใช้และเปิดเผย แถมยังตกเป็นผู้รับโทษตามความผิดนั้นๆ ตามมาตรา 81 แต่จะเป็นการเฉพาะเจาะจงไปเลยซะด้วย คือผิดก็ว่ากันตามแต่กรณี ว่าไปตามบริบทนั้นๆ ไม่ต้องรับเละเจอข้อหากวาดมารวมเหมาๆ ซึ่งรายละเอียดไปหาซื้อเอา มีทั้งหลักการและรายละเอียดเรื่องนี้ถูกเขียนไว้ในหนังสือที่อาจารย์แต่งขึ้นมาเองคือ ❝บทสรุป PDPA กฎหมายคุ้มครองข้อมูลส่วนบุคคล❞ | PDPA Law Compendium ราคา 300.- (ไม่รวมค่าส่ง) สั่งซื้อที่ LINE ID : @dharmnitibook หรือ เว็บไซด์ http://bitly.ws/aECU ถ้าสนใจ อันนี้ไม่ได้มาขายหนังสือ มีสอบถามมา จึงบอก ไม่บังคับ

★.• • ฉะนั้น กลับไปหาจุดและทำความเข้าใจเชื่อมโยงกันให้ดีๆว่า Data Controller กับ Data Processor ใครเป็นใครกันแน่ให้ดีๆ หากบรรดาพนักงาน ลูกจ้างทุกระดับไม่ว่าจะเป็นเจ้าหน้าที่ ผู้จัดการหรือผู้บริหาร ส่วนหนึ่งของฅนที่อยู่ในหน่วยงาน องค์กร สถาบัน บุคลากร หรือบุคคลที่ปฏิบัติงานให้นายจ้างหรือนิติบุคคล ไม่เป็น Data Controller แล้วใครจะเป็นว่ะ❓ ตีความแคบมากนะครับ เพราะเห็นจะมีแต่กรรมการบริษัท ผู้รับมอบอำนาจจากกรรมการเท่านั้นหรึ ฉะนั้นกรรมการบริษัทกับผู้รับมอบอำนาจ ได้ตาย h’า แน่งานนี้ แล้วถ้าฅนเหล่านั้นไม่เป็น Data Processor แล้วไอ้ที่เอาข้อมูลส่วนบุคคลมาเก็บรวบรวม ใช้ เปิดเผยในองค์การ เช่น ฝ่ายบุคคลเก็บประวัติพนักงานเพื่อใช้ทำข้อมูลบริหารและพัฒนาบุคลากร ฝ่ายลูกค้าสัมพันธ์เอาข้อมูลลูกค้าไปวิเคราะห์ ฝ่ายจัดซื้อรับข้อมูลประวัติลูกจ้างผู้รับเหมาที่ถูกส่งมาทำงานให้สถานประกอบการตนเอง ฝ่ายเทคโนโลยีสารสนเทศเอาข้อมูลลูกค้า ลูกจ้าง คนงานผู้รับเหมามาประมวลผล ฝ่ายต้อนรับเอาข้อมูลผู้เยี่ยมชม ผู้มาติดต่องานไปใช้ตรวจสอบ ฯลฯ เขาและเธอฅนนั้นเป็นใครเหรอครับ สถานะอะไร ก็ไม่เห็นจะสื่อออกมาให้เคลียร์ใจ บอกแต่ว่าไม่ใช่ๆ อย่างเดียว ไอ้ที่ใช่ดันไม่บอก มันใช่การแก้ปัญหาความสับสนมั๊ยครับ กระทรวง MDES และ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ...เอ้า❗️เอาไปคิดในทางกลับกันด้วย ไม่งั้นได้ยุ่งเป็นลิงแก้แห หรือถูกกะปิกันเลยทีเดียว 555

