9 ขั้นตอนเพื่อการบริหารจัดการ DSAR ตาม PDPA อย่างมืออาชีพ

แชร์

อ่าน

ครั้ง

โดย : Pichitchai Sangnak

9 ขั้นตอนเพื่อการบริหารจัดการ DSAR ตาม PDPA อย่างมืออาชีพ

แชร์

อ่าน

ครั้ง

โดย : Pichitchai Sangnak

9 ขั้นตอนเพื่อการบริหารจัดการ DSAR ตาม PDPA อย่างมืออาชีพ

     หากคุณคือหนึ่งคนที่กำลังศึกษาหรือดำเนินการเกี่ยวกับ PDPA หลายคนอาจได้ยินหรือรู้จัก DSAR มาบ้างไม่มากก็น้อย ซึ่งการบริหารจัดการ DSAR มีจุดประสงค์ในการอำนวยความสะดวกผู้ร้องขอ ลดภาระองค์กรและพนักงานในการตอบสนองคำร้อง ซึ่งหากองค์กรไม่ปฎิบัติตามคำร้องหรือเพิกเฉยต่อคำร้อง มีโทษปรับทางปกครองสูงสุด 5 ล้านบาท
 
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) 
     สิทธิของบุคคลที่มีสถานะเป็นเจ้าของข้อมูลส่วนบุคคล ได้รับตามที่กฎหมาย PDPA กำหนดไว้ โดยเจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิเหล่านั้นได้ที่ ผู้ควบคุมข้อมูลส่วนบุคคล ที่เป็นผู้นำข้อมูลส่วนบุคคลไปประมวลผลตามวัตถุประสงค์ต่าง ๆ ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลจะมีภาระหน้าที่ที่ต้องรับผิดชอบในการรองรับการใช้สิทธิต่าง ๆ ตามที่กฎหมายกำหนด ไม่ว่าจะเป็นในเรื่องของการดำเนินการใช้สิทธิหรือการปฏิเสธการใช้สิทธิก็ตาม
 
DSAR คืออะไร ?
     DSAR (Data Subject Access Request) หรือสิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล เป็นหนึ่งในสิทธิตามที่กฎหมาย PDPA กำหนดไว้ ส่วนกระบวนการ DSAR เป็นการบริหารจัดการสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมไปถึงการจัดการกับคำร้องขอเข้าถึงข้อมูลส่วนบุคคลได้อย่างเหมาะสม ซึ่งไม่ขัดต่อหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยที่เจ้าของข้อมูลส่วนบุคคล “ไม่จำเป็นต้องมีเหตุผล” สำหรับการขอเข้าถึงข้อมูลของตนเอง

 

แล้วองค์กรจะมีวิธีการรับมือกับการใช้สิทธิ DSAR ตามกฎหมาย PDPA ที่เพิ่งเกิดขึ้นใหม่อย่างไร PDPA Thailand ในฐานะผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล ขอแนะนำ  9 ขั้นตอนที่องค์กรที่บริษัทพึงปฏิบัติสำหรับอำนวยความสะดวกในการขอเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ดังนี้
การบริหารจัดการ-DSAR-ตาม-PDPA
  1. จัดให้มีช่องทางในการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
     ขั้นตอนแรกสำหรับการบริหารการเข้าถึงข้อมูลส่วนบุคคลคือ การร้องขอหรือการกรอกคำร้องซึ่งอาจจะร้องขอผ่านมือถือ, อีเมล, หรือแพลตฟอร์มออนไลน์ต่าง ๆ ซึ่งกระบวนการสำหรับ DSAR ที่มีประสิทธิภาพต้องมีการบันทึกคำร้องขอหรือส่งต่อเอกสารอย่างรวดเร็วและถูกต้อง ซึ่งกระบวนการส่วนนี้เป็นกระบวนการขั้นพื้นฐานที่จะนำไปสู่การทำงานที่มีประสิทธิภาพตลอดทั้งกระบวนการร้องขอการเข้าถึงข้อมูลส่วนบุคคล
 
