ข้อตกลงการแบ่งปันข้อมูล...ควรเขียนอย่างไร เมื่อไหร่ต้องมี

ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 27 วรรคสอง กำหนดว่า “บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยตามวรรคหนึ่ง จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น” และมาตรา 37(2) กำหนดว่า “ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ”
จากบทบัญญัติข้างต้น ในการโอนข้อมูลส่วนบุคคลไปยังผู้รับโอนที่ไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคล คู่สัญญา/คู่ความร่วมมืออาจพิจารณาจัดทำ “ข้อตกลงการแบ่งปันข้อมูล” (DSA: Data Sharing Agreement) เพื่อเป็นเครื่องมือและมาตรการในการกำกับดูแลการใช้และการเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย แต่ในกรณีที่ผู้รับโอนเป็นผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 40 ไม่ต้องทำ DSA อีก โดยประโยชน์ของการจัดทำ DSA มีดังต่อไปนี้
1)   ช่วยให้คู่สัญญารู้บทบาทและหน้าที่ของตนเองในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
2)   กำหนด “วัตถุประสงค์” ในการเปิดเผยข้อมูลส่วนบุคคล
3)   ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลในแต่ละขั้นตอน
4)   กำหนดมาตรฐานและวิธีการแบ่งปันข้อมูล
            การจัดทำ DSA จึงช่วยให้องค์กรมีหลักฐานการปฏิบัติตามกฎหมายและมีกระบวนการในการทบทวนการเปิดเผยข้อมูลส่วนบุคคลขององค์กรว่าได้ปฏิบัติสอดคล้องกับเงื่อนไขของกฎหมายหรือไม่ โดยในการจัดทำ DSA นั้น UK ICO Data Sharing: a Code of Practice ให้ข้อแนะนำว่า ในการจัดทำ DSA นั้น เรื่องที่ต้องพิจารณาเป็นอันดับแรก คือ การที่องค์กรต้องมีฐานการประมวลผลในการเก็บรวบรวม ใช้ และเปิดเผย ตัวอย่างเช่น

กรณีศึกษา
บริษัท x นำเสนอผลิตภัณฑ์บริทางการเงินแก่ผู้ใช้บริการเพื่อให้ผู้ใช้บริการสามารถบริหารการเงินได้อย่างมีประสิทธิภาพผ่านแอพพลิเคชันบนโทรศัพท์เคลื่อนที่ โดยผู้ใช้บริการสามารถทำธุรกรรมต่าง ๆ ผ่านแอพพลิเคชัน และแอพพลิเคชันดังกล่าวยังช่วยวิเคราะห์พฤติกรรมและการใช้จ่ายของผู้ใช้บริการเพื่อการวางแผนทางการเงินอีกด้วย

เพื่อให้บริการต่าง ๆ ของแอพพลิเคชันทำงานได้อย่างมีประสิทธิภาพและสร้างประสบการณ์ที่ดีให้แก่ผู้ใช้บริการ บริษัท x จำเป็นต้องแชร์ข้อมูลไปยัง บริษัท Y ผู้ร่วมให้บริการอื่น (บริษัท Y ไม่ใช่ผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท X)

ฐานทางกฎหมายในการเปิดเผยข้อมูลของ บริษัท x คือ “การปฏิบัติตามสัญญา” และในกรณีที่ต้องมีการเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว ก็อาจจะต้องขอความยินยอมโดยชัดแจ้งเพิ่มเติมจากการทำสัญญาอีกด้วย

