Chinese (Simplified)EnglishThai
Chinese (Simplified)EnglishThai

Chinese (Simplified)EnglishThai

คุณรู้จักสัญญาณเตือน 9 ข้อในเรื่อง พ.ร.บ.ข้อมูลส่วนบุคคลฯ หรือไม่?

เมื่อไทยนำกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ.ข้อมูลส่วนบุคคลฯ ของอียูมาเป็นต้นแบบ เพื่อยกร่างกฎหมายของตัวเอง คงต้องพิจารณาอย่างถี่ถ้วน เพื่อให้เหมาะกับประเทศไทย ไม่เช่นนั้น จุดหมายปลายทาง อาจจะไม่ใช่การคุ้มครองสิทธิอย่างที่ตั้งใจไว้

27 พฤษภาคม 2562 ราชกิจจานุเบกษาเผยแพร่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ พ.ร.บ.ข้อมูลส่วนบุคคลฯ ซึ่งผ่านการพิจารณาโดยสภานิติบัญญัติแห่งชาติ (สนช.) ในช่วง “โค้งสุดท้าย” ก่อนที่สภาแต่งตั้งแห่งนี้ จะหมดอายุลง ซึ่งกฎหมายฉบับที่ผ่านในยุคของรัฐบาลทหารเขียนข้อยกเว้นไว้กว้างขวาง โดยเฉพาะยกเว้นไม่คุ้มครองข้อมูลในกิจการของหน่วยงานความมั่นคง และแทบจะยกเว้นให้กิจการของรัฐ  ไม่ต้องทำตามกฎหมายนี้ 

ดังนั้น การบังคับใช้กฎหมายฉบับนี้จึงมุ่งเน้นไปที่ผู้ประกอบการ ภาคธุรกิจเป็นหลักโดย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 จะมีผลใช้บังคับในวันที่ 28 พ.ค.2563 มีบทบัญญัติ จำนวนมากที่อาจ ส่งผลกระทบต่อการใช้ชีวิตประจำวัน รูปแบบการดำเนินธุรกิจและการกระทำของหน่วยงานรัฐ

ในยุคสมัยที่การติดต่อสื่อสาร เกิดขึ้นบนโลกดิจิทัล ซึ่งเทคโนโลยีช่วยให้การเก็บข้อมูลและบันทึกข้อมูล การใช้งานทำได้ง่ายดาย และข้อมูลการใช้งาน ของผู้ใช้ เมื่อเก็บรวบรวมอย่างดี จะมีมูลค่ามหาศาล ผู้ประกอบการสามารถนำข้อมูล พฤติกรรมของผู้บริโภค มาวิเคราะห์ เพื่อนำเสนอสินค้าและบริการ ได้ตรงกับกลุ่มเป้าหมาย ซึ่งจะช่วยพัฒนาธุรกิจได้อย่างมาก แต่ในอีกทางหนึ่ง ข้อมูลชื่อ ที่อยู่ หมายเลขโทรศัพท์ พฤติกรรมการติดต่อสื่อสาร ที่สามารถระบุถึง ตัวเจ้าของข้อมูลได้ ถือเป็น “ข้อมูลส่วนบุคคล” และเจ้าของข้อมูลเท่านั้น ที่มีสิทธิเข้าถึงและนำข้อมูล ไปใช้งาน ผู้ประกอบการที่มีความสามารถ ทางเทคโนโลยีจะต้องไม่เก็บ ข้อมูลของผู้ใช้บริการ เพื่อนำไปวิเคราะห์ได้โดยพลการ

สาระสำคัญของ พ.ร.บ. มี 3 ประเด็นหลักๆ ได้แก่

1. ผู้เก็บข้อมูล 

ต้องชี้แจงข้อมูลที่จะเก็บรวบรวม และต้องได้รับอนุญาต หรือความยินยอมจากเจ้าของข้อมูล เท่านั้น จึงจะสามารถใช้และเข้าถึงข้อมูลของเจ้าของได้ หากเจ้าของข้อมูลไม่ยินยอม ผู้เก็บข้อมูลจะไม่สามารถใช้ข้อมูลนั้นได้ หรือหากนำไปใช้โดยไม่ได้รับอนุญาต จะผิดกฎหมายทันที 

 

