สถาบันนโยบายศึกษา : Institute of Public Policy Studies (IPPS)

มาตรฐานสากลในการคุ้มครองข้อมูลส่วนบุคคล: ผลกระทบต่อประเทศไทย¹ (ตอนที่ 2)

นคร เสรีรักษ์²

(ต่อจากฉบับ มกราคม 2563)

การคุ้มครองข้อมูลส่วนบุคคลตามข้อบังคับสหภาพยุโรป (European Union Directive 95/46/EC)³

การคุ้มครองข้อมูลส่วนบุคคลภายใต้ข้อบังคับสหภาพยุโรป 95/46/EC นับเป็นบทบัญญัติที่มีผลบังคับระหว่างประเทศฉบับแรกที่ให้ความคุ้มครองข้อมูลส่วนบุคคล ที่ถูกสร้างขึ้นโดยประเทศสมาชิกสหภาพยุโรป ข้อบังคับฉบับนี้ให้การคุ้มครองข้อมูลส่วนบุคคลและเสรีภาพในการเคลื่อนไหวของข้อมูล ทั้งยังให้การรับรองว่าข้อมูลจะได้รับการคุ้มครองอย่างเท่าเทียมกันตลอดทั้งตลาดร่วมยุโรป โดยมีขอบเขตการบังคับใช้ คือ ในมาตรา 2 ได้ให้คำจำกัดความของข้อมูลส่วนบุคคล (personal data) ว่าหมายถึงข้อมูลข่าวสาร (information) ใดๆ ที่ชี้เฉพาะตัวบุคคล หรือสามารถบ่งชี้ลักษณะเฉพาะที่เกี่ยวข้องกับตัวบุคคล ซึ่งหมายถึงบุคคลธรรมดา (natural person) ที่เป็นเจ้าของข้อมูล (data subject) การชี้เฉพาะตัวบุคคลอาจเป็นไปโดยตรงหรือโดยอ้อม การอ้างอิงถึงข้อมูลส่วนบุคคล เช่น หมายเลขประจำตัว ลักษณะสำคัญทางกาย สรีระ จิตใจ สถานะทางการเงิน สังคม วัฒนธรรม ซึ่งเป็นข้อมูลที่สามารถชี้เฉพาะตัวบุคคลได้ และในขอบเขตของการบังคับใช้ทั้งในการประมวลข้อมูลโดยวิธีการปกติ (manual) และการประมวลผลข้อมูลโดยวิธีการทางอิเล็กทรอนิกส์ หรือวิธีการอัตโนมัติ (electronic or automatic) ดังนั้น ประชาชนทุกคนในสหภาพยุโรป ทุกหน่วยงานราชการ และในทุกบริษัทห้างร้าน และองค์กรธุรกิจเอกชนทุกแห่งต้องสามารถให้ความมั่นใจได้ว่าได้มีการนำกฎเกณฑ์การคุ้มครองไปปฏิบัติจริงในมาตรฐานเดียวกันทั่วทั้งสหภาพยุโรป โดยมีวัตถุประสงค์หลัก 2 ประการ คือเพื่อให้ประเทศสมาชิกของสหภาพยุโรป มีแนวทางการบัญญัติกฎหมายคุ้มครองข้อมูลที่สอดคล้องกัน และเพื่อให้มีมาตรฐานในการปฏิบัติในการส่งข้อมูลส่วนบุคคลภายในประเทศสมาชิก

ข้อบังคับฉบับนี้ได้เรียกร้องให้มีการบัญญัติกฎหมายคุ้มครองข้อมูลในแต่ละประเทศ เพื่อให้การคุ้มครองประชาชนมากขึ้น สำหรับการคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับภาคเอกชน โดยเฉพาะในบริษัทเอกชนที่ประกอบธุรกิจการค้า ต้องยึดหลักการที่เป็นสาระสำคัญดังนี้

การรักษาคุณภาพของข้อมูล
มาตรการของการประมวลผลข้อมูลที่ชอบด้วยกฎหมาย
ข้อกำหนดในการประมวลผลข้อมูลชนิดพิเศษ เช่น ข้อมูลส่วนตัวโดยเฉพาะหรือข้อมูลอ่อนไหว (sensitive data)
สิทธิในการได้รับแจ้งการเก็บข้อมูลต่างๆ ของเจ้าของข้อมูล
สิทธิในการเข้าถึงข้อมูลของเจ้าของข้อมูล
สิทธิในการคัดค้านการประมวลผลของเจ้าของข้อมูล
การรักษาความปลอดภัยในการประมวลผลข้อมูล
การส่งผ่านข้อมูลส่วนบุคคลไปยังประเทศที่สาม

