3 อาจารย์กฎหมาย กะเทาะเปลือก พ.ร.บ. ข้อมูลส่วนบุคคลฯ

3 อาจารย์กฎหมาย จากคณะนิติศาสตร์ จุฬาฯ และ ธรรมศาสตร์ ชวนกันอธิบาย พ.ร.บ. ข้อมูลส่วนบุคคลฯ ที่เพิ่งประกาศใช้ เพื่อความเข้าใจอย่างง่ายในเบื้องต้นว่า ใครเกี่ยวข้องบ้าง จะต้องทำอย่างไร และมีบทลงโทษอย่างไรบ้าง

          การประกาศบังคับใช้พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 หรือ พรบ.ไซเบอร์ โดยเฉพาะในส่วนที่เกี่ยวกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยังคงอยู่ในความสนใจของหลายฝ่าย ขณะเดียวกันก็มีคำถามเกิดขึ้นมากมาย โดยเฉพาะใครเกี่ยวข้องบ้าง เกี่ยวข้องอย่างไร จะต้องทำอย่างไร และมีบทลงโทษอย่างไร ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง อาจารย์ประจำคณะนิติศาสตร์จุฬาลงกรณ์มหาวิทยาลัย อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ และ ดร. ชวิน อุ่นภัทร อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ได้ร่วมกันอธิบายประเด็นต่างๆ ไว้อย่างน่าสนใจ

          ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง อาจารย์ประจำคณะนิติศาสตร์จุฬาลงกรณ์มหาวิทยาลัย เริ่มจากการทำความเข้าใจเบื้องต้นว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯ เป็นกฎหมายที่ใช้เวลานานมากเกือบ 20 ปีนับตั้งแต่ที่มีร่างแรกในปี 2542 ตามนโยบาย IT2000 จนมาประสบความสำเร็จสามารถออกเป็นกฎหมายได้ตามนโยบายดิจิทัลเพื่อเศรษฐกิจและสังคมในปี 2562 ซึ่งบริบทต่างๆพัฒนาไปมาก ประกอบกับสหภาพยุโรปได้ออกกฎหมายใหม่ที่เรียกว่า GDPR ทำให้บริบทของการคุ้มครองข้อมูลส่วนบุคคลมีความชัดเจนและเป็นองค์ความรู้ที่กว้างขวางมากในปัจจุบัน

          ในเชิงเนื้อหากฎหมายนี้ไม่เพียงแต่สร้างความชัดเจนในเรื่องการคุ้มครองข้อมูลส่วนบุคคล แต่ยังพัฒนาเป็นมาตรฐานที่ช่วยส่งเสริมการใช้งานข้อมูลในยุคดิจิทัลบนพื้นฐานของการทำตามมาตรฐานนี้ มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลจึงเป็นตัวขับเคลื่อนการพัฒนาทางเทคโนโลยีดิจิทัลให้ดำเนินไปได้ ขณะเดียวกันก็คุ้มครองข้อมูลไม่ให้ถูกนำไปใช้อย่างไม่สมเหตุสมผล ซึ่งเรื่องนี้อาจารย์ชวิน และอาจารย์ฐิติรัตน์จะได้ขยายความให้ฟัง

          ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ได้อธิบายสรุปมาตรฐาน lawful basis แบบง่ายๆ ว่า ในการประมวลผลข้อมูลใดๆ (ไม่ว่าจะเป็นการเก็บรวบรวม การใช้ การเผยแพร่ การเก็บรักษา) จะต้องมีฐานทางกฎหมายที่ถูกต้อง (lawful basis) พูดง่ายๆ ก็คือว่าต้องมีเหตุผลที่ฟังขึ้นว่าทำไมเราจึงจะมีความชอบธรรมในการนำข้อมูลส่วนบุคคลของคนอื่นมาใช้งาน ซึ่งตาม GDPR ก็แบ่งออกเป็น 6 ฐานในการประมวลผลข้อมูลส่วนบุคคลทั่วไป (ที่ไม่ใช่ข้อมูลอ่อนไหวหรือ senstitive data) คือ ฐานความยินยอม ฐานการปฏิบัติตามสัญญา ฐานการผลประโยชน์อันยิ่งยวดต่อสุขภาพและชีวิต ฐานภารกิจของรัฐ ฐานการปฏิบัติตามกฎหมาย และฐานผลประโยชน์อันชอบธรรม ส่วนในกฎหมายไทยนั้นจะมีเพิ่มขึ้นมาอีกหนึ่งฐานคือ ฐานการศึกษาวิจัย สถิติและจดหมายเหตุ

