1 มิถุนายน 2565 วันนี้เป็นวันแรกที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลจะเริ่มบังคับใช้ ภายหลังจากเลื่อนมาเป็นระยะเวลากว่า 2 ปีแล้ว ทำให้เกิดความตื่นตัวขึ้นในสังคมไทย โดยเฉพาะเมื่อช่วงที่ผ่านมาได้มีข่าวเกี่ยวกับการนำรูปภาพส่วนตัวออกมาเผยแพร่ ประกอบกับมีผู้นำเสนอข้อมูลและสร้างความเข้าใจผิดเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล จึงทำให้กฎหมายฉบับนี้ถูกพูดถึงเป็นจำนวนมากในช่วงเวลาสั้นๆ มีทั้งความเข้าใจที่ถูกต้อง และไม่ถูกต้อง
ก่อนการบังคับใช้ ในบทความนี้ผู้เขียนจึงอยากชวนมาทำความเข้าใจและตระหนักถึงความสำคัญของกฎหมายฉบับนี้
ที่มาของกฎหมาย
ในความเป็นจริงแล้ว “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” นั้น สังคมไทย หากแต่มีความพยายามในการยกร่างกฎหมายฉบับนี้มาตั้งแต่ประมาณปี พ.ศ. 2540[1] อย่างไรก็ดี เวลาล่วงมากว่า 20 ปี กฎหมายก็ไม่ได้มีการประกาศใช้ จนกระทั่งกระแสเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลกลับมาถูกกล่าวถึงมากขึ้นในโลกเมื่อสหภาพยุโรปผ่าน “กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป” (General Data Protection Regulation: GDPR) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการจัดว่าเป็นกฎหมายที่ก้าวหน้าที่สุด และมีผลเป็นการทำให้ประเทศต่างๆ ต้องปรับเปลี่ยนกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือต้องยกร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งรวมถึงประเทศไทยที่มีกฎหมายฉบับดังกล่าวเป็นแม่แบบในการยกร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA
จุดมุ่งหมายของ PDPA
ในช่วงที่ผ่านมา ทั้งสื่อมวลชนและบุคคลสาธารณะจำนวนหนึ่งที่พยายามจะสื่อสารว่า ห้ามมิให้มีการเก็บหรือใช้ข้อมูลส่วนบุคคลของผู้อื่น ซึ่งความเข้าใจดังกล่าวเป็นความเข้าใจที่ผิด เพราะตาม PDPA แล้ว ไม่ได้ห้ามมิให้มีการเก็บหรือใช้ข้อมูลส่วนบุคคล แต่กฎหมายต้องการให้เกิดความตระหนักถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject; คนที่ข้อมูลนั้นเชื่อมโยงไปถึง) เพื่อให้เจ้าของข้อมูลส่วนบุคคลมีอำนาจควบคุมและสามารถตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคลของตนเองได้ ซึ่งจะเห็นได้ว่ากระบวนการทั้งหมดของกฎหมาย คือ การมอบอำนาจในการตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคลให้กับเจ้าของข้อมูลส่วนบุคคล เช่น การแจ้งเกี่ยวกับการเก็บและใช้ข้อมูลส่วนบุคคล และการขอความยินยอมในการเก็บและใช้สำหรับกิจกรรมบางกิจกรรม เป็นต้น
ใครที่ PDPA มุ่งคุ้มครอง