  1. ยืนยันตัวตนของผู้ร้องขอ
     ในการยื่นคำร้องขอการเข้าถึงข้อมูลส่วนบุคคล ต้องไม่ลืมที่จะตรวจสอบ หรือยืนยันตัวตนของผู้ร้องขอว่าเป็นเจ้าของข้อมูลส่วนบุคคลชุดนั้นจริง เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลทั่วไปซึ่งรวมไปถึงข้อมูลอ่อนไหว (Sensitive Data) โดยไม่ได้รับอนุญาต ซึ่งในการตรวจสอบสามารถทำได้หลายวิธี ไม่ว่าจะเป็น เอกสารที่ระบุหรือแสดงตัวตนของข้อมูลอย่างเด่นชัด เช่น บัตรประจำตัวประชาชน, หนังสือเดินทาง หรือในกรณีที่ผู้ยื่นคำร้องเป็นตัวแทนของเจ้าของข้อมูลส่วนบุคคล (การมอบอำนาจ) ก็ควรที่จะกำหนดให้มีการแนบเอกสารยืนยันตัวตนของตัวแทนด้วย
 
  1. ค้นหาที่อยู่ของข้อมูลและดึงข้อมูลตามที่ร้องขอ
     หลังจากการตรวจสอบและยืนยันตัวตนของผู้ร้องขอเรียบร้อยแล้ว องค์กรหรือบริษัทจำเป็นต้องมีการตรวจสอบให้ถี่ถ้วนว่า ข้อมูลที่ถูกร้องขอไปอยู่หรือเกี่ยวข้องกับส่วนในขององค์กรบ้าง, อยู่ในฐานข้อมูลหรือถูกเก็บรักษาในระบบคลาวด์ส่วนใดบ้าง
ซึ่งหลังจากที่ทราบถึงแหล่งที่อยู่ของข้อมูลแล้ว คำถามคือการดึงข้อมูลชุดนั้น ต้องทำอย่างไร ? นั่นเป็นโจทย์ที่องค์กรหรือบริษัทจำเป็นตอบให้ได้ ซึ่งการดึงข้อมูลจากแหล่งเก็บข้อมูลอาจมีการรับข้อมูลจากฐานข้อมูล, ไฟล์เอกสาร, หรือแม้จากทางอีเมลได้ด้วยเช่นกัน
การตอบสนองต่อการร้องขอการเข้าถึงข้อมูลส่วนบุคคลเป็นสิ่งสำคัญที่องค์กรควรใส่ใจทั้งในเรื่องของความรวดเร็ว และความถูกต้อง เพราะนี่คือสิ่งสำคัญที่แสดงให้เห็นถึงความโปร่งใสและกระบวนการทำงานที่มีประสิทธิภาพให้กับผู้ร้องขอการเข้าถึงข้อมูลส่วนบุคคล (DSAR) ได้เป็นอย่างดีอีกด้วย
 
  1. ตรวจสอบข้อมูลและข้อยกเว้นที่สามารถปฏิเสธคำขอได้
     เมื่อเจ้าของข้อมูลส่วนบุคคลได้ขอใช้สิทธิตามกฎหมายแล้วนั้น องค์กร/บริษัท ซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลจะต้องมีการตรวจสอบว่าการขอใช้สิทธิดังกล่าว เป็นไปตามเงื่อนไขของกฎหมายที่สามารถใช้สิทธิได้ ซึ่งในบางกรณีเจ้าของข้อมูลส่วนบุคคลไม่อาจใช้สิทธิได้ตามคำขอ เช่น การขอใช้สิทธิในการลบข้อมูลส่วนบุคคลที่ได้ให้ไว้ในการทำสัญญา ซึ่งสัญญาดังกล่าวยังไม่สิ้นสุด ผู้ควบคุมข้อมูลส่วนบุคคลจึงสามารถปฏิเสธคำขอดังกล่าวได้
 
