ดร.ปรเมศวร์ กุมารบุญ น.บ. (จุฬาฯ) Ph.D. อาชญาวิทยา และการยุติรรม (จุฬาฯ)
นักกฎหมายเทคโนโลยี และวุฒิวิศวกรไฟฟ้าสื่อสาร
อาจารย์พิเศษ โรงเรียนนายร้อยตำรวจ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ได้ประกาศบังคับใช้ไปแล้วเมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 นับเป็นจุดเปลี่ยนพัฒนาการที่สำคัญของ “สิทธิและหน้าที่” ใหม่ของพลเมืองที่เกิดจากยุค Digital disruption การเปลี่ยนแปลงที่ดีขึ้น แต่ต้องปรับตัวให้ทัน
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มุ่งปกป้องข้อมูลของบุคคลหรือประชาชนทั่วไปในการรักษาความเป็นส่วนตัว (Privacy) และการนำข้อมูลไปใช้ประโยชน์โดยมิชอบ แต่แท้จริงแล้วบทบาทหน้าที่สำคัญในกฎหมายฉบับนี้ คือ “องค์กร” ทั้งภาครัฐและเอกชน ให้มีหน้าที่กำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคล และการนำไปใช้ตามบทบทบัญญัติแห่งกฎหมาย และหากองค์กรปรับตัวไม่ทัน ย่อมก่อให้เกิดผลเสียต่อองค์กร และถูกปรับจำนวนมหาศาลตามบทบัญญัติแห่งกฎหมาย จึงมีความจำเป็นเร่งด่วนที่องค์กรต้องรีบปรับตัว
มาตรการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายไทยนั้น ก็ย่อมต้องมีความสอดคล้องกับมาตรการคุ้มครองข้อมูลส่วนบุคคลในสากล โดยเฉพาะอย่างยิ่งการสอดคล้องกับ GDPR ( General Data Protection Regulation) เป็นมาตรการคุ้มครองข้อมูลส่วนบุคคล ของ สหภาพยุโรป (European Union: EU) ได้ประกาศ บังคับใช้เมื่อ 25 พฤษภาคม พ.ศ. 2561
ซึ่งนอกจากเป็นมาตรการคุ้มครองข้อมูลส่วนบุคคลของประชาชนในประเทศที่เป็นสมาชิกสหภาพยุโรปแล้ว ยังมีผลบังคับใช้กับการสื่อสารข้อมูลภายในระหว่างประเทศสมาชิกสหภาพยุโรปอีกด้วย และยังรวมถึงองค์กรหรือผู้ประกอบการในไทยที่ต้องติดต่อสื่อสารรับส่งข้อมูลส่วนบุคคลกับประชาชนในประเทศที่เป็นสมาชิกสหภาพยุโรป (Cross-Border Data Transfer Issues) ในการทำการค้าการทำธุรกิจระหว่างประเทศ ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ที่สอดคล้องกับมาตรการ GDPR เช่นกัน
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ก่อให้เกิดสิทธิใหม่กับประชาชนที่จะต้องได้รับการปกป้องข้อมูลส่วนตัวของตนจากการใช้เทคโนโลยี (Data protection) และเกิดหน้าที่ต่อองค์กรที่ต้องคุ้มครองข้อมูลของประชาชนที่อาจจะผลกระทบต่อสิทธิจนเกิดการละเมิดเป็นความเสียหายในภายหลัง องค์กรต้องตะหนักรู้ถึงการบริหารจัดการข้อมูลของประชาชนอย่างเหมาะสมทั้ง การรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล และหากจะกล่าวโดยย่อถึงสาระสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของกฎหมายฉบับนี้ที่บัญญัติไว้ใน มาตรา 19 มี 3 ประการ คือ
1. หลักการให้ความยินยอม (Consent) ในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล ต้องแจ้งวัตถุประสงค์ให้ชัดเจนไว้ตั้งแต่แรกแล้วเท่านั้น (Right to be informed) เป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์ และเจ้าของข้อมูลต้องให้ความยินยอมก่อน จึงจะนำข้อมูลส่วนบุคคลนั้นไปใช้ได้
2. หลักการรักษาความปลอดภัย (Security) ผู้เก็บรวบรวมข้อมูลต้องรักษาความมั่นคงปลอดภัยของข้อมูลไม่ให้รั่วไหลหรือถูกเข้าถึงโดยผู้ที่ไม่ได้รับอนุญาตหรือเกี่ยวข้องกับองค์กร และรักษาข้อมูลไม่ให้มีการเปลี่ยนแปลงแก้ไข
3. หลักสิทธิ์ถอนความยินยอม (Right to withdraw consent) เมื่อเจ้าของข้อมูลให้การยินยอมตามวัตถุประสงค์ที่ได้แจ้งไว้ตั้งแรกแล้วนั้น เกิดเปลี่ยนใจต้องการขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ โดยการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปก่อนหน้านี้
นอกจากหลักสำคัญ 3 ประการดังกล่าว พ.ร.บ. ฉบับนี้ยังได้ให้ “สิทธิ” เจ้าของข้อมูล (Data Subject Right) อีกหลายประการ อันที่ องค์กร บุคคลหรือนิติบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องเคารพ และปฏิบัติตาม อาทิเช่น
สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (Right of access) ตามมาตรา 30 โดยเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน ซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลหรือขอให้เปิดเผยถึงการได้มา ซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม
สิทธิในการขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตน (Right to data portability) ตามมาตรา 31 โดยเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากผู้ควบคุมข้อมูลส่วนบุคคล เมื่อต้องการขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น โดยการใช้สิทธินั้นต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน (Right to object) ตามมาตรา 32 โดยเจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เมื่อใดก็ได้
สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย(Right to erasure / Right to be forgotten) ตามมาตรา 33 โดยเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้
สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ (Right to restrict processing) ตามมาตรา 34 โดยเจ้าของข้อมูลส่วนบุคคลมีสิทธิสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ตามเงื่อนไขที่กฎหมายกำหนด
สิทธิขอให้แก้ไขข้อมูล (Right of rectification) ตามมาตรา 35 โดยเจ้าของข้อมูลส่วนบุคคลมีสิทธิสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการแก้ไขให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
ความรับผิด และบทลงโทษ
ในกฎหมายฉบับนี้ มีบทลงโทษค่อนข้างรุนแรงทั้ง โทษทางอาญา โทษทางปกครอง และโทษทางแพ่ง มีทั้งค่าปรับทางปกครองสูงสุดถึง 5 ล้านบาท ความรับผิดทางแพ่งนั้นศาลสามารถสั่งให้จ่ายค่าสินไหมทดแทนชดใช้แก่เจ้าของข้อมูลได้ถึง 2 เท่าจากความเสียหายจริง และยังมีโทษจำคุกสูงสุดถึง 1 ปี หรือทั้งจำทั้งปรับ ถึงเวลาแล้วที่องค์กรต้องขยับปรับตัวให้ทัน
ไม่มีความเห็น