กฎหมายคุ้มครองข้อมูลส่วนบุคคล : คุ้มครองหรือไม่คุ้มครอง

อะไรคือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล และทำไมต้องมีกฎหมายฉบับนี้!

ย้อนกลับไปเมื่อ 20 ปีที่ผ่านมา ที่เริ่มนำเทคโนโลยีเข้ามาใช้ทำงานในรูปแบบของ Information Technology คอมพิวเตอร์เข้ามามีบทบาทในการทำงานของผู้คนในสังคม และมีบทบาทในการจัดเก็บข้อมูลส่วนบุคคลมากขึ้น ทำให้มีการพูดถึงการคุ้มครองการใช้ข้อมูลส่วนบุคคลเพื่อคุ้มครองการใช้ข้อมูลส่วนบุคคลในธุรกรรมต่าง ๆ ที่เจ้าของข้อมูลไม่ต้องการให้ผู้อื่นนำไปใช้

จากวันนั้นถึงวันนี้ กฎหมายฉบับนี้คลอดออกมา และจะมีผลบังคับใช้อย่างเต็มรูปแบบในปี 2565

สาระสำคัญของกฎหมายฉบับนี้คือ การให้ความคุ้มครอง ข้อมูลส่วนบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น เช่น ชื่อ-นามสกุล, ที่อยู่, เลขบัตรประชาชน, หมายเลขโทรศัพท์, อีเมล ฯลฯ นอกจากนี้ ยังมีข้อมูลส่วนบุคคลอีกประเภทที่มักเรียกกันว่า Sensitive Data ซึ่งเป็นข้อมูลที่มีความสำคัญ ต้องดูแลเป็นพิเศษ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ฯลฯ โดยห้ามไม่ให้ผู้อื่นนำข้อมูลดังกล่าวไปใช้เพื่อประโยชน์ในด้านใดด้านหนึ่งที่เจ้าของข้อมูลไม่ยินยอมให้นำไปใช้ประโยชน์

เนื่องจากปัจจุบันเราต้องติดต่อกับหน่วยงานและองค์กรต่าง ๆ ทั้งภาครัฐและเอกชน โดยใช้ข้อมูลส่วนบุคคลในการติดต่อเพื่อทำธุรกรรมต่าง ๆ เช่น การเปิดบัญชีเงินฝากกับสถาบันการเงิน เราต้องให้ข้อมูลส่วนบุคคลทั้งสำเนาบัตรประชาชน ที่อยู่ เบอร์โทรศัพท์เพื่อการติดต่อ ข้อมูลที่เราให้เหล่านี้คือใช้เพื่อการเปิดบัญชีเงินฝากกับธนาคารและเราอนุญาตให้ใช้เพื่อเปิดบัญชีกับธนาคารเท่านั้น แต่สิ่งที่เราต้องเผชิญคือ ข้อมูลดังกล่าวถูกนำไปใช้ในเชิงพาณิชย์ โดยขายข้อมูลต่าง ๆ ของเราให้หน่วยงานหรือองค์กรอื่น ๆ เพื่อไปใช้ประโยชน์ในด้านอื่น ๆ เช่น เรามักจะได้รับโทรศัพท์ติดต่อเพื่อเสนอขายสินค้าต่าง ๆ ทางโทรศัพท์ ทั้ง ๆ ที่เราไม่เคยติดต่อกับองค์กรดังกล่าวเลย ซึ่งถือเป็นการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลของเรา

กฎหมายคุ้มครองข้อมูลส่วนบุคคล จะเข้ามาแก้ไขปัญหานี้ โดยระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนบุคคลของเราไปใช้ในกิจกรรมอื่น ๆ ที่เราไม่ยินยอม



องค์ประกอบของกฎหมายได้กำหนดให้ ผู้เก็บข้อมูล ไม่ว่าจะเป็นหน่วยงานของรัฐ หรือผู้ประกอบการเอกชนที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือผู้ประกอบการที่มีกิจกรรมหลัก คือ การเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูล ต้องจัดให้มี "เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล" เป็นของตัวเอง ซึ่งอาจเป็นพนักงานของผู้ประกอบการนั้น ๆ หรือเป็นผู้รับจ้างให้บริการ (Outsource) มีหน้าที่ในการจัดเก็บและคุ้มครองข้อมูลส่วนบุคคลไม่ให้รั่วไหลไปยังบุคคลภายนอก เพื่อนำไปใช้ในกิจกรรมที่เจ้าของข้อมูลไม่ได้ให้การยินยอมนำไปใช้

