ป้ายกำกับ: ข้อมูลส่วนบุคคล

คู่มือคุ้มครองข้อมูลส่วนบุคคลสำหรับท้องถิ่น

เขมภัทร ทฤษฎิคุณ

ชื่อหนังสือ: คู่มือคุ้มครองข้อมูลส่วนบุคคลสำหรับท้องถิ่น

การอ้างอิงแนะนำตามรูปแบบ APA: นคร เสรีรักษ์, และคณะ. (2565). คู่มือคุ้มครองข้อมูลส่วนบุคคลสำหรับท้องถิ่น. แพร่: พีเพรส.

สรุปสาระสำคัญ

คู่มือคุ้มครองข้อมูลส่วนบุคคลสำหรับท้องถิ่นจัดทำขึ้นเพื่อเป็นแนวทางในการปฏิบัติพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเป็นกฎหมายที่กำหนดหลักการในการคุ้มครองข้อมูลส่วนบุคคล โดยหนังสือเล่มนี้เป็นการจัดทำงานร่วมกันระหว่าง Privacy Thailand และสำนักงานส่งเสริมเศรษฐกิจดิจิทัล (depa) ที่ตระหนักถึงความสำคัญในเรื่องนี้ จึงได้ร่วมกันจัดการอบรมเชิงปฏิบัติการเรื่อง “แนวทางการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สำหรับองค์กรปกครองส่วนท้องถิ่น” เพื่อเป็นการเสริมสร้างความรู้ความเข้าใจเกี่ยวกับสิทธิส่วนบุคคลและกฎหมายคุ้มครองข้อมูลส่วนบุคคล และเพื่อให้เจ้าหน้าที่สามารถปฏิบัติงานโดยไม่ละเมิดสิทธิส่วนบุคคลและสามารถคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้องและมีประสิทธิภาพ

ลูกเล่นของความไม่โปร่งใส เมื่อกฎหมายข้อมูลข่าวสารถูกใช้เป็นเครื่องมือปกปิดข้อมูล

เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกบนเว็บไซต์ tdri.or.th ในวันที่ 3 มีนาคม 2568

เมื่อไม่นานมานี้เอกสารกำชับการเปิดเผยข้อมูลเอกสารของทางราชการ ถูกเผยแพร่สู่สาธารณะ โดยเอกสารดังกล่าวมีสาระสำคัญว่า หน่วยงานของรัฐแห่งหนึ่งได้ทำหนังสือเวียนภายในหน่วยงานเพื่อ “เน้นย้ำ” ให้ส่วนงานภายในควบคุม และกำชับให้เจ้าหน้าที่ระมัดระวังในการเปิดเผยข้อมูลสาร โดยอ้างถึงกฎหมายข้อมูลข่าวสารของราชการ กฎหมายคุ้มครองข้อมูลส่วนบุคคล และระเบียบแบบแผนของทางราชการ เพื่อป้องกันไม่ให้เกิดการเปิดเผยข้อมูลที่จะทำให้สำนักงานได้รับความเสียหาย

หนังสือเวียนฉบับนี้กำลังบอกอะไรกับเราทุกคน?

ถ้าดูแบบผิวเผินแล้วน่าจะเป็นการสั่งการให้เจ้าหน้าที่ร่วมกันและระมัดระวังในการเปิดเผยข้อมูลข่าวสาร แต่หากพิจารณาจากสถานการณ์ที่ถูกตั้งคำถามจากประชาชนในเรื่องความน่าเชื่อถือและความโปร่งใสแล้ว หนังสือเวียนเหล่านี้อาจจะสะท้อนความในใจของส่วนราชการที่มองได้ว่า ประชาชนไม่ควรรับรู้ข้อมูลข่าวสารของราชการถ้าไม่จำเป็นหรือไม่ ?

การไม่ได้ตระหนักว่าประชาชนมีสถานะเป็นเจ้าของ และมีสิทธิในการรับรู้ข้อมูลสาธารณะนี้ ไม่ได้เป็นเรื่องที่เกิดขึ้นกับหน่วยงานของรัฐหน่วยงานใดหน่วยงานหนึ่ง แต่หากพิจารณาภาพรวมของการเปิดเผยข้อมูลข่าวสารในประเทศไทยแล้ว จะพบว่าที่ผ่านมาประเทศไทยมีแนวโน้มที่จะหลีกเลี่ยงการเปิดเผยข้อมูลข่าวสารให้ประชาชนรับรู้เพิ่มขึ้นเรื่อย ๆ

จากสถิติของสำนักงานคณะกรรมการข้อมูลข่าวสารของทางราชการ ตั้งแต่ปี 2560 ถึง 2565 พบว่าจำนวนคำขออุทธรณ์มีจำนวนเพิ่มขึ้นทุก ๆ ปี และนับตั้งแต่ปี 2558 ถึง 2565 มีคำขออุทธรณ์เฉลี่ยปีละ 458 คำขอ โดยจำนวนดังกล่าวเป็นเพียงบางส่วนของข้อมูลข่าวสารที่ไม่ถูกเปิดเผยเท่านั้น

ภาพแสดงสถิติการอุทธรณ์ต่อคณะกรรมการวินิจฉัยเปิดเผยข้อมูลข่าวสารในช่วง 2558 – 2565

ที่มา: สำนักงานคณะกรรมการข้อมูลข่าวสารของทางราชการ, รายงานประจำปีสำนักงานคณะกรรมการข้อมูลข่าวสารของทางราชการ (2558 – 2566)

เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น

เมื่อแรกเริ่มประกาศใช้ พ.ร.บ. ข้อมูลข่าวสารของราชการนั้น สถานการณ์ของประเทศไทยอยู่ในช่วงหลังการปฏิรูปการเมืองครั้งใหญ่ ที่ต้องการขจัดอิทธิพลของกองทัพ สร้างความโปร่งใส และความรับผิดชอบในการบริหารประเทศของรัฐบาลและหน่วยงานของรัฐต่างๆ

ในเวลานั้นจึงได้มีการตรา พ.ร.บ. ข้อมูลข่าวสารของราชการขึ้นมา เพื่อต้องการให้ประชาชนสามารถรับรู้ข้อมูลข่าวสารของราชการ จะได้นำข้อมูลข่าวสารดังกล่าวไปใช้แสดงความคิดเห็น และใช้สิทธิทางการเมืองได้โดยถูกต้องกับความเป็นจริง ซึ่งจะนำมาสู่การส่งเสริมให้มีความเป็นรัฐบาลของประชาชนมากขึ้น

เห็นได้ว่าเจตนารมณ์ของกฎหมายฉบับนี้มีความประสงค์ให้ประชาชนรับรู้ข้อมูลข่าวสารอย่างเต็มที่ ข้อมูลข่าวสารใดที่จะไม่ถูกเปิดเผยจะต้องมีเหตุยกเว้นไว้ตามที่กฎหมายกำหนดไว้เท่านั้น

นั่นหมายถึง ประชาชนมีสถานะเป็นเจ้าของข้อมูลข่าวสารสาธารณะ ภาครัฐมีหน้าที่ต้องเปิดเผยข้อมูลข่าวสารดังกล่าว เว้นแต่ถ้าเปิดเผยแล้วจะกระทบต่อประโยชน์สาธารณะอื่น ๆ ที่สำคัญ อาทิ ประโยชน์ต่อความมั่นคงของประเทศ (ในระดับที่ทำให้ประเทศวิกฤต) ประโยชน์ในการบังคับใช้กฎหมาย ประโยชน์ส่วนบุคคล เนื่องจากจะก่อให้เกิดอันตรายต่อชีวิตของบุคคล หรือความเป็นส่วนตัวของบุคคล[1]

ในลักษณะดังกล่าวการบังคับใช้กฎหมายฉบับนี้ จึงควรเป็นการ “เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น” อย่างไรก็ดี ในทางปฏิบัติจะเห็นได้ว่าเจ้าหน้าที่ของรัฐ มักจะฉวยเอา พ.ร.บ. ข้อมูลข่าวสาร มาเป็นลูกเล่นในการไม่เปิดเผยข้อมูลข่าวสารของราชการ

ตัวอย่างเช่น ในการร้องขอให้สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ (ป.ป.ช.) เปิดเผยข้อมูลบัญชีทรัพย์สินของผู้ดำรงตำแหน่งทางการเมือง พร้อมรายงานและสำนวนการตรวจสอบ โดยอ้างว่าเป็นข้อมูลดังกล่าวเป็นข้อมูลข่าวสารที่ห้ามไม่ให้เปิดเผย เนื่องจากเป็นข้อมูลส่วนบุคคลหรือข้อมูลดังกล่าวเป็นความเห็นของเจ้าหน้าที่[2] ซึ่งหน่วยงานมีดุลพินิจที่จะไม่เปิดเผยข้อมูลข่าวสารดังกล่าว[3]

ในทางปฏิบัติหน่วยงานของรัฐ จึงมักจะใช้ พ.ร.บ. ข้อมูลข่าวสารของราชการมาใช้เป็นตราแสตมป์ ในการปฏิเสธไม่เปิดเผยข้อมูลข่าวสาร ซึ่งอาจจะขัดแย้งกับเจตนารมณ์ของกฎหมายที่ต้องการให้ประชาชนเข้าถึงข้อมูลข่าวสาร

นอกเหนือจากการอ้างอิง พ.ร.บ. ข้อมูลข่าวสารของราชการแล้ว ในปัจจุบันหน่วยงานของรัฐมักจะมีลูกเล่นใหม่ในการไม่เปิดเผยข้อมูลข่าวสาร โดยอ้างว่าปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

ในบางครั้ง การอ้าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล อาจจะเป็นการบิดเบือนหลักการของกฎหมาย เพราะในความเป็นจริงแล้วกฎหมายฉบับนี้ไม่ได้นำไปใช้กับข้อมูลทุก ๆ เรื่อง แต่ใช้เฉพาะกับข้อมูลส่วนบุคคลเท่านั้น และในการเปิดเผยข้อมูลส่วนบุคคล กฎหมายไม่ได้ห้ามไม่ให้หน่วยงานของรัฐเปิดเผยข้อมูลดังกล่าว เพียงแต่การเปิดเผยข้อมูลจะต้องมีเหตุที่กฎหมายกำหนดไว้ อาทิ การเปิดเผยข้อมูลข่าวสารเพื่อประโยชน์สาธารณะ การเปิดเผยข้อมูลข่าวสารเพื่อปฏิบัติหน้าที่ตามกฎหมาย หรือการเปิดเผยข้อมูลข่าวสารตามความยินยอมของเจ้าของข้อมูลส่วนบุคคล[4]

สิ่งที่ พ.ร.บ. ข้อมูลข่าวสารควรจะเป็น ?

สิ่งที่ พ.ร.บ. ข้อมูลข่าวสารของราชการควรจะเป็นคือ การทำหน้าที่เป็นกฎหมายว่าด้วยเสรีภาพในข้อมูลข่าวสาร โดยทำให้ประชาชนสามารถเข้าถึงข้อมูลข่าวสารได้อย่างเสรี เพื่อให้เกิดประโยชน์สูงสุดในการตรวจสอบการทำงานของรัฐบาล และส่งเสริมการใช้เสรีภาพในการแสดงความคิดเห็นของประชาชน

อย่างไรก็ดี ด้วยข้อจำกัดของ พ.ร.บ. ข้อมูลข่าวสารของราชการที่ใช้บังคับมาเป็นระยะเวลานานกว่า 20 ปี อาจไม่ตอบโจทย์สำคัญของการดำเนินการดังกล่าวได้ และยังพบปัญหาหลายประการ

ประการแรก ขอบเขตของ พ.ร.บ. ข้อมูลข่าวสารของราชการในปัจจุบัน ยังไม่ครอบคลุมไปถึงข้อมูลข่าวสารสาธารณะอื่น ๆ อาทิ ข้อมูลข่าวสารที่อยู่ในความครอบครองของเอกชนที่ได้รับงบประมาณจากรัฐ หรือได้ใช้ประโยชน์ในทรัพย์สินของรัฐ ซึ่งขอบเขตดังกล่าวยังไม่ถูกขยายไปถึงตามนิยามของ พ.ร.บ. ฉบับปัจจุบัน

ประการที่สอง ข้อยกเว้นของ พ.ร.บ. ข้อมูลข่าวสารของราชการในปัจจุบัน มีขอบเขตที่สามารถตีความได้กว้างเกินไป และขาดความชัดเจน ตัวอย่างเช่น ในมาตรา 15 ของ พ.ร.บ. ข้อมูลข่าวสารของราชการกำหนดให้หน่วยงานของรัฐ อาจไม่เปิดเผยข้อมูลข่าวสารของราชการ หากการเปิดเผยจะก่อให้เกิดความเสียหายต่อความมั่นคงของประเทศ ความสัมพันธ์ระหว่างประเทศ และความมั่นคงในทางเศรษฐกิจหรือการคลังของประเทศ ซึ่งจะเห็นได้ว่าขอบเขตของข้อยกเว้นดังกล่าวนั้นกว้างมาก เพราะเรื่องความมั่นคงของประเทศอาจจะถูกตีความไว้กว้างในระดับใดก็ได้ ในขณะเดียวกันกฎหมายปัจจุบันให้ดุลพินิจกับเจ้าหน้าที่ของรัฐในทุกระดับในการตัดสินใจว่าจะไม่เปิดเผยข้อมูลข่าวสารดังกล่าว

