ถ้ายังจำกันได้เมื่อช่วงเดือนพฤษภาคมที่ผ่านมา บริษัทที่เราใช้บริการหรือมีการทำธุรกรรมออนไลน์ ไม่ว่า จีเมล เฟซบุ๊ก ทวิตเตอร์ ตลอดจนสายการบินต่างๆ ต่างส่งอีเมลมาแจ้งนโยบายความเป็นส่วนตัว ว่าได้จัดเก็บข้อมูลอะไรของเราไปบ้าง
นั่นก็เพราะเมื่อวันที่ 25 พ.ค. ที่ผ่านมา เป็นวันที่หลักคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation – GDPR) มีผลบังคับใช้ โดย GDPR จะบังคับใช้กับคนทุกคนที่ให้บริการกับคนในสหภาพยุโรป โดยระบุว่า หากจะรวบรวมข้อมูลส่วนบุคคล บุคคลหรือบริษัทนั้นๆ ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน รวมถึงต้องปรับแก้วิธีการเก็บและครอบครองข้อมูลให้สอดคล้องกับข้อบังคับนี้ พร้อมกำหนดโทษปรับในกรณีที่มีการใช้ข้อมูลในทางที่ผิด หรือมีข้อมูลรั่วไหล สูงสุดถึงราว 17.5 ล้านปอนด์ หรือ 4% ของรายได้ทั่วโลกของบริษัท
และหากประเทศปลายทางนอกสหภาพยุโรปไม่มีมาตรการป้องกันข้อมูลที่เพียงพอ ก็ห้ามส่งข้อมูลออกไปด้วย
ประเทศไทยเองยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล แม้จะมีความพยายามยกร่างมาตั้งแต่ปี 1997 วนเข้าเวียนออกสภาฯ ในหลายรัฐบาล ล่าสุด คณะรัฐมนตรีเห็นชอบร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เมื่อวันที่ 22 พฤษภาคม ที่ผ่านมา โดยคณะกรรมการกฤษฎีกาได้พิจารณาแล้ว และมีการรับฟังความคิดเห็นไปเมื่อวันที่ 5 – 20 กันยายน โดยเนื้อหาของร่างฉบับนี้ถูกแก้ไขล้อไปกับ GDPR
(หมายเหตุ: บทวิเคราะห์นี้ อ้างอิงร่างกฎหมายฉบับที่รับฟังความคิดเห็นประชาชน เมื่อเดือนกันยายนที่ผ่านมา และล่าสุด กฎหมายนี้เข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) เมื่อ 28 ธันวาคม 2018 โดยนับจากนี้ เนื้อหาจะมีการปรับเปลี่ยนไปอีก ตามแต่ข้อเสนอที่สภาจะไปรับพิจารณา)
ส่องร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย
สำหรับร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทย เวอร์ชั่นนี้ นิยาม ‘ข้อมูลส่วนบุคคล’ ไว้ว่า “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ”
มีกลุ่มคนหลักๆ ที่จะเกี่ยวข้องกับร่างกฎหมายนี้ เช่น ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูล
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีหน้าที่จัดทำแผนยุทธศาสตร์ส่งเสริมและคุ้มครองข้อมูลส่วนบุคคล โดยต้องสอดคล้องกับยุทธศาสตร์ชาติ และวินิจฉัยชี้ขาดปัญหาจากการบังคับใช้ พ.ร.บ. โดยจะมาจากการสรรหา 9 คนและเป็นกรรมการโดยตำแหน่ง 5 คน ได้แก่ เลขาธิการคณะกรรมการกฤษฎีกา อัยการสูงสุด เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ และผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.)
กฎหมายนี้จะบังคับใช้ทั้งในประเทศและนอกประเทศ กรณีที่มีการเสนอสินค้าหรือบริการให้เจ้าของข้อมูลในประเทศ ไม่ว่าจะมีการชำระเงินหรือไม่ หรือการเฝ้าติดตามพฤติกรรมเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในประเทศ
ข้อยกเว้นในกฎหมาย
อย่างไรก็ตาม ร่างฉบับนี้มีข้อยกเว้นที่กว้างขวางมาก โดยไม่บังคับใช้กับหน่วยงานรัฐที่ทำหน้าที่รักษาความมั่นคงของรัฐ, กิจการสื่อมวลชน, สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา, การพิจารณาพิพากษาคดีของศาลฯ และเจ้าหน้าที่ตามกระบวนการยุติธรรมทางอาญา ตลอดจนสถาบันการเงิน
หากจะมีการเก็บข้อมูลส่วนบุคคล จะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคล ทราบถึงวัตถุประสงค์ ขั้นตอน และเงื่อนไขของการเก็บข้อมูล รวมถึงต้องมีการขอความยินยอมในทุกขั้นตอนไม่ว่าจะเป็นขั้นเก็บรวบรวม ใช้ หรือเปิดเผย
อย่างไรก็ตาม ห้ามเก็บข้อมูลที่เป็น sensitive data ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา หรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ แต่ก็มีข้อยกเว้นให้เก็บได้ ในกรณีเพื่อป้องกันอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เป็นข้อมูลที่เปิดเผยต่อสาธารณะโดยเจ้าของเอง หรือเป็นการจำเป็นในการปฏิบัติตามกฎหมายด้านสาธารณสุข แรงงาน ศึกษาวิจัยและประโยชน์สาธารณะ
ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเอง หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตัวเองไม่ได้ให้ความยินยอมได้
อำนาจของ เจ้าของข้อมูล VS ผู้ควบคุมข้อมูล
กรณีที่ผู้ควบคุมข้อมูลไม่ปฏิบัติตามหลักเกณฑ์ของ พ.ร.บ.นี้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ลบ ทำลาย ระงับใช้ชั่วคราว หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวบุคคลของเจ้าของข้อมูลได้
ผู้ควบคุมข้อมูลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ และหากมีการละเมิดข้อมูลนั้น ต้องแจ้งเจ้าของข้อมูลโดยไม่ชักช้า กรณีที่เป็นการละเมิดข้อมูลส่วนบุคคลจำนวนมากต้องแจ้งเหตุและแนวทางเยียวยากับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าด้วย
กรณีผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ฝ่าฝืนหรือไม่ปฏิบัติตาม พ.ร.บ.นี้ เจ้าของข้อมูลส่วนบุคคล มีสิทธิร้องเรียนได้ โดยมีทั้งโทษทางแพ่ง ซึ่งศาลมีอำนาจสั่งจ่ายค่าสินไหมทดแทนได้ไม่เกินสองเท่าของจำนวนจริง โทษอาญา กรณีทำให้เสียชื่อเสียงหรือนำข้อมูลส่วนบุคคลไปเปิดเผยแก่ผู้อื่น จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ กรณีนำข้อมูลส่วนบุคคลไปแสวงประโยชน์โดยมิชอบ จำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ นอกจากนี้ยังมีโทษทางปกครอง ที่มีอัตราโทษอยู่ที่ 1-5 ล้านบาท
ทั้งนี้ หากร่าง พ.ร.บ. นี้ผ่าน จะมีผลใช้บังคับ 180 วันนับจากประกาศลงราชกิจจานุเบกษา โดยให้สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์กรมหาชน) ทำหน้าที่แทนคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลไปก่อน
อ้างอิง:
- ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ฉบับธันวาคม 2561
- ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ฉบับกันยายน 2561
- สไลด์นำเสนอหลักการสำคัญของร่าง พ.ร.บ.