พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดหน้าที่และความรับผิดชอบขององค์กร ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องปฏิบัติเมื่อดำเนินการประมวลผลข้อมูลส่วนบุคคล และเป็นกฎหมายที่กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ
อาทิ สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลตามมาตรา 30 (Right of access) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคลตามมาตรา 31 (Right to data portability) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 32 (Right to object)
สิทธิในการขอให้ลบข้อมูลส่วนบุคคลตามมาตรา 33 (Right to erasure) สิทธิในการระงับการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 34 (Right to restriction of processing) และสิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้องตามมาตรา 36 (Right to rectification)
การดำเนินการตามคำร้องขอใช้สิทธิในบริบทของการบริหารจัดการมีประเด็นสำคัญหลายประการที่องค์กรต่าง ๆ อาจจะต้องเตรียมความพร้อมก่อนที่กฎหมายจะใช้บังคับทั้งฉบับในวันที่ 1 มิถุนายน 2565
อาทิ ช่องทางการรับคำร้อง การตรวจสอบยืนยันตัวตน การค้นหาข้อมูลที่เกี่ยวข้องกับคำร้อง ผู้มีหน้าที่ดำเนินการตามคำร้อง การติดตามการดำเนินการ ระบบการลงบันทึกกิจกรรมและกระบวนการตรวจสอบ เป็นต้น
กระบวนการ “ตรวจสอบยืนยันตัวตน” เป็นประเด็นที่สำคัญหนึ่งที่เมื่อองค์กรได้รับคำร้องขอแล้ว (DSR: Data Subject Request) จะต้องดำเนินการก่อนการดำเนินการตาม DSR เพราะต้องมั่นใจก่อนว่าผู้ยื่นคำร้องเป็นเจ้าของข้อมูลส่วนบุคคลที่ขอใช้สิทธิหรือเป็นบุคคลที่มีอำนาจในการขอใช้สิทธิในนามของเจ้าของข้อมูลส่วนบุคคลจริง ๆ
เพราะการให้บุคคลที่ไม่มีสิทธิเข้าถึงข้อมูลสามารถเข้าถึงข้อมูลได้ก็อาจทำให้องค์กรมีความรับผิดต่างๆ ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ หรือหากไปดำเนินการใด ๆ ต่อข้อมูลส่วนบุคคลจากการดำเนินการตามคำร้องของบุคคลที่สวมรอยมาเป็นเจ้าของข้อมูลส่วนบุคคล ก็อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลและอาจนำมาซึ่งความรับผิดตามกฎหมายขององค์กรได้
อย่างไรก็ตาม กระบวนการ “ตรวจสอบยืนยันตัวตน” ก็ต้องปฏิบัติให้สอดคล้องกับหลักการอื่น ๆ ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วย ซึ่งมีกรณีศึกษาที่น่าสนใจเกี่ยวกับกระบวนการตรวจสอบผู้ขอใช้สิทธิเกิดขึ้นในประเทศเนเธอร์แลนด์
โดยบริษัทแห่งหนึ่งถูก Dutch Data Protection Authority (“Dutch DPA”) สั่งปรับเป็นเงิน 525,000 ยูโร จากการที่กำหนดให้ผู้ที่ขอใช้สิทธิในการเข้าถึงข้อมูลหรือขอลบข้อมูลของตนเองต้องอัพโหลดสำเนาบัตรประชาชน (identity documents) เพื่อใช้ในการยืนยันตัวตน ซึ่ง Dutch DPA เห็นว่าการนำเข้าเข้ามูลสำเนาบัตรประชาชนดังกล่าวไม่มีความจำเป็นและเป็นการเก็บข้อมูลส่วนบุคคลที่มากเกินไป
บริษัทที่ถูกร้องเรียนและถูกปรับในครั้งนี้ เป็นผู้ให้บริการนิตยสารออนไลน์ โดยบริษัทกำหนดให้ผู้ที่ขอเข้าถึงข้อมูลหรือขอลบข้อมูลของตนเองต้องส่งสำเนาบัตรประชาชนให้กับบริษัท โดยที่บริษัทไม่ได้แจ้งด้วยว่าข้อมูลบางส่วนอาจทำการลบหรือปิดบังได้ (redact)
Dutch DPA เห็นว่าการขอสำเนาบัตรในทุกกรณีดังกล่าวเป็นการกระทำที่ไม่ได้สัดส่วนและเป็นการใช้ข้อมูลมากเกินไป ซึ่งขัดกับหลักการ Data minimisation (ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เทียบเคียงได้กับมาตรา 22) และการกำหนดเงื่อนไขให้ต้องอัพโหลดสำเนาบัตร เป็นการสร้างความยุ่งยากเกินสมควรให้แก่เจ้าของข้อมูลส่วนบุคคลในการขอใช้สิทธิของตนเองตามกฎหมาย
