เงื่อนไขการใช้สิทธิและการบริหารจัดการสิทธิตาม PDPA
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA กำหนดให้เจ้าของข้อมูลส่วนบุคคลมีสิทธิหลาย ๆ ประการที่กฎหมายบัญญัติไว้ในมาตรา 30-36
ได้แก่ สิทธิในการขอเข้าถึงและขอรับสำเนา (Access) สิทธิขอให้โอนข้อมูล (Portability) สิทธิคัดค้าน (Object) สิทธิขอให้ลบ (Erasure) สิทธิขอให้ระงับการใช้ (Restriction) และสิทธิขอให้แก้ไขข้อมูล (Rectification)
กฎหมายได้กำหนดเป็นหน้าที่ขององค์กรต่าง ๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ให้มีหน้าที่ดำเนินการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลด้วย (Responding to Data Subject Requests: DSRs)
สิทธิทั้ง 6 ประการดังกล่าวมีเงื่อนไขและขอบเขตการใช้บังคับหรือการดำเนินการตาม DSRs ที่แตกต่างกันขึ้นอยู่กับเงื่อนไขการใช้สิทธิแต่ละประเภท และฐานทางกฎหมายที่เกี่ยวข้อง (lawful basis) กับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
European Data Protection Board (EDPB) ซึ่งเป็นหน่วยงานกำกับการบังคับใช้ GDPR (กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป) ได้ให้ข้อแนะนำเกี่ยวกับการดำเนินการตามคำร้องและการบริหารจัดการสิทธิของเจ้าของข้อมูลส่วนบุคคลตาม Checklist สิ่งที่ต้องดำเนินการเพื่อให้สามารถตอบสนองต่อ DSRs ดังนี้
1. การเตรียมความพร้อม องค์กรควรมีระบบและกระบวนการในการตอบสนองต่อคำขอใช้สิทธิประเภทต่าง ๆ มีการอบรมและให้ความรู้แก่พนักงาน และกำหนดให้การดำเนินการดังกล่าวเป็นส่วนหนึ่งของกระบวนการทำงานขององค์กร
2. สนับสนุนการใช้สิทธิ องค์กรต้องดำเนินการให้การใช้สิทธิเป็นกระบวนการที่ไม่ยุ่งยาก และให้เจ้าของข้อมูลส่วนบุคคลทราบถึงสิทธิต่าง ๆ ของตนและสามารถใช้สิทธิได้อย่างเหมาะสม
3. รู้เส้นทางการไหลของข้อมูลในองค์กร องค์กรต้องจัดทำบันทึกรายการ (ROPA) ตามเงื่อนไขที่กฎหมายกำหนดเพื่อให้สามารถตรวจสอบเงื่อนไขต่าง ๆ ที่เกี่ยวข้องกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลได้ อาทิ ข้อมูลอยู่ที่ระบบใดบ้าง มีเงื่อนไขการใช้หรือเข้าถึงอย่างไร หรือมีการโอนหรือเปิดเผยไปยังบุคคลภายนอกอย่างไรบ้าง
4. ความโปร่งใส องค์กรต้องมีความโปร่งใสในการบวนการและการแจ้งวัตถุประสงค์โดยการประกาศการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) ให้กับเจ้าของข้อมูลส่วนบุคคลสามารถเข้าใจเงื่อนไขของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก่อนดำเนินการใด ๆ กับข้อมูลส่วนบุคคล
5. ดำเนินการตอบสนองภายใน 30 วัน องค์กรควรดำเนินการตาม DSRs ให้แล้วเสร็จภายใน 30 วัน ในกรณีที่ไม่สามารถดำเนินการภายในกรอบระยะเวลาข้างต้น ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงความจำเป็นด้วย
6. แจ้งผู้รับโอนข้อมูล ในกรณีที่เป็น DSRs ที่เกี่ยวเนื่องกับข้อมูลส่วนบุคคลที่มีการโอนไปยังองค์กรอื่น ในกรณีที่มีความจำเป็น ให้แจ้งผลการดำเนินการตามคำร้องไปยังผู้รับโอนเหล่านั้นด้วย
7. บันทึกการดำเนินการ องค์กรต้องมีระบบในการบันทึกการดำเนินการตาม DSRs ที่สามารถตรวจสอบและติดตามผลการดำเนินการได้ รวมถึงการบันทึกเหตุผลในการดำเนินการและการปฏิเสธด้วย