      นอกจากการควบคุมการส่งข้อมูลภายในประเทศสมาชิกแล้ว สำหรับประเทศที่ไม่ได้เป็นสมาชิกสหภาพยุโรป หากจะทำการติดต่อรับ-ส่งข้อมูลกับประเทศสมาชิกสหภาพยุโรป ก็ต้องมีมาตรการการคุ้มครองข้อมูลที่เหมาะสมเป็นที่พอใจแก่สหภาพยุโรปด้วยเช่นกัน ซึ่งมาตรการที่เหมาะสมที่สหภาพยุโรปได้ตั้งไว้ แม้กระทั่งประเทศสหรัฐอเมริกาที่มีการค้าและการลงทุนกับประเทศสมาชิกสหภาพยุโรปมากที่สุด และมีการเคลื่อนไหวของข้อมูลข่าวสารมากที่สุด ก็ยังมีรูปแบบการคุ้มครองไม่เหมือนกับสหภาพยุโรป เพราะสหรัฐอเมริกาใช้ระบบควบคุมตนเอง(self-regulation) โดยภาคเอกชนกำหนดการควบคุมข้อมูลขึ้นมาด้วยตนเอง ซึ่งทั้งสองฝ่ายมีการพยายามหาวิธีการประนีประนอมเพื่อเป็นทางออกและแก้ไขปัญหาความขัดแย้งของทั้งสองฝ่าย

      ต่อมาการสื่อสารผ่านทางอิเล็กทรอนิกส์มีการเติบโตอย่างรวดเร็ว จึงมีการแก้ไขเพิ่มเติมโดยการออกข้อบังคับ Directive 2002/58/EC เกี่ยวกับการประมวลผลของข้อมูลส่วนบุคคลและการคุ้มครองความเป็นส่วนตัวในภาคการสื่อสารอิเล็กทรอนิกส์ ซึ่งมีผลบังคับใช้ในปี 2002 และมีการออกข้อกำหนด Regulation (EU) 611/2013 ซึ่งเป็นกฎระเบียบในการแจ้งเตือนการละเมิดข้อมูลส่วนบุคคลโดยผู้ให้บริการการสื่อสารอิเล็กทรอนิกส์ในกรณีที่ข้อมูลส่วนบุคคลของลูกค้าได้รับการสูญหาย ถูกขโมย หรือกรณีอื่น ๆ ที่ถูกรุกล้ำอีกด้วย

      นอกจากนั้น คณะกรรมาธิการยุโรปยังได้ออกมาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามเพื่อคุ้มครองการถ่ายโอนข้อมูลส่วนบุคคลจากสหภาพยุโรปไปยังประเทศที่สาม ซึ่งประเทศสมาชิกจะสามารถมั่นใจว่าบริษัทหรือหน่วยงานที่ใช้คำสั่งมาตรฐานเหล่านี้ ในการทำสัญญาที่เกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามนั้น มีระดับการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการรับรองมาตรฐานแล้ว

การคุ้มครองข้อมูลส่วนบุคคลตาม General Data Protection Regulation (GDPR)⁴

      GDPR เป็นกฎระเบียบของ EU ที่ออกมาเพื่อคุ้มครองประชาชนในกลุ่มประเทศ EU จากการที่ความเป็นส่วนตัวและข้อมูลส่วนบุคคลถูกล่วงละเมิดมากขึ้นในโลกยุคใหม่ที่ขับเคลื่อนด้วยข้อมูล เป็นการปรับปรุงมาตรการให้เหมาะสมกับสถานการณ์ที่แตกต่างไปจากเมื่อครั้งออกกฎ EU Directive เมื่อปี 1995

      ความเปลี่ยนแปลงจากข้อกำหนดใน GDPR ที่สำคัญและได้รับความสนใจ หรือตระหนกตกใจกันมาก น่าจะเป็นบทลงโทษที่กำหนดโทษปรับสูงมากโดยระบุว่าการเก็บและประมวลผลข้อมูลส่วนบุคคลของประชาชน EU ที่ไม่ปฎิบัติตาม GDPR จะถูกปรับเป็นจำนวนเงินถึง 20 ล้านยูโร หรือ 2-4% ของรายได้ต่อปีทั่วโลก ขึ้นอยู่กับว่าวงเงินใดมากกว่า กฎระเบียบนี้มีผลใช้บังคับกับหน่วยงานที่อยู่ใน EU และรวมไปถึงหน่วยงานนอก EU

      หลักการคุ้มครองข้อมูลยังคงเป็นไปตามมาตรฐานของ EU Directive โดยมีความเปลี่ยนแปลงที่สำคัญจากข้อกำหนดใน GDPR ดังนี้

      1.ขอบเขตการบังคับใช้เชิงพื้นที่
         GDPR บังคับใช้ในทุกหน่วยงานที่มีการประมวลผลข้อมูลส่วนบุคคลพลเมืองที่อาศัยอยู่ใน EU ไม่ว่าบริษัทจะตั้งอยู่ที่ไหน นั่นคือ GDPR บังคับใช้กับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลใน EU ไม่ว่าการประมวลผลจะทำใน EU หรือไม่ก็ตาม โดยจะบังคับใช้กับทุกกิจกรรมที่เป็นการจำหน่ายสินค้าและบริการแก่พลเมือง EU และทุกกิจกรรมที่มีลักษณะการติดตามพฤติกรรมของพลเมืองที่เกิดขึ้นใน EU หากเป็นธุรกิจของประเทศอื่นที่ไม่ใช่สมาชิก EU (Non-EU Business) ก็ต้องดำเนินการแต่งตั้งผู้แทนใน EU ด้วย

