9 ขั้นตอนเพื่อการบริหารจัดการ DSAR ตาม PDPA อย่างมืออาชีพ
หากคุณคือหนึ่งคนที่กำลังศึกษาหรือดำเนินการเกี่ยวกับ PDPA หลายคนอาจได้ยินหรือรู้จัก DSAR มาบ้างไม่มากก็น้อย เนื่องจาก DSAR เป็นหนึ่งใน สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) การบริหารจัดการ DSAR มีจุดประสงค์ในการอำนวยความสะดวกผู้ร้องขอ ลดภาระองค์กรและพนักงานในการตอบสนองคำร้อง ซึ่งหากองค์กรไม่ปฎิบัติตามคำร้องหรือเพิกเฉยต่อคำร้อง มีโทษปรับทางปกครองสูงสุด 5 ล้านบาท
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right)
สิทธิของบุคคลที่มีสถานะเป็นเจ้าของข้อมูลส่วนบุคคล ได้รับตามที่กฎหมาย PDPA กำหนดไว้ โดยเจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิเหล่านั้นได้ที่ ผู้ควบคุมข้อมูลส่วนบุคคล ที่เป็นผู้นำข้อมูลส่วนบุคคลไปประมวลผลตามวัตถุประสงค์ต่าง ๆ ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลจะมีภาระหน้าที่ที่ต้องรับผิดชอบในการรองรับการใช้สิทธิต่าง ๆ ตามที่กฎหมายกำหนด ไม่ว่าจะเป็นในเรื่องของการดำเนินการใช้สิทธิหรือการปฏิเสธการใช้สิทธิก็ตาม
DSAR คืออะไร ?
DSAR (Data Subject Access Request) หรือสิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล เป็นหนึ่งในสิทธิตามที่กฎหมาย PDPA กำหนดไว้ ส่วนกระบวนการ DSAR เป็นการบริหารจัดการสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมไปถึงการจัดการกับคำร้องขอเข้าถึงข้อมูลส่วนบุคคลได้อย่างเหมาะสม ซึ่งไม่ขัดต่อหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยที่เจ้าของข้อมูลส่วนบุคคล “ไม่จำเป็นต้องมีเหตุผล” สำหรับการขอเข้าถึงข้อมูลของตนเอง
แล้วองค์กรจะมีวิธีการรับมือกับการใช้สิทธิ DSAR ตามกฎหมาย PDPA ที่เพิ่งเกิดขึ้นใหม่อย่างไร PDPA Thailand ในฐานะผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล ขอแนะนำ 9 ขั้นตอนที่องค์กรที่บริษัทพึงปฏิบัติสำหรับอำนวยความสะดวกในการขอเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ดังนี้
จัดให้มีช่องทางในการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
ขั้นตอนแรกสำหรับการบริหารการเข้าถึงข้อมูลส่วนบุคคลคือ การร้องขอหรือการกรอกคำร้องซึ่งอาจจะร้องขอผ่านมือถือ, อีเมล, หรือแพลตฟอร์มออนไลน์ต่าง ๆ ซึ่งกระบวนการสำหรับ DSAR ที่มีประสิทธิภาพต้องมีการบันทึกคำร้องขอหรือส่งต่อเอกสารอย่างรวดเร็วและถูกต้อง ซึ่งกระบวนการส่วนนี้เป็นกระบวนการขั้นพื้นฐานที่จะนำไปสู่การทำงานที่มีประสิทธิภาพตลอดทั้งกระบวนการร้องขอการเข้าถึงข้อมูลส่วนบุคคล
