ความรับผิดและความคุ้มครองความรับผิดของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่เป็นลูกจ้าง
收藏DataCite Commons2025-09-22 更新2026-05-04 收录
下载链接:
http://doi.nrct.go.th/?page=resolve_doi&resolve_doi=10.14457/TU.the.2024.883
下载链接
链接失效反馈官方服务:
资源简介:
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ Data Protection Officer (DPO) เป็นตำแหน่งหน้าที่ที่ปรากฏอยู่ในกฎหมายข้อมูลส่วนบุคคลทั้งในต่างประเทศและในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯ) มาตรา 42 ของพระราชบัญญัตินี้ได้มีการกำหนดหน้าที่ของ DPO ไว้ อันได้แก่ การให้คำแนะนำและการตรวจสอบการดำเนินงานเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลซึ่งดำเนินการโดยผู้ควบคุมหรือผู้ประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมถึงหน้าที่ในการรายงานปัญหาต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และหน้าที่ในการรักษาความลับของข้อมูลส่วนบุคคลที่ได้ล่วงรู้จากการปฏิบัติหน้าที่ ทั้งนี้ สำหรับประเด็นเรื่องความรับผิดนั้น นอกจากมาตรา 80 ของพระราชบัญญัติดังกล่าวที่บัญญัติถึงความรับผิดของผู้ที่ได้ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้และนำไปเปิดเผยแก่ผู้อื่น ซึ่งครอบคลุมถึงกรณี DPO ด้วยนั้นแล้ว ก็มิได้มีบทบัญญัติอื่นใดในพระราชบัญญัตินี้ที่กำหนดความรับผิดของ DPO ไว้เป็นการเฉพาะเจาะจง เมื่อเปรียบเทียบกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสิงคโปร์ที่แม้จะไม่ได้มีการบัญญัติความรับผิดของ DPO ไว้เป็นการเฉพาะเช่นเดียวกัน แต่กฎหมายของสิงคโปร์นี้ได้มีการบัญญัติถึงความรับผิดของพนักงานในองค์กรหรือบุคคลที่เกี่ยวข้องกับการจัดการขององค์กรซึ่งอยู่ในฐานะที่มีอิทธิพลต่อการดำเนินการที่เกี่ยวข้องกับการกระทำความผิดขององค์กร โดยบทบัญญัติดังกล่าวสามารถตีความรวมถึง DPO ให้มีความผิดเช่นเดียวกับองค์กร หากการฝ่าฝืนกฎหมายขององค์กรเกิดจากการที่ DPO เป็นผู้ยินยอมรู้เห็นเป็นใจสมคบคิดกับผู้อื่นเพื่อให้เกิดการกระทำความผิด หรือได้มีเจตนาที่จะละเว้นเพื่อให้เกิดการกระทำความผิด หรือรู้หรือควรมีเหตุผลที่จะรู้ว่าการกระทำความผิดขององค์กรจะเกิดขึ้น หรือละเลยที่จะดำเนินการตามขั้นตอนที่สมควรที่จะกระทำเพื่อป้องกันหรือหยุดการฝ่าฝืนกฎหมายที่จะเกิดขึ้น บทบัญญัติในลักษณะดังกล่าวทำให้ทราบว่าการกระทำของบุคคลที่เกี่ยวข้องในลักษณะใดจะมีความรับผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล นอกจากกรณีขอบเขตความรับผิดของ DPO แล้ว ประเด็นการให้ความคุ้มครอง DPO ในการปฏิบัติหน้าที่ก็มีความสำคัญมากเช่นกัน โดยเฉพาะอย่างยิ่ง DPO ที่เป็นลูกจ้าง เมื่อพิจารณาจากบทบัญญัติมาตรา 42 วรรค 3 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯ ที่ห้ามมิให้ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลไล่ DPO ออกจากงานหรือเลิกสัญญาจ้างจากการปฏิบัติหน้าที่แล้วนั้น อาจพิจารณาได้ว่าวิธีการคุ้มครอง DPO ดังกล่าวยังไม่เพียงพอกับข้อเท็จจริงที่อาจเกิดขึ้นในทางปฏิบัติ เหตุผลก็คือหากเป็นกรณีที่ไล่ DPO ออกหรือเลิกจ้าง DPO โดยมิได้มีสาเหตุมาจากการปฏิบัติหน้าที่ เช่นนี้แล้ว DPO ก็จะไม่ได้รับความคุ้มครองตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลฯ เมื่อเปรียบเทียบกับกฎหมายคุ้มครองข้อมูลเยอรมนีที่มีการบัญญัติหลักเกณฑ์การเลิกจ้างที่ชัดเจนกว่า โดยบัญญัติให้ผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคลไม่สามารถเลิกจ้าง DPO ได้เว้นแต่มีเหตุอันสมควรโดยไม่ต้องโดยไม่ต้องบอกกล่าวล่วงหน้า กล่าวคือ การที่จะเลิกจ้าง DPO ตามกฎหมายนั้นนอกจากจะต้องพิจารณาว่าการเลิกจ้าง DPO มิได้มีสาเหตุมาจากการปฏิบัติหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลแล้ว ต้องพิจารณาด้วยว่ามีเหตุอันสมควรที่จะเลิกจ้างได้โดยไม่ต้องบอกกล่าวล่วงหน้าหรือไม่ นอกจากนี้เมื่อเปรียบเทียบกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปซึ่งได้มีการบัญญัติคุ้มครอง DPO โดยห้ามมิให้ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลไล่ DPO ออกจากงานหรือลงโทษ DPO จากการปฏิบัติหน้าที่ จะเห็นได้ว่ากฎหมายของสหภาพยุโรปมีขอบเขตในการคุ้มครอง DPO ที่กว้างกว่าเพียงการเลิกจ้าง เนื่องจากกฎหมายดังกล่าวครอบคลุมไปถึงกรณีลงโทษในลักษณะอื่นๆ ด้วยจากข้อเสนอแนะในการค้นคว้าอิสระดังกล่าว ผู้เขียนมีความเห็นว่าควรมีการบัญญัติขอบเขตความรับผิดของ DPO ให้มีความชัดเจนเพื่อมิให้เกิดปัญหาในการเรียกร้องให้ DPO ต้องรับผิด นอกจากนี้ ยังควรมีการกำหนดรายละเอียดเกี่ยวกับความคุ้มครอง DPO ให้มีความเหมาะสมและสอดคล้องกับสภาพการจ้างงานและทางปฏิบัติ เพราะความคุ้มครองทางกฎหมายที่ชัดเจนและเหมาะสมจะนำมาซึ่งความเชื่อมั่นและความเป็นอิสระในการปฏิบัติหน้าที่แก่ DPO และทำให้ DPO สามารถปฏิบัติงานปกป้องข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพตามเจตนารมณ์ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯ
提供机构:
มหาวิทยาลัยธรรมศาสตร์
创建时间:
2025-09-22
