หน้าที่ดำเนินการตามคำร้องขอใช้สิทธิ | Tech, Law and Security
หน้าที่ดำเนินการตามคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลเป็นหน้าที่ของ “ผู้ควบคุมข้อมูลส่วนบุคคล” ที่ต้องดำเนินการตามเงื่อนไขของคำร้องขอใช้สิทธิแต่ละประเภท ภายในกรอบเวลาที่กฎหมายกำหนด
การจัดให้มีระบบการจัดการเพื่อดำเนินการตามคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล และการจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลให้ถูกต้อง ครบถ้วน
จะช่วยส่งเสริมให้ทุกองค์กรสามารถใช้ประโยชน์จากข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ และสามารถปฏิบัติต่อสิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคลได้ตามเงื่อนไขที่กฎหมายกำหนด
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่กำหนดหน้าที่และความรับผิดชอบขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ที่ต้องปฏิบัติเมื่อดำเนินการประมวลผลข้อมูลส่วนบุคคล และเป็นกฎหมายที่กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ อาทิ
(1) สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลตามมาตรา 30 (Right of access)
(2) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคลตามมาตรา 31 (Right to data portability)
(3) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 32 (Right to object)
(4) สิทธิในการขอให้ลบข้อมูลส่วนบุคคลตามมาตรา 33 (Right to erasure)
(5) สิทธิในการระงับการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 34 (Right to restriction of processing)
(6) สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องตามมาตรา 36 (Right to rectification)
สิทธิทั้ง 6 ประการดังกล่าวของเจ้าของข้อมูลส่วนบุคคลเป็นสิทธิที่กฎหมายกำหนดหน้าที่ให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่ตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลด้วย (duty to response to data subject request) ภายในระยะเวลาที่กฎหมายกำหนด
และในบางกรณีที่ไม่สามารถปฏิบัติตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ กฎหมายกำหนดให้องค์กรมีหน้าที่บันทึกเหตุผลของการปฏิเสธไว้ในบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 39(7) อีกด้วย
การดำเนินการตามคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหรือ Data Subject Requests (DSRs) มีสังเกตที่องค์กรต่าง ๆ ควรต้องพิจารณาหลายประการ ดังนี้
1.ระยะเวลาในการดำเนินการ
ในกรณีคำร้องขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลตามมาตรา 30 กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตามคำขอโดยไม่ชักช้า แต่ต้องไม่เกิน 30 วันนับแต่วันที่ได้รับคำขอ โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (“คณะกรรมการ”) อาจกำหนดหลักเกณฑ์เกี่ยวกับการเข้าถึงและการขอรับสำเนา รวมทั้งการขยายระยะเวลาตามหรือหลักเกณฑ์อื่นตามความเหมาะสมได้ในอนาคต
ในขณะที่ระยะเวลาในการดำเนินการตามคำร้องขอใช้สิทธิประเภทอื่นๆ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ไม่ได้กำหนดกรอบระยะเวลาไว้ แต่คณะกรรมการก็อาจกำหนดหลักเกณฑ์เกี่ยวกับการใช้สิทธิ กรอบระยะเวลาหรือหลักเกณฑ์อื่นตามความเหมาะสมได้ในอนาคตเช่นเดียวกัน
ในเรื่องของระยะเวลาการดำเนินการตามคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหากเทียบเคียงกับ GDPR มาตรา 12(3) ตาม GDPR จะกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการตามคำร้องขอใช้สิทธิโดยไม่ชักช้าแต่ไม่เกิน 1 เดือนนับแต่วันที่ได้รับคำร้องขอ แต่หากมีความจำเป็นระยะเวลาดังกล่าวอาจขยายไปได้อีกไม่เกิน 2 เดือน
