i-PDPA
มีกรณีศึกษาที่น่าสนใจอยู่กรณีหนึ่งเกี่ยวกับ PDPA เรื่องมีอยู่ว่า บริษัทแห่งหนึ่งเปิด Folder ให้พนักงานแต่ละคนเก็บข้อมูลที่เกี่ยวกับการทำงานลงใน One Drive โดยมีข้อกำหนดว่าห้ามไม่ให้พนักงานเก็บข้อมูลส่วนตัวหรือข้อมูลอื่นที่ไม่ใช่ในงานมาลงไว้ใน One Drive
ปรากฎว่า มีพนักงานขอลาออกให้มีผลวันที่ 1 เมษายน และเมื่อครบกำหนดวันพ้นสภาพพนักงาน ระบบ IT จะเข้าไปล็อกระบบเพื่อทำการ Cleansing ข้อมูลที่มีอยู่ในนั้น แต่พนักงานซึ่งพ้นสภาพไปแล้ว มาขอใช้สิทธิการขอเข้าถึงข้อมูลส่วนบุคคลที่เจ้าตัวเก็บไว้เอง กรณีนี้บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลควรทำอย่างไร
ความเห็นของ i-PDPA
กรณีนี้ i-PDPA เห็นว่า บริษัทในฐานะผู้ควบคุมข้อมูลส่วนบุคคลไม่ได้เป็นผู้เก็บรวบรวม ใช้ เปิดเผย หรือส่งต่อข้อมูลส่วนบุคคลดังกล่าว ที่จะเข้าข่ายการเป็นจุดตั้งต้นของการเป็นผู้ควบคุมข้อมูลส่วนบุคค อีกทั้งไม่ได้ใช้ประโยชน์อะไรจากข้อมูลส่วนบุคคลที่ว่านี้ ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจึงสามารถปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ท่านนี้ ได้ โดยอ้างเหตุของการมีอยู่ของข้อมูลนั้น ไม่ได้มาจากกระบวนการทำงานภายใต้ผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องเก็บรวบรวม ใช้เปิดเผยข้อมูลนั้น
อย่างไรก็ตามหาก DPO จะดำเนินการเพื่อช่วยพนักงานในการประสานงานกับหน่วยงาน IT ว่า มีช่องทางจะกู้ข้อมูลมาได้หรือไม่ ก็เป็นการดำเนินการในฐานะเพื่อนร่วมงาน ไม่ใช่ในบทบาทของ DPO
เป็นความเห็นของ i-PDPA ที่หากท่านผู้รู้มีความเห็นหรือข้อแนะนำเพิ่มเติม เรายินดีแลกเปลี่ยนความเห็นและมุมมองครับ