ประการที่สาม การเปิดเผยข้อมูลข่าวสาร ตาม พ.ร.บ. ข้อมูลข่าวสารของราชการ ยังมุ่งเน้นไปที่การเปิดเผยข้อมูลข่าวสารโดยวิธีการแบบดั้งเดิมคือ การให้ประชาชนติดต่อและขอใช้สิทธิ ณ ที่ทำการ แม้ว่าจะมีมติคณะรัฐมนตรีให้เปิดเผยข้อมูลข่าวสารผ่านทางอิเล็กทรอนิกส์ แต่ข้อมูลข่าวสารที่เปิดเผยยังเน้นไปที่กลุ่มข้อมูลข่าวสารที่ต้องเปิดเผยตามกฎหมายต่าง ๆ อาทิ ประชาชนต้องยื่นคำขอ ณ ที่สำนักงาน เอกสารหลักฐานบางอย่างต้องติดต่อและขอรับที่สำนักงาน

แม้ว่าจะมีกฎหมายอื่น ๆ ที่เข้ามากำหนดหลักเกณฑ์การให้บริการทางอิเล็กทรอนิกส์ อาทิ พ.ร.บ. การปฏิบัติราชการทางอิเล็กทรอนิกส์ หรือ พ.ร.บ. การบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล ซึ่งกำหนดให้รัฐปรับมาให้บริการทางอิเล็กทรอนิกส์ แต่เมื่อ พ.ร.บ. ข้อมูลข่าวสารของราชการ ไม่ได้กำหนดเงื่อนไขหรือวิธีการให้บริการไว้ ในทางปฏิบัติการให้บริการในแต่ละหน่วยงานจึงไม่ได้เป็นไปตามมาตรฐานเดียวกัน

เมื่อเปรียบเทียบกับ Freedom of Information Act (FOIA) ของสหรัฐอเมริกาที่ถูกนำมาใช้เป็นต้นแบบในการยกร่าง พ.ร.บ. ข้อมูลข่าวสารของราชการเมื่อปี 2540 จะพบว่า หลักการของ FOIA มีการปรับปรุงให้ทันสมัยอย่างต่อเนื่อง รวมถึงได้รับการตีความจากศาลให้มีความรัดกุม เพื่อป้องกันการใช้ดุลพินิจของหน่วยงานของรัฐตามอำเภอใจ รวมทั้งส่งเสริมให้ประชาชสามารถเข้าถึงข้อมูลข่าวสารได้โดยสะดวก

ในกรณีของขอบเขตการเปิดเผยข้อมูลข่าวสาร แม้ว่า FOIA จะกำหนดหน้าที่ในการเปิดเผยข้อมูลข่าวสารจะเป็นหน้าที่ของหน่วยงานของรัฐเป็นหลัก แต่เอกชนที่ได้รับงบประมาณจากรัฐอาจจะต้องเปิดเผยข้อมูลข่าวสารในบางกรณี อาทิ กรณีหน่วยงานที่ได้รับงบประมาณเพื่อสนับสนุนวิจัยจากรัฐต้องเปิดเผยข้อมูลข่าวสาร[5] ซึ่งเป็นการขยายขอบเขตการบังคับใช้ข้อมูลข่าวสารออกไปสู่ข้อมูลข่าวสารสาธารณะประเภทอื่นๆ

นอกจากนี้ ในส่วนของข้อยกเว้นที่กำหนดไว้ใน FOIA ยังถูกกำหนดไว้ให้แคบทั้งโดยบทบัญญัติของกฎหมายและการตีความของศาล ตัวอย่างเช่น ในบทบัญญัติของ FOIA ได้รับรองข้อยกเว้นในการเปิดเผยข้อมูลข่าวสารที่หากเปิดเผยจะกระทบต่อความมั่นคงของชาติ และข้อมูลดังกล่าวได้ถูกรับรองไว้ไม่ให้เปิดเผยโดยประธานาธิบดี ซึ่งสะท้อนให้เห็นว่า กระบวนการกำหนดให้ข้อมูลข่าวสารใดเป็นความลับจะต้องถูกกำหนดไว้ตั้งแต่ต้น ในขณะเดียวกันผู้มีอำนาจตัดสินใจกำหนดชั้นของความลับข้อมูลประเภทนี้ไม่ใช่เจ้าหน้าที่ทุกคน แต่กำหนดให้เป็นหน้าที่ของประธานาธิบดีในฐานะผู้นำของฝ่ายบริหาร

ท้ายที่สุด ในเรื่องของการเปิดเผยข้อมูลข่าวสารตาม FOIA ที่มีการแก้ไขใหม่ในปี 2016 ได้เพิ่มหลักเกณฑ์ในการให้บริการทางอิเล็กทรอนิกส์เพื่ออำนวยความสะดวกให้กับประชาชน รวมถึงการจัดทำ FOIA Portal เพื่อให้บริการข้อมูลข่าวสารในวงกว้างมากขึ้น โดยประชาชนสามารถมาขอรับบริการข้อมูลผ่านเว็บไซต์ดังกล่าวได้

พ.ร.บ. ข้อมูลข่าวสารของราชการควรแก้ไขอะไร ?

บริบทของประเทศไทย ในเชิงหลักการ พ.ร.บ. ข้อมูลข่าวสารของราชการ ยังมีเจตนารมณ์ที่ดีในการส่งเสริมเสรีภาพในการเข้าถึงข้อมูลข่าวสารของประชาชน แต่อาจจะต้องปรับปรุงให้มีความเหมาะสมมากขึ้น อย่างน้อย 3 ประเด็น

ประการแรก กฎหมายควรขยายขอบเขตไปสู่การเปิดเผยข้อมูลข่าวสารที่กว้างกว่าในปัจจุบัน โดยไม่เฉพาะข้อมูลข่าวสารสาธารณะที่อยู่ในความครอบครอง และควบคุมของเอกชนที่ได้ประโยชน์จากรัฐ อาทิ ได้รับสัมปทาน งบประมาณ ใบอนุญาตในโครงสร้างพื้นฐาน หรือได้รับสิทธิพิเศษในการผูกขาดกิจการ

ประการที่สอง กฎหมายควรกำหนดหลักเกณฑ์ในการยกเว้นการไม่เปิดเผยข้อมูลข่าวสารให้ชัดเจน  และลดเงื่อนไขในการใช้ดุลพินิจของเจ้าหน้าที่ลง อาทิ การกำหนดให้อำนาจในการตัดสินใจเรื่องชั้นความลับและการไม่เปิดเผยข้อมูลข่าวสารเป็นของผู้บังคับบัญชา โดยจะต้องทำไว้ล่วงหน้า ในขณะเดียวกันศาลมีอำนาจในการทบทวนการกำหนดชั้นความลับ หรือการไม่เปิดเผยข้อมูลข่าวสารของราชการโดยตรง

ประการที่สาม กฎหมายควรกำหนดหลักเกณฑ์ในการเปิดเผยข้อมูลข่าวสารผ่านทางระบบอิเล็กทรอนิกส์มากขึ้น เพื่อให้เกิดความสะดวกกับประชาชน รวมถึงควรมีระบบกลางในการขอให้เปิดเผยข้อมูลข่าวสาร โดยประชาชนไม่ต้องไปติดต่อหน่วยงานของรัฐแต่ละแห่งด้วยตัวเอง

นอกเหนือจากการแก้ไขกฎหมายแล้ว การรักษาจัดทำแนวปฏิบัติที่ชัดเจนเพื่อกำหนดแนวทางให้กับเจ้าหน้าที่ของรัฐปฏิบัติตามก็มีส่วนสำคัญ เนื่องจากที่ผ่านมาเจ้าหน้าที่รัฐไทยมีความเคยชินกับวัฒนธรรมการไม่เปิดเผยข้อมูลข่าวสาร การมีแนวปฏิบัติที่ชัดเจนและลดการใช้ดุลพินิจในการตัดสินใจบังคับใช้กฎหมายก็มีส่วนช่วยให้การเปิดเผยข้อมูลข่าวสารกับประชาชนมีความโปร่งใสมากขึ้น

บทความนี้ เรียบเรียงเนื้อหาบางส่วนจากการเสวนาในหัวข้อ “สร้างการเข้าถึงข้อมูลเปิด ด้วยกฎหมายที่เอื้ออำนวย” ในงาน Thailand Rule of Law Fair 2025 ภายใต้เรื่อง ทิศทางการพัฒนาข้อมูลเปิดภาครัฐ ความท้าทายและโอกาสในการขับเคลื่อนประเทศ ณ วันที่ 8 กุมภาพันธ์ 2568

เชิงอรรถ

[1] พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 มาตรา 15.

[2] คำสั่งศาลปกครองสูงสุด คดีหมายเลขแดงที่ 62-63/2566.

[3] พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 มาตรา 15.

[4] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 24.

[5] OMB Circular A-110 (2 CFR 215)

ยกเว้น กฎหมายคุ้มครองข้อมูลส่วนบุคคล กับผลที่อาจตามมา

เขมภัทร ทฤษฎิคุณใส่ความเห็น

เผยแพร่ครั้งแรกเมื่อวันที่ 10 สิงหาคม 2565 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ

กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีความสำคัญทั้งในด้านของการคุ้มครองสิทธิและเสรีภาพของประชาชน และในด้านของการกำกับดูแลการใช้ข้อมูลส่วนบุคคล ซึ่งปัจจุบันมีความสำคัญทั้งกับภาคธุรกิจและการดำเนินภารกิจของหน่วยงานของรัฐ

เมื่อไม่นานมานี้หลังจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ใช้บังคับมาได้เพียง 1 เดือน คณะรัฐมนตรีได้มีมติและเห็นชอบหลักการของพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ. ให้กับการใช้ข้อมูลส่วนบุคคลในหน่วยงานของรัฐ

เพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการเพื่อประโยชน์สาธารณะ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย ซึ่งขอบเขตของการยกเว้นดังกล่าวค่อนข้างกว้าง และอาจกระทบต่อสิทธิและเสรีภาพของประชาชน รวมทั้งเศรษฐกิจของประเทศ

ในด้านสิทธิและเสรีภาพของประชาชน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำหน้าที่เสมือนผ้าเบรกช่วยลดการแทรกแซงสิทธิความเป็นส่วนตัว และคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยการกำหนดมาตรฐานและวิธีการในการใช้ข้อมูลส่วนบุคคล

การยกเว้นการบังคับใช้ พ.ร.บ. นั้นมีความน่ากังวลในประเด็นนี้ 2 เรื่อง เรื่องแรกคือ ขอบเขตของการยกเว้น ซึ่งตามร่างพระราชกฤษฎีกานี้มีการยกเว้นการนำกฎหมายมาใช้ในเรื่องสำคัญๆ ได้แก่ การคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียน ความรับผิดทางแพ่ง และบทกำหนดโทษ ซึ่งเปิดโอกาสให้หน่วยงานของรัฐลอยนวลพ้นผิดจากการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลในรูปแบบต่างๆ

เรื่องที่สองคือ วัตถุประสงค์ของการยกเว้น อาทิ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ และการดำเนินการเพื่อประโยชน์สาธารณะนั้นมีความไม่เฉพาะเจาะจง และไม่อาจคาดหมายได้ว่าจะมีความหมายเช่นไรขึ้นกับดุลยพินิจและการตีความของหน่วยงานรัฐ ซึ่งข้อยกเว้นดังกล่าวนั้นขยายออกไปจากข้อยกเว้นเดิมที่กฎหมายกำหนดไว้

ที่ผ่านมาภาครัฐมีปัญหาในเรื่องการคุ้มครองข้อมูลส่วนบุคคลมาโดยตลอด ดังเช่นในปีที่ผ่านมา พบว่ามีการรั่วไหลของข้อมูลส่วนบุคคลจากหน่วยงานของรัฐ 5 ครั้ง ซึ่งข้อมูลที่รั่วไหลนั้นรวมถึงข้อมูลสุขภาพที่เป็นข้อมูลส่วนบุคคลอ่อนไหวที่กฎหมายมุ่งคุ้มครองเป็นพิเศษ

นอกจากเรื่องรั่วไหลของข้อมูลส่วนบุคคลแล้ว ล่าสุดภาครัฐยังมีประเด็นเกี่ยวกับการคุกคามความเป็นส่วนตัวของประชาชนที่น่ากังวลและไม่ชัดเจน จากกรณีที่มีนักกิจกรรมหลายคนถูกติดตามด้วยซอฟต์แวร์สปายแวร์บนโทรศัพท์มือถือ และถูกเข้าถึงข้อมูลส่วนบุคคลรวมถึงข้อมูลพิกัดตำแหน่งบุคคลโดยผู้ใช้ไม่รู้ตัว ซึ่งบริษัทผู้ผลิตซอฟต์แวร์ดังกล่าวจะขายซอฟต์แวร์ให้กับภาครัฐเท่านั้น

สิ่งที่เกิดขึ้นนำมาสู่การวิพากษ์วิจารณ์เกี่ยวกับความโปร่งใสและความรับผิดชอบของภาครัฐ ดังนั้น การยกเว้นการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยิ่งอาจจะทำให้มีปัญหาให้หน่วยงานของรัฐใช้หรือเข้าถึงข้อมูลส่วนบุคคลโดยปราศจากความรับผิดชอบ และกลายเป็นการซ้ำเติมปัญหาวัฒนธรรมการลอยนวลพ้นผิดเมื่อเกิดการละเมิดข้อมูลส่วนบุคคล