  1. จัดระเบียบและรูปแบบของข้อมูลให้ง่ายและสะดวกในการใช้งานหรือตรวจสอบ
     การส่งมอบข้อมูลให้กับเจ้าของข้อมูลจะต้องชัดเจน มีโครงสร้าง และเข้าใจง่าย รวมถึงการออกแบบระบบต้องอยู่ในรูปแบบที่ผู้ใช้สามารถใช้งานได้ง่าย ไม่ซับซ้อน ซึ่งรูปแบบของการจัดเก็บข้อมูลต้องเป็นรูปแบบที่ใช้งานได้ทั่วไป เช่น Excel หรือ PDF เพื่อให้เจ้าข้อมูลสามารถตรวจสอบและเข้าถึงข้อมูลได้อย่างมีประสิทธิภาพ
การจัดการในส่วนนี้ช่วยเพิ่มความโปร่งใสและอำนวยความสะดวกในการเข้าถึงข้อมูลของเจ้าของข้อมูลได้ด้วย 
 
  1. ส่งต่อข้อมูลอย่างปลอดภัย
     องค์กรหรือบริษัทจำเป็นต้องมั่นใจว่าการโอนหรือส่งต่อข้อมูลของผู้ร้องขอนั้นถูกดำเนินการในมาตรฐานความปลอดภัยขั้นสูงสุด เพื่อป้องกันการแอบดักข้อมูล หรือป้องกันการรั่วไหลของข้อมูล นอกจากนี้ต้องมีมาตรการในการโอนข้อมูลผ่านเครือข่ายที่ปลอดภัย หรือมาตรการในการนำส่งไฟล์ และเอกสารที่รัดกุมเพียงพอด้วย
กรณีเอกสารหรือชุดข้อมูลที่ต้องโอนหรือส่งต่อให้กับผู้ร้องขอ มีข้อมูลส่วนบุคคลของบุคคลที่สามติดอยู่ด้วย จะต้องทำการขอความยินยอมจากบุคคลที่สามก่อน และหากไม่ได้รับความยินยอมหรือไม่ได้ขอความยินยอมนั้น ข้อมูลส่วนบุคคลของบุคคลที่สามจะต้องทำการเช่น ขีดฆ่า/ถมดำ/หรือวิธีการอื่น โดยต้องทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวบุคคลที่สามได้ ก่อนที่มีการโอนหรือส่งต่อให้กับผู้ร้องขอไป
 
  1. ทำบันทึกกระบวนการร้องขอข้อมูล
     องค์กรหรือบริษัทจำเป็นต้องมีการทำบันทึกทุกกระบวนการร้องขอการเข้าถึงข้อมูลส่วนบุคคล ไม่ว่าจะเป็น การจัดทำเอกสารคำร้อง การยืนยันตัวตน การตรวจสอบข้อมูล กระบวนการดึงข้อมูลตามที่ร้องขอ ข้อยกเว้นตามที่กำหนด รวมไปถึงกระบวนการส่งต่อข้อมูล
โดยการทำบันทึกกระบวนการร้องขอข้อมูลจะช่วยให้องค์กรสามารถติดตามผลของ DSAR ได้อย่างมีประสิทธิภาพ ซึ่งช่วยให้องค์กรสามารถทราบได้ว่าต้องปรับปรุง หรือแก้ไขข้อบกพร่องในขั้นตอนต่าง ๆ อย่างไรบ้าง
นอกจากนี้การบันทึกกระบวนการร้องขอการเข้าถึงข้อมูล ยังเป็นส่วนหนึ่งของกิจกรรมที่ต้องทำตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดไว้อีกด้วย
 