เนื้อหาและวัตถุประสงค์ของกฎหมายอ่านแล้วน่าจะดีสำหรับประชาชน เพราะเป้าหมายคือการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเราไม่เคยได้รับการคุ้มครองมาก่อน แต่เมื่อเข้าไปดูไส้ในของกฎหมายโดยเฉพาะมาตรา 4 ของกฎหมายฉบับนี้ที่มีข้อยกเว้นไม่ให้กฎหมายฉบับนี้มีผลบังคับใช้กับกิจการ 6 ประเภท คือ

• การเก็บข้อมูล การใช้ข้อมูล และการเปิดเผยข้อมูล เพื่อประโยชน์ของตัวเองหรือกิจกรรมในครอบครัว
• การดำเนินงานของหน่วยงานของรัฐที่มีหน้าที่รักษาความมั่นคงของรัฐ ซึ่งรวมถึง ความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับ การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
• การเปิดเผยข้อมูลส่วนบุคคลเพื่อกิจการสื่อมวลชน ศิลปกรรม หรือวรรณกรรม ตามจริยธรรมของวิชาชีพหรือเป็นประโยชน์สาธารณะ
• การทำงานของสภาผู้แทนราษฎร วุฒิสภา และรัฐสภา ในการพิจารณาตามอำนาจหน้าที่
• การพิจารณาคดีของศาล และเจ้าหน้าที่ในกระบวนการยุติธรรม
• การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิก

ข้อยกเว้นดังกล่าวทำให้เกิดการโจมตีจากนักวิชาการว่า แก่นแท้ของกฎหมายฉบับนี้ไม่ได้ให้ความคุ้มครองกับการล่วงละเมิดข้อมูลอย่างแท้จริงให้กับประชาชน

แล้วจริง ๆ กฎหมายฉบับนี้คุ้มครองหรือไม่คุ้มครองข้อมูลส่วนบุคคลกันแน่

ปัจจุบันมีการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลอยู่ในหลายประเทศ โดยเฉพาะในอาเซียน ได้แก่ อินโดนีเซีย มาเลเซีย ฟิลิปปินส์ เวียดนาม ไทย ในขณะที่สหรัฐอเมริกาและสหภาพยุโรป ก็ประกาศใช้กฎหมายนี้เช่นกัน

สหภาพยุโรป (European Union: EU) ได้ออก GDPR ( General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล บังคับใช้เมื่อ 25 พฤษภาคม ปี 2561 ใน Article 2 ของกฎหมายฉบับนี้ก็มีการกำหนดหลักการที่ไม่ให้บังคับใช้กฎหมาย GDPR กับการดำเนินงานเกี่ยวกับการรักษาความมั่นคงปลอดภัยด้วยเช่นกัน

เรียกว่าการยกเว้นการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นหลักการที่ใช้กันในกฎหมายรูปแบบเดียวกัน แต่อาจจะแตกต่างการในเนื้อหาสาระ จึงไม่น่าจะสรุปว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยเป็นกฎหมายที่ไม่ได้ให้ความคุ้มครองกับประชาชน แต่ก็ต้องยอมรับว่ากฎหมายฉบับนี้ยังไม่สมบูรณ์ เพราะยังต้องมีการออกกฎหมายลูกและกฎระเบียบต่างๆ เพื่อให้กฎหมายชัดเจนและสามารถใช้งานตอบโจทย์กับความต้องการที่แท้จริงของประชาชนได้



อย่างน้อยการที่ประเทศไทยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ก็ถือเป็นก้าวแรกของการปกป้องและคุ้มครองสิทธิขั้นพื้นฐานของคนไทย จากที่ไม่เคยมีมาก่อน ส่วนการแก้ไขและปรับปรุงเป็นเรื่องที่ต้องเกิดขึ้นในอนาคตไปพร้อม ๆ กับการเรียนรู้ร่วมกันของคนไทย เมื่อประเทศไทยก้าวข้ามไปสู่ยุคของเศรษฐกิจดิจิทัล ที่ข้อมูลมีส่วนสำคัญต่อการขับเคลื่อนเศรษฐกิจ แต่จะออกแบบในการเลือกใช้และยินยอมให้ใช้ข้อมูลกันในรูปแบบใด เป็นเรื่องที่ต้องพัฒนาไปร่วมกันเพื่อให้กฎหมายสมบูรณ์และเหมาะสมกับสังคมไทยในอนาคต

คงต้องติดตามกันต่อไป เมื่อกฎหมายนี้มีผลใช้บังคับเต็มรูปแบบ ในวันที่ 1 มิถุนายน 2565​

ดาวน์โหลด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ดาวน์โหลด พ.ร.ฎ.กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563