Chinese (Simplified)EnglishThai
Chinese (Simplified)EnglishThai

Chinese (Simplified)EnglishThai

สาระน่ารู้เกี่ยวกับ กฎหมายข้อมูลส่วนบุคคล ที่น่าสนใจในปีนี้

GDPR คุ้มครองข้อมูลส่วนบุคคล

กฎหมายข้อมูลส่วนบุคคล พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act : PDPA) ประกาศใช้เมื่อวันที่ 24 พฤษภาคม 2562 แต่ได้กำหนดให้หมวดที่สำคัญซึ่งเกี่ยวกับเนื้อหาการคุ้มครองข้อมูลส่วนบุคคลและการกำหนดโทษกรณีที่มีการละเมิดกฎหมาย ให้มีผลบังคับใช้ใน ‘ปีถัดไป’ นับแต่ประกาศ กล่าวคือ กฎหมายทั้งฉบับจะมีผลใช้บังคับอย่างเต็มรูปแบบในวันที่ 27 พฤษภาคม 2563 โดยการกำหนดให้ใช้บังคับช้าออกไปก็เพื่อให้องค์กรทั้งรัฐ และ เอกชนที่จัดเก็บ ใช้ รวบรวมข้อมูลเป็นจำนวนมาก มีเวลาเตรียมตัวเป็นเวลาหนึ่งปีเต็ม

13 พฤษภาคม 2563 ก่อนถึงกำหนดบังคับใช้สองสัปดาห์ รัชดา ธนาดิเรก รองโฆษกประจำสำนักนายกรัฐมนตรี เปิดเผยว่า คณะรัฐมนตรีรับทราบถึงความจำเป็นที่จะออกพระราชกฤษฎีกาขยายเวลาการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในส่วนการคุ้มครองข้อมูลส่วนบุคคล ออกไปอีก 1 ปี ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเสนอเพื่อบรรเทาผลกระทบที่อาจเกิดขึ้นกับหน่วยงานภาครัฐ เอกชน รวมถึงประชาชน เนื่องจากหากมีการบังคับใช้ตามกำหนดเวลาเดิมในขณะที่ทุกภาคส่วนยังไม่พร้อม

หลังจากมีกระแสข่าวนี้ออกมาก็มีเสียงคัดค้าน จากประชาชนที่ต่างนับวันรอให้สิทธิ ในข้อมูลได้รับการคุ้มครองอย่างเป็นรูปธรรม และยังมีปัญหาทางกฎหมายด้วยว่า คณะรัฐมนตรีมีอำนาจตามกฎหมายที่จะขยายเวลาการบังคับใช้ออกไปอีกโดยจัดทำเป็นพระราชกฤษฎีกาได้หรือไม่ เพราะพระราชกฤษฎีกาเป็นกฎหมายลำดับรองที่ไม่น่ามีผลเปลี่ยนแปลงกฎหมายระดับพระราชบัญญัติได้ กฎหมายข้อมูลส่วนบุคคล

อย่างไรก็ดี ในวันที่ 20 พฤษภาคม 2563 ได้มีการประกาศพระราชกฤษฎีกา ไม่ใช่การเลื่อนการใช้บังคับแต่เป็นการกำหนดหน่วยงาน และ กิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 โดยกำหนดให้หน่วยงานภาครัฐและองค์กรธุรกิจรวม 22 กิจการไม่ต้องอยู่ภายใต้บังคับพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ตั้งแต่วันที่ 27 พฤษภาคม 2563 ถึง 31 พฤษภาคม 2564 โดยมีกิจการดังต่อไปนี้

1. หน่วยงานของรัฐ
2. หน่วยงานของรัฐต่างประเทศและองค์การระหว่างประเทศ
3. มูลนิธิ สมาคม องค์กรศาสนา และองค์กรไม่แสวงหากำไร
4. กิจการด้านเกษตรกรรม
5. กิจการด้านอุตสาหกรรม
6. กิจการด้านพาณิชยกรรม
7. กิจการด้านการแพทย์และสาธารณสุข
8. กิจการด้านพลังงาน ไอน้ำ น้ำ และการกำจัดของเสีย รวมทั้งกิจการที่เกี่ยวข้อง
9. กิจการด้านการก่อสร้าง
10. กิจการด้านการซ่อมและการบำรุงรักษา
11. กิจการด้านการคมนาคม ขนส่ง และการเก็บสินค้า
12. กิจการด้านการท่องเที่ยว
13. กิจการด้านการสื่อสาร โทรคมนาคม คอมพิวเตอร์ และดิจิทัล
14. กิจการด้านการเงิน การธนาคาร และการประกันภัย
15. กิจการด้านอสังหาริมทรัพย์
16. กิจการด้านการประกอบวิชาชีพ
17. กิจการด้านการบริหารและบริการสนับสนุน
18. กิจการด้านวิทยาศาสตร์และเทคโนโลยี วิชาการ สังคมสงเคราะห์ และศิลปะ
19. กิจการด้านการศึกษา
20. กิจการด้านความบันเทิงและนันทนาการ
21. กิจการด้านการรักษาความปลอดภัย
22. กิจการในครัวเรือนและวิสาหกิจชุมชน ซึ่งไม่สามารถจำแนกกิจกรรมได้อย่างชัดเจน