  1. ติดต่อสื่อสารกับผู้ร้องขอตลอดกระบวนการ
      ตลอดกระบวนการ DSAR ควรมีการติดต่อ หรือแจ้งต่อผู้ร้องขออยู่เสมอเกี่ยวกับขั้นตอนที่กำลังดำเนินการอยู่ ว่าอยู่ที่ขั้นตอนใดบ้าง โดยกฎหมายได้มีการกำหนดถึงระยะเวลาในการที่องค์กรหรือบริษัทจะต้องตอบสนองการใช้สิทธิของเจ้าของข้อมูลภายใน 30 วัน โดยไม่ชักช้า ซึ่งหากในกรณีที่เกิดเหตุล่าช้าองค์กรหรือบริษัทจะต้องมีการชี้แจงเหตุผลต่อผู้ร้องขอว่าเพราะอะไร รวมถึงต้องแจ้งช่วงวันเวลาที่ผู้ร้องขอจะได้รับข้อมูลตามที่ขอไว้
 
  1. ยืนยันการรับข้อมูลและปรับปรุงกระบวนการ DSAR
     เมื่อเจ้าของข้อมูลได้รับข้อมูลตามที่ร้องขอเรียบร้อยแล้ว ควรมีการยืนยันผ่านเจ้าของข้อมูลด้วยว่าได้รับข้อมูลแล้วเช่นกัน เพื่อคอนเฟิร์มว่าข้อมูลที่ร้องขอได้ถูกนำส่งเรียบร้อยแล้ว ซึ่งในระหว่างกระบวนการ DSAR หากพบเจอปัญหาที่จุดไหนควรมีแนวทางการแก้ไขให้เรียบร้อย เพื่อให้เจ้าของข้อมูลมั่นใจว่าองค์กรหรือบริษัทดำเนินงานเสร็จสิ้นแล้ว
 
     ส่วนของขั้นตอนนี้เป็นขั้นตอนที่ช่วยยืนยันว่าองค์กรได้เคารพสิทธิของเจ้าของข้อมูล และดำเนินงานได้สอดคล้องกับกฎหมาย PDPA อย่างแท้จริง ซึ่งหากทำทุกอย่างเรียบร้อยเป็นอันปิดจบกระบวนการ DSAR ที่สมบูรณ์ และต้องไม่ลืมที่จะบันทึกการตอบสนองการใช้สิทธินี้ทุกครั้งไว้ใน RoPA อีกด้วย
อย่างไรก็ดี กฎหมายไม่ได้กำหนดรูปแบบหรือแนวทางปฏิบัติในเชิงธุรกิจ (Business Best Practice) ว่าองค์กรหรือบริษัทต้องจัดการอย่างไร รูปแบบใด ปฏิบัติอย่างไรเมื่อได้รับคำร้องขอจากเจ้าของข้อมูล แต่กฎหมายมีการกำหนดว่าองค์กรหรือบริษัท “ต้องปฏิบัติ” เมื่อมีการร้องขอเอาไว้
ซึ่งแนวทางที่พึงปฏิบัติไม่ว่าจะเป็น การร่างนโยบายด้าน (DSAR – Data Subject Access Request), การกำหนดผู้รับเรื่อง หรือคณะกรรมการรับเรื่องแต่ละทีมงานที่เกี่ยวข้อง, การกำหนดข้อมูลที่อยู่ในขอบเขตการขอเข้าถึงและรับสำเนา และกำหนดรูปแบบของการข้อเข้าถึงและรับสำเนาอย่างเป็นทางการ เพื่อการบริหารและจัดการมาตรการรับรองการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (DSAR: Data Subject Right) อย่างมีประสิทธิภาพ  
 
    จบทุกปัญหากวนใจด้านมาตรการรับรองการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (DSAR)  PDPA Thailand บริการผู้ช่วยจัดการเรื่องมาตรการรับรองการใช้สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (DSAR) โดยมืออาชีพ ไม่ว่าจะเป็นการร่างมาตรการ, ให้คำแนะนำ, ตรวจสอบ หรือฝึกอบรม เพื่อยกระดับองค์กรสู่มาตรฐานสากล และสามารถดำเนินการได้สอดคล้องตาม PDPA
สนใจบริการหรือสอบถามข้อมูลเพิ่มเติมติดต่อ
Facebook: PDPA Thailand
LINE: @pdpathailand
Email: [email protected] 
Tel: 081-6325918

Share :