สมาคม คือ การรวมกลุ่มบุคคลที่มีวัตถุประสงค์เฉพาะ หรือเพื่อดูแลผลประโยชน์ของสมาชิกเป็นหลัก แต่ต้องไม่ใช่เพื่อการหากำไร หรือแบ่งปันรายได้ ซึ่งมีสถานะเป็น ‘นิติบุคคล’ ตามประมวลกฎหมายแพ่งและพาณิชย์ โดยต้องมีสมาชิกเริ่มก่อตั้ง 3 คนขึ้นไป มีกิจกรรมที่มุ่งเน้นทั้งตัวบุคคล และธุรกิจ ดังนั้นสมาคมจึงมีการดำเนินกิจกรรมใน 2 ลักษณะ คือ เป็นทั้ง B2C และ B2B และทำให้สมาคมแต่ละแห่งอาจมีจำนวนสมาชิกตั้งแต่หลักสิบคน ไปจนถึงหลักแสนคนเลยทีเดียว

ด้วยเหตุนี้ ข้อมูลส่วนบุคคลของสมาชิกภายในสมาคมจำนวนมาก ทั้งสมาชิกเก่าและใหม่ หากไม่มีการจัดการที่เหมาะสมและปลอดภัย ก็จะนำไปสู่การละเมิดข้อมูลส่วนบุคคลได้โดยง่าย ซึ่งจะทำให้สมาคม หรือคณะกรรมการของสมาคมมีความผิดตามบทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) เนื่องจากสมาคมมีสถานะอีกอย่างหนึ่ง นั่นคือเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามกฎหมาย PDPA

ดังนั้น จะเห็นได้ว่าในช่วงที่ผ่านมา มีสมาคมรายใหญ่หลาย ๆ ด้าน อาทิ ประกันภัย สถาบันการเงินและธนาคาร ตลอดจนสมาคมวิชาชีพแหนงต่างๆ มีการจัดทำรูปแบบของสมาคมให้เป็นไปตามเงื่อนไขของกฎหมาย PDPA กันอย่างเร่งด่วน เพราะดูเหมือนว่า ‘เส้นตาย’ ได้ใกล้เข้ามาทุกขณะ ซึ่งในที่นี้เราได้มีการสรุปกิจกรรมด้านต่าง ๆ ของสมาคมที่เข้าข่ายต้องดำเนินการให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้

กิจกรรมของ ‘สมาคม’ แง่มุมไหนบ้างที่เข้าข่าย PDPA

1.เก็บ รวบรวมใช้ และเปิดเผยข้อมูลส่วนบุคคลทั่วไป (Personal Data) อาทิ ชื่อ ที่อยู่ เลขบัตรประชาชน เบอร์โทร อีเมล ฯลฯ ของคณะกรรมการและสมาชิก ซึ่งแม้สมาคมที่มีการจดทะเบียนจัดตั้งอย่างถูกต้องตามกฎหมาย สามารถทำได้โดยไม่ต้องขอความยินยอมแก่สมาชิก แต่ก็เพื่อประโยชน์ในงานด้านทะเบียนสมาชิก ดังนั้นหากมีการกระทำใด ๆ ที่นอกเหนือจากนี้ ก็ต้องแจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลส่วนบุคคลทราบ และได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผย

2. เก็บ รวบรวมใช้ และเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) หรือข้อมูลที่อาจจะส่งผลกระทบโดยตรงต่อเจ้าของข้อมูลส่วนบุคคล ที่จะก่อให้เกิดอคติ ความไม่เป็นธรรม เกลียดชัง เลือกปฏิบัติ หรือเสื่อมเสีย อาทิ สมาคมที่เกี่ยวข้องกับ เด็ก ผู้พิการ บุคคลไร้ความสามารถ ผู้ที่มีรสนิยมทางเพศแตกต่าง บุคคลหลายสัญชาติ ผู้เคยต้องโทษทางกฎหมาย เป็นต้น ซึ่งกฎหมาย PDPA ระบุว่าการเก็บรวบรวมข้อมูลส่วนบุคคลให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายและ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งขอความยินต่อเจ้าของข้อมูลส่วนบุคคลอย่างชัดเจน

3.ส่งต่อข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูล (Data Processor) ซึ่งเป็นบุคคลหรือนิติบุคคลที่มีหน้าที่เก็บ รวมรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูล เช่น การเปิดเผยข้อมูลส่วนบุคคลของสมาชิก และอาจรวมถึงข้อมูลผู้ติดตามของสมาชิกที่เป็นบุคคลภายนอกให้แก่ บริษัทนำเที่ยวเพื่อกิจกรรมดูงาน สัมมนา หรือสันทนาการในรูปแบบต่าง ๆ

