| ผู้เขียน | ดร.ธนกฤต วรธนัชชากุล |
|---|
ในปัจจุบันนี้กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับจะบัญญัติให้ความคุ้มครองข้อมูลส่วนบุคคลเฉพาะในบางเรื่องตามที่กฎหมายบัญญัติไว้ เช่น การให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการเครือข่ายโทรศัพท์มือถือตามพระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ.2544 และประกาศคณะกรรมการกิจการโทรคมนาคมแห่งชาติ เรื่อง มาตรการคุ้มครองสิทธิของผู้ใช้บริการโทรคมนาคมเกี่ยวกับข้อมูลส่วนบุคคลสิทธิในความเป็นส่วนตัว และเสรีภาพในการสื่อสารถึงกันโดยทางโทรคมนาคม ลงวันที่ 18 พฤษภาคม 2549 การให้ความคุ้มครองข้อมูลส่วนบุคคลที่อยู่ในความควบคุมดูแลของหน่วยงานรัฐตามพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540 และการให้ความคุ้มครองข้อมูลเครดิตของลูกค้าที่ขอสินเชื่อตามพระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ.2545 เป็นต้น
แต่ประเทศไทยยังไม่มีกฎหมายที่บัญญัติหลักเกณฑ์ในการให้ความคุ้มครองข้อมูลส่วนบุคคลแก่ประชาชนเป็นการทั่วไปไว้ ทั้งที่มีการละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก และกฎเกณฑ์ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation (GDPR) (EU)) จะมีผลใช้บังคับในวันที่ 25 พฤษภาคม 2561 ซึ่งหากประเทศไทยยังไม่มีกฎหมายในการคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐานเหมาะสม อาจจะส่งผลกระทบต่อการทำธุรกิจการค้ากับสหภาพยุโรปได้ด้วย
กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมจึงได้เสนอร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลต่อคณะรัฐมนตรีเพื่อพิจารณาเมื่อวันที่ 17 เมษายน 2561 ที่ผ่านมา ก่อนที่จะมีการเสนอสภานิติบัญญัติแห่งชาติพิจารณาต่อไป ซึ่งมีบทบัญญัติที่กำหนดหลักเกณฑ์และมาตรการในการให้ความคุ้มครองข้อมูลส่วนบุคคลแก่ประชาชนเป็นการทั่วไป ที่ครบถ้วนสมบูรณ์กว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีการใช้บังคับเฉพาะแต่ละเรื่องในปัจจุบัน
โดยกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งหมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ซึ่งก็จะหมายความรวมทั้งภาครัฐและเอกชนที่เก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งคือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ให้มีหน้าที่ต่างๆ ที่ต้องดำเนินการตามที่กฎหมายบัญญัติไว้
เช่น กำหนดหลักการทั่วไปว่า ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรวบรวม ใช้ หรือหรือเปิดเผย ข้อมูลส่วนบุคคลที่ไม่ได้ให้ความยินยอมไม่ได้ เว้นแต่มีกฎหมายบัญญัติไว้เป็นอย่างอื่น ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่เข้าข้อยกเว้นที่กฎหมายกำหนดไว้
นอกจากนี้ ยังได้กำหนดสิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคล ที่สำคัญคือสิทธิในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือลูกจ้าง หรือผู้รับจ้างของ ผู้ควบคุมข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกำหนดให้มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลซึ่งมีอำนาจหน้าที่ในการจัดทำแผนยุทธศาสตร์ในการส่งเสริมและคุ้มครองข้อมูลส่วนบุคคล และกำหนดมาตรการหรือแนวทางในการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลซึ่งมีอำนาจหน้าที่สำคัญในการคุ้มครองข้อมูลส่วนบุคคล และส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ
สำหรับบทกำหนดโทษที่กำหนดไว้จะมีทั้งโทษทางอาญาและโทษทางปกครอง ซึ่งบัญญัติรองรับการกระทำความผิดต่างๆ ได้ครบถ้วนมากกว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับกันอยู่ในปัจจุบัน และที่สำคัญคือบทลงโทษที่กำหนดไว้จะหนักกว่าบทบัญญัติในส่วนที่เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของกฎหมายบางฉบับ เช่น พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ.2544 และพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540
ทั้งนี้ บทกำหนดโทษทางอาญาที่กำหนดไว้ เช่น ผู้ควบคุมข้อมูลส่วนบุคคลที่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หากเป็นข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดไว้เป็นการเฉพาะในมาตรา 23 เช่น ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ เพื่อแสวงหาประโยชน์อันมิควรได้โดยชอบด้วยกฎหมาย หรือโดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ
สำหรับบทกำหนดโทษทางปกครองที่กำหนดไว้ เช่น หากผู้ควบคุมข้อมูลส่วนบุคคลกระทำการดังต่อไปนี้ ต้องระวางโทษปรับทางปกครองไม่เกิน 3 แสนบาท
1.เก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลไม่เป็นไปตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคล
2.เก็บรวบรวมข้อมูลส่วนบุคคลเกินกว่าที่จำเป็นต้องกระทำ
3.เก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่กฎหมายกำหนดไว้
4.เก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่เป็นกรณีที่กฎหมายกำหนดไว้
5.ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่กฎหมายกำหนดไว้
6.ไม่จัดการให้มีการประเมินผลกระทบต่อความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นประจำอย่างสม่ำเสมอ และไม่จัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม
หากผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดไว้เป็นการเฉพาะในมาตรา 23 เช่น ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ หรือใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 23 โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล จะต้องระวางโทษหนักขึ้น โดยต้องระวางโทษปรับทางปกครองไม่เกิน 5 แสนบาท
สำหรับผู้ที่ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นอันเนื่องมาจากการปฏิบัติหน้าที่และนำไปเปิดเผยแก่ผู้อื่น หากไม่ใช่เป็นกรณีที่กฎหมายบัญญัติให้กระทำได้ จะต้องระวางโทษปรับทางปกครองไม่เกิน 5 แสนบาท
ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งเป็นบุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลฝ่าฝืนหน้าที่ตามที่กฎหมายกำหนด เช่น ไม่จัดให้มีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่เหมาะสม หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ต้องระวางโทษปรับทางปกครองไม่เกิน 3 แสนบาท
ซึ่งหากเปรียบเทียบกับบทบัญญัติในส่วนที่เป็นการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540 ที่กำหนดหลักเกณฑ์ในการให้ความคุ้มครองข้อมูลส่วนบุคคลที่อยู่ในความควบคุมดูแลของหน่วยงานรัฐแล้ว จะเห็นความแตกต่างได้อย่างชัดเจน โดยพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540 กำหนดบทลงโทษไว้อย่างชัดเจนเพียงแค่กรณีการฝ่าฝืนไม่ปฏิบัติตามคำสั่งของคณะกรรมการข้อมูลข่าวสารของราชการที่สั่งให้บุคคลใดมาให้ถ้อยคำหรือให้ส่งวัตถุ เอกสาร หรือพยานหลักฐานมาประกอบการพิจารณา หรือการฝ่าฝืนหรือไม่ปฏิบัติตามข้อจำกัดหรือเงื่อนไขที่เจ้าหน้าที่ของรัฐกำหนดตามมาตรา 20 เท่านั้น
นอกจากนี้ หากหน่วยงานของรัฐฝ่าฝืนบทบัญญัติในมาตรา 21 ถึง 25 ที่กำหนดหลักเกณฑ์ในการให้ความคุ้มครองข้อมูลส่วนบุคคลที่อยู่ในความควบคุมดูแลของหน่วยงานรัฐ ก็ไม่ได้กำหนดบทลงโทษไว้อย่างชัดเจนแต่อย่างใด
นอกจากนี้ เมื่อเปรียบเทียบกับบทบัญญัติในเรื่องการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ.2544 ที่กำหนดว่า หากผู้รับใบอนุญาตที่เป็นผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือฝ่าฝืนหรือไม่ปฏิบัติตามมาตรการคุ้มครองผู้ใช้บริการเกี่ยวกับข้อมูลส่วนบุคคลตามที่กำหนดไว้ในพระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ.2544 มาตรา 50 แล้ว เลขาธิการ กสทช.มีอำนาจตามพระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ.2544 มาตรา 64 ในการสั่งให้ผู้รับใบอนุญาตระงับการกระทำที่ฝ่าฝืน หรือให้แก้ไขปรับปรุง หรือปฏิบัติให้ถูกต้องเหมาะสมภายในเวลาที่กำหนดได้ และตามมาตรา 66 กำหนดว่า ในกรณีที่ผู้รับใบอนุญาตไม่ปฏิบัติตามคำสั่งของเลขาธิการ กสทช. และเลขาธิการ กสทช.ได้มีหนังสือเตือนแล้วยังไม่มีการปฏิบัติตามคำสั่งนั้น เลขาธิการ กสทช. มีอำนาจกำหนดค่าปรับทางปกครอง ซึ่งต้องไม่ต่ำกว่าสองหมื่นบาทต่อวันได้นั้น