ในส่วนของเงื่อนไขการใช้สิทธิต่าง ๆ ตาม DSRs นั้น มีความเชื่อมโยงกับฐานทางกฎหมายที่ใช้ในการเก็บรวบรวมข้อมูลส่วนบุคคลแตกต่างกัน ช่องทางการนำเข้าข้อมูลส่วนบุคคลจึงอาจส่งผลต่อการใช้สิทธิได้ กล่าวคือ บางสิทธิอาจไม่สามารถใช้ได้ (not applicable) หากข้อมูลส่วนบุคคลนั้นเก็บรวบรวมมาด้วยฐานทางกฎหมายบางอย่าง
อาทิ สิทธิขอให้โอนข้อมูล (Portability) ในรูปแบบอิเล็กทรอนิกส์จะทำได้เฉพาะกรณีที่ข้อมูลถูกเก็บรวบรวมมาด้วยฐานความยินยอมหรือสัญญาเท่านั้น เป็นต้น ดังรายละเอียดปรากฎตามตารางเชื่อมโยงฐานทางกฎหมายและเงื่อนไขการใช้สิทธิ
นอกจากเงื่อนไขของการเชื่อมโยงไปยังฐานทางกฎหมายแล้ว การใช้สิทธิแต่ละประเภทก็ยังอาจมีข้อจำกัดอื่น ๆ เกี่ยวกับสิทธินั้นๆ โดยเฉพาะอีกด้วย อาทิ สิทธิในการขอเข้าถึงและขอรับสำเนา (Access) แม้ว่าจะเป็นสิทธิที่เปิดกว้างให้ทุกฐานทางกฎหมายสามารถใช้สิทธิได้
แต่เงื่อนไขของมาตรา 30 กำหนดว่า องค์กรอาจไม่ดำเนินการตามคำขอได้ ในกรณีที่เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล และการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้น จะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น เป็นต้น
หรือสิทธิขอให้ลบ (Erasure) องค์กรก็อาจปฏิเสธการดำเนินการได้หากเป็นกรณียังมีความจำเป็นในการใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย เป็นต้น
DSRs เป็นหน้าที่ตามกฎหมายขององค์กรในการตอบสนองตามเงื่อนไขและเงื่อนเวลาที่กฎหมายกำหนด และมีความรับผิดทางปกครองที่เกี่ยวข้องกับการปฏิบัติไม่สอดกับเงื่อนไขของกฎหมาย
โดยเมื่อพิจารณาประกอบกับความซับซ้อนและยุ่งยากในการดำเนินการตาม DSRs ประเภทต่างๆ หลาย ๆ องค์กรจึงได้นำเครื่องมืออัตโนมัติหรือกึ่งอัตโนมัติเข้ามาช่วยเพื่อให้กระบวนการตาม DSRs มีประสิทธิภาพ โปร่งใสและตรวจสอบทบทวนได้
จากการสำรวจของ IAPP-EY Annual Privacy Governance Report 2021 ให้ข้อมูลที่น่าสนใจเกี่ยวกับสัดส่วน DSRs ประเภทต่าง ๆ ที่องค์กร (ผลสำรวจจากทั่วโลก) ได้รับไว้ดังนี้
1. สิทธิในการขอเข้าถึงและขอรับสำเนา จำนวนร้อยละ 72 ของคำร้องทั้งหมดที่ได้รับ
2. สิทธิขอให้โอนข้อมูล จำนวนร้อยละ 14 ของคำร้องทั้งหมดที่ได้รับ
3. สิทธิคัดค้านและสิทธิขอให้ระงับการใช้จำนวนร้อยละ 24 ของคำร้องทั้งหมดที่ได้รับ
4. สิทธิขอให้ลบจำนวนร้อยละ 66 ของคำร้องทั้งหมดที่ได้รับ
5. สิทธิขอให้แก้ไขข้อมูลจำนวนร้อยละ 28 ของคำร้องทั้งหมดที่ได้รับ
โดยพบว่าองค์กรประมาณร้อยละ 40 นำระบบอัตโนมัติเข้ามาช่วยในการบริการจัดการ DSRs
จากหน้าที่ตามกฎหมายและข้อมูลเชิงสถิติข้างต้น การบริหารจัดการ DSRs จึงมีความสำคัญอย่างมากที่องค์กรจำเป็นต้องจัดเตรียมกระบวนการและอาจรวมถึงเครื่องมือต่าง ๆ ที่เกี่ยวข้อง
เพื่อให้การดำเนินการขององค์กรมีความโปร่งใส เป็นธรรม และเคารพต่อสิทธิของเจ้าของข้อมูลส่วนบุคคล ตามเงื่อนไขและเงื่อนเวลาที่กฎหมายกำหนด อันจะเป็นการสร้างความเชื่อมั่นต่อระบบเศรษฐกิจดิจิทัลของประเทศอย่างมีนัยสำคัญ.
ที่มา: EDPB Respect Individuals’ Rights (Data Protection Guide for Small Business),
คอลัมน์ Tech, Law and Security
รุจิรพงศ์ ฤทธิ์วงศ์
บริษัท ซอฟท์นิกซ์ เทคโนโลยี จำกัด
ศุภวัชร์ มาลานนท์
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี