กฎหมายคุ้มครองสิทธิของบุคคล 7. ข้อ

กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับแล้ว

สิทธิส่วนบุคคล หมายถึง ความชอบธรรมที่บุคคลได้รับความคุ้มครองจากกฎหมายและกฎของสังคม จึงเป็นพื้นฐานการดำรงชีวิตอย่างมีศักดิ์ศรีและการยอมรับจากสังคม

การคุ้มครองบุคคลมีกฎหมายสำคัญ 3 ฉบับ ได้แก่ รัฐธรรมนูญแห่งราชอาณาจักรไทย คือ สิทธิเสรีภาพความเสมอภาคของบุคคลต้องได้รับการคุ้มครอง ประมวลกฎหมายอาญา คือ การคุ้มครองชีวิต ร่างกาย และทรัพย์ด้วยการกำหนดฐานความผิดและโทษต่างๆ ส่วนประมวลกฎหมายแพ่งและพาณิชย์ คือ การชดใช้ความเสียหายจากการทำละเมิดไม่ว่าจงใจหรือประมาทเลินเล่อ

เมื่อสังคมไทยก้าวหน้าถึงยุคข้อมูลข่าวสาร จึงควรมีกฎหมายว่าด้วยการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ให้มีความปลอดภัย และนำข้อมูลเหล่านั้นไปใช้ตามวัตถุประสงค์และความยินยอมของเจ้าของข้อมูลส่วนบุคคลนั้น อันเป็นที่มาของกฎหมายชื่อว่า “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” หรือ Personal Data Protection Act (PDPA)

กฎหมายฉบับนี้มีเหตุผล คือ เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล

ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม

สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป

การประกาศในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 แต่ด้วยเป็นเรื่องใหม่ของข้อมูลส่วนบุคคล จึงต้องพิจารณาการประกาศใช้อย่างรอบคอบ ทำให้ต้องเลื่อนการบังคับใช้มากว่า 2 ปี ถึงวันที่ 30 พฤษภาคม 2565 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม แจ้งว่าพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 PDPA มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

พระราชบัญญัติฉบับนี้มี 96 มาตรา แบ่งเป็น 7 หมวด ได้แก่

หมวดที่ 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

หมวดที่ 2 การคุ้มครองข้อมูลส่วนบุคคล

หมวดที่ 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล

หมวดที่ 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

หมวดที่ 5 การร้องเรียน

หมวดที่ 6 ความรับผิดชอบทางแพ่ง

หมวดที่ 7 บทกำหนดโทษ (ทางอาญา)

ที่มาของกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มาจากกฎหมายของสหภาพยุโรป มีวัตถุประสงค์เก็บรักษาข้อมูลส่วนบุคคล และป้องกันการละเมิดความเป็นส่วนตัว หรือหาผลประโยชน์จากตัวเจ้าของข้อมูลหรือจากบุคคลที่ดูแลข้อมูล

สาระสำคัญของกฎหมาย ได้แก่ เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

ผู้ควบคุมข้อมูลส่วนบุคคลเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงานมีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้

ตัวอย่างเช่น เว็บไซต์ขายของออนไลน์ ตัวผู้จัดทำเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว

ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย

ในประเทศไทยมีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม

โดย PDPA กำหนดให้องค์กรต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี และเข้าใจบริบทขององค์กรมีหน้าที่ให้คำปรึกษากับองค์กร

และดูแลการดำเนินการให้เป็นไปตามกฎหมาย

เนื่องจากเป็นกฎหมายใหม่และเกี่ยวข้องกับข้อมูลสารสนเทศที่มีความซับซ้อนยากแก่การเข้าใจ จึงขอแนะนำ ดังนี้

1.การใช้หรือเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยบทบัญญัติ มาตรา 25 ของกฎหมายฉบับนี้ เว้นแต่

(1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนดเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนด

(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

(3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล ก่อนเข้าทำสัญญานั้น

(4) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้รับมอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล

(5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

(6) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

2.บทบัญญัติในกฎหมายฉบับนี้มีโทษทางอาญา ดังนั้น ควรนำประมวลกฎหมายอาญา มาตรา 59 ในเรื่องการกระทำโดยเจตนามาพิจารณา คือ

“บุคคลจะต้องรับผิดในทางอาญาก็ต่อเมื่อได้กระทำโดยเจตนา เว้นแต่จะได้กระทำโดยประมาท ในกรณีที่กฎหมายบัญญัติให้ต้องรับผิดเมื่อได้กระทำโดยประมาท หรือเว้นแต่ในกรณีที่กฎหมายบัญญัติไว้โดยแจ้งชัดให้ต้องรับผิดแม้ได้กระทำโดยไม่เจตนา

กระทำโดยเจตนา ได้แก่ กระทำโดยรู้สำนึกในการที่กระทำและในขณะเดียวกันผู้กระทำประสงค์ต่อผล หรือย่อมเล็งเห็นผลของการกระทำนั้น

ถ้าผู้กระทำมิได้รู้ข้อเท็จจริงอันเป็นองค์ประกอบของความผิด จะถือว่าผู้กระทำประสงค์ต่อผล หรือย่อมเล็งเห็นผลของการกระทำนั้นมิได้”

3.สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลควรจัดอบรมแนวทางปฏิบัติหรือข้อกฎหมาย PDPA เพื่อสร้างความตระหนักรู้และสร้างความเข้าใจแก่ผู้ปฏิบัติงานและประชาชนทั่วไปด้วย

4.กรณีมีข้อพิพาทถึงศาล ควรนำแนววินิจฉัยหรือคำพิพากษาของศาลมาพิจารณาเพื่อการพัฒนากฎหมายฉบับดังกล่าวในโอกาสต่อไป

ด้วยความละเอียดอ่อนของข้อมูลส่วนบุคคลต่อกฎหมายใหม่ที่บังคับใช้ จึงมีความวิตกกังวลในหลายประเด็น เช่น การนำรูปคนอื่นใน google มาตกแต่งแล้วใส่ข้อความ เอาประวัติการกระทำผิดคนอื่นไปโพสต์ เอาใบแจ้งความไปโพสต์เพื่อเตือนคนอื่น หรือเอาเรื่องราวความเจ็บป่วยของคนอื่นมาเผยแพร่ เป็นต้น ทำให้เกิดประเด็นที่เสี่ยงต่อความผิด

ดังนั้น เพื่อป้องกันการกระทำที่อาจเป็นความผิด จึงควรได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล กระทำด้วยเจตนาสุจริตไม่ประสงค์ต่อผลหรือเล็งเห็นผลเพื่อประโยชน์ต่อตนเองและผู้อื่นในทางที่ไม่ชอบด้วยกฎหมาย

และใช้สื่อสารสนเทศอย่างระมัดระวังด้วย

ผศ.ดร.สมหมาย จันทร์เรือง