•۰•● จงจำเอาไว้ว่ามีความแตกต่างกันในเรื่องที่ชี้บ่งว่าใครมีอำนาจหน้าที่ตัดสินใจเป็นตัวแปรสำคัญด้วยนะ (พิจารณาจากการได้รับมอบอำนาจมา ,มีสัญญาจ้างระบุไว้ ,มีคำสั่งให้อำนาจ ,พฤตินัยใช้อำนาจได้ ,Job Description/Job Assignment ระเบียบ แนวปฏิบัติ คู่มืออำนาจดำเนินการระบุให้อำนาจ ฯลฯ) |หรือใครที่ถูกชี้บ่งว่าไม่มีอำนาจหน้าที่ตัดสินใจ แต่เป็นแค่ผู้ดำเนินการ ❝ตามคำสั่งหรือในนาม❞ และถ้าทำ ❛ตามคำสั่ง❜ ก็ต้องมีสถานะเป็นลูกจ้างถึงจะทำตามคำสั่งได้ จะไปมีอำนาจหน้าที่ตัดสินใจได้อย่างไรกัน จริงมั๊ย ดังนั้นก็เป็น Data Processor มันชัดอยู่แล้ว กับอีกประเด็นหนึ่งคือดำเนินการในนาม คำว่า ❛ในนาม❜ ก็ขึ้นอยู่กับว่านิติบุคคลที่เป็น Data Controller นั้นจะไป Outsource (มอบหมาย) ให้บุคคลหรือนิติบุคคลอื่นมาทำหน้าที่ (ในนามตัวเอง) หรือไม่ ถ้าใช่ ก็เป็น Data Processor ได้เหมือนกัน โดยที่กฎหมายก็เขียนบอกกันชัดๆ จะๆ ในมาตรา 40 วรรค 3 ว่า Data Controller ต้องจัดให้มีข้อตกลงเพื่อควบคุม Data Processor ซึ่งอาจารย์เรียกว่า DPA มาจาก Data Processing Agreement ตรงนี้ก็ต้องจัดทำให้มีขึ้นและต้องไปดูหน้าที่ของ Data Controller ให้ดีๆ ถูกเขียนในมาตรา 37 ส่วนหน้าที่ของ Data Processor ถูกเขียนไว้ในมาตรา 40 กฎหมายแยกกันอยู่ต่างมาตรา ไปทำความเข้าใจกันให้ดีๆ แถมยังมีข้อยกเว้นด้วย ให้เข้าใจตรงกันนะครับ ไม่เห็นยากและต้องคิดเลยเถิดไปไกลเลย ในการตีความกฎหมายนั้นไม่อาจหยั่งรากลึกถึงเจตนารมณ์ของผู้ร่างกฎหมายได้นะครับ เพราะมันเป็นกฎหมายที่ออกมาใช้บังคับทั้งแผ่นดิน ขึ้นอยู่กับการตีความตามตัวบทกฎหมาย ซึ่งอาจจะมองไม่เหมือนกันได้ ทั้ง 3 อำนาจอธิปไตยไม่ว่าจะเป็นอำนาจนิติบัญญัติ | อำนาจบริหารและอำนาจตุลาการ ขนาดศาล 3 ศาล หรือต่างศาลกัน ยังตัดสินออกมาไม่เหมือนกันเลย แต่บรรทัดฐานกลางมันต้องมีเหมือนกัน ตัดสินต่างกันตามปัจจัยและข้อเท็จจริงแวดล้อมไม่เป็นไร