2. ผู้เก็บรวบรวมข้อมูล 

จะต้องรักษาความปลอดภัย และความมั่นคงของข้อมูล โดยไม่ให้มีการเปลี่ยนแปลง หรือเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล หรือสรุปสั้น ๆ ว่า “ข้อมูลต้องถูกเก็บเป็นความลับ”

 

3. เจ้าของข้อมูล 

สามารถยกเลิกสิทธิ์ การเข้าถึงข้อมูลของผู้เก็บข้อมูล และสามารถขอให้ลบ หรือทำลายข้อมูล ตามความต้องการของเจ้าของข้อมูล เมื่อไหร่ก็ได้

หลักการสำคัญตาม พ.ร.บ. ที่ผู้ประกอบการควรทำความเข้าใจเพื่อปรับตัวให้ทัน ไม่งั้นจะมีบทลงโทษตามกฎหมาย

1. การเก็บข้อมูล ใช้ข้อมูล เปิดเผยข้อมูล ต้องได้รับความยินยอมเสมอ

หลักการทั่วไปนี้เขียนไว้ชัดเจนใน พ.ร.บ.ข้อมูลส่วนบุคคลฯ มาตรา 19 ที่ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะน้ัน เว้นแต่บทบัญญัติ แห่งพระราชบัญญัติน้ีหรือกฎหมายอื่นบัญญัติให้กระทำได้”

2. การขอความยินยอม ต้องทำเป็นหนังสือหรือผ่านระบบออนไลน์ตามแบบที่กำหนดไว้ ในการขอความยินยอม 

ต้องแจ้งวัตถุประสงค์ ของการเก็บข้อมูล การใช้ข้อมูล การเปิดเผยข้อมูล และเพื่อไม่ให้ผู้ประกอบการแอบวางข้อความขอความยินยอมไว้เล็กๆ ไม่ให้เจ้าของข้อมูลสังเกตเห็น มาตรา 19 วรรคสาม จึงกำหนดว่า “การขอความยินยอม ต้องแยกส่วนออกจากข้อความอื่น อย่างชัดเจน มีข้อความที่เข้าถึงได้ง่ายและเข้าใจได้  ใช้ภาษาที่อ่านง่าย” ซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล อาจออกประกาศ กำหนดแบบของเอกสาร ขอความยินยอม ผู้ประกอบการจึงต้องติดตาม ประกาศที่จะออกตามมาอย่างใกล้ชิด 

3. การเก็บข้อมูล ต้องแจ้งรายละเอียดและแจ้งสิทธิต่อเจ้าของข้อมูล

มาตรา 23 กำหนดว่า แม้จะได้รับความยินยอม ให้เก็บข้อมูลแล้วก็ตาม แต่ในการเก็บข้อมูลส่วนบุคคล จะต้องแจ้งให้เจ้าของข้อมูล ทราบถึงรายละเอียดที่เกี่ยวข้อง ได้แก่ วัตถุประสงค์ของการเก็บรวบรวมข้อมูล ข้อมูลที่จะเก็บรวบรวม และระยะเวลาที่คาดหมายได้ว่า จะเก็บข้อมูลไว้ บุคคลหรือหน่วยงานที่ข้อมูลอาจจะถูกเปิดเผย ข้อมูลของผู้ประกอบการและตัวแทนที่เป็นผู้เก็บข้อมูล สถานที่ติดต่อ และวิธีการติดต่อ

4. ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น เว้นแต่รีบแจ้ง

แม้จะได้รับความยินยอมจากเจ้าของข้อมูลแล้วก็ตาม แต่มาตรา 25 กำหนดว่า “การเก็บข้อมูลต้องเก็บจากเจ้าของข้อมูลเท่านั้น กล่าวคือ ต้องให้เจ้าของข้อมูลเป็นผู้กรอกข้อมูลและมอบให้โดยตรง ผู้ประกอบการไม่สามารถเก็บข้อมูลจากแหล่งอื่นได้ เช่น ไม่สามารถค้นหาข้อมูลจากอินเทอร์เน็ตและบันทึกไว้เอง ไม่สามารถซื้อข้อมูลต่อมาจากผู้ประกอบการรายอื่น แม้จะได้รับความยินยอมแล้วก็ตาม”

