ทั่วไป

"ข้อตกลงการแบ่งปันข้อมูล" เขียนอย่างไร เมื่อไหร่ต้องมี | ศุภวัชร์ มาลานนท์

By ศุภวัชร์ มาลานนท์ บัณฑิตวิทยาลัยการจัดการและนวัตกรรม มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี16 ก.ย. 2022 เวลา 10:19 น.
"ข้อตกลงการแบ่งปันข้อมูล" เขียนอย่างไร เมื่อไหร่ต้องมี | ศุภวัชร์ มาลานนท์

ข้อตกลงการแบ่งปันข้อมูล (DSA) อีกหนึ่งประเด็นสำคัญที่กล่าวไว้ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เพื่อเป็นเครื่องมือและมาตรการในการกำกับดูแลการใช้และการเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย

ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 27 วรรคสอง กำหนดว่า “บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยตามวรรคหนึ่ง จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น”

และมาตรา 37(2) กำหนดว่า “ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่น ที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ”

จากบทบัญญัติข้างต้น ในการโอนข้อมูลส่วนบุคคลไปยังผู้รับโอนที่ไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคล คู่สัญญา/คู่ความร่วมมืออาจพิจารณาจัดทำ “ข้อตกลงการแบ่งปันข้อมูล” (DSA: Data Sharing Agreement)

เพื่อเป็นเครื่องมือและมาตรการในการกำกับดูแลการใช้และการเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย แต่ในกรณีที่ผู้รับโอนเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 40 ไม่ต้องทำ DSA อีก 

เนื้อหาที่เกี่ยวข้อง

\"ข้อตกลงการแบ่งปันข้อมูล\" เขียนอย่างไร เมื่อไหร่ต้องมี | ศุภวัชร์ มาลานนท์

ประโยชน์ของการจัดทำ DSA มีดังต่อไปนี้
1)    ช่วยให้คู่สัญญารู้บทบาทและหน้าที่ของตนเองในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
2)    กำหนด “วัตถุประสงค์” ในการเปิดเผยข้อมูลส่วนบุคคล
3)    ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลในแต่ละขั้นตอน
4)    กำหนดมาตรฐานและวิธีการแบ่งปันข้อมูล

การจัดทำ DSA จึงช่วยให้องค์กรมีหลักฐานการปฏิบัติตามกฎหมาย และมีกระบวนการในการทบทวนการเปิดเผยข้อมูลส่วนบุคคลขององค์กร ว่าได้ปฏิบัติสอดคล้องกับเงื่อนไขของกฎหมายหรือไม่

ในการจัดทำ DSA นั้น UK ICO Data Sharing: a Code of Practice ให้ข้อแนะนำว่า ในการจัดทำ DSA นั้น เรื่องที่ต้องพิจารณาเป็นอันดับแรก คือ การที่องค์กรต้องมีฐานการประมวลผลในการเก็บรวบรวม ใช้ และเปิดเผย 

กรณีศึกษา
บริษัท x นำเสนอผลิตภัณฑ์บริทางการเงินแก่ผู้ใช้บริการเพื่อให้ผู้ใช้บริการสามารถบริหารการเงินได้อย่างมีประสิทธิภาพผ่านแอพพลิเคชันบนโทรศัพท์เคลื่อนที่ โดยผู้ใช้บริการสามารถทำธุรกรรมต่าง ๆ ผ่านแอพพลิเคชัน และแอพพลิเคชันดังกล่าวยังช่วยวิเคราะห์พฤติกรรมและการใช้จ่ายของผู้ใช้บริการเพื่อการวางแผนทางการเงินอีกด้วย

เพื่อให้บริการต่าง ๆ ของแอพพลิเคชันทำงานได้อย่างมีประสิทธิภาพและสร้างประสบการณ์ที่ดีให้แก่ผู้ใช้บริการ บริษัท x จำเป็นต้องแชร์ข้อมูลไปยัง บริษัท Y ผู้ร่วมให้บริการอื่น (บริษัท Y ไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท X)

ฐานทางกฎหมายในการเปิดเผยข้อมูลของ บริษัท x คือ “การปฏิบัติตามสัญญา” และในกรณีที่ต้องมีการเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว ก็อาจจะต้องขอความยินยอมโดยชัดแจ้งเพิ่มเติมจากการทำสัญญาอีกด้วย 
[ฐานทางกฎหมายในการเปิดเผยข้อมูล คือฐานเดียวกันกับที่ใช้ในการเก็บรวบรวม]