โดยให้พิจารณาจากความยุ่งยากซับซ้อนของคำร้องขอและจำนวนของคำร้องขอ และผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งถึงสาเหตุของการไม่สามารถดำเนินการตามคำร้องขอให้แล้วเสร็จล่วงหน้าก่อนครบกำหนดระยะเวลา 1 เดือนอีกด้วย
2.การให้เหตุผลในการปฏิเสธ
สิทธิของเจ้าของข้อมูลส่วนบุคคลแต่ละประเภทมีเงื่อนไขและองค์ประกอบของการใช้สิทธิที่แตกต่างกัน อาทิ สิทธิในการขอรับสำเนาอาจถูกปฏิเสธได้หากในกรณีที่เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาลและการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลนั้น จะส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
หรือสิทธิการให้โอนย้ายข้อมูลส่วนบุคคลนั้นจะขอใช้สิทธิได้เฉพาะกรณีที่ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติและใช้ฐานความยินยอมหรือฐานสัญญาในการประมวลผลข้อมูลส่วนบุคคลเท่านั้น เป็นต้น
ดังนั้น องค์กรจึงควรมีระบบการจัดการเพื่อให้มั่นใจว่าเมื่อได้รับคำร้องขอใช้สิทธิแล้วจะสามารถทบทวนและตรวจสอบย้อนกลับไปยังกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องได้ และสามารถให้เหตุผลหรือปฏิเสธได้ตามเงื่อนไขที่กฎหมายกำหนดไว้สำหรับการใช้สิทธินั้น ๆ
3.ระบบการจัดการคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
จากการที่เงื่อนไขการใช้สิทธิและการปฏิเสธคำร้องขอใช้สิทธิต้องเป็นไปตามเงื่อนไขที่กฎหมายกำหนด รวมทั้งต้องคำนึงถึงกรอบเวลาที่กฎหมายกำหนด ความโปร่งใสและเป็นธรรมต่อเจ้าของข้อมูลส่วนบุคคล องค์กรต่าง ๆ จึงควรจัดให้มีระบบการบริหารจัดการการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งตาม มาตรฐาน ISO/IEC 27701:2019 (Privacy Information Management System: PIMS) ข้อกำหนดที่ 7.3.9 ให้ข้อแนะนำว่า
องค์กรควรจัดทำเอกสาร “นโยบายและขั้นตอนการดำเนินงาน” สำหรับการจัดการและตอบสนองต่อคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลภายใต้กรอบระยะเวลาที่กำหนด ในขณะที่มาตรฐาน BS 10012:2017 (Personal Information Management System: PIMS) ซึ่งเป็นมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคลตาม GDPR และ UK Data Protection Act ในข้อกำหนดที่ 8.2.12.9 ให้ข้อแนะนำด้วยว่า
ระบบบริหารจัดการข้อมูลส่วนบุคคลขององค์กรต้องจัดให้มีกระบวนการรับคำร้องหรือรับข้อร้องเรียนเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลเพื่อให้หลักประกันแก่เจ้าของข้อมูลส่วนบุคคลว่าข้อมูลจะถูกประมวลผลโดยถูกต้องตามกฎหมาย และ NIST Privacy Framework (CT.PO-P) ได้แนะนำไว้เช่นกันว่าองค์กรควรจัดให้มีระบบและแนวทางปฏิบัติเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถจัดการความเสี่ยงที่เกี่ยวข้องกับความเป็นส่วนตัวของตนเองได้
ดังนั้น การดำเนินการตามคำร้องขอใช้สิทธิในบริบทของการบริหารจัดการจึงมีประเด็นสำคัญหลายประการที่องค์กรต่าง ๆ อาจจะต้องเตรียมความพร้อมก่อนที่กฎหมายจะใช้บังคับทั้งฉบับในวันที่ 1 มิถุนายน 2565 อาทิ ช่องทางการรับคำร้อง การตรวจสอบยืนยันตัวตน การค้นหาข้อมูลที่เกี่ยวข้องกับคำร้อง ผู้มีหน้าที่ดำเนินการตามคำร้อง การติดตามการดำเนินการ ระบบการลงบันทึกกิจกรรมและการตรวจสอบ
ด้วยเหตุนี้ การจัดให้มีระบบการจัดการเพื่อดำเนินการตามคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลและการจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องและครบถ้วน จึงมีความสำคัญอย่างยิ่งที่จะช่วยส่งเสริมให้ทุกองค์กรสามารถใช้ประโยชน์จากข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพและสามารถปฏิบัติต่อสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคลได้ตามเงื่อนไขที่กฎหมายกำหนด.
บทความโดย สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ทำหน้าที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
