อัยการธนกฤต ผอ.สถาบันนิติวัชร์ และกรรมการวินิจฉัยเปิดเผยข้อมูลข่าวสาร ชี้ ข้อกฎหมายมธ.ต้องปฏิบัติตามพ.ร.บ.ข้อมูลข่าวสารของราชการ คุ้มครองข้อมูลส่วนบุคคลทั้งการจัดเก็บและเปิดเผยข้อมูลแม้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลยังไม่มีผลบังคับใช้กับหน่วยงานรัฐ
เมื่อวันที่ 1 พฤศจิกายน ดร.ธนกฤต วรธนัชชากุล ผู้อำนวยการสำนักงานประสานงานกระบวนการยุติธรรม สถาบันนิติวัชร์ สำนักงานอัยการสูงสุดและกรรมการวินิจฉัยเปิดเผยข้อมูลข่าวสาร ได้เขียนเฟซบุ๊กส่วนตัวให้ความเห็นข้อกฎหมายกรณีมีการตรวจเก็บข้อมูลส่วนบุคคลของผู้เข้าร่วมงานที่มหาวิทยาลัยธรรมศาสตร์กับผู้เข้าร่วมงานพระราชทานปริญญาบัตร มีข้อความว่า
ข้อมูลส่วนบุคคล ที่อาจไม่ส่วนบุคคล กรณีรับปริญญาธรรมศาสตร์
ตามที่มีข่าวปรากฏตามสื่อต่าง ๆ ถึงกรณีที่มหาวิทยาลัยธรรมศาสตร์ได้ดำเนินมาตรการตรวจคัดกรองบุคคลผู้เข้าร่วมงานพระราชทานปริญญาบัตร ด้วยการตรวจและเก็บข้อมูลส่วนบุคคลของผู้เข้าร่วมงาน เช่น บัตรประจำตัวประชาชน ข้อมูลส่วนตัว และรูปถ่ายบุคคล รวมทั้งข้อห่วงกังวลของผู้เป็นเจ้าของข้อมูลส่วนบุคคลดังกล่าว ต่อกรณีการเปิดเผยข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอกและเจ้าหน้าที่รัฐในหน่วยงานอื่นนั้น ผมขอให้ความเห็นส่วนตัวเป็นข้อสังเกตทางวิชาการในประเด็นข้อกฎหมายเรื่องข้อมูลข่าวสารส่วนบุคคล ดังนี้
ถึงแม้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยตรงจะยังไม่นำมาใช้บังคับกับหน่วยงานของรัฐและกิจการอย่างอื่น รวมทั้งสิ้น 22 หน่วยงานและกิจการ ตั้งแต่วันที่ 27 พฤษภาคม 2563 ถึงวันที่ 31 พฤษภาคม 2564 ตามพระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 ทำให้ในช่วงเวลาดังกล่าว หน่วยงานของรัฐและกิจการที่ฝ่าฝืนบทบัญญัติในเรื่องการคุ้มครองข้อมูลส่วนบุคคล จะยังไม่มีโทษทางอาญา ความรับผิดทางแพ่ง หรือโทษปรับทางปกครองก็ตาม
เช่น หากฝ่าฝืนมาตรา 24 ที่กำหนดห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะเข้าข้อยกเว้น ก็ยังไม่ต้องรับโทษปรับทางปกครอง หรือหากฝ่าฝืนมาตรา 27 ที่กำหนดห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะเข้าข้อยกเว้น ก็จะยังไม่ต้องรับโทษทางอาญาและโทษปรับทางปกครอง
อย่างไรก็ตาม มหาวิทยาลัยธรรมศาสตร์ซึ่งเป็นหน่วยงานของรัฐก็ยังคงต้องถือปฏิบัติตาม พ.ร.บ. ข้อมูลข่าวสารของราชการ พ.ศ. 2540 ในส่วนที่บัญญัติคุ้มครองข้อมูลข่าวสารส่วนบุคคลไว้ ดังจะกล่าวต่อไปนี้
ตาม พ.ร.บ. ข้อมูลข่าวสารของราชการ พ.ศ. 2540 มาตรา 4 บัตรประจำตัวประชาชน ข้อมูลส่วนตัว และรูปถ่ายบุคคล ถือเป็นข้อมูลข่าวสารส่วนบุคคล ซึ่ง พ.ร.บ. ข้อมูลข่าวสารของราชการฯ มาตรา 23 (5) กำหนดหลักเกณฑ์ในการขอและจัดเก็บข้อมูลข่าวสารส่วนบุคคลไว้ ดังนี้
