Check list การเตรียมความพร้อม PDPA ของหน่วยงาน
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีรายละเอียดหลายประการที่องค์กรจะต้องจัดเตรียม ทั้งในด้านของเอกสารและกระบวนการ บทความนี้ได้รวบรวมข้อสรุปเบื้องต้นในการตรวจสอบความพร้อม
องค์กรสามารถนำข้อสรุปเบื้องต้นนี้ไปพิจารณาประกอบ เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลขององค์กรเป็นไปอย่างมีประสิทธิภาพ และสอดคล้องกับบทบัญญัติของกฎหมาย ผู้เขียนจำแนกเป็น 2 ส่วนคือ ข้อกำหนดตามกฎหมายที่ให้องค์ต้องจัดทำและตัวอย่างแนวปฏิบัติที่ดีภายในองค์กร
ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีข้อกำหนดตามกฎหมายให้องค์กรในฐานะผู้ควบคุมข้อมูลปฏิบัติหลายหลายประการ อาทิ
(1) การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในกรณีตามที่กำหนดไว้ในมาตรา 41 ซึ่งอาจแต่งตั้งจากพนักงานภายในองค์กรหรือแต่งตั้งผู้รับจ้างให้บริการตามสัญญา
(2) การจัดทำประกาศความเป็นความส่วนตัว หรือที่คุ้นเคยกันในชื่อของ Privacy Notice ซึ่งเป็นการแจ้งเจ้าของข้อมูลส่วนบุคคลเพื่อให้ทราบเกี่ยวกับรายละเอียด วิธีการ การดำเนินการต่าง ๆ เกี่ยวกับข้อมูลส่วนบุคคล โดยกฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล ตามมาตรา 23
(3) การจัดทำบันทึกรายการกิจกรรมการประมวลผล (Records of Processing Activities) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดให้องค์กรมีหน้าที่ในการจัดให้มีบันทึกรายการกิจกรรมอย่างน้อยตามที่ระบุไว้ในมาตรา 39 เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานฯ สามารถตรวจสอบได้
(4) การจัดทำแบบคำขอความยินยอม (Consent Form) ในกรณีที่มีความจำเป็นต้องใช้ความยินยอมเป็นฐานทางกฎหมายในการประมวลผล หลักเกณฑ์ในการขอความยินยอมต้องเป็นไปตามมาตรา 19 ประกอบมาตรา 20 เช่น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมถึงต้องคำนึงถึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคล
แต่ทั้งนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (คณะกรรมการฯ) อาจกำหนดแบบและข้อความในการขอความยินยอมได้ในอนาคต อย่างไรก็ตาม ในกิจกรรมการประมวลผลใดบ้างที่อาจจะต้องใช้ “ความยินยอม” ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ตรวจสอบและสอบทานให้สอดคล้องกับข้อกฎหมาย ลักษณะของกิจกรรมการประมวลผล และความสัมพันธ์ระหว่างองค์กรกับเจ้าของข้อมูลส่วนบุคคล
(5) การจัดทำข้อตกลงการประมวลผล (Data Processing Agreement) โดยข้อตกลงดังกล่าวเป็นข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามมาตรา 40 วรรคสาม ซึ่งรายละเอียดของข้อสัญญาและข้อตกลงอื่น ๆ เป็นเรื่องที่คู่สัญญาควรตกลงกันให้สอดคล้องกับกิจกรรมการประมวลผลและความเสี่ยงที่เกี่ยวข้อง แต่อย่างน้อยสัญญาต้องมีเงื่อนไขตามที่กำหนดไว้ในมาตรา 40 วรรคหนึ่ง
อนึ่ง นอกจากกรณีที่กล่าวมาข้างต้น องค์กรยังมีเอกสารอื่นตามกฎหมายที่อาจจัดเตรียมอีกด้วย อาทิ มาตรการเมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลและกระบวนการแจ้ง แบบการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อเจ้าของข้อมูลส่วนบุคคล รายละเอียดภาระงานของ DPO แบบฟอร์มขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล แบบประเมินความเสี่ยงผลกระทบต่อสิทธิและเสรีภาพของบุคคล หรือรายงานผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล นโยบายระยะเวลาการจัดเก็บข้อมูล นโยบายการทำลายข้อมูล เป็นต้น
