กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

8.03.20 | 08:00 น.

ปัจจุบันความก้าวหน้าทางเทคโนโลยีส่งผลให้การดำเนินชีวิตเป็นไปอย่างสะดวกสบายยิ่งขึ้น ไม่ว่าจะเป็นการซื้อขายออนไลน์ การจองตั๋วเครื่องบิน โรงแรม การทำธุรกรรมทางการเงินออนไลน์ การใช้จ่ายผ่านบัตรเครดิต การทำประกันสุขภาพและประกันชีวิต ฯลฯ ซึ่งล้วนแล้วแต่มีการใช้งานผ่านแอปพลิเคชัน และอินเทอร์เน็ต มีการเชื่อมโยงข้อมูล การเก็บข้อมูลส่วนบุคคลต่าง ๆ ผ่านระบบออนไลน์ แต่เราจะมั่นใจได้อย่างไรว่าข้อมูลส่วนบุคคลของเราจะมีความปลอดภัยหรือถูกนำไปใช้อย่างถูกต้องเหมาะสม และไม่ถูกละเมิดในข้อมูลส่วนบุคคล หรือหากเราถูกละเมิดสิทธิและมีการนำข้อมูลไปใช้โดยไม่ถูกต้องก่อให้เกิดความเดือดร้อนรำคาญหรือเกิดความเสียหาย เราจะทำอย่างไร?
สำนักงานคณะกรรมการกฤษฎีกาได้มีส่วนเกี่ยวข้องในการพิจารณาจัดทำกฎหมายสำคัญซึ่งจะมีผลบังคับใช้   อย่างสมบูรณ์ในวันที่ 28 พฤษภาคม 2563 นั่นก็คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  กฎหมายฉบับนี้มีวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ประโยชน์โดยมิชอบ เพื่อป้องกัน   การละเมิดสิทธิและข้อมูลส่วนบุคคล โดยมุ่งเน้นไปที่องค์กรหรือหน่วยงานที่จะต้องดำเนินการเก็บรวบรวม  ใช้และเปิดเผยข้อมูลส่วนบุคคลตามหลักเกณฑ์และมาตรการกำกับดูแลที่เป็นไปตามมาตรฐานสากล
เหตุผลหลักที่ประเทศไทยจำเป็นต้องมีกฎหมายฉบับนี้ก็เนื่องมาจากการที่สหภาพยุโรป (EU) ได้ออก GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายว่าด้วยเรื่องการคุ้มครองสิทธิของข้อมูลส่วนบุคคลของสหภาพยุโรป และมีการบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561 ซึ่งส่งผลให้ความคุ้มครองข้อมูลส่วนบุคคลภายในประเทศสมาชิกสหภาพยุโรปมีมาตรฐานที่เคร่งครัดมากยิ่งขึ้น และมีผลกระทบต่อผู้ประกอบการของประเทศไทยในการติดต่อรับส่งข้อมูลส่วนบุคคลเกี่ยวกับการทำธุรกิจการค้าระหว่างประเทศ และหากประเทศไทยไม่มีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลอาจส่งผลให้เสียโอกาสทางการค้ากับประเทศในสหภาพยุโรปได้
สาระสำคัญของกฎหมายฉบับนี้คือ ในการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลนั้นจะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเสียก่อน และต้องเป็นไปตามวัตถุประสงค์ที่ได้แจ้งไว้ โดยต้องเก็บรวบรวมใช้ข้อมูลส่วนบุคคลเท่าที่จำเป็น ต้องรักษาความมั่นคงปลอดภัยของข้อมูล ไม่ให้มีการเปลี่ยนแปลง แก้ไข หรือถูกเข้าถึงโดยผู้ไม่เกี่ยวข้อง และเจ้าของข้อมูลมีสิทธิในการเข้าถึง แก้ไข ระงับใช้ข้อมูลส่วนบุคคล ตลอดจนถอนความยินยอม หรือขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้  เว้นแต่จะเข้าข้อยกเว้นของกฎหมาย รวมทั้งกำหนดให้การถ่ายโอนข้อมูลส่วนบุคคลระหว่างประเทศต้องเป็นไป อย่างมีมาตรฐาน และให้มีมาตรการในการเยียวยาเจ้าของข้อมูลส่วนบุคคลหากถูกละเมิดสิทธิ
ในเดือนกุมภาพันธ์ 2563 ที่ผ่านมา สำนักงานฯ ได้จัดกิจกรรมการถ่ายทอดความรู้เกี่ยวกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเพื่อเตรียมความพร้อมในการสร้างทักษะและเสริมสร้างความรู้ความเข้าใจให้แก่เจ้าหน้าที่  ของสำนักงานฯ ทั้งในส่วนที่เกี่ยวข้องกับงานด้านการร่างกฎหมายที่จะต้องคำนึงถึงกฎหมายฉบับนี้ รวมถึงบริบทอื่น ๆ ที่เกี่ยวข้อง  ทั้งนี้ กฎหมายฉบับนี้เป็นกฎหมายที่ทุกองค์กรทั้งภาครัฐและเอกชนต้องให้ความสำคัญ โดยควรมีการเตรียมการในเรื่องต่าง ๆ ที่เกี่ยวข้อง อาทิ ระบบการควบคุมการเข้าถึงข้อมูล การกำหนดแนวทางสำหรับบุคคลในองค์กรที่เกี่ยวข้องกับการใช้งานข้อมูลส่วนบุคคล เพราะหากมีการละเมิดแล้วย่อมเกิดความรับผิดทั้งทางแพ่ง ทางอาญา และทางปกครองได้ ซึ่งมีโทษปรับสูงถึง 5 ล้านบาท จึงจำเป็นที่ทุกองค์กรต้องทำความเข้าใจและเตรียมความพร้อมกับการบังคับใช้กฎหมายฉบับนี้