กฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับแล้ว
สิทธิส่วนบุคคล หมายถึง ความชอบธรรมที่บุคคลได้รับความคุ้มครองจากกฎหมายและกฎของสังคม จึงเป็นพื้นฐานการดำรงชีวิตอย่างมีศักดิ์ศรีและการยอมรับจากสังคม
การคุ้มครองบุคคลมีกฎหมายสำคัญ 3 ฉบับ ได้แก่ รัฐธรรมนูญแห่งราชอาณาจักรไทย คือ สิทธิเสรีภาพความเสมอภาคของบุคคลต้องได้รับการคุ้มครอง ประมวลกฎหมายอาญา คือ การคุ้มครองชีวิต ร่างกาย และทรัพย์ด้วยการกำหนดฐานความผิดและโทษต่างๆ ส่วนประมวลกฎหมายแพ่งและพาณิชย์ คือ การชดใช้ความเสียหายจากการทำละเมิดไม่ว่าจงใจหรือประมาทเลินเล่อ
เมื่อสังคมไทยก้าวหน้าถึงยุคข้อมูลข่าวสาร จึงควรมีกฎหมายว่าด้วยการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ให้มีความปลอดภัย และนำข้อมูลเหล่านั้นไปใช้ตามวัตถุประสงค์และความยินยอมของเจ้าของข้อมูลส่วนบุคคลนั้น อันเป็นที่มาของกฎหมายชื่อว่า “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” หรือ Personal Data Protection Act (PDPA)
กฎหมายฉบับนี้มีเหตุผล คือ เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล
ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม
สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป
การประกาศในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 แต่ด้วยเป็นเรื่องใหม่ของข้อมูลส่วนบุคคล จึงต้องพิจารณาการประกาศใช้อย่างรอบคอบ ทำให้ต้องเลื่อนการบังคับใช้มากว่า 2 ปี ถึงวันที่ 30 พฤษภาคม 2565 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม แจ้งว่าพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 PDPA มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565
พระราชบัญญัติฉบับนี้มี 96 มาตรา แบ่งเป็น 7 หมวด ได้แก่
หมวดที่ 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
หมวดที่ 2 การคุ้มครองข้อมูลส่วนบุคคล
หมวดที่ 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล
หมวดที่ 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
หมวดที่ 5 การร้องเรียน
หมวดที่ 6 ความรับผิดชอบทางแพ่ง
หมวดที่ 7 บทกำหนดโทษ (ทางอาญา)
ที่มาของกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มาจากกฎหมายของสหภาพยุโรป มีวัตถุประสงค์เก็บรักษาข้อมูลส่วนบุคคล และป้องกันการละเมิดความเป็นส่วนตัว หรือหาผลประโยชน์จากตัวเจ้าของข้อมูลหรือจากบุคคลที่ดูแลข้อมูล
สาระสำคัญของกฎหมาย ได้แก่ เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ผู้ควบคุมข้อมูลส่วนบุคคลเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงานมีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้
ตัวอย่างเช่น เว็บไซต์ขายของออนไลน์ ตัวผู้จัดทำเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว
ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย
ในประเทศไทยมีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานภาครัฐเป็นผู้กำกับดูแลกฎหมาย PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม
โดย PDPA กำหนดให้องค์กรต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี และเข้าใจบริบทขององค์กรมีหน้าที่ให้คำปรึกษากับองค์กร
และดูแลการดำเนินการให้เป็นไปตามกฎหมาย
เนื่องจากเป็นกฎหมายใหม่และเกี่ยวข้องกับข้อมูลสารสนเทศที่มีความซับซ้อนยากแก่การเข้าใจ จึงขอแนะนำ ดังนี้
1.การใช้หรือเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยบทบัญญัติ มาตรา 25 ของกฎหมายฉบับนี้ เว้นแต่
(1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนดเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนด
(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคล ก่อนเข้าทำสัญญานั้น
(4) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้รับมอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
(5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(6) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
2.บทบัญญัติในกฎหมายฉบับนี้มีโทษทางอาญา ดังนั้น ควรนำประมวลกฎหมายอาญา มาตรา 59 ในเรื่องการกระทำโดยเจตนามาพิจารณา คือ
“บุคคลจะต้องรับผิดในทางอาญาก็ต่อเมื่อได้กระทำโดยเจตนา เว้นแต่จะได้กระทำโดยประมาท ในกรณีที่กฎหมายบัญญัติให้ต้องรับผิดเมื่อได้กระทำโดยประมาท หรือเว้นแต่ในกรณีที่กฎหมายบัญญัติไว้โดยแจ้งชัดให้ต้องรับผิดแม้ได้กระทำโดยไม่เจตนา
กระทำโดยเจตนา ได้แก่ กระทำโดยรู้สำนึกในการที่กระทำและในขณะเดียวกันผู้กระทำประสงค์ต่อผล หรือย่อมเล็งเห็นผลของการกระทำนั้น
ถ้าผู้กระทำมิได้รู้ข้อเท็จจริงอันเป็นองค์ประกอบของความผิด จะถือว่าผู้กระทำประสงค์ต่อผล หรือย่อมเล็งเห็นผลของการกระทำนั้นมิได้”
3.สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลควรจัดอบรมแนวทางปฏิบัติหรือข้อกฎหมาย PDPA เพื่อสร้างความตระหนักรู้และสร้างความเข้าใจแก่ผู้ปฏิบัติงานและประชาชนทั่วไปด้วย
4.กรณีมีข้อพิพาทถึงศาล ควรนำแนววินิจฉัยหรือคำพิพากษาของศาลมาพิจารณาเพื่อการพัฒนากฎหมายฉบับดังกล่าวในโอกาสต่อไป
ด้วยความละเอียดอ่อนของข้อมูลส่วนบุคคลต่อกฎหมายใหม่ที่บังคับใช้ จึงมีความวิตกกังวลในหลายประเด็น เช่น การนำรูปคนอื่นใน google มาตกแต่งแล้วใส่ข้อความ เอาประวัติการกระทำผิดคนอื่นไปโพสต์ เอาใบแจ้งความไปโพสต์เพื่อเตือนคนอื่น หรือเอาเรื่องราวความเจ็บป่วยของคนอื่นมาเผยแพร่ เป็นต้น ทำให้เกิดประเด็นที่เสี่ยงต่อความผิด
ดังนั้น เพื่อป้องกันการกระทำที่อาจเป็นความผิด จึงควรได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล กระทำด้วยเจตนาสุจริตไม่ประสงค์ต่อผลหรือเล็งเห็นผลเพื่อประโยชน์ต่อตนเองและผู้อื่นในทางที่ไม่ชอบด้วยกฎหมาย
และใช้สื่อสารสนเทศอย่างระมัดระวังด้วย
ผศ.ดร.สมหมาย จันทร์เรือง