1.หน่วยงานของรัฐต้องจัดระบบรักษาความปลอดภัยให้แก่ระบบข้อมูลข่าวสารส่วนบุคคลตามความเหมาะสม เพื่อป้องกันไม่ให้มีการนำไปใช้โดยไม่เหมาะสมหรือเป็นผลร้ายต่อเจ้าของข้อมูล
2.ในกรณีที่เก็บข้อมูลส่วนบุคคล เช่น ข้อมูลบัตรประชาชน ข้อมูลส่วนตัว รูปถ่าย โดยตรงจากเจ้าของข้อมูล หน่วยงานของรัฐต้องแจ้งให้เจ้าของข้อมูลทราบล่วงหน้า
3. หากมีการเก็บข้อมูลส่วนบุคคลโดยไม่มีการแจ้งล่วงหน้า หน่วยงานรัฐต้องแจ้งพร้อมกับการขอข้อมูลส่วนบุคคลนั้น ถึงวัตถุประสงค์ที่จะนำข้อมูลส่วนบุคคลไปใช้
ซึ่งก็ต้องมาพิจารณาดูว่ามหาวิทยาลัยธรรมศาสตร์ได้ดำเนินการขอและจัดเก็บข้อมูลส่วนบุคคล เช่น บัตรประจำตัวประชาชน ข้อมูลส่วนตัว รูปถ่ายบุคคลที่มาร่วมงานพระราชทานปริญญาบัตร เป็นไปตาม พ.ร.บ. ข้อมูลข่าวสารของราชการฯ มาตรา 23 (5) ดังที่กล่าวมาข้างต้นหรือไม่
นอกจากนี้ พ.ร.บ. ข้อมูลข่าวสารของราชการฯ มาตรา 24 วรรคหนึ่ง ยังได้กำหนดหลักเกณฑ์ในการเปิดเผยข้อมูลข่าวสารส่วนบุคคลไว้ ดังนี้
หลัก
หน่วยงานของรัฐจะเปิดเผยข้อมูลข่าวสารส่วนบุคคลที่อยู่ในความควบคุมดูแลของตนต่อหน่วยงานของรัฐแห่งอื่นหรือผู้อื่น โดยปราศจากความยินยอมเป็นหนังสือของเจ้าของข้อมูลไม่ได้
ข้อยกเว้น
ในกรณีที่เป็นการเปิดเผยดังต่อไปนี้ หน่วยงานของรัฐได้รับการยกเว้นให้เปิดเผยข้อมูลข่าวสารส่วนบุคคลที่อยู่ในความควบคุมดูแลของตนได้
1. เปิดเผยต่อเจ้าหน้าที่ของรัฐในหน่วยงานของตนเพื่อนำไปใช้ตามอำนาจหน้าที่ของหน่วยงานของรัฐแห่งนั้น
2. เป็นการใช้ข้อมูลตามปกติภายในวัตถุประสงค์ของการจัดให้มีระบบข้อมูลข่าวสารส่วนบุคคลของหน่วยงานรัฐนั้น
3. เปิดเผยต่อหน่วยงานของรัฐที่ทำงานด้านการวางแผนหรือการสถิติหรือสำมะโนต่าง ๆ ซึ่งมีหน้าที่ต้องรักษาข้อมูลข่าวสารส่วนบุคคลไว้ไม่ให้เปิดเผยต่อไปยังผู้อื่น
4. เป็นการให้ข้อมูลข่าวสารส่วนบุคคลเพื่อประโยชน์ในการศึกษาวิจัยโดยไม่ระบุชื่อหรือส่วนที่ทำให้รู้ว่าเป็นข้อมูลข่าวสารส่วนบุคคลที่เกี่ยวกับบุคคลใด
5. เปิดเผยต่อหอจดหมายเหตุแห่งชาติ กรมศิลปากร หรือหน่วยงานอื่นของรัฐตามมาตรา 26 วรรคหนึ่ง เพื่อการตรวจดูคุณค่าในการเก็บรักษา
6. เปิดเผยต่อเจ้าหน้าที่ของรัฐเพื่อการป้องกันการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย การสืบสวน การสอบสวน หรือการฟ้องคดี ไม่ว่าเป็นคดีประเภทใดก็ตาม
7. เป็นการให้ข้อมูลข่าวสารส่วนบุคคลซึ่งจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิตหรือสุขภาพของบุคคล
8. เป็นการให้ข้อมูลข่าวสารส่วนบุคคลต่อศาล และเจ้าหน้าที่ของรัฐหรือหน่วยงานของรัฐหรือบุคคลที่มีอำนาจตามกฎหมายที่จะขอข้อเท็จจริงดังกล่าว
9. กรณีอื่นตามที่กำหนดในพระราชกฤษฎีกา
เงื่อนไขการเปิดเผยข้อมูลข่าวสารส่วนบุคคล
การเปิดเผยข้อมูลข่าวสารส่วนบุคคลตามข้อยกเว้นในข้อ 1 และข้อ 2 ข้างต้น ไม่น่าจะทำให้มีข้อห่วงกังวลและปัญหาตามมานัก เนื่องจากเป็นการเปิดเผยข้อมูลส่วนบุคคลภายในหน่วยงานรัฐที่เป็นผู้ขอและจัดเก็บข้อมูลส่วนบุคคลเอง ซึ่งก็ย่อมมีความต้องการนำเอาข้อมูลส่วนบุคคลไปใช้ดำเนินการตามวัตถุประสงค์และอำนาจหน้าที่ของหน่วยงานรัฐแห่งนั้น
แต่ในกรณีที่เป็นการเปิดเผยข้อมูลข่าวสารส่วนบุคคลไปยังบุคคลภายนอกและหน่วยงานรัฐแห่งอื่น ตามข้อยกเว้นในข้อ 3-8 มีข้อที่หน่วยงานของรัฐผู้เปิดเผยข้อมูลส่วนบุคคล พึงต้องกระทำด้วยความระมัดระวังมากยิ่งกว่า
ดังนั้น พ.ร.บ. ข้อมูลข่าวสารของราชการฯ มาตรา 24 วรรคสอง จึงกำหนดให้ต้องมีการจัดทำบัญชีแสดงการเปิดเผยข้อมูลข่าวสารส่วนบุคคลนั้น ตามหลักเกณฑ์และวิธีการที่กำหนดในกฎกระทรวง ซึ่งก็คือ กฎกระทรวง (พ.ศ. 2541) ออกตามความใน พ.ร.บ. ข้อมูลข่าวสารของราชการฯ
ทั้งนี้ กฎกระทรวงฉบับดังกล่าวกำหนดให้ต้องมีการจัดทำบัญชีแสดงการเปิดเผยข้อมูลข่าวสารส่วนบุคคล ที่อย่างน้อยต้องมีรายการตามที่กฎกระทรวงกำหนดไว้ เช่น วันเดือนปีที่ขอตรวจดูหรือยืมข้อมูล วัตถุประสงค์ในการขอตรวจดูหรือยืมข้อมูล ชื่อผู้ขอตรวจดูหรือยืมข้อมูลและหลักฐานแสดงตัวบุคคล ลายมือชื่อผู้ขอตรวจดูหรือยืมข้อมูล วันเดือนปีที่คืนข้อมูล ชื่อผู้คืนข้อมูลและลายมือชื่อผู้คืน และหน่วยงานของรัฐต้องเก็บรวบรวมบัญชีแสดงการเปิดเผยข้อมูลข่าวสารส่วนบุคคล เพื่อให้บุคคลสามารถตรวจสอบดูข้อมูลข่าวสารส่วนบุคคลที่เกี่ยวกับตนเองได้
ในกรณีของการเปิดเผยข้อมูลส่วนบุคคลนี้ หากปรากฏข้อเท็จจริงว่ามหาวิทยาลัยธรรมศาสตร์ได้มีการเปิดเผยข้อมูลส่วนบุคคลของนักศึกษาและประชาชนที่มาร่วมงานพระราชทานปริญญาบัตรไปยังหน่วยงานรัฐแห่งอื่น หรือไปยังบุคคลภายนอกที่เป็นเจ้าหน้าที่ของรัฐในหน่วยงานอื่น ก็ควรต้องมาพิจารณาดูว่า มหาวิทยาลัยธรรมศาสตร์ได้เปิดเผยข้อมูลส่วนบุคคลในกรณีนี้ โดยใช้ข้อยกเว้นข้อใด เป็นไปตามข้อยกเว้นที่กำหนดไว้ใน พ.ร.บ. ข้อมูลข่าวสารของราชการฯ มาตรา 24 วรรคหนึ่ง หรือไม่ อย่างไร
และการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวนี้ มหาวิทยาลัยธรรมศาสตร์ได้ปฏิบัติตามเงื่อนไขของการเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 24 วรรคสอง และกฎกระทรวง (พ.ศ. 2541)ฯ ที่กำหนดให้ต้องจัดทำบัญชีแสดงการเปิดเผยข้อมูลข่าวสารส่วนบุคคล และต้องมีรายการตามที่กฎกระทรวงกำหนดไว้ ดังที่ได้กล่าวไปแล้วหรือไม่ด้วย