      2.บทลงโทษ
         ในกรณีที่เกิดความเสียหายหรือการรั่วไหลของข้อมูล (Data Breach) หน่วยงานที่ไม่ปฎิบัติตามข้อกำหนดจะถูกปรับเป็นจำนวนเงินถึง 20 ล้านยูโร หรือ 2-4% ของรายได้ต่อปีขึ้นอยู่กับว่าวงเงินใดสูงกว่า ซึ่งเป็นโทษปรับสูงสุดในกรณีร้ายแรง เช่น การไม่ขอความยินยอมที่เหมาะสมเพียงพอในการประมวลผลข้อมูล หรือการปฏิบัติขัดหลักการ Privacy by Design บางกรณีมีโทษปรับ 2% เช่นกรณีการไม่มีการบันทึกข้อมูลอย่างเป็นระบบ การไม่แจ้ง Supervising Authority และเจ้าของข้อมูลเมื่อเกิดเหตุรั่วไหล หรือการไม่จัดทำ Privacy Impact Assessment

      3.การให้ความยินยอม
         หลักความยินยอมได้รับการยืนยันเข้มแข็งมากขึ้น โดยระบุว่าการขอความยินยอมต้องดำเนินการในรูปแบบที่เข้าใจได้และสามารถเข้าถึงได้สะดวก (Intelligible and easily access) ต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลในการขอคำยินยอม โดยการขอความยินยอมต้องมีความชัดเจน ใช้ภาษาที่ง่ายต่อการเข้าใจ นอกจากนี้การยกเลิกการให้ความยินยอมต้องก็ต้องดำเนินการได้ด้วยความสะดวก

      ภายใต้ GDPR มีการกำหนดสิทธิของเจ้าของข้อมูลที่ชัดเจนมากขึ้นดังนี้
      1.สิทธิที่จะได้รับแจ้งเมื่อเกิดความเสียหาย (Breach Notification)
         ภายใต้ GDPR ถือว่าการแจ้งเป็นหน้าที่ที่ต้องปฏิบัติ เมื่อเกิดความเสียหายหรือการรั่วไหลของข้อมูล ซึ่งเกิดผลกระทบมีความเสี่ยงต่อสิทธิเสรีภาพของเจ้าของข้อมูล ทั้งนี้การแจ้งต้องดำเนินการภายใน 72 ชั่วโมง โดยผู้ประมวลผลต้องแจ้งต่อลูกค้าและผู้ควบคุมข้อมูลโดยไม่ชักช้าหลังจากเกิดความเสียหาย

      2.สิทธิที่จะรู้และเข้าถึงข้อมูล (Right to Access)
         เจ้าของข้อมูลมีสิทธิที่จะได้รับการแจ้งจากผู้ควบคุมข้อมูลว่า มีการประมวลผลข้อมูลหรือไม่ การประมวลผลดำเนินการที่ไหน มีวัตถุประสงค์อะไร และเมื่อร้องขอ ผู้ควบคุมข้อมูลจะต้องจัดหาสำเนาข้อมูลดังกล่าวให้เจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์โดยไม่คิดค่าใช้จ่าย ข้อกำหนดนี้เป็นการเปลี่ยนแปลงที่สำคัญในเรื่องความโปร่งใสของข้อมูลและเป็นการยืนยันความเข้มแข็งของเจ้าของข้อมูล

      3.สิทธิที่จะขอให้ลบข้อมูล (Right to be Forgotten/Right to erase)
         เจ้าของข้อมูลมีสิทธิ (1) ในการแจ้งให้ลบข้อมูล ระงับการเผยแพร่ หยุดการประมวลผลโดยบุคคลที่สาม (2) มีสิทธิในการแจ้งให้ลบข้อมูลที่ไม่มีส่วนเกี่ยวข้องตามวัตถุประสงค์ในการจัดเก็บครั้งแรก และ (3) มีสิทธิในการลบข้อมูลที่เจ้าของข้อมูลได้ยกเลิกความยินยอม ทั้งนี้ ผู้ควบคุมต้องใช้ดุลพินิจในการพิจารณาเปรียบเทียบสิทธิของเจ้าของข้อมูลกับประโยชน์สาธารณะในการมีอยู่ของข้อมูลนั้น

      4.สิทธิที่จะได้รับข้อมูลเกี่ยวกับตัวเอง (Data Portability)
         สิทธิที่จะได้รับข้อมูลเกี่ยวกับตัวเอง ในรูปแบบที่สามารถใช้งานได้ตามปกติรวมทั้งรูปแบบที่อ่านได้ด้วยเครื่องมือ/อุปกรณ์ (machine-readable format)

      5.สิทธิที่จะได้รับความคุ้มครองตั้งแต่ต้น (Privacy by Design/Privacy by Default)
         กำหนดให้มีการวางระบบความคุ้มครอง(Protection) ตั้งแต่ในโอกาสแรกของการออกแบบระบบ มากกว่าการมาเพิ่มการดำเนินการในภายหลัง โดยกำหนดว่าต้องมีการใช้มาตรการทางเทคนิคและการบริหารที่เหมาะสม โดยยึดหลักประสิทธิภาพ เพื่อให้เป็นไปตามข้อกำหนดและเป็นการคุ้มครองสิทธิเจ้าของข้อมูล

         ผู้ควบคุมข้อมูลจะเก็บและและประมวลผลข้อมูลได้เพียงเท่าที่จำเป็นเพื่อให้ภารกิจสำเร็จ (data minimization) และต้องมีการจำกัดการเข้าถึงข้อมูลโดยผู้ที่ไม่มีความเกี่ยวข้องใดๆกับการประมวลผล

      6.สิทธิที่จะได้รับการคุ้มครองโดยเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officers: DPO)
         ใช้ระบบการเก็บบันทึกข้อมูลภายในองค์กร (Internal Record Keeping) แทนระบบการรายงานต่อ Data Protection Authorities (DPA) และกำหนดให้มีการแต่งตั้งเจ้าหน้าที่รับผิดชอบ (DPO) สำหรับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลขนาดใหญ่ และมีภารกิจหลักในการติดตามและประมวลผลข้อมูลเป็นประจำและเป็นระบบ (Regularly and Systematic monitoring Data Subjects)

         การแต่งตั้ง DPO ต้องคำนึงถึงคุณสมบัติด้านวิชาชีพและความเชี่ยวชาญด้านกฎหมายและภาคปฏิบัติ โดยอาจแต่งตั้งเจ้าหน้าที่ภายในองค์กรหรือผู้ให้บริการภายนอก ต้องแจ้งข้อมูลการติดต่อกับทาง DPA และต้องมีทรัพยากรเหมาะสมกับการปฏิบัติภารกิจและพัฒนาความรู้ความเชี่ยวชาญของ DPO ทั้งนี้ DPO มีระบบรายงานต่อผู้บริหารระดับสูง และต้องไม่ทำหน้าที่อื่นที่อาจเป็นกรณีผลประโยชน์ทับซ้อน

GDPR กับกฎหมายข้อมูลส่วนบุคคลของไทย

      ความพยายามในการออกกฎหมายเพื่อการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยมีจุดเริ่มต้นในปี 2540 ตลอดหลายปีที่ผ่านมา มีการจัดทำร่างกฎหมายถึง 5 ฉบับ ผ่านรัฐบาลหลายคณะ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฉบับแรกที่ส่งไปยังรัฐสภาคือฉบับที่จัดทำโดยสำนักนายกรัฐมนตรีซึ่งรัฐบาลโดยนายอภิสิทธิ์ เวชชาชีวะ ส่งไปยังสภานิติบัญญัติแห่งชาติเมื่อเดือนตุลาคม 2552 แต่ยังไม่ได้รับการบรรจุเป็นวาระเพื่อพิจารณาของรัฐสภา จนมีการยุบสภาในเดือนพฤษภาคม 2554 ร่างนี้รัฐบาลในสมัยนางสาวยิ่งลักษณ์ ชินวัตร ได้เสนอไปยังรัฐสภาอีกครั้งเมื่อเดือนกุมภาพันธ์ 2556 แต่เกิดการรัฐประหารเสียก่อน

      หลังการรัฐประหารเมื่อวันที่ 22 พฤษภาคม 2557 คณะรัฐประหารในนามคณะรักษาความสงบแห่งชาติ (คสช.) ประกาศจะเร่งออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพราะเห็นว่าเป็นกฎหมายสำคัญที่มีความจำเป็นเร่งด่วนต่อกระบวนการปฏิรูปประเทศ รัฐบาลโดย พลเอกประยุทธ์ จันทร์โอชาได้ส่งร่างกฎหมายฉบับนี้ไปยังสภานิติบัญญัติแห่งชาติเมื่อเดือนตุลาคม 2557 หลังจากนั้นไม่ถึงสามเดือน สังคมไทยถูกทำให้สับสนมากขึ้นด้วยการที่รัฐบาลชุดเดียวกันได้เสนอร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลอีกฉบับในชุดกฎหมายขับเคลื่อนนโยบายเศรษฐกิจดิจิทัล ซึ่งจัดทำโดยกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ⁵

      ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. …. ดังกล่าว ได้มีการปรับแก้หลายครั้งจนกลายเป็นร่างล่าสุด ซึ่งผ่านความเห็นชอบของสภานิติบัญญัติแห่งชาติเมื่อวันที่ 28 กุมภาพันธ์ 2562 และประกาศในราชกิจจานุเบกษาเมื่อ 27 พฤษภาคม 2562 ⁶

      ประเด็นที่ต้องดูกันต่อไปคือ การคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายนี้จะมีมาตรฐานในระดับที่นานาประเทศรวมทั้งทาง EU จะยอมรับหรือไม่ ซึ่งเมื่อพิจารณาแล้วประเด็นการส่งข้อมูลข้ามแดนซึ่งเป็นเรื่องสำคัญที่สุด เพราะการส่งข้อมูลของคนต่างชาติตามมาตรฐานสากลและข้อตกลงระหว่างประเทศจะห้ามส่งข้อมูลไปยังประเทศที่ไม่มีมาตรการคุ้มครองข้อมูลส่วนบุคคล หรือมีแต่ต่ำกว่ามาตรฐานของประเทศผู้ส่ง โดยที่บทบัญญัติของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีหน้าที่และอำนาจกำหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศ ซึ่งการออกระเบียบและประกาศตามกฎหมายนี้ให้ดำเนินการให้เสร็จภายในหนึ่งปี ซึ่งขณะนี้ยังไม่มีการดำเนินการในเรื่องนี้แต่อย่างใด

      โดยที่การออกประกาศกฏเกณฑ์ต่างๆ อาจต้องใช้เวลาอีกนานพอสมควร ⁷ จึงยากที่จะคาดเดาได้ว่าหลักเกณฑ์ที่จะออกมาจะเป็นอย่างไร จะเป็นตามมาตรฐานสากลและข้อตกลงระหว่างประเทศต่างๆ หรือไม่ ในชั้นนี้ถือได้ว่าประเทศไทยมีมาตรการคุ้มครองข้อมูลส่วนบุคคลแล้ว แต่มาตรฐานนี้จะเป็นที่ยอมรับว่าพอเพียง หรือต่ำกว่ามาตรฐานของประเทศอื่นๆ รวมทั้งประเทศสมาชิกสหภาพยุโรปหรือเปล่า และในระหว่างระยะเวลา 1-2 ปี ⁸ ที่ยังไม่มีหลักเกณฑ์ที่ว่านี้ ถ้าเกิดกรณีการแลกเปลี่ยนหรือมีการรับ-ส่งข้อมูลระหว่างไทยกับนานาประเทศหรือกับประเทศสมาชิกสหภาพยุโรป ทางสหภาพยุโรปจะเห็นว่ามาตรฐานของไทยภายใต้กฎหมายฉบับนี้มีมาตรฐานเทียบเท่า GDPR หรือไม่ เพียงใด

การออกมาตรการควบคุมการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล

      ปัจจุบันประเทศไทยมีมาตรการทางกฎหมายที่ชัดเจนในการคุ้มครองข้อมูลส่วนบุคคลแล้วโดยบทบัญญัติของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งตามกฎหมายดังกล่าวได้บัญญัติกำหนดให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีหน้าที่และอำนาจกำหนดมาตรการหรือแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมายนี้ และมีอำนาจในการออกประกาศกำหนดข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลเป็นแนวทางให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลปฏิบัติ ซึ่งหลังจากมีการจัดตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และมีการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแล้ว คาดว่าคณะกรรมการจะได้ดำเนินการออกประกาศกำหนดหรือคำแนะนำต่างๆ ออกมาต่อไป ซึ่งน่าจะใช้เวลาอีกระยะหนึ่ง

      ขณะเดียวกัน ในการพิจารณาจัดทำกรอบแนวทางการปฏิบัติงานของหน่วยงานต่างๆ ในการดำเนินการที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ก็ควรมีการกำหนดในลักษณะแนวทางปฏิบัติหรือคำแนะนำในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งองค์กรพัฒนาภาคเอกชนได้แก่ ไพรเวซีไทยแลนด์ (Privacy Thailand) เครือข่ายพลเมืองเน็ต (Thai Netizen Network) และสถาบันนโยบายศึกษา ได้เคยศึกษาและจัดทำข้อเสนอ “แนวทางปฏิบัติสำหรับการคุ้มครองข้อมูล (Data Privacy Guideline)” ไว้แล้ว และได้นำเสนอต่อหน่วยงานทั้งภาครัฐและเอกชนหลายแห่ง จนนำมาสู่การกำหนดเป็นแนวทางปฏิบัติสำหรับการคุ้มครองข้อมูลภาครัฐโดยสำนักนายกรัฐมนตรี ⁹ ซึ่งหลักการดังกล่าวเป็นไปตามหลักมาตรฐานสากลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ดังนี้

      1.ต้องแจ้งเจ้าของข้อมูลอย่างชัดเจนว่าจะมีการเก็บข้อมูลส่วนบุคคล วัตถุประสงค์การเก็บ ประเภทบุคคลหรือองค์กรที่ข้อมูลส่วนบุคคลอาจได้รับการเปิดเผย ต้องแจ้งสิทธิของเจ้าของข้อมูลและมาตรการที่จะใช้ในการจำกัดการใช้ การเปิดเผย การเข้าถึง และการแก้ไข ทั้งนี้ต้องแจ้งก่อนหรือในขณะที่เก็บ หรือเร็วที่สุดหลังการจัดเก็บ

      2.ต้องมีการจัดเก็บอย่างจำกัดเท่าที่เป็นไปตามวัตถุประสงค์ของการเก็บ การเก็บต้องทำโดยวิธีที่ถูกกฎหมาย และด้วยวิธีที่เป็นธรรมและเหมาะสม โดยได้แจ้งต่อและได้ขอคำยินยอมจากเจ้าของข้อมูลแล้ว

      3.ข้อมูลที่เก็บไว้จะเอาไปใช้ได้เฉพาะตามวัตถุประสงค์ของการเก็บเท่านั้น เว้นแต่ได้รับคำยินยอมจากเจ้าของข้อมูล

      4.เจ้าของข้อมูลมีสิทธิเลือกว่าจะยินยอมให้มีการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของตน

      5.ข้อมูลที่จัดเก็บต้องมีความถูกต้อง สมบูรณ์ เป็นปัจจุบัน ตามความจำเป็นและตามวัตถุประสงค์การเก็บ

      6.ต้องมีมาตรการคุ้มครองข้อมูลอย่างเหมาะสมเพื่อป้องกันอันตรายที่อาจเกิด ไม่ว่าจะเป็นการสูญหาย-เสียหาย-การเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การทำลายโดยไม่ได้รับอนุญาต การใช้-ปรับเปลี่ยนแก้ไข-เปิดเผย โดยมิชอบ

      7.เจ้าของข้อมูลมีสิทธิรับรู้ว่ามีการเก็บข้อมูลส่วนบุคคลของตนหรือไม่ และมีสิทธิเข้าถึงข้อมูลของตนเอง และมีสิทธิขอให้ตรวจสอบความถูกต้องและขอให้ปรับปรุง แก้ไข เพิ่มเติม หรือทำลาย ข้อมูลของตน

      8.ผู้เก็บข้อมูลจะต้องรับผิดชอบจัดมาตรการต่างๆ ให้เป็นไปตามหลักเกณฑ์ดังกล่าว การส่งข้อมูลส่วนบุคคลไปยังบุคคลหรือองค์การอื่นๆ ไม่ว่าภายในประเทศหรือส่งไปยังต่างประเทศ จะต้องได้รับคำยินยอมจากเจ้าของข้อมูล และจะต้องมีมาตรการที่เหมาะสมที่ประกันได้ว่าบุคคลหรือองค์กรที่ได้รับข้อมูลไปแล้วจะเก็บรักษาข้อมูลให้เป็นไปตามหลักเกณฑ์นี้

      9.ในกรณีที่เป็นการดำเนินการที่เกี่ยวกับข้อมูลของเด็ก เยาวชน หรือผู้ที่ยังไม่บรรลุนิติภาวะ จะต้องคำนึงถึงการให้คำยินยอมที่เหมาะสม ไม่ว่าจะเป็นการดำเนินการโดยตัวผู้เยาว์เอง หรือ โดยผู้ปกครองที่ชอบด้วยกฎหมาย รวมทั้งการใช้ดุลยพินิจของผู้ปกครองโดยพฤตินัย และสถาบันด้านการศึกษา

      10.ในกรณีที่จะต้องมีการว่าจ้างหรือมอบหมายให้บุคคลหรือหน่วยงานอื่น (Third party) ในลักษณะหน่วยให้บริการ (Service provider) ให้ทำหน้าที่หรือจัดการที่เกี่ยวข้องกับข้อมูลส่วนบุคคล บุคคลหรือหน่วยงานดังกล่าวจะต้องมีระบบการคุ้มครองข้อมูลที่มาตรฐาน และจะต้องมีการจัดทำข้อตกลงที่ชัดเจนว่าบุคคลหรือองค์กรดังกล่าว เมื่อได้รับและครอบครองข้อมูลไปแล้วจะเก็บรักษาข้อมูลให้เป็นไปตามหลักเกณฑ์นี้

      แนวทางปฏิบัติสำหรับการคุ้มครองข้อมูลชุดนี้ มีเป้าหมายสำคัญเพื่อการรักษาผลประโยชน์ของพลเมืองในเรื่องสิทธิความเป็นส่วนตัว เพื่อป้องกันการใช้ข้อมูลส่วนบุคคลโดยมิชอบ และป้องกันความเสียหายที่จะเกิดขึ้น ไม่ว่าจะเป็นความเสียหายที่เกิดจากการเก็บ การประมวลผล การใช้ประโยชน์ และการเปิดเผยหรือส่งต่อข้อมูล (collect-process-use-disclosure/transfer) ก็ตาม แนวทางปฏิบัติสำหรับการคุ้มครองข้อมูลนี้ จึงเป็นทางเลือกหนึ่งสำหรับหน่วยงานที่เกี่ยวข้องสำหรับการดำเนินการเรื่องนี้ต่อไปในอนาคต

มาตรฐานสากล, GDPR: ผลกระทบต่อประเทศไทย

      มาตรฐานสากลในการคุ้มครองข้อมูลส่วนบุคคลในกฎหมายระหว่างประเทศและข้อตกลงระหว่างประเทศ ต่างมีกรอบที่ใช้บังคับเกี่ยวกับการส่งและรับข้อมูลระหว่างประเทศ โดยหลักการสำคัญประการหนึ่งที่ปรากฏอยู่ในข้อตกลงเหล่านี้ คือการกำหนดว่าการแลกเปลี่ยนข้อมูลจะดำเนินการได้เฉพาะระหว่างประเทศที่มีกฎหมายหรือมีมาตรการในการให้ความคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐานเพียงพอ

      ประเทศไทยคงหลีกเลี่ยงมาตรการสากลเหล่านี้โดยเฉพาะ GDPR ได้ยาก เพราะการค้าระหว่างประเทศมีมูลค่าทางเศรษฐกิจสูงมาก และในการดำเนินธุรกิจซึ่งทั้งหมดดำเนินการบนระบบอิเล็กทรอนิกส์ย่อมมีการแลกเปลี่ยนข้อมูลระหว่างผู้ประกอบการตลอดเวลา ปริมาณการรับ-ส่งข้อมูลมีมหาศาล ในบรรดาข้อมูลเหล่านี้ย่อมรวมถึงข้อมูลส่วนบุคคลที่เกี่ยวข้องจำนวนมาก ทั้งข้อมูลพลเมืองของประเทศผู้ซื้อและประเทศผู้ขายสินค้าและบริการ พิจารณาจากภาคท่องเที่ยวและบริการเพียงส่วนเดียว นักท่องเที่ยวจากยุโรปก็เป็นกลุ่มใหญ่ที่สุดที่ทำรายได้ให้กับภาคการท่องเที่ยวของไทย แน่นอนว่าข้อมูลส่วนบุคคลของนักท่องเที่ยวเหล่านี้จะต้องมีการรับ-ส่ง-แลกเปลี่ยนกับผู้ให้บริการในประเทศไทยอย่างหลีกเลี่ยงไม่ได้

      บริษัทและหน่วยงานในประเทศเราจึงน่าจะมีผลกระทบจากกฎระเบียบ GDPR จำนวนมาก ตั้งแต่การเก็บข้อมูลการเดินทางเข้าออกประเทศ ธุรกิจสายการบิน บริษัทท่องเที่ยว โรงแรมที่พัก โรงพยาบาลหรือสถานบริการสุขภาพ สถาบันการเงิน ธุรกิจการเงินการธนาคาร การแลกเปลี่ยนเงินตรา บัตรเครดิต การประกันชีวิต การประกันภัย บริษัทโทรคมนาคม บริษัทที่ดำเนินธุรกิจธุรกรรมออนไลน์ และ E-commerce ทั้งหมด

      นอกจากนี้ฐานข้อมูลส่วนบุคคลในผู้ประกอบการด้านการจัดการข้อมูลและการติดต่อสื่อสารโทรคมนาคม โดยเฉพาะธุรกิจที่เกี่ยวข้องกับการบริหารจัดการข้อมูลและวิศวกรรมข้อมูลโดยตรง ไม่ว่าจะเป็นผู้ประกอบการด้านการประมวลผลข้อมูล การจัดการระบบข้อมูลขนาดใหญ่ (Big Data) ธุรกิจการบริการระบบจัดเก็บ (Server and Cloud) รวมทั้งธุรกิจที่เกี่ยวข้องกับสื่อสังคมออนไลน์ต่างๆ ล้วนจัดเก็บข้อมูลส่วนบุคคลปริมาณมหาศาล ซึ่งทุกหน่วยงานที่ทำหน้าที่ Data Controller หรือเป็น Data Processor ที่จะเก็บและประมวลผลข้อมูลของพลเมืองจากประเทศในกลุ่ม EU จึงยิ่งต้องคำนึงถึงการปฏิบัติให้สอดคล้องกับมาตรการ GDPR ด้วยความระมัดระวัง

      นอกจากนี้ ยังมีความกังวลจากหลายฝ่ายที่เริ่มตระหนักถึงความสำคัญของ GDPR โดยมองว่าถึงแม้ผู้ประกอบการไทยอาจไม่โดนดำเนินคดีทางกฎหมายจากการไม่ปฏิบัติตามหรือปฏิบัติขัดกับหลักการ GDPR แต่โดยที่ธรรมชาติของการติดต่อธุรกิจระหว่างประเทศต้องมีการแลกเปลี่ยนข้อมูลระหว่างกันอยู่แล้ว หากฝ่ายผู้ประกอบการทางยุโรปเห็นว่าบริษัทคู่ค้าของไทยไม่สามารถปฎิบัติตาม GDPR บริษัททางสหภาพยุโรปก็จะไม่สามารถแลกเปลี่ยนข้อมูลกับบริษัทในไทย ซึ่งก็จะส่งผลให้ไม่สามารถทำธุรกิจธุรกรรมกันได้ในที่สุด

      นอกเหนือจากข้อจำกัดหรืออุปสรรคที่จะกระทบต่อการดำเนินธุรกิจระหว่างคู่ค้าในระดับผู้ประกอบการต่อผู้ประกอบการ เรื่องนี้อาจนำไปสู่ประเด็นปัญหาระดับประเทศและระดับนานาชาติ เพราะสหภาพยุโรปอาจใช้มาตรการแทรกแซงทางการค้าอื่นๆ ในลักษณะเช่นเดียวกับการให้ “ใบเหลือง” ประเทศไทยจากกรณีปัญหา Illegal, Unreported and Unregulated (IUU) Fishing เมื่อเดือนเมษายน 2558 ¹⁰ โดยระบุว่าเป็นประเทศที่ไม่ให้ความร่วมมือในการต่อต้านการทำประมงที่ผิดกฎหมาย ซึ่ง EU ได้ใช้มาตรการคว่ำบาตรการนำเข้าอาหารทะเลจากประเทศที่เพิกเฉยต่อการแก้ไขปัญหา IUU Fishing ซึ่งจะกระทบต่อการดำเนินธุรกิจระหว่างประเทศในที่สุด

      GDPR มีผลบังคับใช้สองปีแล้ว ¹¹ ในขณะที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยมีผลบังคับใช้ตั้งแต่เดือนพฤษภาคม 2562 ¹² เป็นที่น่าสนใจว่า GDPR และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นที่รู้จักรับรู้ของผู้ประกอบธุรกิจในประเทศไทยมากน้อยเพียงใด การเผยแพร่ความรู้ความเข้าใจและให้คำแนะนำเกี่ยวกับการปฏิบัติตามหลักเกณฑ์นี้มีการดำเนินการแล้วมากน้อยเพียงใด โดยเฉพาะพลเมืองไทยมีความเข้าใจหลักเกณฑ์กฎระเบียบเหล่านี้หรือไม่ พลเมืองทั้งในฐานะผู้บริโภคและในฐานะเจ้าของข้อมูลมีความตระหนักรู้เรื่องความสำคัญของข้อมูลส่วนบุคคลของตนเพียงใด การสร้างความตระหนักรู้สาธารณะเรื่องสิทธิความเป็นส่วนตัวจึงเป็นเรื่องที่ต้องดำเนินการโดยเร็ว โดยเฉพาะเพื่อให้รับมือได้ทันต่อสถานการณ์การคุกคามความเป็นส่วนตัวและการล่วงละเมิดฉกฉวยใช้ประโยชน์ข้อมูลส่วนบุคคลที่กำลังเกิดขึ้นอย่างรวดเร็วและรุนแรงในขอบเขตที่ไร้พรมแดนของโลกดิจิทัลในปัจจุบัน