จะเห็นได้ว่า กรณีที่ผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือฝ่าฝืนมาตรการคุ้มครองผู้ใช้บริการเกี่ยวกับข้อมูลส่วนบุคคล โอกาสที่ผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือค่ายต่างๆ จะถูกลงโทษตามกฎหมายเป็นไปได้น้อยมาก เพราะหากยอมปฏิบัติตามคำสั่งของเลขาธิการ กสทช.ที่มีคำสั่งให้ผู้รับใบอนุญาตระงับการกระทำที่ฝ่าฝืน หรือให้แก้ไขปรับปรุง หรือปฏิบัติให้ถูกต้องเหมาะสมภายในเวลาที่กำหนด ก็ไม่ต้องถูกลงโทษปรับแต่อย่างใด
แต่ตามร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหากผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือ ฝ่าฝืนหลักเกณฑ์และมาตรการในการคุ้มครองข้อมูลส่วนบุคคลจะต้องถูกลงโทษตามกฎหมายทันที ซึ่งมีทั้งโทษปรับและจำคุกแล้วแต่กฎหมายกำหนดไว้ ถึงแม้ว่าโทษจำคุกตามร่างกฎหมายนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะมีอำนาจเปรียบเทียบปรับได้และเมื่อเสียค่าปรับแล้วคดีเป็นอันเลิกกันก็ตาม นอกจากนี้ พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ.2544 ไม่ได้มีบทบัญญัติที่กำหนดให้ผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือชดใช้ค่าเสียหายที่เกิดขึ้นอย่างชัดเจนด้วย
ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลยังได้บัญญัติความรับผิดของผู้แทนนิติบุคคลที่เป็นผู้สั่งการหรือกระทำการ หรือละเว้นไม่สั่งการหรือไม่กระทำการ เป็นเหตุให้นิติบุคคลกระทำความผิดไว้ด้วย และได้บัญญัติความรับผิดทางแพ่งในการชดใช้ค่าเสียหายไว้อย่างชัดเจน โดยกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลจนทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลไม่ว่าจะจงใจหรือประมาทเลินเล่อ ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคลด้วย
อนึ่ง มีข้อสังเกตว่าอัตราโทษสำหรับการฝ่าฝืนหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคลซึ่งเป็นข้อมูลเครดิตของลูกค้าที่ขอสินเชื่อตามที่กำหนดไว้ในพระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ.2545 จะมีอัตราโทษที่สูงกว่าที่กำหนดไว้ในร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยการฝ่าฝืนมาตรา 22, 23 และ 24 มีอัตราโทษจำคุก 5 ปี ถึง 10 ปี ปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ เนื่องจากพระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิตเป็นกฎหมายเฉพาะที่มุ่งให้ความคุ้มครองข้อมูลเครดิตของลูกค้าที่ขอสินเชื่อ ซึ่งร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลได้กำหนดให้อัตราโทษตามที่พระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิตกำหนดไว้นี้ ซึ่งมีอัตราโทษสูงกว่า ให้ยังมีผลใช้บังคับอยู่ แม้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลจะมีผลใช้บังคับแล้ว
ภายหลังจากที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมีผลใช้บังคับแล้ว กฎหมายใดที่ได้บัญญัติให้ความคุ้มครองข้อมูลส่วนบุคคลไว้โดยเฉพาะแล้ว บทบัญญัติตามกฎหมายนั้นก็ยังมีผลใช้บังคับอยู่ เว้นแต่ในส่วนที่เป็นการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลและบทกำหนดโทษที่เกี่ยวข้อง ให้บังคับตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเป็นการเพิ่มเติม และบทบัญญัติเกี่ยวกับการร้องเรียน การให้อำนาจคณะกรรมการผู้เชี่ยวชาญออกคำสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอำนาจหน้าที่ของพนักงานเจ้าหน้าที่ รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ให้บังคับตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หากกฎหมายเฉพาะไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน หรือมีแต่ไม่เพียงพอเท่ากับอำนาจของอำนาจคณะกรรมการผู้เชี่ยวชาญตามกฎหมายนี้
ด้วยร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฉบับนี้เป็นบทบัญญัติที่กำหนดหลักการทั่วไปในการให้ความคุ้มครองข้อมูลส่วนบุคคลแก่ประชาชน โดยไม่เจาะจงเฉพาะกรณีใดกรณีหนึ่ง ประกอบกับปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก หากหน่วยงานที่เกี่ยวข้องและสภานิติบัญญัติแห่งชาติจะเร่งผลักดันให้กฎหมายฉบับนี้ออกมาใช้บังคับโดยเร็วก็จะเป็นประโยชน์ในการกำหนดหลักเกณฑ์และมาตรการในการให้ความคุ้มครองข้อมูลส่วนบุคคลแก่ประชาชนโดยทั่วไป
และการมีกฎเกณฑ์ให้ความคุ้มครองข้อมูลส่วนบุคคลที่ได้มาตรฐานย่อมเป็นการสร้างความยอมรับต่อประเทศไทยในระดับสากลด้วย
ดร.ธนกฤต วรธนัชชากุล