ในวันที่ 27 พฤษภาคม 2563 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะมีผลบังคับใช้ตามกำหนด แต่จะใช้เฉพาะกับบุคคลหรือกิจการนอกเหนือจากที่กำหนดไว้ 22 ประเภทนี้ และไม่ใช้กับกลุ่มกิจการที่ได้รับการยกเว้นตามมาตรา 4 อีก เช่น บริษัทข้อมูลเครดิต กิจการสื่อมวลชน ฯลฯ หลักการสำคัญที่จะใช้บังคับ คือ การเก็บรวมรวม การใช้ หรือการเปิดเผย ข้อมูลส่วนบุคคลของผู้อื่นจะ ทำได้ก็ต่อเมื่อเจ้าของข้อมูล ได้ให้ความยินยอมโดยชัดแจ้งไว้เป็นหนังสือลายลักษณ์อักษร ทำผ่านระบบอิเล็กทรอนิกส์ เช่น ทำระบบกดให้ความยินยอมหรือไม่ให้ความยินยอม หรือหากไม่สามารถใช้ สองวิธีข้างต้นได้ก็สามารถใช้วิธีอื่นได้ เช่น การขอความยินยอมปากเปล่าเพื่ออัดเสียงการสนทนาทางโทรศัพท์ ในการขอความยินยอมต้องแจ้งวัตถุประสงค์ ของการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลให้เจ้าของข้อมูลทราบด้วย

ผลจากพระราชกฤษฎีกาดังกล่าว ทำให้ 22 กิจการไม่ต้องอยู่ภายใต้ของกฎหมายเป็นเวลาอีกอย่างน้อยหนึ่งปี การจัดเก็บข้อมูลส่วนบุคคล (Personal Data) เช่น เลขบัตรประจำตัวประชาชน ที่อยู่ และข้อมูลส่วนบุคคล ที่มีความอ่อนไหว (Sensitive Data) เช่น ความคิดเห็นทางการเมือง เชื้อชาติ ศาสนา ข้อมูลด้านสุขภาพ ในระยะเวลาหนึ่งปีนี้อาจยังไม่ต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลตามมาตรฐานของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือไม่ต้องจัดเก็บโดยอาศัยฐานทางกฎหมาย (Lawful Basis) และ 22 กิจการยังไม่ต้องปฏิบัติตามคำขอ ของเจ้าของข้อมูล ไม่ว่าจะเป็นการคัดค้านการเก็บรวบรวมข้อมูล การขอให้ลบหรือทำลายข้อมูล การขอให้ระงับการใช้ข้อมูลส่วนบุคคล

ในระหว่างหนึ่งปีนี้ หาก 22 กิจการ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยไม่มีเหตุที่ชอบด้วยกฎหมาย หรือนอกไปจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือโอนข้อมูลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ก็ยังไม่ต้องรับผิด ทางอาญาตามที่กฎหมายได้กำหนดไว้

และยังไม่ต้องรับผิดในโทษปรับทางปกครอง ในกรณีต่อไปนี้
– เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากฐานทางกฎหมาย หรือ ผิดไปจากวัตถุประสงค์การใช้ ข้อมูลที่ได้แจ้งแก่เจ้าของข้อมูลไว้
– เก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของ ข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
– ไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเ ก็บข้อมูลจากเจ้าของ ข้อมูลโดยตรงหรือโดยอ้อม
ฯลฯ

ช่วงระยะเวลาที่กฎหมายได้กำหนด ‘ข้อยกเว้น’ ให้ 22 กิจการไม่ต้องอยู่ภายใต้บังคับของกฎหมาย หากมีการใช้หรือเปิดเผยข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหว จนก่อให้เกิดความเสียหายแก่ตัวเจ้าของข้อมูล เจ้าของข้อมูลสามารถใช้สิทธิในทางแพ่งฟ้องละเมิดเพื่อเรียกค่าเสียหายได้ ทั้งนี้ ภาระในการพิสูจน์ถึงความเสียหายอาจตกอยู่ที่ตัวเจ้าของข้อมูลเอง และความรับผิดของ 22 กิจการดังกล่าวมีเพียงการชดใช้ค่าสินไหมทดแทนความเสียหายที่เกิดขึ้นตามที่พิสูจน์ได้จริงเท่านั้น ไม่ต้องรับผิดในทางอาญาหรือโทษปรับทางปกครองแม้ว่าความเสียหายที่เกิดขึ้นนั้นจะมีสาเหตุมาจาก 22 กิจการดังกล่าวก็ตาม

Related Articles