          ผู้ที่จะใช้ข้อมูลหรือเรียกว่า “ผู้ควบคุมข้อมูล” (data controller) นั้นจะต้องระบุให้ได้ชัดเจนตั้งแต่ก่อนจะเริ่มเก็บรวบรวมข้อมูลว่าวัตถุประสงค์ของการประมวลผลข้อมูลนั้นคืออะไร จะประมวลผลข้อมูลไปเพื่ออะไร แล้วจะใช้ฐานใดในการประมวลผล  ซึ่งแต่ละฐานก็จะมีเงื่อนไขไม่เหมือนกัน ทำให้เกิดหน้าที่ของ “ผู้ควบคุมข้อมูล” ที่แตกต่างกัน และเจ้าของข้อมูลส่วนบุคคล (data subject) นั้นก็จะมีสิทธิไม่เหมือนกันด้วย

          สำหรับองค์กรธุรกิจ ฐานที่จะใช้บ่อยก็คือฐานการปฏิบัติตามสัญญา เนื่องจากองค์กรส่วนใหญ่ที่ประมวลผลข้อมูลส่วนบุคคลของลูกค้านั้นก็เพื่อที่จะบรรลุหน้าที่ในการให้บริการที่ตกลงกันไว้ตามสัญญา ส่วนการประมวลผลที่นอกเหนือไปจาก “ความจำเป็น” ในการปฏิบัติตามสัญญานั้น “ผู้ควบคุมข้อมูล” ต้องพิจารณาใช้ฐานอื่นๆ ต่อไป เช่น หากเป็นบริการเสริมก็อาจใช้ฐานความยินยอมโดยมีการสื่อสารให้ลูกค้าทราบถึงวัตถุประสงค์และขอบเขตการประมวลผลข้อมูลอย่างชัดเจน ไม่ใช้ความยินยอมเป็นเงื่อนไขของการให้บริหารหลัก และสามารถถอนความยินยอมได้โดยง่าย  หรือหากเป็นกรณีที่จำเป็นต้องเปิดเผยข้อมูลให้เจ้าหน้าที่รัฐที่มีอำนาจเข้าถึงได้ก็จะต้องใช้ฐานการปฏิบัติตามกฎหมาย (ส่วนเจ้าหน้าที่รัฐนั้นถือว่าเข้าถึงข้อมูลโดยใช้ฐานภารกิจของรัฐ)  หรือหากจำเป็นต้องประมวลผลเพื่อป้องกันการฉ้อโกงหรือฟ้องร้องเป็นคดีตามกฎหมายก็อาจใช้ฐานผลประโยชน์อันชอบธรรมได้ (แต่การใช้ฐานนี้ต้องระมัดระวังมาก เพราะ “ผู้ควบคุมข้อมูล” ต้องพิสูจน์ให้ได้ว่าผลประโยชน์ที่ตนจะได้รับนั้นไม่ละเมิดสิทธิขั้นพื้นฐานอื่นๆ ของเจ้าของข้อมูลส่วนบุคคล)

          ไม่ว่าจะใช้ฐานในประประมวลผลข้อมูลฐานใดก็ตาม “ผู้ควบคุมข้อมูล” จะต้องบันทึกเอาไว้เสมอ และเมื่อเวลาผ่านไปก็ควรมีการทบทวนด้วยว่าข้อมูลนั้นๆ ยังสามารถใช้ฐานนั้นในการประมวลผลได้อยู่หรือไม่ (เช่น สัญญาหมดอายุแล้วหรือยัง พ้นระยะที่เจ้าของข้อมูลให้ความยินยอมไว้แล้วหรือยัง กฎหมายที่ต้องปฏิบัติตามนั้นได้เปลี่ยนแปลงไปหรือไม่) ซึ่งทั้งหมดนี้จะทำได้ง่ายขึ้น หากองค์กรเริ่มต้นจากการจัดการข้อมูลให้เป็นระบบระเบียบ แยกแยะแหล่งที่มาและฐานในการประมวลให้ชัดเจน รวมถึงจำกัดการเข้าถึงข้อมูลนั้นๆ ในองค์กรให้เหมาะสมกับลักษณะของข้อมูลด้วย

