"ข้อตกลงการแบ่งปันข้อมูล" เขียนอย่างไร เมื่อไหร่ต้องมี | ศุภวัชร์ มาลานนท์
ข้อตกลงการแบ่งปันข้อมูล (DSA) อีกหนึ่งประเด็นสำคัญที่กล่าวไว้ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เพื่อเป็นเครื่องมือและมาตรการในการกำกับดูแลการใช้และการเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย
ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 27 วรรคสอง กำหนดว่า “บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยตามวรรคหนึ่ง จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น”
และมาตรา 37(2) กำหนดว่า “ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่น ที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ”
จากบทบัญญัติข้างต้น ในการโอนข้อมูลส่วนบุคคลไปยังผู้รับโอนที่ไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคล คู่สัญญา/คู่ความร่วมมืออาจพิจารณาจัดทำ “ข้อตกลงการแบ่งปันข้อมูล” (DSA: Data Sharing Agreement)
เพื่อเป็นเครื่องมือและมาตรการในการกำกับดูแลการใช้และการเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย แต่ในกรณีที่ผู้รับโอนเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 40 ไม่ต้องทำ DSA อีก
ประโยชน์ของการจัดทำ DSA มีดังต่อไปนี้
1) ช่วยให้คู่สัญญารู้บทบาทและหน้าที่ของตนเองในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
2) กำหนด “วัตถุประสงค์” ในการเปิดเผยข้อมูลส่วนบุคคล
3) ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลในแต่ละขั้นตอน
4) กำหนดมาตรฐานและวิธีการแบ่งปันข้อมูล
การจัดทำ DSA จึงช่วยให้องค์กรมีหลักฐานการปฏิบัติตามกฎหมาย และมีกระบวนการในการทบทวนการเปิดเผยข้อมูลส่วนบุคคลขององค์กร ว่าได้ปฏิบัติสอดคล้องกับเงื่อนไขของกฎหมายหรือไม่
ในการจัดทำ DSA นั้น UK ICO Data Sharing: a Code of Practice ให้ข้อแนะนำว่า ในการจัดทำ DSA นั้น เรื่องที่ต้องพิจารณาเป็นอันดับแรก คือ การที่องค์กรต้องมีฐานการประมวลผลในการเก็บรวบรวม ใช้ และเปิดเผย
กรณีศึกษา
บริษัท x นำเสนอผลิตภัณฑ์บริทางการเงินแก่ผู้ใช้บริการเพื่อให้ผู้ใช้บริการสามารถบริหารการเงินได้อย่างมีประสิทธิภาพผ่านแอพพลิเคชันบนโทรศัพท์เคลื่อนที่ โดยผู้ใช้บริการสามารถทำธุรกรรมต่าง ๆ ผ่านแอพพลิเคชัน และแอพพลิเคชันดังกล่าวยังช่วยวิเคราะห์พฤติกรรมและการใช้จ่ายของผู้ใช้บริการเพื่อการวางแผนทางการเงินอีกด้วย
เพื่อให้บริการต่าง ๆ ของแอพพลิเคชันทำงานได้อย่างมีประสิทธิภาพและสร้างประสบการณ์ที่ดีให้แก่ผู้ใช้บริการ บริษัท x จำเป็นต้องแชร์ข้อมูลไปยัง บริษัท Y ผู้ร่วมให้บริการอื่น (บริษัท Y ไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท X)
ฐานทางกฎหมายในการเปิดเผยข้อมูลของ บริษัท x คือ “การปฏิบัติตามสัญญา” และในกรณีที่ต้องมีการเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว ก็อาจจะต้องขอความยินยอมโดยชัดแจ้งเพิ่มเติมจากการทำสัญญาอีกด้วย
