สมาคม คือ การรวมกลุ่มบุคคลที่มีวัตถุประสงค์เฉพาะ หรือเพื่อดูแลผลประโยชน์ของสมาชิกเป็นหลัก แต่ต้องไม่ใช่เพื่อการหากำไร หรือแบ่งปันรายได้ ซึ่งมีสถานะเป็น ‘นิติบุคคล’ ตามประมวลกฎหมายแพ่งและพาณิชย์ โดยต้องมีสมาชิกเริ่มก่อตั้ง 3 คนขึ้นไป มีกิจกรรมที่มุ่งเน้นทั้งตัวบุคคล และธุรกิจ ดังนั้นสมาคมจึงมีการดำเนินกิจกรรมใน 2 ลักษณะ คือ เป็นทั้ง B2C และ B2B และทำให้สมาคมแต่ละแห่งอาจมีจำนวนสมาชิกตั้งแต่หลักสิบคน ไปจนถึงหลักแสนคนเลยทีเดียว
ด้วยเหตุนี้ ข้อมูลส่วนบุคคลของสมาชิกภายในสมาคมจำนวนมาก ทั้งสมาชิกเก่าและใหม่ หากไม่มีการจัดการที่เหมาะสมและปลอดภัย ก็จะนำไปสู่การละเมิดข้อมูลส่วนบุคคลได้โดยง่าย ซึ่งจะทำให้สมาคม หรือคณะกรรมการของสมาคมมีความผิดตามบทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) เนื่องจากสมาคมมีสถานะอีกอย่างหนึ่ง นั่นคือเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามกฎหมาย PDPA
ดังนั้น จะเห็นได้ว่าในช่วงที่ผ่านมา มีสมาคมรายใหญ่หลาย ๆ ด้าน อาทิ ประกันภัย สถาบันการเงินและธนาคาร ตลอดจนสมาคมวิชาชีพแหนงต่างๆ มีการจัดทำรูปแบบของสมาคมให้เป็นไปตามเงื่อนไขของกฎหมาย PDPA กันอย่างเร่งด่วน เพราะดูเหมือนว่า ‘เส้นตาย’ ได้ใกล้เข้ามาทุกขณะ ซึ่งในที่นี้เราได้มีการสรุปกิจกรรมด้านต่าง ๆ ของสมาคมที่เข้าข่ายต้องดำเนินการให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้
7 คำแนะนำที่ ‘สมาคม’ ควรทำเพื่อรับมือกฎหมาย PDPA
สมาคมอาจมีอีกหลายกิจกรรมที่เข้าข่ายจะต้องดำเนินการเพื่อให้สอดคล้องกับกฎหมาย PDPA ด้วยเหตุนี้ จึงต้องมีการดำเนินการอย่างเร่งด่วนเพื่อรับมือกับกฎหมาย PDPA ที่กำลังบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ โดยมีแนวทางในการดำเนินการดังนี้ :
1.แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นตำแหน่งที่กฎหมายให้ความคุ้มครอง และมีหน้าที่ในการตรวจสอบ ให้คำแนะนำ กำหนดทางปฏิบัติในด้านข้อมูลส่วนบุคคลของสมาคม และประสานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
2. กรณีที่สมาคมจำเป็นต้องเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นจำนวนมากก็อาจจะต้องทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA (Data Protection Impact Assessment) ไว้ด้วย
3.จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ประกาศนโยบายความเป็นส่วนตัว (Privacy notice) และหากมีเว็บไซต์ที่เก็บข้อมูลด้วยคุกกี้ก็ต้องทำ Cookie Policy ด้วย
4.จัดทำระบบหรือเอกสารขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล
5.จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Personal Data Sharing Agreement) ในกรณีของสมาคมที่มีการส่งต่อข้อมูลให้แก่บุคคลภายนอก
6. ดำเนินการให้เจ้าของข้อมูลส่วนบุคคลเข้าถึงสิทธิเพื่อการร้องขอให้ดำเนินการใด ๆ เช่น แก้ไข ระงับ ถ่ายโอน หรือทำลาย ซึ่งสมาคมที่มีข้อมูลบุคคลเป็นจำนวนมากควรมีเจ้าหน้าที่รับผิดชอบโดยตรงในบทบาทหน้าที่นี้
7.ดำเนินการในด้านไอทีหรือมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันการรั่วไหลทั้งจากบุคคลภายนอกและภายใน
อย่างไรก็ตาม ทั้งรูปแบบกิจกรรม และแนวทางในการปฏิบัติของสมาคมเพื่อให้สอดคล้องกับกฎหมาย PDPA ยังคงเป็นหลักปฏิบัติในเบื้องต้น เนื่องจากบริบทของแต่ละสมาคมมีการดำเนินการที่แตกต่างกัน แต่จะสังเกตได้ว่า ภายใต้กฎหมาย PDPA ที่มุ่งเน้นการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้องค์กรธุรกิจและหน่วยงานต่าง ๆ ได้ตระหนักและระมัดระวังการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ปราศจากการยินยอม ขณะเดียวกันยังให้สิทธิในการขอให้แก้ไข ระงับ ยกเลิกหรือทำลายได้อีกด้วย
ดังนั้น ‘การขอความยินยอม’ จากเจ้าของข้อมูล จึงเป็นยันต์ผืนแรกที่จะช่วยปกป้ององค์กรจากความยุ่งยากจากการละเมิดที่อาจจะเกิดขึ้น แต่ก็ไม่ถึงกับแคล้วคลาดปลอดภัยได้ตลอดไป เนื่องยังมีอีกหลากหลายแง่มุมที่สมาคม และผู้ประกอบการในภาคธุรกิจจะต้องทำความเข้าใจ เพราะอาจส่งผลกระทบต่อองค์กรในระยะยาว เห็นได้จากกรณีการละเมิดข้อมูลส่วนบุคคลในต่างประเทศที่นำไปสู่การฟ้องร้องจนยืดเยื้อที่เสียทั้งเงิน ชื่อเสียง และเวลา