4.เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น ที่ไม่ใช่จากเจ้าของข้อมูลโดยตรง เช่น สมาคมมีการรวบรวมหรือขอข้อมูลจากสมาชิกจากแหล่งอื่นๆ ซึ่งกฎหมาย PDPA ห้ามไม่ให้ทำ ยกเว้นว่า ได้แจ้งต่อเจ้าของข้อมูลไม่เกินสามสิบวันนับแต่วันที่เก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

5.เปิดเผยหรือถ่ายโอนข้อมูลไปยังต่างประเทศ กรณีนี้เช่น กิจกรรมด้าน Business Matching การออกบูท หรือออกงานแสดงสินค้าในต่างประเทศภายใต้การจัดการของสมาคมซึ่งมีการเปิดเผยข้อมูลส่วนบุคคลของสมาชิกแก่ต่างชาติ ซึ่งกฎหมาย PDPA ระบุว่าต้องได้รับความยินยอมจากเจ้าของข้อมูล รวมถึงประเทศต้นทางต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ หรือขึ้นอยู่กับดุลยพินิจของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

8 คำแนะนำที่ ‘สมาคม’ ควรทำเพื่อรับมือกฎหมาย PDPA

สมาคมอาจมีอีกหลายกิจกรรมที่เข้าข่ายจะต้องดำเนินการเพื่อให้สอดคล้องกับกฎหมาย PDPA ด้วยเหตุนี้ จึงต้องมีการดำเนินการอย่างเร่งด่วนเพื่อรับมือกับกฎหมาย PDPA ที่กำลังบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ โดยมีแนวทางในการดำเนินการดังนี้ :

1.แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นตำแหน่งที่กฎหมายให้ความคุ้มครอง และมีหน้าที่ในการตรวจสอบ ให้คำแนะนำ กำหนดทางปฏิบัติในด้านข้อมูลส่วนบุคคลของสมาคม และประสานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

2.ทำรายการบันทึกข้อมูลส่วนบุคคล หรือ RoPA (Records of Processing Activities) ซึ่งหากสมาคมมีการเก็บ รวบรวมใช้ หรือเปิดเผยก็ต้องมีทำบันทึกรายการไว้

3.กรณีที่สมาคมจำเป็นต้องเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นจำนวนมากก็อาจจะต้องทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA (Data Protection Impact Assessment) ไว้ด้วย

4.จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ประกาศนโยบายความเป็นส่วนตัว (Privacy notice) และหากมีเว็บไซต์ที่เก็บข้อมูลด้วยคุกกี้ก็ต้องทำ Cookie Policy ด้วย

5.จัดทำระบบหรือเอกสารขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล

6.จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Personal Data Sharing Agreement) ในกรณีของสมาคมที่มีการส่งต่อข้อมูลให้แก่บุคคลภายนอก

7. ดำเนินการให้เจ้าของข้อมูลส่วนบุคคลเข้าถึงสิทธิเพื่อการร้องขอให้ดำเนินการใด ๆ เช่น แก้ไข ระงับ ถ่ายโอน หรือทำลาย ซึ่งสมาคมที่มีข้อมูลบุคคลเป็นจำนวนมากควรมีเจ้าหน้าที่รับผิดชอบโดยตรงในบทบาทหน้าที่นี้

8.ดำเนินการในด้านไอทีหรือมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันการรั่วไหลทั้งจากบุคคลภายนอกและภายใน

อย่างไรก็ตาม ทั้งรูปแบบกิจกรรม และแนวทางในการปฏิบัติของสมาคมเพื่อให้สอดคล้องกับกฎหมาย PDPA ยังคงเป็นหลักปฏิบัติในเบื้องต้น เนื่องจากบริบทของแต่ละสมาคมมีการดำเนินการที่แตกต่างกัน แต่จะสังเกตได้ว่า ภายใต้กฎหมาย PDPA ที่มุ่งเน้นการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้องค์กรธุรกิจและหน่วยงานต่าง ๆ ได้ตระหนักและระมัดระวังการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ปราศจากการยินยอม ขณะเดียวกันยังให้สิทธิในการขอให้แก้ไข ระงับ ยกเลิกหรือทำลายได้อีกด้วย

ดังนั้น ‘การขอความยินยอม’ จากเจ้าของข้อมูล จึงเป็นยันต์ผืนแรกที่จะช่วยปกป้ององค์กรจากความยุ่งยากจากการละเมิดที่อาจจะเกิดขึ้น แต่ก็ไม่ถึงกับแคล้วคลาดปลอดภัยได้ตลอดไป เนื่องยังมีอีกหลากหลายแง่มุมที่สมาคม และผู้ประกอบการในภาคธุรกิจจะต้องทำความเข้าใจ เพราะอาจส่งผลกระทบต่อองค์กรในระยะยาว เห็นได้จากกรณีการละเมิดข้อมูลส่วนบุคคลในต่างประเทศที่นำไปสู่การฟ้องร้องจนยืดเยื้อที่เสียทั้งเงิน ชื่อเสียง และเวลา