ในทางเศรษฐกิจของประเทศ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำหน้าที่สำคัญในฐานะเป็นส่วนหนึ่งของกฎหมายเศรษฐกิจดิจิทัลที่กำหนดหลักเกณฑ์และวิธีการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งเป็นหัวใจสำคัญของเศรษฐกิจสมัยใหม่ที่มีความจำเป็นต้องมีการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน

ดังจะเห็นได้จากกรอบความตกลงทางเศรษฐกิจต่างๆ เช่น RCEP หรือ CPTPP เป็นต้น ที่กำหนดให้ประเทศภาคีต้องรับรองหลักการดังกล่าว ซึ่งรวมถึงการทำให้ประเทศมหาอำนาจอย่างประเทศจีนต้องผ่านกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาในปีที่ผ่านมา

หลักการสำคัญของการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดนนั้นให้ความสำคัญกับการส่งข้อมูลส่วนบุคคลของประเทศผู้รับข้อมูลส่วนบุคคลนั้นจะต้องมีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอไม่น้อยกว่าประเทศผู้ส่งข้อมูลส่วนบุคคล

ซึ่งตาม GDPR หรือ General Data Protection Regulation  ของสหภาพยุโรปกำหนดว่า มาตรฐานที่เพียงพอนี้รวมถึงการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายจะต้องไม่ถูกแทรกแซงโดยรัฐหรือหน่วยงานด้านความมั่นคงของรัฐ ซึ่งเป็นหลักการพื้นฐานของรัฐที่เป็นนิติรัฐที่มุ่งคุ้มครองสิทธิและเสรีภาพของประชาชน

ดังนั้น ผลของพระราชกฤษฎีกาฉบับนี้เปิดช่องให้สามารถตีความ รวมถึงไม่ได้มีการรับรองสิทธิของเจ้าของข้อมูลส่วนบุคคลเอาไว้ ก็อาจจะทำให้ประเทศไทยไม่ได้รับการยอมรับว่าเป็นประเทศที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เท่าเทียมกันกับสหภาพยุโรป

นอกจากนี้ อิทธิพลของ GDPR ได้สร้างมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลใหม่ทั่วโลก หากประเทศไทยไม่มีมาตรฐานเทียบเท่า GDPR ก็จะมีผลให้ประเทศไทยไม่มีมาตรฐานเทียบเท่ากับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอื่น ซึ่งทำให้การเคลื่อนย้ายข้อมูลส่วนบุคคลเข้ามาในประเทศไทยทำได้ยาก และทำให้เอกชนของประเทศไทยอาจจะพลาดโอกาสในการเติบโตในยุคเศรษฐกิจดิจิทัล

หากคณะรัฐมนตรียังต้องการผลักดันพระราชกฤษฎีกาฉบับดังกล่าวต่อไป ต้องพิจารณาข้อน่ากังวลที่อาจจะเกิดขึ้นทั้งสองประการข้างต้น และควรตระหนักถึงสิทธิและเสรีภาพของประชาชนที่รัฐธรรมนูญรับรองไว้เป็นสำคัญ

ช่องโหว่กฎหมาย PDPA เมื่อ ‘Big Brother’ จ้องคุกคามความเป็นส่วนตัวของประชาชน

เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 26 กรกฎาคม 2565 บนเว็บไซต์ waymagazine.org

“Big brother is watching you”

ประโยคข้างต้นสะท้อนนัยของการคุกคามความเป็นส่วนตัวของประชาชนผ่านการสอดส่องโดยรัฐ การสอดส่องการกระทำของประชาชนนั้นไม่ได้เกิดขึ้นแค่ในโลกวรรณกรรม แต่สิ่งนี้เกิดขึ้นในโลกของความเป็นจริง ซึ่งล่าสุดในประเทศไทยก็เกิดกรณีที่นักกิจกรรมออกมาเผยแพร่ต่อสาธารณะถึงการได้รับคำเตือนทางโทรศัพท์ว่ากำลังถูกเจาะระบบ และนำมาสู่การเปิดเผยว่ามีการใช้สปายแวร์ ‘เพกาซัส’ ในประเทศไทย 

การล่วงล้ำเข้าไปยังพื้นที่ส่วนตัวของประชาชน จากการใช้อำนาจรัฐหรือปฏิบัติการโดยเจ้าหน้าที่ของรัฐโดยการไม่คำนึงสิทธิและเสรีภาพของประชาชน โดยเฉพาะอย่างยิ่งเพื่อจุดประสงค์ในทางการเมือง ถือได้ว่าเป็นการก่ออาชญากรรมโดยรัฐที่ทำกับประชาชนรูปแบบหนึ่ง ซึ่งสถานการณ์ของประเทศไทยในปัจจุบันอาจจะเลวร้ายมากขึ้น เพราะเมื่อไม่นานมานี้คณะรัฐมนตรีได้มีความพยายามที่จะยกเว้นการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับความสัมพันธ์ของรัฐกับประชาชนด้วยข้อความที่คลุมเครือและเปิดช่องให้เกิดการตีความให้ได้เปรียบแก่รัฐในการคุกคามสิทธิและเสรีภาพของประชาชน

บทความชิ้นนี้เป็นบทวิเคราะห์ให้เห็นความสำคัญของการคุ้มครองสิทธิความเป็นส่วนตัวที่ถือเป็นสิทธิขั้นพื้นฐาน และอำนาจของประชาชนที่จะต่อสู้กับรัฐในสถานการณ์ที่รัฐไม่น่าไว้วางใจ โดยเฉพาะในช่วงเวลาปัจจุบันที่รัฐพยายามละเมิดสิทธิประชาชนโดยอาศัยช่องโหว่ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Personal Data Protection Act) ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565

การสอดส่องประชาชนโดยรัฐ = การก่ออาชญากรรมโดยรัฐ

หลายคนอาจคุ้นหูและเคยเห็นข้อความว่า “Big brother is watching you” จากสื่อต่างๆ ซึ่งมีที่มาจากวรรณกรรมเรื่อง 1984 ของ จอร์จ ออร์เวลล์ (George Orwell) พื้นหลังของเรื่องเล่าถึงประเทศสหราชอาณาจักรที่ถูกปกครองโดยระบอบเผด็จการแบบเบ็ดเสร็จ โดยรัฐจะสอดส่องชีวิตของประชาชนผ่านระบบเทคโนโลยีที่เรียกว่า ‘telescreen’ ซึ่งใช้ในการสอดส่องการกระทำของประชาชน รวมถึงเพื่อให้แน่ใจว่า ประชาชนที่อยู่ภายใต้การปกครองจะประพฤติและปฏิบัติตัวเป็นไปตามที่ความต้องการที่ผู้ปกครองกำหนดหรือไม่ 

สถานการณ์ดังกล่าวนั้นไม่ได้เกิดเฉพาะในงานวรรณกรรมเท่านั้น ทว่าการสอดส่องประชาชนโดยรัฐนั้นได้เกิดขึ้นจริง โดยมีตัวอย่างหลายกรณีทั่วโลก เช่น การสร้างระบบคลาวด์ตำรวจ (police cloud) ของประเทศจีน ซึ่งระบบจะทำการรวบรวมข้อมูลจากแหล่งข้อมูลต่างๆ เช่น ประวัติการรักษาพยาบาล ข้อมูลสมาชิกซูเปอร์มาร์เก็ต และข้อมูลอื่นๆ ที่เชื่อมโยงกับหมายเลขประจำตัวประชาชน ทำให้ระบบสามารถติดตามประชาชนไม่ว่าจะอยู่ที่ใด และทราบได้ว่าเป้าหมายนั้นมีปฏิสัมพันธ์กับบุคคลใด รวมถึงการคาดการณ์กิจกรรมในอนาคตของบุคคลนั้น โดยวัตถุประสงค์ของระบบคลาวด์ตำรวจนำมาใช้เพื่อวิเคราะห์ความสัมพันธ์ระหว่างเหตุการณ์กับบุคคล เป็นต้น[1]

ย้อนกลับมาในกรณีของประเทศไทยล่าสุดนี้ได้มีการเปิดเผยข้อมูลเกี่ยวกับสอดส่องประชาชนโดยอาศัยสปายแวร์ (spyware) ที่มีชื่อว่า ‘เพกาซัส’ (Pegasus) โดยกลุ่มเป้าหมายที่ถูกสอดส่องส่วนใหญ่เป็นกลุ่มนักกิจกรรม นักวิชาการ ทนายความ และนักเคลื่อนไหวต่อต้านรัฐบาลไทย 

จากการสรุปของ Citizen Lab หรือห้องปฏิบัติการสหวิทยาการจาก Munk School of Global Affairs พบว่า ปัจจุบันมีนักกิจกรรมทางการเมืองกว่า 30 คน ถูกสอดส่องโดยเพกาซัสในช่วงปี พ.ศ. 2563-2564[2] และจากการศึกษาของ iLaw พบว่า ช่วงเวลาส่วนใหญ่ที่มีการพยายามเจาะระบบโทรศัพท์นั้นจะเกิดขึ้นพร้อมๆ กับสถานการณ์ทางการเมืองที่มีการเรียกร้องให้รัฐบาลชุดปัจจุบันออกจากตำแหน่ง หรือการเคลื่อนไหวเพื่อเรียกร้องให้มีการปฏิรูปสถาบันกษัตริย์[3]

เมื่อพิจารณาเกี่ยวกับภูมิหลังของสปายแวร์นี้แล้วจะพบว่า สปายแวร์ดังกล่าวเป็นของบริษัท NSO Group ซึ่งเป็นบริษัทสัญชาติอิสราเอลที่เป็นผู้พัฒนาและให้บริการด้านความมั่นคงไซเบอร์ โดยบริษัทดังกล่าวจะให้บริการเฉพาะกับหน่วยงานของรัฐ และเป็นหน่วยงานของรัฐที่ได้รับอนุญาตจากรัฐบาลของประเทศอิสราเอลแล้วเท่านั้น[4]

รายชื่อบุคคลผู้ถูกคุกคามและช่วงเวลาที่มีการเจาะระบบ

ที่มา: CitizenLab (2022)

นัยของการสอดส่องประชาชนโดยรัฐนั้น ไม่เพียงแสดงถึงลักษณะการกระทำที่เข้าข่ายอาชญากรรมโดยรัฐแล้ว การสอดส่องประชาชนโดยรัฐยังอาจก่อให้เกิดอาชญากรรมรูปแบบอื่นๆ ต่อไปได้อีก เช่น การใช้ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ ศาสนา วรรณะ และลัทธิทางการเมือง เพื่อการสร้างความเกลียดชัง และเลือกปฏิบัติกับตัวบุคคลโดยไม่เป็นธรรม ซึ่งสถานการณ์ดังกล่าวเคยเกิดขึ้นแล้วในประวัติศาสตร์มนุษยชาติที่ผ่านมา ดังเช่นในสมัยนาซีเยอรมันที่มีการฆ่าล้างเผ่าพันธุ์ชาวยิว เป็นต้น หรือการจำกัดสิทธิและเสรีภาพในการแสดงความคิดเห็น โดยรัฐอาจใช้มาตรการดังกล่าวเพื่อดำเนินคดีในประเด็นสาธารณะ และเพื่อปิดปากผู้เห็นต่างทางการเมืองหรือคู่ขัดแย้งทางการเมือง[5]

นอกจากนี้ การคุกคามสิทธิความเป็นส่วนตัวโดยรัฐนั้นอาจจะเกิดจากวิธีการที่เป็นทางการ ผ่านการใช้อำนาจรัฐตามกฎหมายหรือปฏิบัติการของเจ้าหน้าที่ที่มีกฎหมายรองรับ หรือวิธีการที่มีความเป็นทางการน้อยกว่า อย่างปฏิบัติการเชิงข้อมูลข่าวสาร (information operation: IO) โดยการนำข้อมูลส่วนบุคคลหรือเรื่องส่วนตัวของบุคคลดังกล่าวมาเปิดเผยต่อสาธารณะเพื่อสร้างความเกลียดชัง 

แอมเนสตี้ อินเตอร์เนชั่นแนล ประเทศไทย (Amnesty international Thailand) ระบุว่า ปลายปี พ.ศ. 2561 รัฐบาลได้เปิดเผยแผนการผลักดัน ‘ศูนย์ไซเบอร์กองทัพบก’ ในลักษณะสงครามไซเบอร์ ซึ่งกองกำลังไซเบอร์ถูกใช้เป็นเครื่องมือในการสอดส่องสื่อสังคมออนไลน์และการสื่อสารออนไลน์ของคนทำงานภาคประชาสังคมเพื่อระบุตัวผู้ต่อต้านรัฐบาล และมีความเป็นไปได้ที่กองทัพไซเบอร์นั้นจงใจปล่อยข่าวปลอมเพื่อคุกคามนักสิทธิมนุษยชนทางโซเชียลมีเดีย หรือแม้กระทั่งดำเนินคดีกับประชาชนทั่วไปที่พยายามแสดงถึงเสรีภาพในการแสดงออก[6]