[**ฐานทางกฎหมายในการเปิดเผยข้อมูล คือฐานเดียวกันกับที่ใช้ในการเก็บรวบรวม]
1.       กรณีใดบ้างที่ควรจัดทำ DSA
1)   การโอนข้อมูลระหว่างองค์กรไม่ว่าทางเดียว (one-way) หรือแลกเปลี่ยนข้อมูล(reciprocal exchange)
2)   การให้องค์กรอื่นเข้าถึงระบบฐานข้อมูลทางอิเล็กทรอนิกส์ขององค์กรเพื่อวัตถุประสงค์ด้านการวิจัย
3)   การนำข้อมูลมาใช้ร่วมกันในรูปแบบ pooling data และใช้ข้อมูลดังกล่าวร่วมกันหรือแบ่งปันไปยังองค์กรภายนอกด้วย
4)   มีการแบ่งปันข้อมูลเป็นประจำอย่างเป็นระบบเพื่อวัตถุประสงค์ที่กำหนด (routine, systematic)
5)   การโอนครั้งเดียวหรือเฉพาะกิจ (ad hoc, one-off)
6)   การโอนครั้งเดียวในกรณีฉุกเฉิน (one-off emergency)
ตัวอย่างการใช้ DSA มีดังนี้
1)     ธนาคารเปิดเผยข้อมูลของลูกจ้างไปยังหน่วยงานป้องกันการทุจริต
2)     สถาบันการศึกษาให้ข้อมูลนักเรียนแก่สถาบันวิจัยเพื่อทำการวิจัย
3)     หน่วยงานด้านสังคมสงเคราะห์หลาย ๆ หน่วยงานแลกเปลี่ยนข้อมูลระหว่างกันอย่างสม่ำเสมอเพื่อการดูแลสวัสดิการของผู้ขอรับบริการ
2.       DSA ควรมีรายละเอียดไรบ้าง
ตาม UK ICO Data Sharing: a Code of Practice ให้ข้อแนะนำไว้ดังนี้
1)   ชื่อคู่สัญญา/คู่ความร่วมมือ
2)   วัตถุประสงค์ของการแบ่งปันข้อมูล คืออะไร ซึ่งควรระบุถึงที่มา ความจำเป็น และประโยชน์ที่จะได้รับจากการแบ่งปันข้อมูลส่วนบุคคล
3)   หน่วยงานอื่นนอกจากคู่สัญญาตามข้อ 1 ที่เข้ามามีบทบาทในการแบ่งปันข้อมูล (ถ้ามี)
4)   รายละเอียดของข้อมูลส่วนบุคคลที่มีการแบ่งปัน/แลกเปลี่ยน (data specification)
5)   ฐานการประมวลผล (ดูตัวอย่างจากกรณีศึกษาข้างต้น)
6)   ข้อตกลงในส่วนที่เกี่ยวกับการใช้ข้อมูลส่วนบุคคลอ่อนไหว
7)   ข้อตกลงในส่วนที่เกี่ยวข้องกับการจัดการคำร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
8)   ข้อตกลงในส่วนของการบริหารจัดการข้อมูล อาทิ เงื่อนไขการแบ่งปันข้อมูลระหว่างกัน การบริหารความถูกต้องครบถ้วนของข้อมูล รูปแบบการบันทึกข้อมูล แนวทางปฏิบัติร่วมกันเรื่องระยะเวลาและการลบทำลาย มาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม การอบรมและสร้างความตระหนักรู้แก่ผู้เกี่ยวข้อง และการการดำเนินการเมื่อยกเลิกสัญญาหรือสิ้นสุดข้อตกลง เป็นต้น
9)   เอกสารประกอบที่อาจมี อาทิ แบบฟอร์มการขอใช้ข้อมูล (data sharing request form) เป็นต้น
อนี่ง การกำหนดรายละเอียดของ DSA ข้างต้น เป็นเพียงแนวทางตามมาตรฐานของ UK ICO ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอังกฤษ การนำมาปรับใช้ให้สอดคล้องเหมาะสมกับการกำกับดูแลการเปิดเผยข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 องค์กรควรพิจารณาตามความเหมาะสมและความจำเป็นประกอบด้วย.
_________

ศุภวัชร์ มาลานนท์
บัณฑิตวิทยาลัยการจัดการและนวัตกรรม
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี

ref:https://www.bangkokbiznews.com/news/1027040

ที่มา: พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 27 และมาตรา 37(2)
อ้างอิง https://ico.org.uk/media/for-organisations/guide-to-data-protection/ico-codes-of-practice/data-sharing-a-code-of-practice-1-0.pdf