PDPA มุ่งคุ้มครองคนธรรมดาทุกคนที่ยังมีชีวิตอยู่ ดังจะเห็นได้จากกฎหมายกำหนดความหมายของ “ข้อมูลส่วนบุคคล” คือ ข้อมูลใดๆ ก็ตามที่สามารถเชื่อมโยงไปหาบุคคลนั้นได้โดยทางตรงหรือทางอ้อม โดยข้อมูลส่วนบุคคลตามกฎหมายไม่รวมถึงข้อมูลของคนตายโดยเฉพาะ[2] ฉะนั้น หากเป็นข้อมูลของคนตายไปแล้วก็จะไม่ได้รับความคุ้มครองตามกฎหมายฉบับนี้ แต่ในกรณีของหน่วยงานของรัฐที่เก็บหรือใช้ข้อมูลส่วนบุคคลยังคงมีหน้าที่ต้องคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายอื่น[3] อย่างไรก็ดี ไม่ใช่ว่า นอกหน่วยงานของรัฐข้อมูลส่วนบุคคลของคนตายจะไม่ได้รับความคุ้มครอง ทายาทยังคงดำเนินการในเรื่องของคนตายตามกฎหมายอื่นๆ ได้
PDPA ใช้กับเรื่องใดบ้าง
ขอบเขตการบังคับใช้ PDPA นั้นใช้กับกิจกรรมการใช้ข้อมูลส่วนบุคคลของคนธรรมดา (ฉะนั้น กฎหมายไม่ใช้กับข้อมูลของหน่วยงานหรือองค์กร) ทุกประเภทโดยไม่จำกัด ว่าการเก็บข้อมูลนั้นจะเป็นดิจิทัลหรือกระดาษ
การใช้ข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นเพื่อวัตถุประสงค์ในทางธุรกิจหรือไม่ และไม่ว่าจะเป็นการใช้ข้อมูลส่วนบุคคลโดยบุคคลธรรมดา หน่วยงานของรัฐ องค์กรธุรกิจเอกชน หรือองค์กรไม่แสวงหาผลกำไร (สมาคมและมูลนิธิ)
อย่างไรก็ดี กฎหมายฉบับนี้มุ่งใช้กับกิจกรรมของหน่วยงานหรือองค์กรขนาดใหญ่เสียส่วนใหญ่ที่มีการเก็บหรือใช้ข้อมูลจำนวนมาก ฉะนั้น กฎหมายจึงไม่ได้มีผลเปลี่ยนแปลงการใช้ชีวิตส่วนใหญ่ของคนธรรมดา เพราะหากเป็นการใช้ข้อมูลส่วนบุคคลเกี่ยวกับเรื่องส่วนตัวหรือครอบครัวก็จะได้รับการยกเว้น[4] เช่น การถ่ายภาพที่ระลึกครอบครัว การถ่ายวิดีโอของครอบครัว หรือการทำแผนผังครอบครัว เป็นต้น ฉะนั้น ในทางปฏิบัติคนธรรมดาแบบเราคือคนสำคัญที่กฎหมายมุ่งจะคุ้มครอง
ใครมีหน้าที่ตาม PDPA และต้องทำอะไรบ้าง
ตาม PDPA กำหนดหน้าที่ให้กับผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งก็คือ “บุคคลธรรมดา” (คนธรรมดาแบบเรา) หรือ “นิติบุคคล” (หน่วยงานหรือองค์กร) ที่มีการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล (เข้าไปเกี่ยวกับข้อมูลส่วนบุคคลของคนอื่น) ซึ่งกฎหมายกำหนดหน้าที่ให้คนคนนี้ ต้องปฏิบัติเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งหน้าที่โดยส่วนใหญ่ของผู้ควบคุมข้อมูลส่วนบุคคลก็คือ การคุ้มครองข้อมูลส่วนบุคคล (ให้หลักประกัน) มิให้มีการนำข้อมูลส่วนบุคคลไปใช้นอกเหนือความคาดหมายของเจ้าของข้อมูลส่วนบุคคล และสนับสนุนการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งอาจจะสรุปหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหลักการสำคัญที่ต้องคำนึงถึง ดังนี้[5]
1. หลักความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส ผู้ควบคุมจะต้องกำหนดให้การเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลจะต้องเป็นไปโดยมีเหตุผลความจำเป็นที่สามารถอ้างอิงฐานการประมวลผลได้ และมีการประกาศ/แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเหตุผลความจำเป็น
2. หลักการจำกัดวัตถุประสงค์ โดยกำหนดให้การประมวลผลข้อมูลส่วนบุคคลกระทำเท่าที่จำเป็นภายใต้ขอบเขตของวัตถุประสงค์ที่ได้แจ้งไว้กับเจ้าของข้อมูลส่วนบุคคล