การรุกล้ำข้อมูลส่วนบุคคลเพื่อความมั่นคงของรัฐ ในนามกฎหมาย PDPA

ดังจะเห็นได้ว่า นัยของสิทธิความเป็นส่วนตัวนั้นมีความสำคัญในฐานะส่วนหนึ่งของสิทธิมนุษยชนสมัยใหม่[7] และได้รับการรับรองเอาไว้ในบทบัญญัติของรัฐธรรมนูญในหลายๆ ประเทศ รวมถึงประเทศไทยที่มีการบัญญัติรับรองสิทธิความเป็นส่วนตัวเอาไว้ในรัฐธรรมนูญ[8] โดยในบางประเทศสิทธิความเป็นส่วนตัว และสิทธิในข้อมูลส่วนบุคคล อาจได้รับการคุ้มครองเป็นพิเศษจากกฎหมายเฉพาะ เนื่องจากในชีวิตของคนหนึ่งคนประกอบไปด้วยข้อมูลส่วนบุคคลจำนวนมาก อาทิ ชื่อ-นามสกุล เพศ อายุ อาชีพ ศาสนา ความเชื่อ ความคิดเห็น หรือความเชื่อทางการเมือง สถานะทางเศรษฐกิจ จนถึงรสนิยมการดำรงชีวิตหรือการบริโภค ซึ่งข้อมูลดังกล่าวผูกพันหรือยืนยันความเป็นมนุษย์ของบุคคลนั้นให้แตกต่างไปจากบุคคลอื่น[9] ฉะนั้น การคุ้มครองข้อมูลส่วนบุคคลจึงเป็นสาระสำคัญของการรักษาสิทธิความเป็นส่วนตัว เพราะหากปราศจากการคุ้มครองข้อมูลส่วนบุคคล พลเมืองก็จะปราศจากวิธีการและเครื่องมือในการใช้สิทธิความเป็นส่วนตัว และปกป้องสิทธิและข้อมูลส่วนบุคคลของตนเองจากการล่วงละเมิด เพื่อบรรเทาการแทรกแซงสิทธิความเป็นส่วนตัว[10]

วัตถุประสงค์ของการคุ้มครองข้อมูลส่วนบุคคล คือ การให้สิทธิกับประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคล ในการควบคุมและปกป้องข้อมูลส่วนบุคคลของตนเองจากการถูกละเมิด กฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงกำหนดกฎเกณฑ์และแนวทางเกี่ยวกับการใช้ข้อมูลส่วนบุคคล ไม่ว่าการใช้ข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นโดยหน่วยงานของรัฐ บริษัทเอกชน หรือ NGO และไม่ว่าการประมวลผลข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นในรูปแบบอิเล็กทรอนิกส์หรือกระดาษ[11] ซึ่งในกรณีของประเทศไทยนั้นได้มีการตรา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้นมาเพื่อเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล[12]

คำถามสำคัญก็คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถที่จะคุ้มครองสิทธิในข้อมูลส่วนบุคคลและการคุกคามความเป็นส่วนตัวจากรัฐได้หรือไม่ ซึ่งหากในสถานการณ์ปกติอาจจะกล่าวได้ว่า พระราชบัญญัติฉบับนี้อาจช่วยบรรเทาการแทรกแซงสิทธิความเป็นส่วนตัว โดยการเรียกร้องให้การใช้ข้อมูลส่วนบุคคลจะต้องปฏิบัติตามหลักเกณฑ์ที่กฎหมายกำหนด

อย่างไรก็ดี เมื่อไม่นานมานี้คณะรัฐมนตรีได้อนุมัติหลักการของพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยหน่วยงานของรัฐเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการเพื่อประโยชน์สาธารณะ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย โดยมิให้นำบทบัญญัติในหมวดเรื่องของการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียน ความรับผิดทางแพ่ง และบทกำหนดโทษมาใช้บังคับหน่วยงานของรัฐในวัตถุประสงค์ดังกล่าว[13] ซึ่งจะเห็นได้ว่า ข้อยกเว้นดังกล่าวนั้นกว้างกว่าข้อยกเว้นเดิมที่กฎหมายกำหนดไว้[14] และอาจทำให้หน่วยงานของรัฐทั้งหลายตบเท้าเข้ามาเพื่อเข้าถึงข้อมูลส่วนบุคคลและแทรกแซงสิทธิความเป็นส่วนตัวของประชาชนได้ ไม่ว่าจะเป็นทหาร ตำรวจ สำนักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด (ป.ป.ส.) หรือกองอำนวยการรักษาความมั่นคงภายในราชอาณาจักร (กอ.รมน.) โดยประชาชนปราศจากเครื่องมือในการต่อสู้

ปัญหาสำคัญของร่างพระราชกฤษฎีกาดังกล่าวก็คือ ขอบเขตของการยกเว้นการบังคับใช้กฎหมายที่ไม่ชัดเจน โดยเฉพาะอย่างยิ่งในกรณีของการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ หรือการดำเนินการเพื่อประโยชน์สาธารณะ ซึ่งบรรดาถ้อยคำเหล่านี้ไม่ได้มีความหมายเฉพาะเจาะจง สุดแต่ผู้มีอำนาจจะตีความ และที่ผ่านมาการตีถ้อยคำว่า ‘การรักษาความมั่นคงปลอดภัย’ ‘ความปลอดภัยสาธารณะ’ หรือ ‘ประโยชน์สาธารณะ’ ล้วนแต่มีปัญหาในการตีความที่นำมาสู่การตั้งคำถามของสังคมเกี่ยวกับความเสมอภาคในการบังคับใช้กฎหมาย รวมถึงข้อยกเว้นดังกล่าวยังตอกย้ำวัฒนธรรม ‘ลอยนวลพ้นผิด’ ตามวิถีนิติรัฐแบบไทยๆ ที่มอบอภิสิทธิ์อย่างล้นๆ เกินๆ แก่เจ้าหน้าที่ฝ่ายความมั่นคงที่จะละเมิดสิทธิและเสรีภาพของประชาชนได้ในนามของกฎหมาย

ท้ายที่สุดหากรัฐบาลมีความจริงใจ โปร่งใส และมุ่งหมายที่จะเคารพสิทธิความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลแล้ว รัฐบาลควรที่จะระงับแผนการที่จะผ่านร่างพระราชกฤษฎีกาฉบับนี้ เพื่อให้การคุ้มครองสิทธิความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลได้รับการคุ้มครองอย่างแท้จริง

เชิงอรรถ

[1] Human Right Watch, ‘China: Police ‘Big Data’ Systems Violate Privacy, Target Dissent Automated Systems Track People Authorities Claim Threatening’ (Human Right Watch, 19 November 2017). <https://www.hrw.org/news/2017/11/19/china-police-big-data-systems-violate-privacy-target-dissent> accessed 22 July 2022.

[2] John Scott-Railton, Bill Marczak and others, ‘GeckoSpy: Pegasus Spyware Used Against Thailand’s Pro-Democracy Movement’ (The Citizen Lab, 17 July 2022). <https://citizenlab.ca/2022/07/geckospy-pegasus-spyware-used-against-thailands-pro-democracy-movement/> accessed 22 July 2022.

[3] เพิ่งอ้าง.

[4] iLaw, ‘ปรสิตติดโทรศัพท์ : ข้อค้นพบเมื่อสปายแวร์เพกาซัสถูกใช้ต่อผู้เห็นต่างจากรัฐบาล’ (iLaw, 16 กรกฎาคม 2565). <https://freedom.ilaw.or.th/report-parasite-that-smiles-th> สืบค้นเมื่อ 22 กรกฎาคม 2565.

[5] See Privacy International, ‘The Keys to Data Protection: A Guide for Policy Engagement on Data Protection’ (5 September 2018). <https://www.privacyinternational.org/report/2255/data-protection-guide-complete> accessed 23 July 2022, 26.

[6] แอมเนสตี้, ‘สิทธิในเสรีภาพในการแสดงออกออนไลน์’ (Amnesty) <https://www.amnesty.or.th/our-work/onlinefreedom/> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[7] ดู ปฏิญญาสากลว่าด้วยสิทธิมนุษยชน ข้อ 12.

[8] รัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2560 มาตรา 32.

[9] นคร เสรีรักษ์, ความเป็นส่วนตัว: ความคิด ความรู้ ความจริง และพัฒนาการเรื่องการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย (พิมพ์ครั้งที่ 2, พี.เพรส 2563) 101.

[10] Privacy Internationaol (no 5) 12.

[11] Ibid; เขมภัทร ทฤษฎิคุณ, ‘PDPA101: มาเข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลแบบนับหนึ่งกันเถอะ’ (สถาบันปรีดี พนมยงค์, 1 มิถุนายน 2565). <https://pridi.or.th/th/content/2022/06/1121> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[12] ดู พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หมายเหตุท้ายพระราชบัญญัติ.

[13] รัฐบาลไทย, ‘สรุปข่าวการประชุมคณะรัฐมนตรี 5 กรกฎาคม 2565’ (รัฐบาลไทย, 5 กรกฎาคม 2565) <https://www.thaigov.go.th/news/contents/details/56572?fbclid=IwAR3urkjQeTG60Xuu0gDYBT6rBmBityC30hJwHTtQncP8bEmGGPfCz30DdrA> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[14] พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4.

สำรวจความพร้อมภาครัฐ ปฏิบัติตาม ‘PDPA’

เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 30 มิถุนายน 2565 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ

ใกล้จะครบ 1 เดือนที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA มีผลใช้บังคับ หลังจากเลื่อนการบังคับใช้มาเป็นระยะเวลา 2 ปี ด้วยเหตุผลเพื่อภาครัฐและบริษัทเอกชนได้เตรียมความพร้อม

หลังกฎหมายบังคับใช้ เกิดคำถามและความเข้าใจผิดหลายกรณีเกี่ยวกับสิ่งที่ ทำได้-ทำไม่ได้ ตามกฎหมายกำหนด ซึ่งหน่วยงานกำกับดูแลคือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจำเป็นต้อง ให้ความกระจ่างแก่ประชาชนอย่างทันถ่วงที เพื่อป้องกันการสร้างความเข้าใจผิด หรือการใช้ ประโยชน์จากกฎหมายในทางไม่ชอบ ซึ่งอาจ เป็นอุปสรรคต่อการปรับตัวรับการบังคับใช้ PDPA ตามเจตนารมณ์แท้จริงของกฎหมาย

นอกจากการแก้ไขความเข้าใจผิดเกี่ยวกับ กฎหมายสำหรับประชาชนแล้ว อีกปัจจัยสำคัญที่ต้องเร่งยกระดับคือ ความพร้อมของ หน่วยงานต่างๆ โดยเฉพาะหน่วยงานของภาครัฐ เนื่องจากภาคเอกชนได้เร่งปรับตัว เตรียมความพร้อมคุ้มครองข้อมูลส่วนบุคคลตามหลักสากล GDPR ไปก่อนแล้ว รวมทั้งการปฏิบัติตามหลักธรรมาภิบาลขององค์กรในการประกอบกิจการ

แต่สำหรับหน่วยงานภาครัฐที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นจำนวนมาก ตั้งแต่เกิดจนเสียชีวิต ยังติดกับอุปสรรคหลาย ประการที่ทำให้ยังไม่ได้ยกระดับการคุ้มครองข้อมูลส่วนบุคคลในภาครัฐ ซึ่งการคุ้มครองข้อมูลส่วนบุคคลในภาครัฐที่ผ่านมาเป็นไปตาม พ.ร.บ.ข้อมูลข่าวสารราชการ พ.ศ.2540 แต่ในตอนนี้ การคุ้มครองข้อมูลส่วนบุคคลของภาครัฐจะต้องปรับไปตาม PDPA ด้วย

จากการศึกษาของทีดีอาร์ไอ พบว่า ตลอด 2 ปีที่ผ่านมา มีบางหน่วยงานได้เตรียม ความพร้อมในการปฏิบัติตาม PDPA ไปบ้างแล้ว เช่น สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ซึ่งเป็นหน่วยงาน ของรัฐแรกๆ ที่ได้ดำเนินการปฏิบัติตาม PDPA และเป็นตัวอย่างที่ดีให้กับหน่วยงาน อื่นๆ โดยการทำเอกสารแม่แบบสำหรับการ ดำเนินการในการปฏิบัติตามกฎหมาย

อย่างไรก็ตาม ความเปลี่ยนแปลงที่เกิดขึ้นในหลายหน่วยงานมีเพียงบนกระดาษ ไม่ได้ เปลี่ยนแปลงระดับนโยบาย กระบวนการทำงาน ไปจนถึงเทคโนโลยีเพื่อการรักษาความปลอดภัยข้อมูลส่วนบุคคล ซึ่งอาจทำให้ ข้อมูลส่วนบุคคลของประชาชนถูกละเมิด/รั่วไหลได้ ตามที่เคยเกิดขึ้นแล้ว หลัง PDPA ประกาศใช้ในช่วงปี 2564 มีการละเมิด/รั่วไหล ของข้อมูลส่วนบุคคลในภาครัฐถึง 5 ครั้ง

เพื่อยกระดับความพร้อมให้กับภาครัฐ และป้องกันปัญหาเกิดขึ้นเช่นในอดีต จำเป็นที่ภาครัฐจะต้องปรับปรุงแก้ไขสิ่งต่างๆ ดังนี้