▫️แล้วจะเอาไงต่อ เชื่อใครดี❓ เชื่อตัวเองครับดีที่สุด ซึ่งมันก็แล้วแต่ท่าน ไต่ตรอง ขบคิด พินิจถึงผลดีผลเสียที่จะตามมา ถ้าท่านเชื่อและทำตามสื่อของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ถ้าเกิดเรื่องทำผิดขึ้นมา มันจะเป็นไปตามมาตรา 81 (ถ้าระวังดีพอก็ปลอดภัยในมาตรานี้) และ + โทษอาญา + โทษทางแพ่ง + โทษปรับทางปกครอง ไปกันใหญ่เลย อ้าวมัยงั้นอ่ะ❓เป็นอย่างนั้นครับ ก็เพราะคุณไม่มองให้เป็น Data Controller หรือ Data Processor ตั้งแต่แรก คือละทิ้งมันไปเลย ก็เลยทำให้เราลำพองใจว่าต้องใช่ตามที่เขาบอก แน่นอนว่าเราก็จะไม่ใส่ใจ จึงวางเฉย ไม่ระมัดระวัง ไม่ได้ปฏิบัติตามกฎหมายในส่วนที่เชื่อแบบนั้นไปได้เหมือนกัน หากเจอคำพิพากษาออกมา แล้วคุณแพ้คดี เพราะศาลคิดเหมือนอาจารย์ขึ้นมา เท่ากับว่าท่านฝ่าฝืน ไม่ปฏิบัติตามกฎหมายในส่วนที่ต้องทำในสถานะ Data Controller หรือ Data Processor มีโทษหนักนะครับ แพ่ง อาญา ปรับทางปกครองจะพาเหรดตามๆ กันมา...แต่ถ้าตีความอย่างอาจารย์กฤษฎ์ เท่ากับว่าอาจารย์ให้คุณเตรียมพร้อมรับมือในสถานะ Data Controller หรือ Data Processor ตามแต่บริบทและบทบาทที่คุณมีอำนาจตัดสินใจหรือมีแค่รับคำสั่งมาทำการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลฅนนั้นๆ แต่เนิ่นๆ ฉะนั้นโอกาสรอดและลดความเสี่ยงจากโทษอาญา + โทษทางแพ่ง + โทษปรับทางปกครองจึงมีมากขึ้นและโอกาสจะไม่ทำให้พลาด เกิดเป็นความผิดมีสูงมากขึ้น เพราะเราทำอย่างเคร่งครัดระมัดระวังดีพอนั่นเอง เผลอๆ ความผิดตามมาตรา 81 ก็หมดห่วงไปได้ด้วยเหมือนกัน มันแปรผันตรงกันครับ ยิ่งถ้าเราระมัดระวังดีพอก็หลุดไปด้วยครับ Happy กว่ากันเยอะ และเป็นการคิดแบบ PA (Preventive Action) ความเสี่ยงต่ำ อันเป็นหัวใจสำคัญของหลักการ MS (Management System) ที่เป็นส่วนผสม 1 ใน 3 ของ PDPA law ถึง 50% ตามที่อาจารย์ระบุไว้ในงานเขียนของอาจารย์แล้วนั่นเอง คิดแบบป้องกันไว้ก่อน ดีกว่าแก้ไขในภายหลังนะ ว่าม๊ะ เวลาทำผิดกฎหมายขึ้นมาฅนแนะนำไม่ได้ร่วมเขย่าลูกกรง (ติดคุก) โดนปรับไปกับท่านด้วยนี่

▪️ดังนั้น ในส่วนของอาจารย์กฤษฎ์เอง จะมองหลักสมดุลของการใช้กฎหมายและการตีความบทบัญญัติของกฎหมาย ให้เป็นธรรม สุจริต เกิดประโยชน์ ลดความเสี่ยง ใส่ใจผลกระทบ ไม่ให้ส่งผลร้ายจนเกินสมควรและต้องก่อให้เกิดความสงบเรียบร้อย ใช้บังคับได้ เป็นไปตามเจตนารมณ์ของกฎหมาย ย้ำ❗️ว่าเจตนารมณ์ของกฎหมาย…ไม่ใช่เจตนารมณ์ของฅนหรือคณะที่ร่างกฎหมายนะครับ เราจะแปลและตีความกฎหมายโดยอำเภอใจไม่ได้เด็ดขาด ก็เพราะมันมีผลกระทบต่อผู้มีส่วนได้ส่วนเสียในวงกว้างอย่างแท้จริงยังไงล่ะครับ ขอให้ทราบไว้ด้วย จะขอบพระคุณยิ่ง

#ไผเป็นไผ Who is who #ว่าซั่น

ด้วยจิตคารวะ |

อาจารย์กฤษฎ์ อุทัยรัตน์®: นักวิทย์ศิลป์™

✦ใช่ ก็กดจิ ✦ดี ก็กดรัก ✦น่านัก กดแชร์ ✦ชอบแน่ๆ ช่วยกดติดตาม

✅ ยินดีให้แชร์ได้ตาม

⚖️ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 *.:｡✿*ﾟ’ﾟ･✿.｡.