          ขณะที่ ดร. ชวิน อุ่นภัทร อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ได้ อธิบายหน้าที่ของ“ผู้ควบคุมข้อมูล” (controller) ตามมาตรฐานเพื่อความเข้าใจได้ง่ายว่า เมื่อเราทราบแล้วว่าเราดำเนินการกับข้อมูลโดยมีฐานทางกฎหมายใดแล้ว สิ่งที่ตามมาต่อไปก็คือบรรดาหน้าที่ต่างๆ ที่กฎหมายกำหนดไว้ให้แก่ “ผู้ควบคุมข้อมูล”  และ “ผู้ประมวลผลข้อมูล”

          โดย “ผู้ควบคุมข้อมูล” นั้นหมายถึงผู้ที่มีสามารถกำหนดวัตถุประสงค์ในการดำเนินการต่างๆ กับข้อมูลได้ หากมีการนำเอาไปให้คนอื่นตามดำเนินการแทน เราจะเรียกคนนั้นว่า “ผู้ประมวลผลข้อมูล” สิ่งที่ “ผู้ประมวลผลข้อมูล” ก็จะถูกจำกัดตามที่ได้รับมอบหมายจาก “ผู้ควบคุมข้อมูล”  ส่วน “ผู้ควบคุมข้อมูล”  จะมีหน้าที่หลายประการ ประการที่น่าจะสำคัญที่สุดคือการรักษาความปลอดภัยในการประมวลผลข้อมูลให้มีมาตรการที่เพียงพอต่อความเสี่ยงที่อาจจะเกิดขึ้นทำให้ข้อมูลรั่วไหลหรือการละเมิดข้อมูล หากเกิดกรณีดังกล่าวก็จะต้องแจ้งไปยัง “ผู้กำกับดูแล” และ “เจ้าของข้อมูล” ตามเงื่อนไขที่กฎหมายกำหนด

          นอกจากนั้น “ผู้ควบคุมข้อมูล”  จะต้องรักษาความโปร่งใสในการประมวลผลข้อมูล เมื่อได้รับข้อมูลหรือมีการใช้ข้อมูลอย่างใด “ผู้ควบคุมข้อมูล”  มีหน้าที่ต้องแจ้งเจ้าของข้อมูลไม่ว่าจะเป็นกรณีได้ข้อมูลมาโดยตรงหรือโดยอ้อม รวมถึงรักษาบันทึกการประมวลผลข้อมูลเตรียมไว้เพื่อประโยชน์ที่ผู้กำกับดูแลจะมาขอตรวจสอบหรือกรณีเจ้าของข้อมูลใช้สิทธิของตัว หน้าที่ของ “ผู้ควบคุมข้อมูล” อีกประการหนึ่งก็คือการปฏิบัติตามสิทธิของเจ้าของข้อมูล อย่างที่ทราบกันดีว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นได้รับรองสิทธิของเจ้าของข้อมูลหลายประการ และเมื่อเจ้าของข้อมูลเข้ามาใช้สิทธิ “ผู้ควบคุมข้อมูล” ก็มีหน้าที่ที่จะต้องปฏิบัติตามไม่ว่าจะเป็นสิทธิของเข้าถึงข้อมูล สิทธิในการขอแก้ไข สิทธิในการคัดค้านหรือระงับการประมวลผลข้อมูล สิทธิในการโอนย้ายข้อมูลเหล่านี้เป็นต้น อย่างไรก็ดี ไม่ใช่ทุกกรณีที่ “ผู้ควบคุมข้อมูล” จะต้องปฏิบัติตามเพราะกฎหมายได้กำหนดเงื่อนไขการใช้สิทธิรวมไปถึงเหตุในการปฏิเสธไม่ปฏิบัติตามสิทธิดังกล่าวด้วย รายละเอียดในข้อนี้มีค่อนข้างมาก

