DSAR กับการเข้ามาเป็นส่วนหนึ่งของกฎหมาย PDPA
ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 ได้กล่าวถึงเจ้าของข้อมูลส่วนบุคคลไว้อย่างสั้น ๆ ดังนี้“เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามกฎหมายในการจะบริหารจัดการ กับข้อมูลส่วนบุคคลของตนเองเสมอ” ซึ่งในบทความนี้เราจะมาพูดถึงเจ้าตัว DSAR หรือ Data Subject Access Request และสิทธิของเจ้าของข้อมูลตามกฎหมาย รวมไปถึงสิ่งที่ต้องทำ หากมีการบังคับใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
PDPA คืออะไร ?
“PDPA” ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายว่าด้วยการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคลและสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้อย่างถูกวัตถุประสงค์ ตามคำยินยอมที่เจ้าของข้อมูลได้อนุญาต ตามที่ประกาศไว้ในราชกิจจานุเบกษา วันที่ 27 พฤษภาคม 2562 ก่อนถูกเลื่อนการบังคับใช้ มาเป็นวันที่ 1 มิถุนายน 2565 เนื่องจากสถานการณ์การแพร่ระบาดของ Covid-19
DSAR คืออะไร?
DSAR ย่อมาจาก Data Subject Access Request เป็นการบริหารจัดการสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมไปถึงการจัดการกับคำร้องขอเข้าถึงข้อมูลได้อย่างเหมาะสมและไม่ขัดต่อหลักกฎหมายการคุ้มครองข้อมูลส่วนบุคคลอันจะเป็นประโยชน์ต่อทั้งตัวบุคคลและองค์กร
เจ้าของข้อมูลส่วนบุคคลคือใคร มีสิทธิอะไรตามกฎหมายบ้าง?
ตามกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ระบุความหมายของเจ้าของข้อมูลส่วนบุคคลไว้ว่า เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ เจ้าของข้อมูลที่สามารถเชื่อมโยงไปถึงตัวบุคคลนั้นได้ ซึ่งยังมีชีวิตอยู่ และเป็นข้อมูลที่ทำให้สามารถระบุตัวตนได้ “เจ้าของข้อมูลส่วนบุคคล” มีสิทธิตามกฎหมายที่พึงมี ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ดังนี้
สิทธิได้รับการแจ้งให้ทราบ
การเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบทุกครั้ง ไม่ว่าจะแจ้งก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล เช่น เก็บข้อมูลส่วนบุคคลอะไรบ้าง, วัตถุประสงค์การเก็บข้อมูลคืออะไร
สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคล มีสิทธิขอเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอมได้ โดยสิทธินี้จะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล ซึ่งจะได้รับสิทธิภายใน 30 วัน โดยเริ่มนับจากวันที่ผู้ควบคุมข้อมูลส่วนบุคคลได้รับคำขอ
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ แต่ต้องไม่ขัดด้วยกฎหมายที่สำคัญยิ่งกว่า หรือขัดต่อสิทธิการเรียกร้องตามกฎหมาย หรือข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ
สิทธิขอให้ลบหรือทำลายข้อมูล
กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะ และผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลเจ้าของได้ โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องเป็นผู้รับผิดชอบดำเนินการ ทั้งในทางเทคโนโลยี และค่าใช้จ่ายเอง
สิทธิในการเพิกถอนความยินยอม