[ฐานทางกฎหมายในการเปิดเผยข้อมูล คือฐานเดียวกันกับที่ใช้ในการเก็บรวบรวม]
1. กรณีใดบ้างที่ควรจัดทำ DSA
1) การโอนข้อมูลระหว่างองค์กรไม่ว่าทางเดียว (one-way) หรือแลกเปลี่ยนข้อมูล (reciprocal exchange)
2) การให้องค์กรอื่นเข้าถึงระบบฐานข้อมูลทางอิเล็กทรอนิกส์ขององค์กรเพื่อวัตถุประสงค์ด้านการวิจัย
3) การนำข้อมูลมาใช้ร่วมกันในรูปแบบ pooling data และใช้ข้อมูลดังกล่าวร่วมกันหรือแบ่งปันไปยังองค์กรภายนอกด้วย
4) มีการแบ่งปันข้อมูลเป็นประจำอย่างเป็นระบบเพื่อวัตถุประสงค์ที่กำหนด (routine, systematic)
5) การโอนครั้งเดียวหรือเฉพาะกิจ (ad hoc, one-off)
6) การโอนครั้งเดียวในกรณีฉุกเฉิน (one-off emergency)
ตัวอย่างการใช้ DSA มีดังนี้
1) ธนาคารเปิดเผยข้อมูลของลูกจ้างไปยังหน่วยงานป้องกันการทุจริต
2) สถาบันการศึกษาให้ข้อมูลนักเรียนแก่สถาบันวิจัยเพื่อทำการวิจัย
3) หน่วยงานด้านสังคมสงเคราะห์หลาย ๆ หน่วยงานแลกเปลี่ยนข้อมูลระหว่างกันอย่างสม่ำเสมอเพื่อการดูแลสวัสดิการของผู้ขอรับบริการ
2. DSA ควรมีรายละเอียดไรบ้าง
ตาม UK ICO Data Sharing: a Code of Practice ให้ข้อแนะนำไว้ดังนี้
1) ชื่อคู่สัญญา/คู่ความร่วมมือ
2) วัตถุประสงค์ของการแบ่งปันข้อมูล คืออะไร ซึ่งควรระบุถึงที่มา ความจำเป็น และประโยชน์ที่จะได้รับจากการแบ่งปันข้อมูลส่วนบุคคล
3) หน่วยงานอื่นนอกจากคู่้สัญญาตามข้อ 1 ที่เข้ามามีบทบาทในการแบ่งปันข้อมูล (ถ้ามี)
4) รายละเอียดของข้อมูลส่วนบุคคลที่มีการแบ่งปัน/แลกเปลี่ยน (data specification)
5) ฐานการประมวลผล (ดูตัวอย่างจากกรณีศึกษาข้างต้น)
6) ข้อตกลงในส่วนที่เกี่ยวกับการใช้ข้อมูลส่วนบุคคลอ่อนไหว
7) ข้อตกลงในส่วนที่เกี่ยวข้องกับการจัดการคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
8) ข้อตกลงในส่วนของการบริหารจัดการข้อมูล อาทิ เงื่อนไขการแบ่งปันข้อมูลระหว่างกัน การบริหารความถูกต้องครบถ้วนของข้อมูล รูปแบบการบันทึกข้อมูล แนวทางปฏิบัติร่วมกันเรื่องระยะเวลาและการลบทำลาย มาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม การอบรมและสร้างความตระหนักรู้แก่ผู้เกี่ยวข้อง และการการดำเนินการเมื่อยกเลิกสัญญาหรือสิ้นสุดข้อตกลง เป็นต้น
9) เอกสารประกอบที่อาจมี อาทิ แบบฟอร์มการขอใช้ข้อมูล (data sharing request form) เป็นต้น
อนึ่ง การกำหนดรายละเอียดของ DSA ข้างต้น เป็นเพียงแนวทางตามมาตรฐานของ UK ICO ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอังกฤษ
การนำมาปรับใช้ให้สอดคล้องเหมาะสมกับการกำกับดูแลการเปิดเผยข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 องค์กรควรพิจารณาตามความเหมาะสมและความจำเป็นประกอบด้วย.
ที่มา: พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 27 และมาตรา 37(2)
อ้างอิง https://ico.org.uk/media/for-organisations/guide-to-data-protection/ico-codes-of-practice/data-sharing-a-code-of-practice-1-0.pdf