5. ธุรกิจใหญ่ ต้องมี “เจ้าหน้าที่คุ้มครองข้อมูล” ของตัวเอง

กรณีที่ผู้เก็บข้อมูล เป็นหน่วยงานของรัฐ หรือเป็นผู้ประกอบการ ที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือผู้ประกอบการที่กิจกรรมหลัก เป็นการเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูล ต้องจัดให้มี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” เป็นของตัวเอง ซึ่งอาจเป็นพนักงานของผู้ประกอบการนั้นๆ หรือเป็นผู้รับจ้างให้บริการ หรือ outsource ก็ได้

6. การเก็บและใช้ข้อมูล ถูกตรวจสอบโดยคณะกรรมการผู้เชี่ยวชาญ

ตาม มาตรา 71 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จะแต่งตั้งคณะกรรมการผู้เชี่ยวชาญ ขึ้นมาเพื่อพิจารณา เรื่องร้องเรียนและตรวจสอบการกระทำ ของผู้ประกอบการ เมื่อเจ้าของข้อมูลเห็นว่า มีการเก็บข้อมูล ใช้ข้อมูล หรือเปิดเผยข้อมูลของตัวเองโดยปฏิบัติ ไม่ถูกต้องตามกฎหมายนี้ เช่น ไม่ได้ขอความยินยอมก่อน หรือไม่ได้แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ก็สามารถร้องเรียนไปยังคณะกรรมการผู้เชี่ยวชาญได้

7. ข้อมูลคนตาย กฎหมายไม่คุ้มครอง

ตาม มาตรา 6 กำหนดนิยามของ “ข้อมูลส่วนบุคคล” ไว้ว่า “ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถ ระบุตัวบุคคลนั้นได้  ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ” ดังนั้น ข้อมูลที่เกี่ยวข้องกับผู้ที่เสียชีวิตแล้ว จึงไม่อยู่ภายใต้การคุ้มครองของกฎหมายนี้ การเก็บข้อมูล การใช้ข้อมูล และการเปิดเผยข้อมูลของผู้ที่เสียชีวิตแล้ว สามารถทำได้โดยไม่ต้องขอความยินยมจากทายาทก่อน

8. บริษัทต่างชาติก็ไม่รอด! คุ้มครองข้อมูลของคนในประเทศ ไม่ว่าบริษัทตั้งอยู่ที่ใด

โดยหลักการทั่วไป กฎหมายของไทยที่ประกาศใช้ออกมา จะมีผลใช้บังคับ เฉพาะกับการกระทำที่เกิดขึ้น ในประเทศไทยเท่านั้น แต่ด้วยโลกยุคปัจจุบัน การติดต่อสื่อสาร การส่งข้อมูล การเก็บข้อมูล และการใช้ข้อมูล เกิดขึ้นข้ามพรมแดนตลอดเวลา กฎหมายนี้ จึงเขียนขอบเขตอำนาจ การบังคับใช้ไว้กว้างขึ้นเป็นพิเศษ ตาม มาตรา 5  ว่า “จะใช้บังคับกับผู้ประกอบการที่อยู่ในประเทศไทย ไม่ว่า การเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูล จะเกิดขึ้นในประเทศหรือต่างประเทศก็ตาม”

9. ฝ่าฝืนกฎหมายนี้ อาจโดน “ค่าเสียหายเชิงลงโทษ” จ่ายสองเท่า

มาตรา 77 กำหนดว่า “ผู้ประกอบการที่ฝ่าฝืน พ.ร.บ. ทำให้เกิดความเสียหายต่อเจ้าของข้อมูล ต้องชดใช้ค่าเสียหายแก่เจ้าของข้อมูล เว้นแต่เป็นเหตุสุดวิสัย หรือความเสียหาย เกิดจากการกระทำของเจ้าของข้อมูลเอง หรือเป็นการปฏิบัติตามคำสั่งตามกฎหมายของเจ้าหน้าที่”

บทลงโทษตามกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

หากผู้เก็บรวบรวมข้อมูลฝ่าฝืน จะมีบทลงโทษทั้งทางอาญา และทางปกครอง

  1. โทษทางอาญา คือ จำคุกไม่เกิน 6 เดือนถึง 1 ปี หรือปรับไม่เกิน 5 แสน – 1 ล้านบาท
  2. โทษทางปกครอง คือ มีโทษปรับตั้งแต่ ไม่เกิน 5 แสนบาท – 5 ล้านบาท

Related Articles