▫️[PDPL ' Personal InformationData Protection (Privacy) Law]

PDPA จะมีผลใช้บังคับ 27 พฤษภาคม 2563 ปูพรมให้ไปใช้บังคับ 1 มิถุนายน 2564 แบบจริงจัง

【 MANAGEMENT sᵞsTEM + LEGAL】

#PDPA #กฎหมายคุ้มครองข้อมูลส่วนบุคคล #PrivacyPolicy #เราจะผ่านไปด้วยกัน #มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ✚ #Extension_AJK #PDSM #PersonalDataSecurityMeasures #มาตรฐานที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมกำหนด #SPDS #SecurityOfPersonalDataStandard #MDES #กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม #MinistryofDigitalEconomyandSociety. #สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล #คณะกรรมการคุ้มครองข้อมูลสวนบุคคล

•

บทส่งท้าย

ᴰ10ᴹ12ᵞ2563

			❛ขึ้นต้นเป็นมะลิซ้อน พอแตกใบอ่อนเป็นมะลิลา❜ กับ ❛ความสับสน มืดมนอนธกาล❜ หรือไม่ ❓ลองอ่านบทวิเคราะห์ฉบับนี้ ซึ่งมันมีประเด็นสร้างจนเกิดความสับสนในวงกว้าง โดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ร่วมกับ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ออกสื่อเผยแพร่ จนผมต้องขอแย้งด้วยเหตุและผล และขอตั้งข้อสังเกตก่อนจะเลยเถิดออกไปถึงวันที่ 1 มิถุนายน 2564 ซึ่งกฎหมาย PDPA จะปูพรมใช้ทั่วทั้งแผ่นดินสยาม

			เป็นเรื่องความ (ไม่) เข้าใจ ที่เกี่ยวข้องกับฅน 3 ฅน ที่อลหม่านสับสนได้แก่ ❝Data Controller❞ | ❝Data Processor❞ และ ❝Employeee❞ (ขอใช้แทน บรรดาพนักงาน ลูกจ้างทุกระดับไม่ว่าจะเป็นเจ้าหน้าที่ ผู้จัดการหรือผู้บริหาร ส่วนหนึ่งของฅนที่อยู่ในหน่วยงาน องค์กร สถาบัน บุคลากร หรือบุคคลที่ปฏิบัติงานให้นายจ้างหรือนิติบุคคล แบบเหมาๆ) ซึ่งเป็นเรื่องไม่ธรรมดา ถ้าหลงเข้าใจผิดนี่ เตลิดเปิดเปิงกันเลยทีเดียว

			⭕️ มาล้อมวงโสเหล่ (Zolaé™) กัน อาจารย์กฤษฎ์จะเล่าให้ฟัง

			 http://bit.do/Controller-Processor-Employee-Who-is-who

			 

			อีกรูปแบบของข้อความที่ลงใน f อาจเหมือนไม่ทั้งหมดครับ

•

กลุ่มธุรกิจให้บริการ : พัฒนาองค์การ ให้คำปรึกษาธุรกิจและการเรียนรู้

กลุ่มธุรกิจให้บริการ : ส่งออกและนำเข้า

กลุ่มธุรกิจให้บริการ : อาหาร เครื่องดื่มและไลฟ์สไตล์

กลุ่มธุรกิจให้บริการ : บทความ วิชาการ ตำราและหนังสือ

กลุ่มธุรกิจให้บริการ : อื่นๆ