          นอกจากเรื่องต่างๆ ที่กล่าวมาแล้ว บางองค์กรก็อาจจะต้องมีผู้ที่เข้ามารับผิดชอบในการปฏิบัติตามกฎหมายซึ่งเรียกว่า “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (data protection officer) หรือเรียกสั้นๆ ว่า DPO คนคนนี้จะทำหน้าที่ในองค์กรเพื่อให้การดำเนินการขององค์กรเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยกฎหมายกำหนดไว้เลยว่าเขาจะต้องสามารถรายงานไปยังบุคคลที่อยู่ตำแหน่งสูงสุดในองค์กรได้โดยตรง จะถูกเลิกจ้างหรือลงโทษเพราะกระทำไปเพื่อปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้ และ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” จะต้องมีความอิสระพอสมควรและไม่มีอำนาจตัดสินใจในองค์กร เพียงแต่ให้คำแนะนำเพื่อให้เกิดการปฏิบัติตามกฎหมายเท่านั้น

          ที่กล่าวมานี้เป็นเพียงใจความสำคัญที่เกี่ยวกับหน้าที่ของ “ผู้ประมวลผลข้อมูล” การไม่ปฏิบัติตามหน้าที่นั้นก็จะมีโทษทางกฎหมาย ซึ่งส่วนใหญ่จะเป็นโทษทางปกครองซึ่งมีทั้งที่เป็นโทษปรับไม่เกิน 1 ล้านบาท ไม่เกิน 3 ล้านบาท และไม่เกิน 5 ล้านบาท ขึ้นอยู่กับว่าการไม่ปฏิบัติตามกฎหมายเป็นเรื่องใด เช่นมีมาตรการรักษาความมั่นคงปลอดภัยไม่เพียงพอมีโทษปรับไม่เกิน 3 ล้าน หรือดำเนินการกับข้อมูลโดยไม่มีฐานทางกฎหมาย ถ้าเป็นกรณีข้อมูลอ่อนไหวจะมีโทษปรับไม่เกิน 5 ล้าน เช่นนี้เป็นต้น

          รายละเอียดเหล่านี้องค์กรต่างๆ จะต้องทำความเข้าใจและปรับกับการดำเนินการขององค์กรของตน เนื่องจากเวลากฎหมายเขียน เขาจะไม่ได้แจกแจงเป็นขั้นเป็นตอนเรียงลำดับว่าองค์กรจะต้องทำอะไรก่อนหลัง ตรงนี้จึงเป็นภาระหน้าที่ของผู้ควบคุมหรือผู้ประมวลผลข้อมูลเองที่จะต้องแปรความและแปรเป็นขั้นตอนในทางปฏิบัติ โดยผู้ที่จะทำหน้าที่ในส่วนนี้ได้ดีจะต้องมีความเข้าใจหลายเรื่องประกอบกัน ได้แก่ ความเข้าใจเรื่องกระบวนการทำงาน (workflow) และข้อมูลที่ไหลเวียนอยู่ในองค์กร (data flow) ความเข้าใจเรื่องการจัดการข้อมูลและเทคโนโลยีสารสนเทศ ตลอดจนความเข้าใจเรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคล การปฏิบัติตามหน้าที่ในส่วนนี้จึงต้องเกิดจากความร่วมมือของหลายแผนกหรือส่วนงานในองค์กรนั่นเอง

ดาวน์โหลด

รายงานสรุปเกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

คำแปลภาษาอังกฤษสำหรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

[Unofficial translation] Personal Data Protection Act B.E.2562 (2019)

คำแปลภาษาอังกฤษสำหรับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562

[Unofficial translation] Cybersecurity Act B.E.2562 (2019)

CR : Photo by Paulius Dragunas , Markus Spiske , Dayne Topkin on Unsplash