ภายหลังถูกปรับเป็นเงินจำนวนดังกล่าว บริษัทได้แก้ไขกระบวนการยืนยันตัวตนเพื่อใช้สิทธิจากการใช้สำเนาบัตรเป็นการยืนยันตัวตนด้วยการส่งอีเมลแทน
จากกรณีศึกษาข้างต้น ผู้เขียนสรุปประเด็นที่เกี่ยวข้องได้ดังนี้
(1) ข้อมูลที่ถูกขอเข้าถึงเป็นข้อมูลต่าง ๆ ที่อยู่กับบริษัทที่ให้บริการด้านนิตยสารออนไลน์
(2) ในเบื้องต้น การขอสำเนาบัตรประชาชนถูกใช้เพื่อการยืนยันตัวตนในการใช้สิทธิ ซึ่งหน่วยงานบังคับใช้กฎหมายพิจารณาว่าเป็นการใช้ข้อมูลมากเกินไป ไม่ได้สัดส่วน เมื่อเทียบกับวัตถุประสงค์ในการยืนยันตัวตน และมีช่องทางอื่นที่อาจใช้ข้อมูลน้อยกว่านี้ แต่สามารถบรรลุวัตประสงค์ในการยืนยันตัวตนได้เช่นเดียวกัน
(3) บริษัทเปลี่ยนไปใช้วิธีการยืนยันตัวตนโดยการใช้อีเมลที่ได้ให้ไว้กับบริษัทแทน และไม่จำเป็นต้องเก็บสำเนาบัตร
(4) อย่างไรก็ตาม ผู้เขียนมีความเห็นว่า หากในบางกรณีที่ไม่สามารถใช้ช่องทางอีเมลได้ หรือมีความน่าสงสัยบางประการอันมีเหตุควรเชื่อว่าอีเมลอาจไม่ใช่ช่องทางที่เหมาะสม บริษัทก็อาจจะยังใช้ช่องทางการยืนยันตัวตนด้วยบัตรประชาชนได้เป็นรายกรณีไป
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่ตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลภายในระยะเวลาที่กฎหมายกำหนด และในบางกรณีที่ไม่สามารถปฏิบัติตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ กฎหมายกำหนดให้องค์กรมีหน้าที่บันทึกเหตุผลของการปฏิเสธไว้ในบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 39(7) เช่นเดียวกัน
โดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ให้ข้อแนะนำว่า องค์กรควรจัดให้มีขั้นตอนเพื่อตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลเพื่อให้สามารถดำเนินการตามคำร้องได้ตามเงื่อนไขและกรอบเวลาที่กฎหมายกำหนด
ซึ่งหนึ่งในขั้นตอนที่ควรดำเนินการดังกล่าวคือ “กระบวนการยืนยันตัวตน” ของผู้ยื่นคำร้อง (ขั้นตอนที่ 2 ตามภาพประกอบ) ทั้งนี้ เพื่อให้มั่นใจว่าผู้ที่ขอเข้าถึงข้อมูลและขอใช้สิทธิดังกล่าวเป็นบุคคลที่กล่าวอ้างจริง ๆ ไม่ใช่เป็นการสวมรอยหรือแอบอ้างโดยบุคคลที่ไม่มีสิทธิ
ส่วนองค์กรต่าง ๆ จะออกแบบกระบวนการยืนยันตัวตนอย่างใด ด้วยเทคโนโลยีหรือกระบวนการแบบไหน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่ได้กำหนดไว้ และในทางปฏิบัติก็อาจเป็นการยากที่หน่วยงานกำกับดูแลจะกำหนดหลักเกณฑ์การปฏิบัติเพื่อใช้กับทุก ๆ องค์กรได้ เนื่องจากมีปัจจัยหลายๆ ประการที่แต่ละองค์กรต้องนำมาพิจารณาเพื่อประกอบการกำหนด “กระบวนการยืนยันตัวตน”
อาทิ ความสำคัญของข้อมูล ต้นทุนในทางเทคโนโลยี และการบริหารจัดการ เป็นต้น จึงมักมีคำกล่าวว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็นกรอบนโยบาย (framework) แต่กระบวนการ (how to) เป็นสิ่งที่ผู้ประกอบการต้องออกแบบเองให้สอดคล้องกับข้อกำหนดทางกฎหมาย การใช้ข้อมูลในองค์กร และมาตรฐานทางเทคโนโลยีที่เกี่ยวข้อง.
อ้างอิง
Dutch SA fines DPG Media Magazines for unnecessarily requesting copies of identity documents, available at https://edpb.europa.eu/news/national-news/2022/dutch-sa-fines-dpg-media-magazines-unnecessarily-requesting-copies-identity_en
คอลัมน์ Tech, Law and Security
บทความโดย ศุภวัชร์ มาลานนท์
IAPP FIP, CIPM, CIPP, Certified DPO
บัณฑิตวิทยาลัยการจัดการและนวัตกรรม มจธ.
——————————————————————————————————————————————————
ที่มา : กรุงเทพธุรกิจ / วันที่เผยแพร่ 11 เม.ย.65
Link : https://www.bangkokbiznews.com/blogs/columnist/998603