ถ้าเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไปแล้ว ต่อมาภายหลังต้องการยกเลิกความยินยอมนั้น ก็สามารถทำเมื่อใดก็ได้ และการยกเลิกความยินยอมนั้นจะต้องทำได้ง่ายเหมือนกับตอนแรกที่เจ้าของข้อมูลให้ความยินยอมด้วย โดยการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย
สิทธิขอให้ระงับการใช้ข้อมูล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะในกรณีที่เกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้ โดยการแก้ไขนั้นจะต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย
สิทธิในการขอให้โอนย้ายข้อมูลส่วนบุคคล
ในกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่ง หรือโอนข้อมูลดังกล่าวให้ได้ หรือจะขอให้ส่งไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรงก็สามารถทำได้
องค์กรควรจะต้องทำอย่างไร ? เมื่อเจ้าของข้อมูลติดต่อขอใช้สิทธิตามกฎหมาย
สำหรับองค์กรหรือหน่วยงานใด ที่มีการการดำเนินงานเกี่ยวกับการเก็บรวบรวม ใช้งาน หรือมีการประมวลผลเกี่ยวกับข้อมูลส่วนบุคคล ควรจะต้องมีการดำเนินงานตามขั้นตอนดังนี้
1. จัดทำช่องทางสำหรับเจ้าของข้อมูลในการใช้สิทธิตามกฎหมายกำหนด
โดยช่องทางในที่นี้ หมายถึง ช่องทางที่องค์กรหรือหน่วยงานจัดทำขึ้นเพื่อให้เจ้าของข้อมูลใช้ยื่นคำร้องขอเข้าถึงข้อมูลเข้ามาในระบบขององค์กร เช่น ระบบเว็บฟอร์ม หรือแบบฟอร์ม เป็นต้น
2. ตรวจสอบยืนยันตัวตนของผู้ที่ยื่นคำร้อง
เมื่อเจ้าของข้อมูลส่วนบุคคลได้ยื่นคำร้องเข้ามาในระบบ องค์กรควรจะมีระบบการยืนยันตัวตนด้วยเสมอ เพื่อป้องกันการเข้ามาสวมรอยใช้สิทธิโดยไม่ชอบธรรม
3. ตรวจสอบความถูกต้องของคำขอ
เมื่อมีการยืนยันตัวตนเสร็จแล้ว ให้ทำการตรวจสอบความถูกต้องของคำร้อง ว่า เจ้าของคำร้องนั้นขอเข้ามาทำอะไร แล้วข้อมูลในคำร้องมีความถูกต้องมากน้อยขนาดไหน
4. ดำเนินการตามสิทธิที่เจ้าของข้อมูลส่วนบุคคลร้องขอ
เป็นขั้นตอนการดำเนินงานตามคำร้องขอใช้สิทธิตามกฏหมายของเจ้าของข้อมูล
5. แจ้งผลการดำเนินการ
หลังจากที่ได้ดำเนินงานตามคำร้องขอของเจ้าของข้อมูลเสร็จสิ้นแล้วนั้น ให้องค์กรทำการแจ้งผลการดำเนินงานแก่เจ้าของข้อมูลทราบทุกครั้ง
สรุปแล้ว หากองค์กรไม่มี DSAR จะเป็นอย่างไร ?
หากองค์กรยังไม่มีระบบ DSAR รองรับ อาจทำให้องค์กรหรือหน่วยงานนั้น ๆ ถูกลงโทษตามกฏหมายได้ เนื่องจากจำเป็นต้องมีระบบหรือแพลตฟอร์มรองรับการเข้ามาขอใช้สิทธิตามกฎหมายของเจ้าของข้อมูล เพื่อสร้างความมั่นใจในการฝากข้อมูลส่วนบุคคลไว้กับองค์กรแก่เจ้าของข้อมูลส่วนบุคคลทุกคน
แพลตฟอร์ม OneFence ระบบบริหารจัดการความปลอดภัยแบบครบวงจร โดยมีโซลูชัน Privacy Management ช่วยบริหารจัดการช่องทางใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ผ่านเครื่องมือ DSAR Automation ซึ่งเจ้าของข้อมูลสามารถเข้าถึงและจัดการสิทธิได้ตามที่ระบุไว้ในกฎหมาย PDPA โดยสามารถออกแบบกระบวนการจัดการคำขอได้อย่างเป็นระบบ สามารถมอบหมายงาน แจ้งเตือนให้กับผู้ที่มีหน้าที่รับผิดชอบได้โดยอัตโนมัติ พร้อมทั้งสร้างช่องทางสื่อสารระหว่างเจ้าของข้อมูลและผู้ดำเนินการได้โดยตรง จัดการขั้นตอนที่ยุ่งยากให้ง่ายขึ้นด้วยกระบวนการทำงานอย่างเป็นระบบ
สอบถามข้อมูลผลิตภัณฑ์ “OneFence”
Tel. : 081-972-2500
Line : @securitypitch
Email : [email protected]