อย่างไรก็ตาม รายละเอียดเอกสารข้างต้นเป็นเพียงตัวอย่างให้ท่านเป็นแนวทางในการจัดเตรียมเอกสาร องค์กรอาจมีการปรับเปลี่ยนได้ตามความเหมาะสมของลักษณะกิจการหรือขนาดของกิจการ
สำหรับการเตรียมความพร้อมขององค์กรที่เป็นแนวปฏิบัติที่ดี (Best Practices) เนื่องจากอาจขึ้นอยู่กับรูปแบบขององค์กรหรือระบบการบริหารจัดการภายใน ซึ่งกรณีดังต่อไปนี้เป็นเพียงตัวอย่างให้ท่านสามารถนำไปพิจารณาเป็นแนวทางเบื้องต้น
(1) การจัดตั้งคณะทำงาน PDPA ภายในหน่วยงาน (PDPA Working Team) เนื่องจากกฎหมายไม่ได้เกี่ยวข้องเฉพาะกับแผนกใดแผนกหนึ่งในองค์กรเท่านั้น อาจมีหลายฝ่ายที่เกี่ยวข้องกับข้อมูลส่วนบุคคล การจัดตั้งเป็นคณะทำงาน PDPA จึงจะทำให้องค์กรสามารถบริหารจัดการข้อมูลส่วนบุคคลได้มีประสิทธิภาพมากขึ้น
(2) การสำรวจข้อมูลภายในหน่วยงาน (Data Inventory) เพื่อประโยชน์ในการพิจารณากำหนดฐานการประมวลผลหรือการจัดทำบันทึกรายการกิจกรรมการประมวลผล การสำรวจข้อมูลจะทำให้สามารถวางแผนการคุ้มครองข้อมูลส่วนบุคคลและอธิบายถึงเหตุผลความจำเป็นในการประมวลผลข้อมูลส่วนบุคคลนั้นได้
(3) การจัดทำนโยบายและแนวปฏิบัติของหน่วยงาน (Privacy Policy and Codes of Practice) การจัดทำนโยบายเป็นการกำหนดทิศทางภายในองค์กรที่ต้องการจะสื่อสารกับพนักงานในการประมวลผลข้อมูลส่วนบุคคล เพื่อให้สอดคล้องกับหลักการตามกฎหมาย ซึ่งเป็นการกำหนดแนวทางในภาพรวม และสำหรับรายละเอียดอาจกำหนดเป็นแนวปฏิบัติที่มีเนื้อหาชัดเจนอธิบายขั้นตอน หรือกระบวนการอย่างครอบคลุมมากขึ้น
(4) การจัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (Data Sharing Agreement) ในการดำเนินธุรกิจอาจมีการแลกเปลี่ยนข้อมูลกันระหว่างองค์กร การจัดการความรับผิดหรือขอบเขตในการแลกเปลี่ยนข้อมูลระหว่างกันจึงเป็นสิ่งสำคัญที่ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลด้วยกันจะมีแนวปฏิบัติต่อกันอย่างไร ต้องใช้ข้อมูลส่วนบุคคลที่ได้รับการเปิดเผยมาในขอบเขตอย่างไร
(5) การสร้างความตระหนักรู้และฝึกอบรม (Capacity Building and Awareness Raising) เนื่องจาก PDPA เป็นกฎหมายใหม่ในสังคมไทย ซึ่งองค์ความรู้มีการเปลี่ยนแปลงและพัฒนาอยู่ตลอด อีกทั้งเทคโนโลยีที่มีความก้าวหน้ามากขึ้น ดังนั้น เพื่อให้พนักงานมีความรู้ความเข้าใจและปฏิบัติต่อข้อมูลส่วนบุคคลอย่างถูกต้องจึงต้องมีการสร้างความตระหนักรู้และฝึกอบรมอย่างต่อเนื่องด้วย
(6) การกำกับดูแลและตรวจสอบอย่างสม่ำเสมอ (Audit and Compliance)
การคุ้มครองข้อมูลส่วนบุคคลจะสัมฤทธิ์ผลตามความมุ่งหวังของกฎหมายและสามารถคุ้มครองสิทธิของเจ้าของข้อมูลได้อย่างเป็นรูปธรรมขึ้นอยู่กับความพร้อมขององค์กร ทั้งภาครัฐและเอกชนที่ต้องปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
ผู้เขียนเชื่อเป็นอย่างยิ่งว่า กฎหมายไม่ใช่อุปสรรคของธุรกิจหรือการบริหารภาครัฐ หากแต่เป็นกฎหมายเพื่อส่งเสริมธรรมาภิบาลในการประมวลผลข้อมูลส่วนบุคคล สร้างความชอบธรรม โปร่งใส และตรวจสอบย้อนกลับได้ในการเชื่อมโยงและใช้ข้อมูลส่วนบุคคล บนพื้นฐานของการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม.