PDPA Compliance Program (2)
บทความครั้งนี้นำเสนอต่อเนื่องจากก่อนหน้านี้ ในเรื่องกระบวนการสร้างโปรแกรมการปฏิบัติตามข้อกำหนดการคุ้มครองข้อมูลส่วนบุคคล จากทั้หมด 7ขั้นตอน
HIGHLIGHTS
§ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีฐานแนวคิดแบบ Risk-Based Regulation ที่กำหนดให้ผู้ประกอบการต้องประเมินความเสี่ยงเกี่ยวกับข้อมูลที่อยู่ในความครอบครองและต้องมีการกำหนดมาตรการด้านความปลอดภัยที่เหมาะสมแก่ข้อมูลดังกล่าว
§ หากมีการอนุญาตให้พนักงานนำคอมพิวเตอร์ส่วนบุคคลมาใช้งานในองค์กรและสามารถเข้าถึงข้อมูลลูกค้า องค์กรก็จะต้องกำหนดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมต่อกรณีข้างต้น และต้องมีการสื่อสารให้บุคคลที่เกี่ยวข้องทราบและถือปฏิบัติตามมาตรการข้างต้นเพื่อป้องกันเหตุการละเมิดข้อมูลส่วนบุคคลที่อาจจะเกิดขึ้น
§ สัญญาประมวลผลข้อมูลส่วนบุคคลถือว่าเป็นเครื่องมือหนึ่งในการควบคุมความเสี่ยงที่อาจเกิดขึ้นในทุก ๆ ขั้นตอนของการประมวลผล
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act, “PDPA”) อาจสามารถจำแนกกระบวนการสร้างโปรแกรมการปฏิบัติตามข้อกำหนดการคุ้มครองข้อมูลส่วนบุคคลหรือ “PDPA Compliance Program” ได้ 7 ขั้นตอน ดังนี้
- การประเมินการประมวลผลภายในองค์กร
- การกำหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคล
- การฝึกอบรมและการสร้างความตระหนักรู้
- การนำมาตรการควบคุมความเสี่ยงมาใช้
- การตรวจสอบการปฏิบัติตามกฎหมาย
- การรายงาน
- การประเมินผลประจำปี
โดยในบทความนี้จะได้กล่าวถึงขั้นตอนที่ (4)-(7)
4.การนำมาตรการควบคุมความเสี่ยงมาใช้
กระบวนการควบคุมความเสี่ยงถือเป็นอีกประเด็นสำคัญในการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ซึ่งมีฐานแนวคิดแบบ Risk-Based Regulation ที่กำหนดให้ผู้ประกอบการต้องประเมินความเสี่ยงเกี่ยวกับข้อมูลที่อยู่ในความครอบครองและต้องมีการกำหนดมาตรการด้านความปลอดภัยที่เหมาะสมแก่ข้อมูลดังกล่าว (appropriate data security measures) ซึ่งเมื่อองค์กรสามารถระบุความเสี่ยงที่เกี่ยวข้องกับการคุ้มครองข้อมูลได้แล้ว (identifiable risks) ผู้ควบคุมข้อมูลส่วนบุคคลก็จะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบดังกล่าวด้วย
ตัวอย่างเช่น หากมีการอนุญาตให้พนักงานนำคอมพิวเตอร์ส่วนบุคคลมาใช้งานในองค์กรและสามารถเข้าถึงข้อมูลลูกค้าของบริษัท (identifiable risk; bring your own device (BYOD)) องค์กรก็จะต้องกำหนดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมต่อกรณี BYOD ข้างต้น และต้องมีการสื่อสารให้บุคคลที่เกี่ยวข้องทราบและถือปฏิบัติตามมาตรการข้างต้นเพื่อป้องกันเหตุการละเมิดข้อมูลส่วนบุคคลที่อาจจะเกิดขึ้น
อีกตัวอย่างของการนำมาตรการควบคุมความเสี่ยงมาใช้บังคับคือการกำหนดให้พนักงานทุกคนต้องได้รับการอบรมประจำปีเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ และรายงานผลการอบรมดังกล่าวไปยังผู้บริหารที่เกี่ยวข้องด้วยเพื่อให้มีการทบทวนและรับทราบ
นอกจากนี้ มาตรการควบคุมความเสี่ยงที่สำคัญอีกประการหนึ่ง คือ การควบคุมความเสี่ยงที่จะเกิดขึ้นโดยผู้รับจ้างหรือผู้ประมวลผลข้อมูลส่วนบุคคล (data processor) หรือผู้ประมวลผลช่วง (sub-processor) ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องจัดให้มีสัญญาประมวลผลข้อมูลส่วนบุคคล (data processing contract) ที่เหมาะสมด้วย ทั้งนี้เพื่อให้การประมวลผลเป็นไปโดยชอบด้วยกฎหมายในทุก ๆ ขั้นตอนของการปฏิบัติตามสัญญา ซึ่งในกรณีนี้ สัญญาประมวลผลข้อมูลส่วนบุคคลถือว่าเป็นเครื่องมือหนึ่งในการควบคุมความเสี่ยงที่อาจเกิดขึ้น