------------------------------------------------------------------------------------------------------
¹ เอกสารนี้จัดทำขึ้นเพื่อใช้ในการประชุมสัมมนาทางวิชาการในโครงการ “การคุ้มครองข้อมูลส่วนบุคคลของพลเมือง” ของสถาบันนโยบายศึกษา โดยการสนับสนุนของมูลนิธิคอนราด อาเดนาวร์ โดยพัฒนาจากเอกสารประกอบการเสวนาทางวิชาการเรื่อง “การคุ้มครองความเป็นส่วนตัว Big data และ GDPR ในการพัฒนาเศรษฐกิจดิจิทัล” (ธนาคารแห่งประเทศไทย, 22 สิงหาคม 2561), ได้มีการปรับปรุงเพื่อใช้ในการประชุมหลายครั้งคือ การประชุมเรื่อง “เมื่อข้อมูลส่วนบุคคลออนไลน์โดนละเมิด: ถอดบทเรียนจากกรณีศึกษาปัจจุบัน” (31 สิงหาคม 2561, จุฬาลงกรณ์มหาวิทยาลัย) การประชุมเรื่อง “สิทธิความเป็นส่วนตัว: แนวคิดและการปกป้องโดยกฎหมาย” (สถาบันนโยบายศึกษา, 28 มีนาคม 2562) การประชุมเรื่อง “ความเป็นส่วนตัว GDPR และธรรมาภิบาลข้อมูล ในการพัฒนาเศรษฐกิจดิจิทัล” (มหาวิทยาลัยแม่ฟ้าหลวง, 10 พฤษภาคม 2562) และการสัมมนาเชิงปฏิบัติการเรื่อง “สิทธิส่วนบุคคลในงานห้องสมุดและจดหมายเหตุ” (สำนักงานคณะกรรมการสิทธิมนุษยชนแห่งชาติ, 25 กรกฎาคม 2562)

² อาจารย์ประจำวิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น, ผู้ก่อตั้งและผู้อำนวยการ Privacy Thailand

³ นคร เสรีรักษ์, อ้างแล้ว, เชิงอรรถที่ 4

⁴ Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)

⁵ คณะรัฐมนตรีในการประชุมเมื่อวันที่ 6 ม.ค. 2558 มีมติเห็นชอบในหลักการร่างกฎหมายในชุดกฎหมายเพื่อการขับเคลื่อนนโยบายเศรษฐกิจดิจิทัลของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร จำนวน 8 ฉบับ ซึ่งมี ร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. …. อีกฉบับหนึ่งเสนอเพิ่มเติมไปอยู่ด้วย และต่อมาคณะรัฐมนตรีในการประชุมเมื่อวันที่ 8 กันยายน 2558 มีมติเห็นชอบให้ถอนร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... ซึ่งสำนักงานปลัดสำนักนายกรัฐมนตรีเป็นผู้เสนอ จาก สนช. เพื่อให้กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารนำมารวมพิจารณาทบทวนร่วมกับร่างที่กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเป็นผู้เสนออีกครั้งหนึ่ง

⁶ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษา เล่ม 136/ตอนที่ 69 ก/หน้า 52 วันที่ 27 พฤษภาคม 2562.

⁷ มาตรา 96 การดำเนินการออกระเบียบและประกาศตามพระราชบัญญัตินี้ ให้ดำเนินการให้แล้วเสร็จภายในหนึ่งปีนับแต่วันที่พระราชบัญญัตินี้ใช้บังคับ หากไม่สามารถดำเนินการได้ให้รัฐมนตรีรายงานเหตุผลที่ไม่อาจดำเนินการได้ต่อคณะรัฐมนตรีเพื่อทราบ

⁸ มาตรา 2 (1) พระราชบัญญัตินี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป เว้นแต่บทบัญญัติในหมวด 2 หมวด 3 หมวด 5 หมวด 6 หมวด 7 และความในมาตรา 95 และมาตรา 96 ให้ใช้บังคับเมื่อพ้นกำหนดหนึ่งปีนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป

⁹ หนังสือสำนักงานปลัดสำนักนายกรัฐมนตรีที่ นร 0108/ ว 319 ลงวันที่ 14 มกราคม 2562

¹⁰ ธนชาติ นุ่มนนท์, “กฎระเบียบ EU เรื่อง GDPR (General Data Protection Regulation) กับความล่าช้าของหน่วยงานในไทย หรือเราจะเจอซ้ำรอย IUU Fishing”, https://tinyurl.com/y9bf6329

¹¹ GDPR มีผลบังคับใช้ 25 พฤษภาคม 2561

¹² พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้ตั้งแต่ 28 พฤษภาคม 2562