3. หลักการรวบรวมข้อมูลเท่าที่จำเป็น การประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์และรวบรวมข้อมูลเฉพาะเท่าที่จำเป็นและในสัดส่วนที่เหมาะสม
4. หลักความถูกต้องของข้อมูลส่วนบุคคล การประมวลผลข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องจัดให้มีมาตรการหรือวิธีการใดๆ เพื่อรับรองข้อมูลที่เก็บรวบรวมไว้ให้มีความถูกต้องและเป็นปัจจุบัน
5. หลักการเก็บข้อมูลส่วนบุคคลอย่างจำกัดระยะเวลา ภายใต้วัตถุประสงค์ที่กำหนดไว้ ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรักษาข้อมูลไว้ในระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์
6. หลักความสมบูรณ์ของข้อมูลส่วนบุคคลและการเก็บรักษาเป็นความลับ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องประมวลผลข้อมูลส่วนบุคคลด้วยความระมัดระวังและใช้มาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสมเพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคลหรือการสูญหาย
7. หลักความรับผิดชอบ ผู้ควบคุมข้อมูลส่วนบุคคลมีความรับผิดชอบในการดำเนินการเพื่อบรรลุวัตถุประสงค์หลักดังกล่าวข้างต้น และจะแสดงให้เห็นได้อย่างชัดเจนว่า ผู้ควบคุมข้อมูลส่วนบุคคลได้มีการปฏิบัติหน้าที่ตามที่กฎหมายกำหนดไว้อย่างครบถ้วน
อย่างไรก็ดี หากจะสรุปหน้าที่ตามหลักการ 7 ประการก็คือ
(1) การใช้ข้อมูลส่วนบุคคลจะต้องใช้เท่าที่จำเป็น เหมาะสมโดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์การเก็บ ใช้ หรือเปิดเผย และในกรณีที่ต้องขอความยินยอมก็ต้องขอความยินยอมให้ถูกต้องตามกฎหมาย
(2) ต้องคำนึงถึงความปลอดภัยของข้อมูลส่วนบุคคล หลีกเลี่ยงการให้บุคคลไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลส่วนบุคคล และคอยตรวจสอบให้ข้อมูลดังกล่าวอัปเดตตรงกับความเป็นจริง และ
(3) เมื่อเกิดข้อผิดพลาดใดๆ กับข้อมูลส่วนบุคคลจะต้องดำเนินการแจ้งหน่วยงานกำกับดูแลให้ทราบและแจ้งเจ้าของข้อมูลส่วนบุคคลในกรณีที่กฎหมายกำหนด
แม้ว่ากฎหมายฉบับนี้จะใหม่ แต่ก็ไม่ยากเกินกว่าจะทำความเข้าใจ เพราะหากทำความเข้าใจหลักการของกฎหมายทั้งหมดแล้วการปฏิบัติตามกฎหมายในลำดับต่อไปก็จะไม่ใช่เรื่องยากอีกต่อไป และหากมีข้อสงสัยเกี่ยวกับ PDPA สามารถติดตามช่องทางอย่างเป็นทางการของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานกำกับดูแลตามกฎหมายได้ทาง Facebook Fanpage PDPC Thailand
[1] นคร เสรีรักษ์, ความเป็นส่วนตัว (พิมพ์ครั้งที่ 2, สำนักพิมพ์ฟ้าฮ่าม 2563) 263 – 264.
[2] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6.
[3] ดู พระราชบัญญัติข้อมูลข่าวสารราชการ พ.ศ. 2540.
[4] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4 (1).
[5] เขมภัทร ทฤษฎิคุณ, ‘เมื่อเราอยู่ในยุคที่ข้อมูลส่วนบุคคลมีค่าดั่งทองคำ’ (สถาบันปรีดี พนมยงค์, 28 กุมภาพันธ์ 2565) <https://pridi.or.th/th/content/2022/02/991> สืบค้นเมื่อ 31 พฤษภาคม 2565.
