กฎหมายคุ้มครองข้อมูลส่วนบุคคล “อาจถูกจับ” ถ้าไม่ปรับองค์กร (ตอนที่ 2)


ปรเมศวร์ กุมารบุญ น.บ. (จุฬาฯ) Ph.D. (Candidate) อาชญาวิทยา และการยุติรรม (จุฬาฯ)

นักกฎหมายเทคโนโลยี และวุฒิวิศวกรไฟฟ้าสื่อสาร

อาจารย์พิเศษ โรงเรียนนายร้อยตำรวจ

      ข้อมูลส่วนบุคคล (Personal data) ได้ถูกนิยามไว้ใน มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลไว้ว่า “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

          ดังนั้นสามารถยกตัวอย่างข้อมูลส่วนบุคคล ได้แก่ ชื่อ - นามสกุล เลขประจำตัวประชาชน เบอร์โทรศัพท์ บัตรเครดิต บัญชีธนาคาร บ้านเลขที่ วันเดือนปีเกิด อาชีพ วุฒิการศึกษา เป็นต้น

นอกจากนี้ยังมีข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) อาทิเช่น เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง ในกรณีที่เจ้าของข้อมูลมีเชื้อชาติหรือศาสนาหรือความคิดเห็นทางการเมืองที่กำลังพิพาทกันอยู่ หากเปิดเผยแล้วอาจก่อให้เกิดความเสียหายหรือเลยเถิดจนเกิดอาชญากรรมแห่งความเกลียดชัง (Hate crime) ก็เป็นได้ จึงถือเป็นข้อมูลส่วนบุคคลที่ละเอียดอ่อน นอกจากนั้นยังรวมไปถึง ประวัติอาชญากรรม รสนิยมทางเพศ ข้อมูลทางการแพทย์หรือสุขภาพ โรคประจำตัว ข้อมูลทางพันธุกรรม และข้อมูลชีวภาพ เป็นต้น

บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ได้บัญญัติสิทธิ และหน้าที่ของบุคคลที่เกี่ยวข้องตามกฎหมายนี้ไว้ 3 ฝ่าย โดยอธิบายย่อให้เข้าใจง่ายได้ดังนี้

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลธรรมดา ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล ที่ข้อมูลนั้นระบุไปถึงตัว

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนาม” ของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล เช่น ผู้ให้บริการ Cloud server

หน้าที่ความรับผิดชอบขององค์กร

องค์กรหรือนิติบุคคล ไม่ว่าเป็นรัฐหรืออาจจะเป็นบริษัทหรือผู้ประกอบการ ส่วนใหญ่ก็คือ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และ ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) โดยมีหน้าที่ความรับผิดชอบตามกฎหมายกล่าวโดยย่อดังนี้

ผู้ควบคุมข้อมูลส่วนบุคคล ( Data Controller)

ผู้ควบคุมข้อมูลส่วนบุคคล ได้ถูกบัญญัติหน้าที่สำคัญหลักไว้ใน มาตรา 37 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งย่อสรุปได้ดังนี้

(1) จัดให้มี “มาตรการรักษาความมั่นคงปลอดภัย” ที่เหมาะสมเพื่อป้องกัน การสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีอำนาจหรือโดยขัดต่อกฎหมาย รวมถึงทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป

(2) ในกรณีที่ “ต้องให้” ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่น ที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้น ใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ

(3) จัดให้มีระบบการตรวจสอบ เพื่อดำเนินการ “ลบหรือทำลาย” ข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอหรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่เก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น

(4) “แจ้งเหตุ” การละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิ และเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพ

(5) ผู้ควบคุมข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร “ต้องแต่งตั้งตัวแทนเป็นหนังสือ” ซึ่งตัวแทนต้องอยู่ในราชอาณาจักรและตัวแทนต้องได้รับมอบอำนาจให้กระทำการแทนผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่มีข้อจำกัดความรับผิดใดๆ ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล

(6) ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึก “รายการอย่างน้อย” ตามที่บัญญัติไว้ในมาตรา 39 เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

ผู้ประมวลผลข้อมูลส่วนบุคคล ( Data Processor)

ผู้ประมวลผลข้อมูลส่วนบุคคล ได้ถูกบัญญัติหน้าที่สำคัญหลักไว้ใน มาตรา 40 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งย่อสรุปได้ดังนี้

  • (1) ดำเนินการเกี่ยวกับการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่ง” ที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมาย
  • (2) จัดให้มี “มาตรการรักษาความมั่นคงปลอดภัย” ที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุ การละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
  • (3) จัดทำ และเก็บรักษา “บันทึกรายการของกิจกรรม” การประมวลผลข้อมูลส่วนบุคคลไว้ และในมาตรา 40 (3) ยังได้บัญญัติไว้ว่าถ้าผู้ประมวลผลข้อมูลไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูลที่ส่งมา ให้ถือว่าผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้ควบคุมข้อมูลส่วนบุคคล และการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลให้เป็นไปตามที่กฎหมายกำหนด

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ( Data Protection Officer: DPO)

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นผู้ที่มีบทบาทสำคัญในองค์กรทั้ง ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล มักเรียกกันโดยย่อว่า DPO โดยทั้งสององค์กรต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลประจำของตนตาม มาตรา 41 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งมีหน้าที่โดยย่อตาม มาตรา 42 สรุปได้ดังนี้

(1) ให้คำแนะนำแก่ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้ง ลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามกฎหมาย

(2) ตรวจสอบการดำเนินงานของ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้าง ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมาย

(3) ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติตามกฎหมาย

(4) รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามกฎหมาย และผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ต้องสนับสนุนการปฏิบัติงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ

องค์กรของท่านเตรียมความพร้อมหรือยัง ?

“สิทธิ” หลายประการของเจ้าของข้อมูลส่วนบุคคลอันพึงระมัดวังที่จะไม่ไปละเมิดกระทบสิทธิ ขอบเขตการเข้าถึงข้อมูลส่วนบุคคลกฎหมายให้กระทำได้เพียงใด องค์กรของท่านมีระบบควบคุมการเข้าถึงข้อมูลส่วนบุคคลเพียงพอดีแล้วหรือไม่ มีระบบยืนยันตัวตนของผู้ขอเข้าถึงข้อมูลส่วนบุคคลแล้วหรือยัง? มีการแจ้งวัตถุประสงค์และระบบยินยอมแล้วหรือไม่? รวมไปถึงต้องมีการกำหนดนโยบายภายในองค์กรที่จะต้องปฏิบัติงานการใช้ข้อมูลส่วนบุคคลตามกฎหมายแล้วหรือยัง?

ไม่ว่าท่านอยู่ในองค์กรของรัฐหรือเอกชน ที่ต้องมีการขอข้อมูลส่วนบุคคล สิ่งสำคัญคือ ต้องรู้ถึง “สิทธิ และหน้าที่” ตามกฎหมายฉบับนี้ เพื่อดำเนินการวางแผนปฏิบัติตามอย่างเร่งด่วน เพราะมีโทษตามกฎหมายรุนแรงทั้ง โทษอาญา โทษทางแพ่ง โทษทางปกครอง หากไม่ปฏิบัติตามนอกจากจะส่งผลเสียต่อองค์กรแล้ว ยังอาจสูญค่าปรับอีกหลายล้านบาท และยังรวมถึงโทษจำคุก หรือทั้งจำทั้งปรับ

บันทึกนี้เขียนที่ GotoKnow โดย  ใน ปรเมศวร์ กุมารบุญ



ความเห็น (0)