ยืนยันตัวตนของผู้ร้องขอ
ในการยื่นคำร้องขอการเข้าถึงข้อมูลส่วนบุคคล ต้องไม่ลืมที่จะตรวจสอบ หรือยืนยันตัวตนของผู้ร้องขอว่าเป็นเจ้าของข้อมูลส่วนบุคคลชุดนั้นจริง เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลทั่วไปซึ่งรวมไปถึงข้อมูลอ่อนไหว (Sensitive Data) โดยไม่ได้รับอนุญาต ซึ่งในการตรวจสอบสามารถทำได้หลายวิธี ไม่ว่าจะเป็น เอกสารที่ระบุหรือแสดงตัวตนของข้อมูลอย่างเด่นชัด เช่น บัตรประจำตัวประชาชน, หนังสือเดินทาง หรือในกรณีที่ผู้ยื่นคำร้องเป็นตัวแทนของเจ้าของข้อมูลส่วนบุคคล (การมอบอำนาจ) ก็ควรที่จะกำหนดให้มีการแนบเอกสารยืนยันตัวตนของตัวแทนด้วย
ค้นหาที่อยู่ของข้อมูลและดึงข้อมูลตามที่ร้องขอ
หลังจากการตรวจสอบและยืนยันตัวตนของผู้ร้องขอเรียบร้อยแล้ว องค์กรหรือบริษัทจำเป็นต้องมีการตรวจสอบให้ถี่ถ้วนว่า ข้อมูลที่ถูกร้องขอไปอยู่หรือเกี่ยวข้องกับส่วนในขององค์กรบ้าง, อยู่ในฐานข้อมูลหรือถูกเก็บรักษาในระบบคลาวด์ส่วนใดบ้าง
ซึ่งหลังจากที่ทราบถึงแหล่งที่อยู่ของข้อมูลแล้ว คำถามคือการดึงข้อมูลชุดนั้น ต้องทำอย่างไร ? นั่นเป็นโจทย์ที่องค์กรหรือบริษัทจำเป็นตอบให้ได้ ซึ่งการดึงข้อมูลจากแหล่งเก็บข้อมูลอาจมีการรับข้อมูลจากฐานข้อมูล, ไฟล์เอกสาร, หรือแม้จากทางอีเมลได้ด้วยเช่นกัน
การตอบสนองต่อการร้องขอการเข้าถึงข้อมูลส่วนบุคคลเป็นสิ่งสำคัญที่องค์กรควรใส่ใจทั้งในเรื่องของความรวดเร็ว และความถูกต้อง เพราะนี่คือสิ่งสำคัญที่แสดงให้เห็นถึงความโปร่งใสและกระบวนการทำงานที่มีประสิทธิภาพให้กับผู้ร้องขอการเข้าถึงข้อมูลส่วนบุคคล (DSAR) ได้เป็นอย่างดีอีกด้วย
ตรวจสอบข้อมูลและข้อยกเว้นที่สามารถปฏิเสธคำขอได้
เมื่อเจ้าของข้อมูลส่วนบุคคลได้ขอใช้สิทธิตามกฎหมายแล้วนั้น องค์กร/บริษัท ซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลจะต้องมีการตรวจสอบว่าการขอใช้สิทธิดังกล่าว เป็นไปตามเงื่อนไขของกฎหมายที่สามารถใช้สิทธิได้ ซึ่งในบางกรณีเจ้าของข้อมูลส่วนบุคคลไม่อาจใช้สิทธิได้ตามคำขอ เช่น การขอใช้สิทธิในการลบข้อมูลส่วนบุคคลที่ได้ให้ไว้ในการทำสัญญา ซึ่งสัญญาดังกล่าวยังไม่สิ้นสุด ผู้ควบคุมข้อมูลส่วนบุคคลจึงสามารถปฏิเสธคำขอดังกล่าวได้
จัดระเบียบและรูปแบบของข้อมูลให้ง่ายและสะดวกในการใช้งานหรือตรวจสอบ
การส่งมอบข้อมูลให้กับเจ้าของข้อมูลจะต้องชัดเจน มีโครงสร้าง และเข้าใจง่าย รวมถึงการออกแบบระบบต้องอยู่ในรูปแบบที่ผู้ใช้สามารถใช้งานได้ง่าย ไม่ซับซ้อน ซึ่งรูปแบบของการจัดเก็บข้อมูลต้องเป็นรูปแบบที่ใช้งานได้ทั่วไป เช่น Excel หรือ PDF เพื่อให้เจ้าข้อมูลสามารถตรวจสอบและเข้าถึงข้อมูลได้อย่างมีประสิทธิภาพ
การจัดการในส่วนนี้ช่วยเพิ่มความโปร่งใสและอำนวยความสะดวกในการเข้าถึงข้อมูลของเจ้าของข้อมูลได้ด้วย
ส่งต่อข้อมูลอย่างปลอดภัย
องค์กรหรือบริษัทจำเป็นต้องมั่นใจว่าการโอนหรือส่งต่อข้อมูลของผู้ร้องขอนั้นถูกดำเนินการในมาตรฐานความปลอดภัยขั้นสูงสุด เพื่อป้องกันการแอบดักข้อมูล หรือป้องกันการรั่วไหลของข้อมูล นอกจากนี้ต้องมีมาตรการในการโอนข้อมูลผ่านเครือข่ายที่ปลอดภัย หรือมาตรการในการนำส่งไฟล์ และเอกสารที่รัดกุมเพียงพอด้วย
กรณีเอกสารหรือชุดข้อมูลที่ต้องโอนหรือส่งต่อให้กับผู้ร้องขอ มีข้อมูลส่วนบุคคลของบุคคลที่สามติดอยู่ด้วย จะต้องทำการขอความยินยอมจากบุคคลที่สามก่อน และหากไม่ได้รับความยินยอมหรือไม่ได้ขอความยินยอมนั้น ข้อมูลส่วนบุคคลของบุคคลที่สามจะต้องทำการเช่น ขีดฆ่า/ถมดำ/หรือวิธีการอื่น โดยต้องทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวบุคคลที่สามได้ ก่อนที่มีการโอนหรือส่งต่อให้กับผู้ร้องขอไป
ทำบันทึกกระบวนการร้องขอข้อมูล
องค์กรหรือบริษัทจำเป็นต้องมีการทำบันทึกทุกกระบวนการร้องขอการเข้าถึงข้อมูลส่วนบุคคล ไม่ว่าจะเป็น การจัดทำเอกสารคำร้อง การยืนยันตัวตน การตรวจสอบข้อมูล กระบวนการดึงข้อมูลตามที่ร้องขอ ข้อยกเว้นตามที่กำหนด รวมไปถึงกระบวนการส่งต่อข้อมูล
โดยการทำบันทึกกระบวนการร้องขอข้อมูลจะช่วยให้องค์กรสามารถติดตามผลของ DSAR ได้อย่างมีประสิทธิภาพ ซึ่งช่วยให้องค์กรสามารถทราบได้ว่าต้องปรับปรุง หรือแก้ไขข้อบกพร่องในขั้นตอนต่าง ๆ อย่างไรบ้าง
นอกจากนี้การบันทึกกระบวนการร้องขอการเข้าถึงข้อมูล ยังเป็นส่วนหนึ่งของกิจกรรมที่ต้องทำตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดไว้อีกด้วย
ติดต่อสื่อสารกับผู้ร้องขอตลอดกระบวนการ
ตลอดกระบวนการ DSAR ควรมีการติดต่อ หรือแจ้งต่อผู้ร้องขออยู่เสมอเกี่ยวกับขั้นตอนที่กำลังดำเนินการอยู่ ว่าอยู่ที่ขั้นตอนใดบ้าง โดยกฎหมายได้มีการกำหนดถึงระยะเวลาในการที่องค์กรหรือบริษัทจะต้องตอบสนองการใช้สิทธิของเจ้าของข้อมูลภายใน 30 วัน โดยไม่ชักช้า ซึ่งหากในกรณีที่เกิดเหตุล่าช้าองค์กรหรือบริษัทจะต้องมีการชี้แจงเหตุผลต่อผู้ร้องขอว่าเพราะอะไร รวมถึงต้องแจ้งช่วงวันเวลาที่ผู้ร้องขอจะได้รับข้อมูลตามที่ขอไว้
ยืนยันการรับข้อมูลและปรับปรุงกระบวนการ DSAR