\"ข้อตกลงการแบ่งปันข้อมูล\" เขียนอย่างไร เมื่อไหร่ต้องมี | ศุภวัชร์ มาลานนท์

1.    กรณีใดบ้างที่ควรจัดทำ DSA
1)    การโอนข้อมูลระหว่างองค์กรไม่ว่าทางเดียว (one-way) หรือแลกเปลี่ยนข้อมูล (reciprocal exchange)
2)    การให้องค์กรอื่นเข้าถึงระบบฐานข้อมูลทางอิเล็กทรอนิกส์ขององค์กรเพื่อวัตถุประสงค์ด้านการวิจัย
3)    การนำข้อมูลมาใช้ร่วมกันในรูปแบบ pooling data และใช้ข้อมูลดังกล่าวร่วมกันหรือแบ่งปันไปยังองค์กรภายนอกด้วย
4)    มีการแบ่งปันข้อมูลเป็นประจำอย่างเป็นระบบเพื่อวัตถุประสงค์ที่กำหนด (routine, systematic)
5)    การโอนครั้งเดียวหรือเฉพาะกิจ (ad hoc, one-off)
6)    การโอนครั้งเดียวในกรณีฉุกเฉิน (one-off emergency)

ตัวอย่างการใช้ DSA มีดังนี้
1)    ธนาคารเปิดเผยข้อมูลของลูกจ้างไปยังหน่วยงานป้องกันการทุจริต
2)    สถาบันการศึกษาให้ข้อมูลนักเรียนแก่สถาบันวิจัยเพื่อทำการวิจัย
3)    หน่วยงานด้านสังคมสงเคราะห์หลาย ๆ หน่วยงานแลกเปลี่ยนข้อมูลระหว่างกันอย่างสม่ำเสมอเพื่อการดูแลสวัสดิการของผู้ขอรับบริการ

2.    DSA ควรมีรายละเอียดไรบ้าง
ตาม UK ICO Data Sharing: a Code of Practice ให้ข้อแนะนำไว้ดังนี้
1)    ชื่อคู่สัญญา/คู่ความร่วมมือ
2)    วัตถุประสงค์ของการแบ่งปันข้อมูล คืออะไร ซึ่งควรระบุถึงที่มา ความจำเป็น และประโยชน์ที่จะได้รับจากการแบ่งปันข้อมูลส่วนบุคคล
3)    หน่วยงานอื่นนอกจากคู่้สัญญาตามข้อ 1 ที่เข้ามามีบทบาทในการแบ่งปันข้อมูล (ถ้ามี)
4)    รายละเอียดของข้อมูลส่วนบุคคลที่มีการแบ่งปัน/แลกเปลี่ยน (data specification)
5)    ฐานการประมวลผล (ดูตัวอย่างจากกรณีศึกษาข้างต้น)
6)    ข้อตกลงในส่วนที่เกี่ยวกับการใช้ข้อมูลส่วนบุคคลอ่อนไหว
7)    ข้อตกลงในส่วนที่เกี่ยวข้องกับการจัดการคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
8)    ข้อตกลงในส่วนของการบริหารจัดการข้อมูล อาทิ เงื่อนไขการแบ่งปันข้อมูลระหว่างกัน การบริหารความถูกต้องครบถ้วนของข้อมูล รูปแบบการบันทึกข้อมูล แนวทางปฏิบัติร่วมกันเรื่องระยะเวลาและการลบทำลาย มาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม การอบรมและสร้างความตระหนักรู้แก่ผู้เกี่ยวข้อง และการการดำเนินการเมื่อยกเลิกสัญญาหรือสิ้นสุดข้อตกลง เป็นต้น
9)    เอกสารประกอบที่อาจมี อาทิ แบบฟอร์มการขอใช้ข้อมูล (data sharing request form) เป็นต้น

อนึ่ง การกำหนดรายละเอียดของ DSA ข้างต้น เป็นเพียงแนวทางตามมาตรฐานของ UK ICO ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอังกฤษ

การนำมาปรับใช้ให้สอดคล้องเหมาะสมกับการกำกับดูแลการเปิดเผยข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 องค์กรควรพิจารณาตามความเหมาะสมและความจำเป็นประกอบด้วย.

ที่มา: พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 27 และมาตรา 37(2)
อ้างอิง https://ico.org.uk/media/for-organisations/guide-to-data-protection/ico-codes-of-practice/data-sharing-a-code-of-practice-1-0.pdf