1. สร้างความเข้าใจและความชัดเจนในบทบาทหน้าที่ ความไม่เข้าใจหรือไม่ชัดเจนในบทบาทของภาครัฐในฐานะผู้ควบคุมข้อมูล ส่วนบุคคลตาม PDPA ทำให้บางส่วนอาจเห็นว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นหน้าที่ของสำนัก/กอง/กลุ่ม/แผนกหนึ่งในหน่วยงานของรัฐเป็นผู้รับผิดชอบ เช่น สำนักเทคโนโลยี เป็นต้น แต่ตามหลักคือ หน่วยงานภาครัฐจะต้องสร้างความเข้าใจให้กับเจ้าหน้าที่ทุกคนและยึดหลักปฏิบัติเดียวกันทั้งองค์กร

2. มีนโยบายภายในองค์กรเพื่อรองรับการปฏิบัติตาม PDPA  หรือแม้แต่การปรับเปลี่ยน กฎเกณฑ์ทางกฎหมายภายใต้อำนาจของ หน่วยงานของรัฐ เพื่อให้สอดคล้องกับหลักการ ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

3. มีแนวปฏิบัติ (guidelines) เพื่อการ เตรียมความพร้อมในการปฏิบัติตาม PDPA และมีคำอธิบายบทบัญญัติของ PDPA ซึ่งหากพิจารณาเฉพาะตัวพระราชบัญญัติแล้ว  จะเห็นเพียงหลักการแต่ไม่เห็นแนวทางในการปฏิบัติตาม

4. มีความเข้าใจต่อการพิจารณาฐานทางกฎหมาย เมื่อขาดนโยบายและแนวปฏิบัติ หน่วยงานของรัฐส่วนใหญ่จึงไม่มั่นใจว่า ภารกิจหรือกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของตนจะต้องใช้ฐานการประมวลผล ข้อมูลส่วนบุคคลใด โดยเฉพาะอย่างยิ่งในมาตราที่กฎหมายห้ามไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคล หากไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ซึ่งจะเป็นปัญหาสำหรับหน่วยงานของรัฐที่มีภารกิจต้องเก็บจากบุคคลเป็นจำนวนมาก เช่น ฐานข้อมูลทะเบียนราษฎร หรือฐานข้อมูลบัตรประจำตัวประชาชน เป็นต้น เจ้าหน้าที่รัฐอาจไม่มั่นใจว่าจะสามารถขอความยินยอมได้อย่างไร ซึ่งในความเป็นจริงแล้ว PDPA ได้ให้อำนาจหน่วยงานของรัฐในฐานการประมวลผลเพื่อการใช้ประโยชน์ในการจัดทำบริการสาธารณะเอาไว้ โดยไม่ต้อง ขอความยินยอม นอกจากนี้ ในกรณีอื่นๆ หน่วยงานของรัฐก็อาจจะอาศัยฐานในการประมวลผลอื่นๆ เพื่อเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลได้ ได้แก่ ฐานสัญญา ฐานสถิติ  เอกสารประวัติศาสตร์ และจดหมายเหตุ ฐานป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ฐานประโยชน์โดยชอบด้วยกฎหมาย และฐานการปฏิบัติตามกฎหมาย ซึ่ง PDPA รับรองเอาไว้

5. มีระบบเทคโนโลยีสารสนเทศที่ปลอดภัย หน่วยงานของรัฐบางแห่งยังไม่มีระบบที่ทันสมัยเพียงพอกับการรับมือกับการละเมิด/รั่วไหลของข้อมูลส่วนบุคคล ซึ่งอาจเกิดการรั่วไหลหรือถูกโจมตีต่อระบบคอมพิวเตอร์ได้ หรือในกรณีที่เก็บรักษาเอกสารอิเล็กทรอนิกส์ไว้ในเครื่องคอมพิวเตอร์สำนักงานโดยไม่มีการตั้งรหัสการเข้าถึงข้อมูล (access control) อาจทำให้บุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลได้โดยไม่จำเป็น

นอกเหนือจากสิ่งต่างๆ ที่กล่าวมาแล้ว หลักสำคัญในการปรับตัวตาม PDPA ของภาครัฐคือการตระหนักถึงบทบาทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ที่ต้องให้การคุ้มครองข้อมูลส่วนบุคคลของประชาชน และต้องสร้างความโปร่งใสในการสื่อสารกับประชาชน

ในกรณีที่จะต้องเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล ภาครัฐควรจะต้องมีการแจ้งให้ประชาชนทราบ เพื่อให้ประชาชสามารถใช้สิทธิของตนเองได้ตามกฎหมาย เพราะหน่วยงานของรัฐส่วนใหญ่ยังขาดการเตรียมกระบวนการเพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การจัดเตรียมช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล โดยควรจะต้องแจ้งให้ประชาชนรับรู้ เพื่อประโยชน์ของประชาชนในการควบคุมสิทธิในข้อมูลส่วนบุคคลของตนเอง

คู่มือ PDPA สำหรับผู้ประกอบการ SMEs

เขมภัทร ทฤษฎิคุณ

ชื่อหนังสือ: คู่มือ PDPA สำหรับผู้ประกอบการ SMEs

การอ้างอิงแนะนำตามรูปแบบ APA: เวทางค์ พ่วงทรัพย์. (2565). คู่มือ PDPA สำหรับผู้ประกอบการ SMEs. กรุงเทพฯ: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล. https://www.pdpc.or.th/pdpc-book/คู่มือ-pdpa-สำหรับผู้ประกอบ/

สรุปสาระสำคัญ

คู่มือ PDPA สำหรับผู้ประกอบการ SMEs เล่มนี้จัดทำขึ้นโดยข้อจำกัดด้านระยะเวลาโดยมีเป้าหมายเพื่อใช้ในการสื่อสารกับประชาชนในช่วงระยะสั้นๆ โดยคู่มือฉบับนี้ได้รับความอนุเคราะห์ในการเผยแพร่ในตรวจสอบความถูกต้องของเนื้อหาจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

Download

PDPA101: มาเข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลแบบนับหนึ่งกันเถอะ

เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 1 มิถุนายน 2565 บนเว็บไซต์ pridi.or.th

1 มิถุนายน 2565 วันนี้เป็นวันแรกที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลจะเริ่มบังคับใช้ ภายหลังจากเลื่อนมาเป็นระยะเวลากว่า 2 ปีแล้ว ทำให้เกิดความตื่นตัวขึ้นในสังคมไทย โดยเฉพาะเมื่อช่วงที่ผ่านมาได้มีข่าวเกี่ยวกับการนำรูปภาพส่วนตัวออกมาเผยแพร่ ประกอบกับมีผู้นำเสนอข้อมูลและสร้างความเข้าใจผิดเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล จึงทำให้กฎหมายฉบับนี้ถูกพูดถึงเป็นจำนวนมากในช่วงเวลาสั้นๆ มีทั้งความเข้าใจที่ถูกต้อง และไม่ถูกต้อง

ก่อนการบังคับใช้ ในบทความนี้ผู้เขียนจึงอยากชวนมาทำความเข้าใจและตระหนักถึงความสำคัญของกฎหมายฉบับนี้

ที่มาของกฎหมาย

ในความเป็นจริงแล้ว “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” นั้น สังคมไทย หากแต่มีความพยายามในการยกร่างกฎหมายฉบับนี้มาตั้งแต่ประมาณปี พ.ศ. 2540[1]  อย่างไรก็ดี เวลาล่วงมากว่า 20 ปี กฎหมายก็ไม่ได้มีการประกาศใช้ จนกระทั่งกระแสเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลกลับมาถูกกล่าวถึงมากขึ้นในโลกเมื่อสหภาพยุโรปผ่าน “กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป” (General Data Protection Regulation: GDPR) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการจัดว่าเป็นกฎหมายที่ก้าวหน้าที่สุด และมีผลเป็นการทำให้ประเทศต่างๆ ต้องปรับเปลี่ยนกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือต้องยกร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งรวมถึงประเทศไทยที่มีกฎหมายฉบับดังกล่าวเป็นแม่แบบในการยกร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA

จุดมุ่งหมายของ PDPA

ในช่วงที่ผ่านมา ทั้งสื่อมวลชนและบุคคลสาธารณะจำนวนหนึ่งที่พยายามจะสื่อสารว่า ห้ามมิให้มีการเก็บหรือใช้ข้อมูลส่วนบุคคลของผู้อื่น ซึ่งความเข้าใจดังกล่าวเป็นความเข้าใจที่ผิด เพราะตาม PDPA แล้ว ไม่ได้ห้ามมิให้มีการเก็บหรือใช้ข้อมูลส่วนบุคคล แต่กฎหมายต้องการให้เกิดความตระหนักถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject; คนที่ข้อมูลนั้นเชื่อมโยงไปถึง) เพื่อให้เจ้าของข้อมูลส่วนบุคคลมีอำนาจควบคุมและสามารถตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคลของตนเองได้ ซึ่งจะเห็นได้ว่ากระบวนการทั้งหมดของกฎหมาย คือ การมอบอำนาจในการตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคลให้กับเจ้าของข้อมูลส่วนบุคคล เช่น การแจ้งเกี่ยวกับการเก็บและใช้ข้อมูลส่วนบุคคล และการขอความยินยอมในการเก็บและใช้สำหรับกิจกรรมบางกิจกรรม เป็นต้น

ใครที่ PDPA มุ่งคุ้มครอง

PDPA มุ่งคุ้มครองคนธรรมดาทุกคนที่ยังมีชีวิตอยู่ ดังจะเห็นได้จากกฎหมายกำหนดความหมายของ “ข้อมูลส่วนบุคคล” คือ ข้อมูลใดๆ ก็ตามที่สามารถเชื่อมโยงไปหาบุคคลนั้นได้โดยทางตรงหรือทางอ้อม โดยข้อมูลส่วนบุคคลตามกฎหมายไม่รวมถึงข้อมูลของคนตายโดยเฉพาะ[2]  ฉะนั้น หากเป็นข้อมูลของคนตายไปแล้วก็จะไม่ได้รับความคุ้มครองตามกฎหมายฉบับนี้ แต่ในกรณีของหน่วยงานของรัฐที่เก็บหรือใช้ข้อมูลส่วนบุคคลยังคงมีหน้าที่ต้องคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายอื่น[3]  อย่างไรก็ดี ไม่ใช่ว่า นอกหน่วยงานของรัฐข้อมูลส่วนบุคคลของคนตายจะไม่ได้รับความคุ้มครอง ทายาทยังคงดำเนินการในเรื่องของคนตายตามกฎหมายอื่นๆ ได้

PDPA ใช้กับเรื่องใดบ้าง

ขอบเขตการบังคับใช้ PDPA นั้นใช้กับกิจกรรมการใช้ข้อมูลส่วนบุคคลของคนธรรมดา (ฉะนั้น กฎหมายไม่ใช้กับข้อมูลของหน่วยงานหรือองค์กร) ทุกประเภทโดยไม่จำกัด ว่าการเก็บข้อมูลนั้นจะเป็นดิจิทัลหรือกระดาษ

การใช้ข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นเพื่อวัตถุประสงค์ในทางธุรกิจหรือไม่ และไม่ว่าจะเป็นการใช้ข้อมูลส่วนบุคคลโดยบุคคลธรรมดา หน่วยงานของรัฐ องค์กรธุรกิจเอกชน หรือองค์กรไม่แสวงหาผลกำไร (สมาคมและมูลนิธิ) 

อย่างไรก็ดี กฎหมายฉบับนี้มุ่งใช้กับกิจกรรมของหน่วยงานหรือองค์กรขนาดใหญ่เสียส่วนใหญ่ที่มีการเก็บหรือใช้ข้อมูลจำนวนมาก  ฉะนั้น กฎหมายจึงไม่ได้มีผลเปลี่ยนแปลงการใช้ชีวิตส่วนใหญ่ของคนธรรมดา เพราะหากเป็นการใช้ข้อมูลส่วนบุคคลเกี่ยวกับเรื่องส่วนตัวหรือครอบครัวก็จะได้รับการยกเว้น[4] เช่น การถ่ายภาพที่ระลึกครอบครัว การถ่ายวิดีโอของครอบครัว หรือการทำแผนผังครอบครัว เป็นต้น  ฉะนั้น ในทางปฏิบัติคนธรรมดาแบบเราคือคนสำคัญที่กฎหมายมุ่งจะคุ้มครอง

ใครมีหน้าที่ตาม PDPA และต้องทำอะไรบ้าง

ตาม PDPA กำหนดหน้าที่ให้กับผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งก็คือ “บุคคลธรรมดา” (คนธรรมดาแบบเรา) หรือ “นิติบุคคล” (หน่วยงานหรือองค์กร) ที่มีการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล (เข้าไปเกี่ยวกับข้อมูลส่วนบุคคลของคนอื่น) ซึ่งกฎหมายกำหนดหน้าที่ให้คนคนนี้ ต้องปฏิบัติเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งหน้าที่โดยส่วนใหญ่ของผู้ควบคุมข้อมูลส่วนบุคคลก็คือ การคุ้มครองข้อมูลส่วนบุคคล (ให้หลักประกัน) มิให้มีการนำข้อมูลส่วนบุคคลไปใช้นอกเหนือความคาดหมายของเจ้าของข้อมูลส่วนบุคคล และสนับสนุนการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งอาจจะสรุปหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหลักการสำคัญที่ต้องคำนึงถึง ดังนี้[5]

1. หลักความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส ผู้ควบคุมจะต้องกำหนดให้การเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลจะต้องเป็นไปโดยมีเหตุผลความจำเป็นที่สามารถอ้างอิงฐานการประมวลผลได้ และมีการประกาศ/แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเหตุผลความจำเป็น

2. หลักการจำกัดวัตถุประสงค์ โดยกำหนดให้การประมวลผลข้อมูลส่วนบุคคลกระทำเท่าที่จำเป็นภายใต้ขอบเขตของวัตถุประสงค์ที่ได้แจ้งไว้กับเจ้าของข้อมูลส่วนบุคคล

3. หลักการรวบรวมข้อมูลเท่าที่จำเป็น การประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์และรวบรวมข้อมูลเฉพาะเท่าที่จำเป็นและในสัดส่วนที่เหมาะสม

4. หลักความถูกต้องของข้อมูลส่วนบุคคล การประมวลผลข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องจัดให้มีมาตรการหรือวิธีการใดๆ เพื่อรับรองข้อมูลที่เก็บรวบรวมไว้ให้มีความถูกต้องและเป็นปัจจุบัน

5. หลักการเก็บข้อมูลส่วนบุคคลอย่างจำกัดระยะเวลา ภายใต้วัตถุประสงค์ที่กำหนดไว้ ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรักษาข้อมูลไว้ในระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์

6. หลักความสมบูรณ์ของข้อมูลส่วนบุคคลและการเก็บรักษาเป็นความลับ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องประมวลผลข้อมูลส่วนบุคคลด้วยความระมัดระวังและใช้มาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสมเพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคลหรือการสูญหาย

7. หลักความรับผิดชอบ ผู้ควบคุมข้อมูลส่วนบุคคลมีความรับผิดชอบในการดำเนินการเพื่อบรรลุวัตถุประสงค์หลักดังกล่าวข้างต้น และจะแสดงให้เห็นได้อย่างชัดเจนว่า ผู้ควบคุมข้อมูลส่วนบุคคลได้มีการปฏิบัติหน้าที่ตามที่กฎหมายกำหนดไว้อย่างครบถ้วน

อย่างไรก็ดี หากจะสรุปหน้าที่ตามหลักการ 7 ประการก็คือ

(1) การใช้ข้อมูลส่วนบุคคลจะต้องใช้เท่าที่จำเป็น เหมาะสมโดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์การเก็บ ใช้ หรือเปิดเผย และในกรณีที่ต้องขอความยินยอมก็ต้องขอความยินยอมให้ถูกต้องตามกฎหมาย

(2) ต้องคำนึงถึงความปลอดภัยของข้อมูลส่วนบุคคล หลีกเลี่ยงการให้บุคคลไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลส่วนบุคคล และคอยตรวจสอบให้ข้อมูลดังกล่าวอัปเดตตรงกับความเป็นจริง และ

(3) เมื่อเกิดข้อผิดพลาดใดๆ กับข้อมูลส่วนบุคคลจะต้องดำเนินการแจ้งหน่วยงานกำกับดูแลให้ทราบและแจ้งเจ้าของข้อมูลส่วนบุคคลในกรณีที่กฎหมายกำหนด

แม้ว่ากฎหมายฉบับนี้จะใหม่ แต่ก็ไม่ยากเกินกว่าจะทำความเข้าใจ เพราะหากทำความเข้าใจหลักการของกฎหมายทั้งหมดแล้วการปฏิบัติตามกฎหมายในลำดับต่อไปก็จะไม่ใช่เรื่องยากอีกต่อไป และหากมีข้อสงสัยเกี่ยวกับ PDPA สามารถติดตามช่องทางอย่างเป็นทางการของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานกำกับดูแลตามกฎหมายได้ทาง Facebook Fanpage PDPC Thailand

เชิงอรรถ

[1] นคร เสรีรักษ์, ความเป็นส่วนตัว (พิมพ์ครั้งที่ 2, สำนักพิมพ์ฟ้าฮ่าม 2563) 263 – 264.

[2] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6.

[3] ดู พระราชบัญญัติข้อมูลข่าวสารราชการ พ.ศ. 2540.

[4] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4 (1).

[5] เขมภัทร ทฤษฎิคุณ, ‘เมื่อเราอยู่ในยุคที่ข้อมูลส่วนบุคคลมีค่าดั่งทองคำ’ (สถาบันปรีดี พนมยงค์, 28 กุมภาพันธ์ 2565) <https://pridi.or.th/th/content/2022/02/991> สืบค้นเมื่อ 31 พฤษภาคม 2565.

PDPA มีผลใช้บังคับแล้ว ถอดบทเรียนการเตรียมความพร้อมและชวนภาครัฐสำรวจความพร้อมในการปฏิบัติตามกฎหมาย

เขมภัทร ทฤษฎิคุณ

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA เริ่มมีผลใช้บังคับวันนี้ภายหลังจากเลื่อนการบังคับใช้มาเป็นระยะเวลา 2 ปี[1] ความสำคัญของ PDPA คือ การยกระดับการคุ้มครองข้อมูลส่วนบุคคลในภาพรวม เนื่องจาก PDPA มุ่งหมายใช้กับกิจกรรมการใช้ข้อมูลส่วนบุคคลของคนธรรมดาทุกประเภทโดยไม่จำกัดว่า การเก็บข้อมูลนั้นจะเป็นดิจิทัลหรือกระดาษ การใช้ข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นเพื่อวัตถุประสงค์ในทางธุรกิจหรือไม่ และไม่ว่าจะเป็นการใช้ข้อมูลส่วนบุคคลโดยบุคคลธรรมดา หน่วยงานของรัฐ องค์ธุรกิจเอกชน หรือองค์กรไม่แสวงหาผลกำไร

เมื่อพิจารณาในส่วนของภาครัฐซึ่งมีการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นจำนวนมาก และเก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลตั้งแต่จากครรภ์มารดาถึงเชิงตะกอน การคุ้มครองข้อมูลส่วนบุคคลในภาครัฐจึงมีความสำคัญ ซึ่งในอดีตการคุ้มครองข้อมูลส่วนบุคคลในภาครัฐจะเป็นไปตาม พ.ร.บ. ข้อมูลข่าวสารราชการ พ.ศ. 2540 แต่ในปัจจุบันการคุ้มครองข้อมูลส่วนบุคคลของภาครัฐจะต้องยกระดับขึ้นมาตาม PDPA ไปด้วย คำถามสำคัญคือ ภาครัฐมีความพร้อมในการปฏิบัติตาม PDPA แล้วหรือไม่

1. บทสำรวจความพร้อมในการปฏิบัติตาม PDPA ของภาครัฐ

สถานการณ์การเตรียมความพร้อมของหน่วยงานของรัฐในการปฏิบัติตาม PDPA นั้น ไม่ได้แตกต่างไปจากที่สถาบันวิจัยเพื่อการพัฒนาประเทศไทยได้เคยทำการสำรวจเอาไว้ในปี พ.ศ. 2561 

หน่วยงานของรัฐอาจไม่คุ้นเคยกับการคุ้มครองข้อมูลส่วนบุคคล และจะเห็นว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นหน้าที่ของสำนัก/กอง/กลุ่ม/แผนกหนึ่งในหน่วยงานของรัฐเป็นผู้รับผิดชอบ[2] เช่น สำนักเทคโนโลยี เป็นต้น อีกทั้งหน่วยงานของรัฐส่วนใหญ่ยังไม่มีนโยบายการปรับเปลี่ยนภายในองค์กรเพื่อรองรับการปฏิบัติตาม PDPA[3] อาทิ การเตรียมกระบวนการเพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การจัดเตรียมช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล การกำหนดบุคคลที่จะปฏิบัติหน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) หรือแม้แต่การปรับเปลี่ยนกฎเกณฑ์ทางกฎหมายภายใต้อำนาจของหน่วยงานของรัฐเพื่อให้สอดคล้องกับหลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ความไม่พร้อมสำคัญของภาครัฐก็คือ เรื่องการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ดังจะเห็นได้ว่า ภายหลัง PDPA ถูกประกาศใช้หน่วยงานของรัฐบางแห่งก็ยังมีข้อจำกัดด้านระบบ รวมถึงยังไม่ได้ให้ความสำคัญกับการป้องกันการละเมิด/รั่วไหลของข้อมูลส่วนบุคคล โดยจะเห็นได้ว่า ในช่วงปี พ.ศ. 2564 มีการละเมิด/รั่วไหลของข้อมูลส่วนบุคคลในภาครัฐถึง 5 ครั้ง[4] ซึ่งเรื่องความปลอดภัยของข้อมูลส่วนบุคคลเป็นความกังวลสำคัญในภาครัฐเนื่องจากภาครัฐมีการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นจำนวนมาก แต่หน่วยงานของรัฐแต่ละแห่งมีการใช้เทคนิคและระบบเทคโนโลยีสารสนเทศที่ปลอดภัยไปจนถึงหน่วยงานของรัฐที่ไม่มีระบบที่ทันสมัยเพียงพอกับการรับมือกับการละเมิด/รั่วไหลของข้อมูลส่วนบุคคล ซึ่งอาจเกิดการรั่วไหลหรือถูกโจมตีต่อระบบคอมพิวเตอร์ได้ หรือในกรณีที่เก็บรักษาเอกสารอิเล็กทรอนิกส์ไว้ในเครื่องคอมพิวเตอร์สำนักงานโดยไม่มีการตั้งรหัสการเข้าถึงข้อมูล (access control) อาจทำให้บุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลได้โดยไม่จำเป็น[5]

2. ถอดบทเรียนการเตรียมความพร้อมของภาครัฐในการปฏิบัติตาม PDPA

จากการได้มีโอกาสพูดคุยและเข้าไปช่วยแนะนำการเตรียมความพร้อมในการปฏิบัติตามPDPA พบว่า ปัญหาของหน่วยงานของรัฐในการปฏิบัติตาม PDPA มีอยู่ 3 ปัญหา ดังนี้

หน่วยงานของรัฐไม่เข้าใจบทบาทหน้าที่ตาม PDPA

ในการปฏิบัติตาม PDPA ของภาครัฐขั้นตอนแรกที่สำคัญที่สุดในการปฏิบัติตามกฎหมายฉบับนี้คือ การทำความเข้าใจบทบาทของภาครัฐในฐานะผู้ควบคุมข้อมูลส่วนบุคคลว่ามีหน้าที่ใดต้องปฏิบัติตามบ้างตาม PDPA ซึ่งในช่วงที่ผ่านมาหลายหน่วยงานอาจจะได้เตรียมความพร้อมในการปฏิบัติตาม PDPA ไปบ้างแล้ว ตัวอย่างเช่น สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ซึ่งเป็นหน่วยงานของรัฐแรกๆ ที่ได้ดำเนินการปฏิบัติตาม PDPA และเป็นตัวอย่างที่ดีให้กับหน่วยงานอื่นๆ โดยการทำเทมเพลตเอกสารในการปฏิบัติตามกฎหมาย

อย่างไรก็ดี หลายหน่วยงานในภาครัฐยังคงมีความเข้าใจผิดเกี่ยวกับการปฏิบัติตาม PDPA โดยการทำเพียงเอกสารตามกฎหมายเท่านั้น โดยไม่ได้เปลี่ยนแปลงพฤติกรรมหรือการทำงานเกี่ยวกับการใช้ข้อมูลส่วนบุคคล ซึ่งอาจจะกลายเป็นปัญหาในตอนท้ายและไม่บรรลุเป้าหมายของ PDPA  ฉะนั้น การทำความเข้าใจหน้าที่ของหน่วยงานของรัฐในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจึงมีความสำคัญ

ในส่วนของบทบาทหน้าที่ของภาครัฐในการปฏิบัติตาม PDPA ที่สำคัญที่สุดก็คือ การสร้างความโปร่งใสในการสื่อสารกับประชาชน ในกรณีที่จะต้องเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล ภาครัฐควรจะต้องมีการแจ้งให้ประชาชนทราบ เพื่อให้ประชาชสามารถใช้สิทธิของตนเองได้ตามกฎหมาย

หน่วยงานของรัฐขาดแนวทางในการปฏิบัติตาม PDPA

ในการเตรียมความพร้อมในการปฏิบัติตาม PDPA หน่วยงานของรัฐส่วนใหญ่ประสบปัญหาคล้ายๆ กันคือ ความไม่แน่ใจว่าจะเริ่มต้นอย่างไรในการปฏิบัติตาม PDPA ปัญหาส่วนหนึ่งเกิดมาจากการขาดแนวปฏิบัติ (guidelines) ที่วางแนวทางให้กับหน่วยงานของรัฐ ทั้งในแง่ของการเตรียมความพร้อมในการปฏิบัติตาม PDPA และอธิบายบทบัญญัติของ PDPA ซึ่งหากพิจารณาเฉพาะตัวพระราชบัญญัติแล้วจะเห็นเพียงหลักการ แต่ไม่เห็นแนวทางในการปฏิบัติตาม

ในส่วนของแนวทางการเตรียมความพร้อมในการปฏิบัติตาม PDPA ในภาครัฐ อาจแบ่งขั้นตอนในการเตรียมความพร้อมได้เป็น 5 ขั้นตอน[6] ดังนี้