5.การตรวจสอบการปฏิบัติตามกฎหมาย
วิธีหนึ่งในการตรวจสอบการปฏิบัติตามกฎหมาย คือ การตรวจสอบข้อร้องเรียนหรือคำขอใช้สิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคลและการดำเนินการต่อข้อเรียกร้องดังกล่าวภายใต้เงื่อนเวลาและเงื่อนไขตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลที่กำหนดไว้ หากปรากฏว่ามีคำขอจำนวนมากจากเจ้าของข้อมูลไม่ถูกดำเนินการภายในระยะเวลาที่เหมาะสมย่อมแสดงให้เห็นถึงการไม่ปฏิบัติตามกฎหมาย และเรื่องดังกล่าวควรถูกแก้ไขก่อนที่จะที่จะนำไปสู่ปัญหาอื่น ๆ ที่ร้ายแรงกว่าเดิม
นอกจากนี้ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือหน่วยงานที่รับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กรควรทำการตรวจสอบและสอบทานการปฏิบัติตามกฎหมายหากมีข้อสงสัยว่าการประมวลข้อมูลส่วนบุคคลหรือมาตรการด้านความปลอดภัยไม่เป็นไปตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ อีกด้วย
6.การรายงาน
ในกรณีที่มีการตรวจสอบและพบว่ามีการฝ่าฝืนนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือหน่วยงานที่รับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กรควรรีบจัดทำสรุปรายงานข้อค้นพบและเสนอแนวทางแก้ไขปัญหาเหล่านั้นโดยทันทีต่อผู้บริหารระดับสูงขององค์กรเพื่อปรับปรุงแก้ไข ซึ่งรายงานนั้นควรมีข้อมูลมากพอที่จะทำให้คณะผู้บริหารสามารถตัดสินใจและแก้ไขปัญหาได้อย่างเหมาะสม
7.การประเมินผลประจำปี
รายงานการประเมินผลประจำปีควรประกอบด้วยข้อมูลดังต่อไปนี้
- การประมวลผลที่อาจจะไม่เป็นไปตามเงื่อนไขของนโยบายฯ และกฎหมายที่เกี่ยวข้อง รวมถึงข้อร้องเรียนและการถูกตรวจสอบโดยหน่วยงานบังคับใช้กฎหมาย
- กฎหมายที่อาจมีผลกระทบต่อการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการอยู่ในปัจจุบันและในอนาคต โดยเฉพาะในกรณีที่อาจมีการเปลี่ยนแปลงเงื่อนไขทางกฎหมาย
- รูปแบบหรือวิธีการประมวลผลข้อมูลส่วนบุคคลที่มีความเปลี่ยนแปลงไปในสาระสำคัญ อาทิ การนำเทคโนโลยีและรูปแบบการประมวลผลใหม่ ๆ มาใช้ การเปลี่ยนแปลงผู้ประมวลผลหรือผู้ประมวลผลช่วง เป็นต้น
กระบวนการทั้ง 7 ขั้นตอนข้างต้น ถือเป็นเพียงเครื่องมือหนึ่งในการสร้างโปรแกรมการปฏิบัติตามข้อกำหนดการคุ้มครองข้อมูลส่วนบุคคลเท่านั้น และอย่างที่ผู้เขียนได้กล่าวไว้ในบทความคราวก่อนว่าไม่มีสิ่งที่เรียกว่า “one size fits all” เนื่องจากความแตกต่างกันในเรื่องของขนาดองค์กร ลักษณะของข้อมูลที่ทำการประมวลผลและประเภทธุรกิจที่ดำเนินการอยู่ ฯลฯ
แนวทางข้างต้นจึงอาจจำเป็นต้องได้รับการพิจารณาและนำไปปรับใช้โดยบุคคลที่มีความชำนาญในด้านการคุ้มครองข้อมูลส่วนบุคคลภายในแต่ละองค์กร อาทิ โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (data protection officer, DPO) หรือที่ปรึกษาภายนอก (data protection professionals) เป็นต้น.
อ้างอิง Nissim, Jenai. "Creating a Data Protection Compliance Programme." Data Protection: A Practical Guide to UK and EU Law, edited by Peter Carey, 5th edition, Oxford University Press, 2018.
*บทความโดย ศุภวัชร์ มาลานนท์ คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
ชิโนภาส อุดมผล Optimum Solution Defined (OSD)