  • การเตรียมตัวเบื้องต้น การปฏิบัติตาม PDPA ไม่ใช่เรื่องของคนใดคนหนึ่ง แต่เป็นเรื่องของทั้งองค์กรต้องมีความเข้าใจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเป็นไปในทิศทางเดียวกัน ขั้นตอนนี้จึงเป็นการสร้างความเข้าใจร่วมกันของเจ้าหน้าที่ภายในองค์กรทั้งในระดับผู้บริหารลงมาถึงระดับปฏิบัติการ/ปฏิบัติงาน ซึ่งกระบวนการดังกล่าวจะเปิดทางไปสู่การเตรียมความพร้อมในการปฏิบัติตาม PDPA ด้านอื่นๆ
  • การสำรวจภายในองค์กร การจะปฏิบัติตาม PDPA ให้มีประสิทธิภาพหน่วยงานของรัฐจำเป็นต้องรู้จักการใช้ข้อมูลส่วนบุคคลภายในองค์กรของตนเป็นอย่างดี เพื่อจะได้ทราบว่าภายในองค์กรมีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลในกิจกรรมใดบ้าง
  • การลงรายละเอียดแผนงาน ในขั้นตอนนี้จะเป็นการพิจารณาลงในรายละเอียดว่า ในแต่ละกิจกรรมที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลมีข้อมูลใดบ้าง และข้อมูลส่วนบุคคลแต่ละประเภทมีความเสี่ยงอย่างไรบ้างถ้าหากมีการละเมิด/รั่วไหลของข้อมูลส่วนบุคคล
  • การปิดช่องว่าง ขั้นตอนนี้เป็นการปิดช่องว่างของการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย และการจัดแนวทางในการใช้ข้อมูลส่วนบุคคลในอนาคต โดยอาจจะต้องมีการปรับเปลี่ยนวิธีการทำงานของหน่วยงานของรัฐ และการจัดเก็บข้อมูลส่วนบุคคลในบางกิจกรรมที่ไม่จำเป็น
  • การจัดเตรียมเอกสาร ซึ่งเป็นขั้นตอนในการจัดเตรียมเอกสารต่างๆ ที่จำเป็นในการปฏิบัติตาม PDPA อาทิ การจัดทำ Privacy Notice เพื่อแจ้งการรายละเอียดการเก็บรวบรวมข้อมูลส่วนบุคคล การจัดทำ Privacy Policy สำหรับการแสดงนโยบายการคุ้มครองข้อมูลส่วนบุคคลในภาพรวมขององค์กร การจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity: RoPA) และเอกสารอื่นๆ ที่จำเป็น ซึ่งจะเห็นได้ว่า กระบวนการนี้เป็นกระบวนการท้ายๆ ในการปฏิบัติตาม PDPA แต่ในทางปฏิบัติหน่วยงานของรัฐส่วนใหญ่นั้นมักจะเริ่มต้นจากการทำตามเทมเพลตต้นแบบ
  • การสืบสาน รักษา และต่อยอด ขั้นตอนนี้เป็นขั้นตอนสุดท้ายของการวางระบบตามกรอบ PDPA โดยหน่วยงานของรัฐ โดยหน่วยงานของรัฐจะต้องพยายามสร้างองค์ความรู้เกี่ยวกับ PDPA ให้อยู่ในองค์กร โดยเจ้าหน้าที่ของรัฐทุกคนในองค์กรควรมีการตระหนักเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพและปิดช่องว่างที่อาจจะเกิดขึ้น รวมถึงจะต้องมีการติดตามผลคอยปรับปรุงระบบที่วางไว้

ปัญหาการขาดความมั่นใจในการเลือกฐานทางกฎหมาย

สิ่งหนึ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องปฏิบัติตาม PDPA ก็คือ การเลือกฐานในการประมวลผลข้อมูลส่วนบุคคล ในกรณีของภาครัฐหน่วยงานของรัฐก็ต้องมีหน้าที่จะต้องเลือกฐานการประมวลผลข้อมูลส่วนบุคคลเช่นกัน  อย่างไรก็ตาม ในทางปฏิบัติหน่วยงานของรัฐส่วนใหญ่ไม่มั่นใจว่า ภารกิจหรือกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของตนจะต้องใช้ฐานการประมวลผลข้อมูลส่วนบุคคลใด โดยเฉพาะอย่างยิ่งเมื่อพิจารณาบทบัญญัติในมาตรา 19[7]และมาตรา 24[8] 

ซึ่งหากพิจารณาเพียงผิวเผินอาจจะทำให้เข้าได้ว่า กฎหมายห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ซึ่งทำให้เกิดปัญหามากกับหน่วยงานของรัฐที่มีภารกิจหรือกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่ต้องเก็บจากบุคคลเป็นจำนวนมากตลอดพื้นที่ เช่น ฐานข้อมูลทะเบียนราษฎร หรือฐานข้อมูลบัตรประจำตัวประชาชน เป็นต้น จะสามารถขอความยินยอมได้อย่างไร

ในความเป็นจริงแล้ว PDPA ได้กำหนดฐานการประมวลผลที่เหมาะสมสำหรับหน่วยงานของรัฐในการปฏิบัติตามกฎหมายที่ให้อำนาจ และเพื่อการประโยชน์ในการจัดทำบริการสาธารณะเอาไว้ โดยกำหนดให้หน่วยงานของรัฐไม่ต้องขอความยินยอมตาม PDPA ก็สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้[9]

นอกจากนี้ ในกรณีอื่นๆ หน่วยงานของรัฐก็อาจจะอาศัยฐานในการประมวลผลอื่นๆ เพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ นอกเหนือจากการใช้ฐานความยินยอม ได้แก่ ฐานสัญญา ฐานสถิติ เอกสารประวัติศาสตร์ และจดหมายเหตุ ฐานป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ฐานประโยชน์โดยชอบด้วยกฎหมาย และฐานการปฏิบัติตามกฎหมาย ซึ่ง PDPA รับรองเอาไว้

เมื่อพิจารณาแนวทางทั้งหมดแล้วท้ายที่สุด ต้องเน้นย้ำกับภาครัฐเสมอในการปรับตัวตาม PDPA ของภาครัฐคือ การตระหนักถึงบทบาทของภาครัฐในฐานะผู้ควบคุมข้อมูลส่วนบุคคลในการคุ้มครองข้อมูลส่วนบุคคลของประชาชน และพยายามสร้างความโปร่งใสในกรณีที่ต้องมีการเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคล โดยควรจะต้องให้ประชาชนรับรู้ เพื่อประโยชน์ของประชาชนในการควบคุมสิทธิในข้อมูลส่วนบุคคลของตนเอง

เชิงอรรถ

[1] ครั้งที่ 1 พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 ประกาศเมื่อวันที่ 21 พฤษภาคม 2563 และในครั้งที่ 2 พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (ฉบับที่ 2) พ.ศ. 2564 ประกาศเมื่อวันที่ 8 พฤษภาคม 2564.

[2] สถาบันวิจัยเพื่อการพัฒนาประเทศไทย, รายงานผลการสำรวจการเตรียมความพร้อมหน่วยงานในการคุ้มครองข้อมูลส่วนบุคคล ปี 2561 (สถาบันวิจัยเพื่อการพัฒนาประเทศไทย 2561) 110.

[3] เพิ่งอ้าง.

[4] พสิษฐ์ คงคุณากรกุล. ‘ย้อนรอยเหตุ ‘ข้อมูลเสี่ยงรั่ว-รั่วไหล’ ขององค์กรในไทย จากทั้งปี 64 ถึงกรณี TCAS’ (The Standard, 4 กุมภาพันธ์ 2565) สืบค้นเมื่อ 3 มิถุนายน 2565.

[5] วิชญาดา อำพนกิจวิวัฒน์, ‘ระบบ ‘ข้อมูลส่วนบุคคล’ ที่ดี รัฐต้องมี ‘คน’ ที่พร้อม’ (TDRI, 27 สิงหาคม 2564)  สืบค้นเมื่อ 6 มิถุนายน 2565.

[6] ดู กิรติพงศ์ แนวมาลี เขมภัทร ทฤษฎิคุณ และคณะ, แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล: หน่วยงานของรัฐ (สถาบันวิจัยเพื่อการพัฒนาประเทศไทย, 2564) 8 – 14.

[7] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 19  

ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้.

[8] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 24

ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่

(1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล  ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนด

(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

(3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

(4) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล

(5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

(6) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

[9] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 24 (4).

แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล: หน่วยงานของรัฐ

เขมภัทร ทฤษฎิคุณ

ชื่อหนังสือ: แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล: หน่วยงานของรัฐ

การอ้างอิงแนะนำตามรูปแบบ APA: กิรติพงศ์ แนวมาลี และคณะ. (2565). แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล: หน่วยงานของรัฐ. กรุงเทพฯ: สถาบันวิจัยเพื่อการพัฒนาประเทศไทย.

สรุปสาระสำคัญ

แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล: หน่วยงานของรัฐ เป็นหนึ่งในแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลทั้ง 7 เล่ม ของสถาบันวิจัยเพื่อการพัฒนาประเทศไทย (TDRI) ได้รับมอบหมายจากสำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมทำหน้าที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจัดทำขึ้นเพื่อวางแนวทางให้กับองค์กรหรือธุรกิจเฉพาะด้านได้ใช้เป็นแนวทางในการทำความเข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคล และจัดเตรียมแนวทางในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ทั้งนี้ สำหรับแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล: หน่วยงานของรัฐเล่มนี้จัดทำขึ้นเพื่อให้เกิดแนวทางและวิธีการเตรียมความพร้อมสำหรับหน่วยงานของรัฐทั้งส่วนราชการครอบคลุมราชการส่วนกลาง ราชการส่วนภูมิภาค และราชการส่วนท้องถิ่น และหน่วยงานของรัฐรูปแบบอื่นๆ เช่น องค์กรปกครองส่วนท้องถิ่น เป็นต้น นอกจากนี้ แนวปฏิบัติฉบับนี้ให้ความสำคัญกับการวางแนวทางที่เป็นประโยชน์แก่หน่วยงานของรัฐที่ได้รับการยกเว้นการปฏิบัติหน้าที่ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

เมื่อเราอยู่ในยุคที่ข้อมูลส่วนบุคคลมีค่าดั่งทองคำ

เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 28 กุมภาพันธ์ 2565 บนเว็บไซต์ pridi.or.th

มื่อไม่นานมานี้มีข่าวว่ารัฐบาลได้ทำการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นมา ข่าวนี้เป็นสัญญาณสำคัญถึงการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศ โดยคณะกรรมการชุดนี้จะมีบทบาทสำคัญในการกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ท่ามกลางยุคสมัยที่ข้อมูลส่วนบุคคลมีค่าดั่งทองคำ

ข้อมูลส่วนบุคคลคืออะไร

ก่อนจะไปทำความเข้าใจว่าเพราะอะไรข้อมูลส่วนบุคคลจึงมีค่าดั่งทองคำ ในบทความนี้จะขอเริ่มต้นจากการอธิบายก่อนว่า ข้อมูลส่วนบุคคลคืออะไร?

หากพิจารณานิยามของข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะเห็นได้ว่า “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม (แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ)[1]

กล่าวโดยสรุปง่ายๆ “ข้อมูลส่วนบุคคล” คือ ข้อมูลใดๆ ก็ตามที่สามารถระบุตัวตนของบุคคลนั้นได้ ตัวอย่างของสิ่งที่เราแน่ใจอย่างแน่นอนว่าเป็นข้อมูลส่วนบุคคล เช่น ชื่อนามสกุล เบอร์โทรศัพท์ เลขบัตรประจำตัวประชาชน ส่วนสูง และน้ำหนัก เป็นต้น 

อย่างไรก็ตาม ความหมายของข้อมูลส่วนบุคคลนั้นกว้างกว่าที่เราคิด ข้อมูลส่วนบุคคลนั้นยังรวมไปถึงข้อมูลอื่นๆ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา ข้อมูลพันธุกรรม และข้อมูลชีวภาพ เป็นต้น

ดังจะเห็นได้ว่าความหมายของข้อมูลส่วนบุคคลนั้นมีความหมายกว้างมากโดยเฉพาะในยุคสมัยที่เราทุกคนนั้นมีการเชื่อมต่อกันในยุคแห่ง internet of things (IoTs) หรือที่เรียกว่า “อินเทอร์เน็ตสำหรับทุกสรรพสิ่ง” ที่ผู้ใช้งานอินเทอร์เน็ตไม่ได้เพียงเชื่อมต่ออินเทอร์เน็ตจากคอมพิวเตอร์เท่านั้น แต่การเชื่อมต่อนั้นเกิดขึ้นกับอุปกรณ์ต่างๆ รอบตัว เช่น นาฬิกาข้อมือที่มีการเก็บข้อมูลอัตราการเต้นของหัวใจ และความดันของผู้สวมใส่ หรือโทรศัพท์มือถือที่มีการเก็บข้อมูลพิกัดการใช้งานแอปพลิเคชัน เป็นต้น

ทำไมข้อมูลส่วนบุคคลจึงกลายเป็นสิ่งมีค่า

ด้วยเหตุที่ชีวิตปัจจุบันของเราเข้าไปสัมพันธ์กับการเชื่อมต่ออินเทอร์เน็ตอยู่ตลอดเวลา ทำให้มีการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเพิ่มขึ้นแตกต่างจากยุคก่อนๆ ที่การเก็บรวบรวมข้อมูลส่วนบุคคลจะมีเฉพาะในเวลาที่มีการทำธุรกรรมบางอย่างเท่านั้น

ในปัจจุบันการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นมีความจำเป็นมากในทางธุรกิจ เพราะการมีข้อมูลเป็นจำนวนมากนั้นทำให้เกิดความแม่นยำในการสร้างสรรค์ผลิตภัณฑ์ การโฆษณาเพื่อตอบสนองความต้องการของผู้บริโภค และปรับเปลี่ยนกลยุทธ์ทางธุรกิจให้เหมาะสมกับสถานการณ์ในปัจจุบัน ความต้องการข้อมูลเป็นจำนวนมากนี้ถึงขั้นทำให้มีผู้กล่าวว่า “ข้อมูล (ส่วนบุคคล) นั้นเปรียบเสมือนน้ำมันใหม่ของเศรษฐกิจดิจิทัล” เพราะหากยิ่งผู้ประกอบการมีข้อมูลมากเท่าไรและรู้จักผู้บริโภคมากเท่าไร ผู้ประกอบการก็ยิ่งจะสามารถตอบสนองความต้องการของผู้บริโภคได้ตรงจุดมากเท่านั้น

ตัวอย่างเช่น สถาบันการเงินประเภทธนาคารแห่งหนึ่งต้องการเสนอสินเชื่อให้กับลูกค้า กรณีเช่นนี้ธนาคารก็ต้องใช้ข้อมูลทางด้านรายได้ ภาระหนี้สิน พฤติกรรมการใช้จ่ายของลูกค้า และการชำระหนี้ของลูกค้ามาประกอบเพื่อตัดสินใจจะให้สินเชื่อแก่ลูกค้าหรือไม่ หรือแม้แต่กระทั่งหน่วยงานของรัฐก็จำเป็นต้องใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการเพื่อทำความเข้าใจกลุ่มเป้าหมายที่ใช้งานบริการ และพยายามปรับเปลี่ยนนโยบายการทำงานให้มีประสิทธิภาพ (กรณีนี้เริ่มเกิดขึ้นบ้างแล้วในหน่วยงานของรัฐในประเทศไทย เช่น กรมสรรพากร ที่ช่วยอำนวยความสะดวกในการเก็บข้อมูลเพื่อการลดหย่อนภาษี เป็นต้น[2]) หรือ การนำข้อมูลมาใช้ทำฐานข้อมูลเพื่อจัดทำระบบป้องกันอาชญากรรม

นอกจากนี้ ในทางการเมืองการใช้ข้อมูลส่วนบุคคลก็มีปัจจัยสำคัญในการสร้างความได้เปรียบทางการเมือง ดังเช่นในกรณีของ Cambridge Analytica ซึ่งหนังสือพิมพ์ New York Time และ The Guardian ในช่วงเดือนมีนาคม 2561 ได้ออกมาเปิดเผยรายงานข่าวการสอบสวนเชิงลึกว่า บัญชีผู้ใช้งาน Facebook ถูกนำข้อมูลส่วนบุคคลบางส่วนไปใช้ประโยชน์ในการวิเคราะห์ทางการเมือง โดยเจ้าของบัญชีผู้ใช้งานเหล่านั้นไม่รู้ถึงการนำข้อมูลส่วนบุคคลดังกล่าวไปใช้มาก่อน[3]

ด้วยเหตุดังกล่าวนี้ ทั้งในภาคเอกชนและภาครัฐจึงมีความพยายามที่จะเก็บรวบรวมข้อมูลส่วนบุคคลให้ได้มากเพื่อที่จะนำข้อมูลส่วนบุคคลนั้นมาใช้ในการประกอบการตัดสินใจ และเพื่อสร้างความได้เปรียบในทางเศรษฐกิจหรือการเมือง

อย่างไรก็ดี การนำข้อมูลส่วนบุคคลมาใช้ในการวิเคราะห์หรือสร้างฐานข้อมูลบางอย่างนั้นก็เป็นเสมือนดาบสองคม ในแง่หนึ่ง การใช้ข้อมูลเพื่อวิเคราะห์ความต้องการของผู้ใช้บริการเพื่อปรับปรุงบริการ นำเสนอผลิตภัณฑ์ที่ตรงต่อความต้องการของผู้ใช้บริการนั้นก็เป็นสิ่งที่ดี หรือช่วยทำให้การตัดสินใจบางประการขององค์กรมีประสิทธิภาพ แต่ในอีกแง่หนึ่ง การใช้ข้อมูลส่วนบุคคลในลักษณะเกินความเหมาะสมหรือความพอดี โดยการเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลโดยไม่คำนึงถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล ทั้งในแง่ของสิทธิความเป็นส่วนตัวหรือสิทธิในข้อมูลส่วนบุคคลก็อาจจะกลายเป็นการคุกคามความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลได้

กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับการกำกับดูแลการใช้ข้อมูลส่วนบุคคล

ผลจากความต้องการรักษาสมดุลของการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลกับการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลในด้านความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลนั้นทำให้เกิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้นมา

กฎหมายคุ้มครองข้อมูลส่วนบุคคลในปัจจุบันที่มีอิทธิพลมากที่สุดในขณะนี้คงหนีไม่พ้น GDPR (General Data Protection Regulation) ของสหภาพยุโรป ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ถูกเรียกว่ามีความทันสมัยที่สุดในขณะนี้ โดยมีวัตถุประสงค์เพื่อประมวลกฎเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และกำหนดแนวทางในการรักษาความเป็นธรรมระหว่างการใช้ข้อมูลส่วนบุคคลกับการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปไม่ว่าบุคคลนั้นจะอยู่ที่ใดในโลก (เพราะฉะนั้น GDPR สามารถบังคับได้กับทุกการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลไม่ว่าจะอยู่ในสหภาพยุโรปหรือไม่)

จุดสำคัญของ GDPR ที่คนส่วนใหญ่มักจะพูดถึงคือ การกำหนดโทษปรับไว้เป็นจำนวนที่ค่อนข้างสูง โดยมีเจตนาเพื่อที่จะห้ามปรามการละเมิดข้อมูลส่วนบุคคลโดยเจตนาและการจงใจไม่ดำเนินการเพื่อบรรเทาความเสียหายที่อาจจะเกิดขึ้นได้กับข้อมูลส่วนบุคคล โดยบทลงโทษที่รุนแรงของ GDPR คือ การปรับเป็นเงินจำนวนสูงสุด 20 ล้านยูโร หรือคิดจากผลประโยชน์การดำเนินการมากถึงร้อยละ 4 ของมูลค่าการซื้อขายทั่วโลกในปีบัญชีก่อนหน้า[4]

ผลของการตรา GDPR ของสหภาพยุโรปนั้นมีนัยสำคัญต่อสังคมเศรษฐกิจดิจิทัลของโลกมาก เนื่องจากปริมาณการบริโภคและส่วนแบ่งตลาดของสหภาพยุโรปนั้นค่อนข้างสูง อันเป็นผลมาจากการรวมตัวของประเทศต่างๆ ในทวีปยุโรป ทำให้กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลกเกิดการปรับเปลี่ยนเนื้อหาของกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับ GDPR ของสหภาพยุโรป ไม่เว้นแม้แต่ประเทศไทยซึ่งในช่วงปี พ.ศ. 2562 ประเทศได้ตรา พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลขึ้นมาเพื่อให้เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย

หลักการส่วนใหญ่ของ พ.ร.บ. นี้นั้นสอดคล้องกันกับ GDPR ในหลายๆ ส่วน มีหลักการสำคัญคือ การมุ่งสร้างความเป็นธรรมในการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูลส่วนบุคคล (ผู้เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ของตนเอง) และเจ้าของข้อมูลส่วนบุคคล โดยมีหลักการสำคัญ ดังนี้

หลักความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส กำหนดให้การประมวลผลข้อมูลส่วนบุคคลจะต้องเป็นไปโดยมีเหตุผลความจำเป็นที่สามารถอ้างอิงฐานการประมวลผลได้ และมีการประกาศ/แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเหตุผลความจำเป็น

หลักการจำกัดวัตถุประสงค์ โดยกำหนดให้การประมวลผลข้อมูลส่วนบุคคลกระทำเท่าที่จำเป็นภายใต้ขอบเขตของวัตถุประสงค์ที่ได้แจ้งไว้กับเจ้าของข้อมูลส่วนบุคคล

หลักการรวบรวมข้อมูลเท่าที่จำเป็น การประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์และรวบรวมข้อมูลเฉพาะเท่าที่จำเป็นและในสัดส่วนที่เหมาะสม

หลักความถูกต้องของข้อมูลส่วนบุคคล การประมวลผลข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องจัดให้มีมาตรการหรือวิธีการใดๆ เพื่อรับรองข้อมูลที่เก็บรวบรวมไว้ให้มีความถูกต้องและเป็นปัจจุบัน

หลักการเก็บข้อมูลส่วนบุคคลอย่างจำกัดระยะเวลา ภายใต้วัตถุประสงค์ที่กำหนดไว้ ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรักษาข้อมูลไว้ในระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์

หลักความสมบูรณ์ของข้อมูลส่วนบุคคลและการเก็บรักษาเป็นความลับ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องประมวลผลข้อมูลส่วนบุคคลด้วยความระมัดระวังและใช้มาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสมเพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคลหรือการสูญหาย

หลักความรับผิดชอบ ผู้ควบคุมข้อมูลส่วนบุคคลมีความรับผิดชอบในการดำเนินการเพื่อบรรลุวัตถุประสงค์หลักดังกล่าวข้างต้น และจะแสดงให้เห็นได้อย่างชัดเจนว่า ผู้ควบคุมข้อมูลส่วนบุคคลได้มีการปฏิบัติหน้าที่ตามที่กฎหมายกำหนดไว้อย่างครบถ้วน

นอกเหนือจากหลักการต่างๆ แล้วสิ่งที่เหมือนกันกับ GDPR ก็คือ การกำหนดโทษสำหรับผู้ที่ฝ่าฝืนไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งทำให้ทั้งภาคเอกชนและหน่วยงานของรัฐต้องตระหนักในการคุ้มครองข้อมูลส่วนบุคคลให้มากขึ้น

ธุรกิจกับการคุ้มครองข้อมูลส่วนบุคคล

อย่างไรก็ดี ในเชิงธุรกิจนั้นการคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีความสำคัญเพียงเฉพาะเรื่องของการถูกลงโทษตามกฎหมาย  ทว่า การคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นเรื่องของความน่าเชื่อถือในทางธุรกิจ เพราะเป็นที่แน่นอนว่าไม่อยากมีผู้ใช้บริการใด อยากใช้บริการของผู้ประกอบกิจการที่มีการปล่อยให้มีข้อมูลส่วนบุคคลรั่วไหล หรือไม่ได้ดำเนินการเพื่อคุ้มครองข้อมูลส่วนบุคคลให้อยู่ในความปลอดภัย ซึ่งหากบริษัทและองค์กรธุรกิจไม่มีความตระหนักในเรื่องดังกล่าวแล้ว เมื่อเกิดการรั่วไหลของข้อมูลส่วนบุคคล ผลกระทบที่ร้ายแรงกว่าการโดนปรับตามกฎหมายก็คือ การขาดความน่าเชื่อถือในทางธุรกิจ

ปัญหานี้จึงไม่ใช่เพียงแค่การลงโทษตามกฎหมายเท่านั้น แต่มันเป็นเรื่องของความน่าเชื่อถือทางธุรกิจ ซึ่งบริษัทและองค์กรธุรกิจควรตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลให้มากกว่าแต่ก่อน และเริ่มต้นเตรียมตัวให้พร้อมกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่กำลังจะมีผลบังคับใช้ในอนาคต

การคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นเรื่องที่ในสังคมประชาธิปไตยควรให้ความสำคัญ มิใช่เฉพาะกับในทางหน่วยงานของรัฐ แต่รวมถึงบริษัทและองค์กรธุรกิจ เพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะ เมื่อเราอยู่ในยุคที่ข้อมูลส่วนบุคคลมีค่าดั่งทองคำ การตระหนักถึงการใช้ข้อมูลส่วนบุคคลจึงมีความสำคัญทั้งในทางกฎหมายและเศรษฐกิจ

เชิงอรรถ

[1] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6.

[2] กรมสรรพากร, ‘สรรพากรชู 9 ระบบ Easy Tax ช่วยผู้ประกอบการลดต้นทุน กระตุ้นการหมุนเวียนเศรษฐกิจ สร้างวิถีภาษีใหม่ให้ยิ่งง่ายและเป็นธรรม’ (กรมสนรรพากร, 24 สิงหาคม 2563) <https://www.rd.go.th/fileadmin/user_upload/news/news52_2563.pdf> สืบค้นเมื่อ 20 มกราคม 2565.

[3] Nicholas Confessore, ‘Cambridge Analytica and Facebook: The Scandal and the Fallout So Far’ (NY Time, 4 April 2018) <https://www.nytimes.com/2018/04/04/us/politics/cambridge-analytica-scandal-fallout.html>; and Carole Cadwalladr and Emma Graham-Harrison accessed 20 January 2022, ‘Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach’ (The Guardian, 17 Mar 2018) <https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election> accessed 20 January 2022.

[4] GDPR, Article 83 (5).